Høringssvar vedr. bekendtgørelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr (cookie-bekendtgørelse)
Høringsmaterialet kan ses her
https://hoeringsportalen.dk/Hearing/Details/59795
Erhvervsstyrelsen (ERST) ønsker at tilføje denne undtagelse til cookie-bekendtgørelsens § 4
3) lagringen af eller adgangen til oplysninger alene sker med det formål at få information om kvaliteten eller effektiviteten af en leveret informationssamfundstjeneste eller informations- og indholdstjeneste, og når det har meget lidt eller slet ingen betydning har for slutbrugerens privatsfære.
Nederlandene har i 2015 indført en tilsvarende undtagelse i artikel 11.7a i den nederlandske telekommunikationslov (Telecommunicatiewet).
ERST begrunder ændringen med, at de eksisterende regler er blevet kritiseret for at være for bredt formuleret og ikke varetage det tilsigtede beskyttelseshensyn, samt at de eksisterende regler er for byrdefulde for virksomhederne.
ERST anfører i høringsbrevet, at den nye undtagelse kan bruges på cookies, som alene anvendes til simpel besøgsstatistik, hjemmesideanalyse, og A/B testing af forskellige designs. Den nye undtagelse kan bruges på cookies, som hjemmesideejeren selv sætter (first-party cookies), og på 3. parts cookies, hvis det via en databehandleraftale sikres, at indsamling af data alene sker med henblik på anonym trafikmåling og/eller forbedringer af den pågældende hjemmeside.
Efter IT-Politisk Forenings vurdering er dette udkast til ændring af cookie-bekendtgørelsen ikke foreneligt med artikel 5, stk. 3 i e-databeskyttelsesdirektivet. Kriteriet om ”meget lidt eller slet ingen betydning for brugerens privatsfære” optræder ikke i e-databeskyttelsesdirektivet eller betragtningerne i direktiv 2009/136/EF, der indsatte den nuværende artikel 5, stk. 3 i e-databeskyttelsesdirektivet.
I bemærkningerne til den nederlandske lovændring af artikel 11.7a fra 2015 anføres det, at samtykke mister sin betydning, når der også skal anmodes om samtykke for cookies, som ikke har nogen betydning for brugerens privatliv, og der henvises til kravet om brugervenlighed i betragtning 66 i direktiv 2009/136/EF. Vi har bestemt forståelse for disse synspunkter, men betragtning 66 i 2009/136/EF (og artikel 5, stk. 3) oplister samtidig de to eksisterende undtagelser fra oplysnings- og samtykkekravet på en måde, som må anses for at være udtømmende.
Udover denne indvending af mere formel karakter vedr. fortolkningen af artikel 5, stk. 3, har IT-Politisk Forening også foretaget en vurdering af ændringsudkastet til cookie-bekendtgørelsen ud fra en mere uformel privatlivsbeskyttelsesbetragtning. Privatlivsbeskyttelse er selvfølgelig det grundlæggende formål med e-databeskyttelsesdirektivet.
Hvis den nye undtagelse alene finder anvendelse på cookies, som bruges til aggregerede webstatistikker og lignende, hvor det under ingen omstændigheder er muligt at identificere den enkelte bruger, følge brugerne på tværs af forskellige websites (”tracking”), eller behandle brugerne forskelligt baseret på cookie-information (”targeting”), har vi i forhold til hensynet om beskyttelse af borgernes privatliv ingen indvendinger mod ændringen. Hvis behandlingen foretages af en 3. part er det afgørende, at der foreligger en databehandleraftale, som sikrer at den indsamlede cookie-information kun bruges til disse formål.
Disse begrænsninger på anvendelsen af de indsamlede oplysninger bør fortolkes meget strikst. Vi er bekendt med eksempler på webstatistik hos tredjeparter, som nogle gange kan kombineres med andre anvendelser af den indsamlede information. Det gælder for eksempel Google Analytics, hvis der samtidig anvendes visse andre Google tjenester på på hjemmesiden, jf. pkt. 5.3 i Google's standard databehandleraftale for Google Analytics [1]. I sådanne situationer bør den nye undtagelse ikke kunne anvendes, og samtykkekravet skal også omfatte cookies til webstatistik.
ERST nævner disse forhold vedr. anvendelsen af den nye undtagelse i brevet til høringsparterne, men det fremgår ikke af selve bekendtgørelsen, hvor der alene anføres formålet om måling af kvalitet og effektivitet, samt at lagringen eller adgangen til oplysningerne skal have meget lidt eller slet ingen betydning for brugernes privatsfære. Eftersom de danske cookieregler er fastsat i en bekendtgørelse, er der ikke formelle lovbemærkninger og forarbejder som kan bruges ved fortolkning af bestemmelsernes nærmere indhold.
Begreber som ”lidt eller slet ingen betydning for slutbrugerens privatsfære” efterlader et vist spillerum for fortolkning, og eftersom det er hjemmesideejeren som i første omgang skal foretage denne fortolkning, frygter IT-Politisk Forening, at den nye undtagelse kan blive anvendt i større omfang end det er tilsigtet fra ERST's side. Det kunne for eksempel være til brug for marketingsformål (herunder målrettede reklamer), hvor nogle virksomheder måske kunne argumentere for, at det bidrager med information om hjemmesidens effektivitet.
For at undgå sådanne situationer vil IT-Politisk Forening anbefale, at de begrænsninger på anvendelsen af den nye undtagelse, som fremgår af høringsbrevet, også kommer til at fremgå eksplicit af selve cookie-bekendtgørelsen.
Noter
[1] Data Processing Amendment to the Google Analytics Terms of Service
https://www.google.com/analytics/terms/dpa/dataprocessingamendment_20130906.html