UVT, Alm.del - 2010-11 (1. samling) - Bilag 203: Henvendelse af 28/5-11 fra Dansk Cookieregister vedr. cookies

Vedrørende Cookies: To punkter og derefter kommentarer til IT-Politisk Forenings henvendelse.ResuméDer foregår for tiden en intens interessekamp om, hvorledes de nye ”Cookie-bestemmelser”skal forstås. I den anledning henvender Dansk Cookieregister sig hermed for dels at informe-re om to kernepunkter, dels at korrigere misforståelser, som er blevet fremsat fra IT-politiskForening.De to synspunkter, der begrundes nedenfor, er: 1)Det bør konsekvent fastholdes, at informeretsamtykke skal ske forlods– det er bestemt ikke ligegyldigt, om samtykke sker før eller eftercookies er sat og forespørgsler er foretaget. 2) Det ser desværre retligt ud til, atbestemmelserneskal håndhæves fra ikrafttrædelsesdagen.Da ingen virksomheder lever op til bestemmelserne idag, og da der er forbundet et massivt arbejdskrav til alle hjemmesideudbydere og softwareforhand-lere til omkodning, er danske virksomheder og myndigheder stillet i en vanskelig situation, navnlighvis de slapper af i venteperioden.Dernæst kommenteres oplysninger i IT-politisk Forenings henvendelse, idet nogle ikke er juridiskgangbare.Dansk Cookieregister™ søger at bevæge danske myndigheder og virksomheder til at leve op tilloven med afsæt i direktivet. Man ser i EU-retten mere på bestemmelsernes ordlyd i stedet for påforarbejder, som vi har for vane her i landet.Set fra virksomhedernes side er der to udfordringer. Den første er knyttet til fortolkningstvivl, denanden er knyttet til sammenhængen mellem retshåndhævelse og ikrafttræden.Forlods eller efterfølgende samtykke?Forskellige har fremført det synspunkt, at det skulle væreunderordnet, om samtykke finder sted før eller efter det tekniske handlingsforløb. Efter Direktivetsordlyd skal samtykke forstås forlods.Dertil kommer, at man risikerer at lovliggøre en trafik,hvor hele den forudgående proces har indhentet oplysninger og eventuelt videresolgt dem, førbrugeren bliver spurgt.Skaden er sket. Hvis den skete skade ikke efterfølgende kan påklages, erdet en fremkommelig metode til at omgå hele Direktivets overordnede hensigt.Dansk Cookieregister råder sine kunder til at lade den fremtidige dialog med brugeren om sætningaf cookies og efterfølgende forespørgsler ske forlods. Det har været fremført, at Danmark ikke

Dansk Cookieregister™burde være en duks og skade danske virksomheder i den internationale konkurrence. DanskCookieregister anbefaler, at det ud fra et Governance-synspunkt vil være yderst risikabelt, hvis blotét land, EU eller EØS, hvor Direktivet gennemføres, anlægger den fortolkning, som ordlydentydeligt lægger op til. Virksomheder vil efter den fremtidige retstilstand risikere at pådrage siginternational negativ omtale og badwill ved ikke at leve op til Direktivet.Ikrafttrædelse, retshåndhævelse og overgang.Mange virksomheder har en betydelig mængde af hjemmesider, hvor de selv eller deres samarbejds-partnere sætter cookies. I England har man spurgt Kommissionen, om en tiltrængt overgangsbe-stemmelse skulle være mulig. Man kunne for eksempel forestille sig, at firmaer lavede en tiltrædel-seserklæring, som tilkendegav, at man satte de og de cookies, og at man agtede at leve op til krave-ne inden 1. juli 2012. Men svaret skulle efter det oplyste være, at det ikke fritager virksomheden foransvar..Det ser ud til, at bestemmelserne enten allerede gælder efter bestemmelserne i Direktivet 25. maj (ihvert fald for offentlige myndigheders vedkommende) eller fra dag 1, når Bekendtgørelsen træder ikraft.Virksomheder, der således ønsker at rette sig efter loven, bør ikke vente. Til gengæld kender deikke reglernes nærmere udformning. For det arbejde, der skal gøres, er betydeligt.Det bør bestemtundersøges, om en form for moratorium ikke er mulig.

Kommentar til IT-politisk forenings henvendelseIT-Politisk Forenings henvendelse kommenteres punktvis nedenfor.”1. Idet der ikke er kommet nye krav om pligt til oplysninger om cookies i e-databeskyttelsesdirektivet, er dettvivlsomt at alle hjemmesider skal deklarere enhverbrug af cookies”.Ad 1. Der er i databeskyttelsesdirektivet tilføjet en bestemmelse om informeret samtykke, hvergang nogen sætter en cookie. Det var ikke formuleret på samme måde i det hidtidige e-datadirek-tivs artikel 5,3. Derfor er it-politisk forenings postulat misvisende. Den nye formulering sætter fo-kus på denne pligt. IT-politisk Forening udtrykker tvivl om, for hvem reglen gælder.Princippet omlighed for loven gælder her, og der er ingen indskrænkninger.Der er ikke noget belæg for denopfattelse, foreningen udtrykker. Dette forhold er bemærkelsesværdigt, idet de parallelle bestem-melser i persondataloven som udgangspunkt ikke gælder for privatpersoner. Reglen er klar, ogundtagelsesbestemmelserne skal forstås indskrænkende.Påstanden er juridisk misvisende. Der eren pligt.”2. Det vil væreyderst uhensigtsmæssigt at kræve - og dyrt at administrere -deklarering af de utallige cookiesder bruges i overensstemmelse med eksisterende regler forsikring af privatlivet.”

Dansk Cookieregister™Ad 2.Om det er hensigtsmæssigt eller ej, er én sag.E-datadirektivet specificerer et regelsæt,som er retligt gennemført og juridisk bindende.IT-politisk forening kunne have blandet sig ibeslutningsprocessen op til revisionen 2008-09 og ikke nu, hvor direktivet og loven er vedtaget.” 3. Det problematiske er de mangetjenester der indsamler personlige oplysninger,blandtandet vha. cookies.”Ad 3.Det er utvivlsomt en af bevæggrundene til, at direktivet er blevet omformuleret, så informeretsamtykke er et krav.”4. Google Analyticser et eksempel på tjenester som indsamler personlige oplysninger og detkan og bør borgerne kunne undgå. F.eks. bruger IT- og Telestyrelsen samt Forbrugerrådet GoogleAnalytics, og de burde anvise hvordan forbrugerne kan undgå netop den slags indsamling afpersonlige oplysninger.”Ad 4.Efter direktivet skal hjemmesideejeren (fx IT- og Telestyrelsen), der lægger en cookie forGoogle Analytics, ikke alene forlods informere herom, men også give brugeren muligheden for atfravælge eller slette den, før den bliver sat. Direktivet går langt videre i beskyttelsen end foreningenønsker.”5 . Det er også en skinløsning at skelne mellem forskellige typer cookies. Det giver end ikkemening for den enkelte borger at skelne mellem om cookies bliver brugt til det ene eller detandet. For borgere bør det være muligt at forhindre cookies fra sider der er villige til at krænkeborgerens privatliv.Cookies fra sider der faktisk ønsker, i strid med gældende regler, atkrænke borgerens privatliv, bør kunne blokeres uanset om de formelt kankarakteriseres som trafikcookies eller kan deklareres som uskadelige cookies.”Ad 5.Indirekte lader IT-Politisk Forening, som om E-datadirektivet ikke eksisterer oghenviser her til Persondataloven. (”gældende regler”).I det hele taget lader foreningen, som ommyndigheder, virksomheder, foreninger og borgere frit kan vælge, hvilken lovgivning de ønsker atrette sig efter.Således forholder det sig næppe. Retshåndhævelse efter den danske lov, Folketingethar vedtaget, henlægges til IT- og Telestyrelsen, ikke til Datatilsynet. I Danmark er det klart, atspørgsmål efter E-datadirektivet har én myndighed, mens spørgsmål under Persondatadirektivet haren anden.Direktivets artikel 5, stk.3. består af en hovedregel og en ret restriktivt formuleret undtagelse.Pointen og visionen er, at det er brugeren, der fremover skal råde over sit købte og betalte udstyr.Hvis en cookie, der ellers måtte være omfattet af undtagelsen i artikel 5, stk. 3., samtidig anvendestil andre formål, der ikke er omfattet af undtagelsen, skal den naturligvis deklareres.Hvis det IT-Politisk Forening mener er, at der pt. ikke findes nogen brugbar typologi,derbringer pc- eller smartphonebrugeren i stand til på et informeret grundlag at tage stilling til, omcookien er harmløs, fordelagtig eller skadelig, beskriver det den nuværende situation ret godt. Dateknologien med forespørgsler og cookies er neutral, vil fristilslignende beskrivelser let kunne blivemisvisende efter udstederens interesser. Udviklingen af en sådan typologi vil være ønskelig, og vi eri gang.

Dansk Cookieregister™”6”Der er behov for at borgerne gennem enoplysningskampagnefårhjælp til at tilpasse deresbrowserså de ikke afgiver personlige oplysninger uønsket.”Ad 6. Det dur ikke i sammenhængen her.Browserindstillinger kan måske hjælpe brugeren til atbeskytte sit privatliv et stykke.Men det fritager ikke hjemmesideejeren fra sine forpligtelser,idet loven retter sig mod den, der sætter cookien. Det er ikke browseren, menhjemmesideejeren. Browseren har ingen pligt eller mulighed for at til at forklare, hvadcookien bruges til.IT-Politisk Forening mangler her at forklare, hvad en browser er.Programmer, som mangebruger som Acrobat� Reader, Skype™ og Microsoft� Office-pakken fungerer i dag som browserei den forstand, at de sætter cookies. Hertil kommer andre tjenester og programmer, der opdateresetc. Her er der ikke nødvendigvis browserindstillinger, som beskytter brugeren.Også dissefirmaer skal selv leve op til bestemmelserne.Før man laver den oplysningskampagne, som også Dansk Cookieregister anser for tiltrængt, bør detundersøges, hvad der skal oplyses om. Dette sidste synspunkt støtter for så vidt tanken om etmoratorium og om udviklingen af en typologi.