Ny EU-dom skærper kravene til cookies

Anvendelsen af cookies kræver et aktivt samtykke

Ny EU-dom slår fast, at anvendelsen af cookies kræver et aktivt samtykke. Afgørelsen gør dermed op med brugen af passive samtykker og de såkaldte ’opt-out-løsninger.’ Fremover skal samtykke til cookies derfor aktivt gives af brugeren i overensstemmelse med kravene i GDPR om frivilligt, specifikt, informeret og utvetydigt samtykke. 

Dommen giver anledning til, at cookie politikker og samtykkeprocedurer eventuel revideres, for at sikre at loven på området overholdes.

Et aktivt samtykke er påkrævet

EU-domstolen slår fast, at kravet om utvetydighed kun kan opfyldes via en aktiv handling fra brugerens siden. Det betyder, at anvendelsen af forhåndsafkrydsede samtykkebokse (opt-out-løsning) ikke danner grundlag for et gyldigt samtykke, da det ikke betragtes som en aktiv handling at slå det fra.

Fremover er det derfor nødvendig at anvende såkaldte opt-in-løsninger, hvor brugerne for eksempel aktivt krydser en samtykkeboks af eller på anden vis aktivt giver samtykke til anvendelsen af cookies, uanset om der behandles personoplysninger eller ej.

Passive samtykke løsninger, som en forventning om at brugeren har set en tekst og dermed accepteret cookien, er heller ikke nok. Det skal objektivt kunne afgøres, om brugeren har givet sit samtykke.

 

Oplysninger om varighed og tredjepart

Der skal ved placeringer af cookies på et website gives en række informationer om brugen af cookies, med det formål at brugeren skal kunne give sit samtykke på et tilstrækkeligt oplyst grundlag. Oplysningerne skal sikre, at brugerne kan vurdere følgerne ved et samtykke. 

Oplysningerne skal derfor være klare og fyldestgørende og skal bl.a. indeholde information om den periode, hvor den enkelte cookie er i funktion. 

Derudover skal det også gøre klart, hvorvidt tredjemandsparter har mulighed for at få adgang til de placerede cookies. Dog stilles der ingen krav om at oplyse hvilken specifikke tredjemænd der er tale om.

Planet42 sagen

Dommen er udstedt efter behandling af sagen vedrørende det tyske selskab Planet49, der udbød en online konkurrence på deres tyske marked. Ved deltagelse i konkurrencen var det en betingelse, at brugerne gav deres samtykke til at modtage direkte elektronisk markedsføring. Accepten af cookies var forhåndsafkrydset og brugerne skulle derfor aktivt fjerne krydset, hvis de ville undgå cookies. 

Efter anmodning fra den tyske højesteret afgjorde EU-Domstolen, at et forhåndsafkrydset felt, hvor der gives accept til placering af cookies, ikke er tilstrækkeligt for at leve op til kravene om en aktiv handling fra forbrugernes side.

Tjek om du opfylder kravene

I forbindelse med domsafgivelsen kom EU-Domstolen med 3 vigtige pointer: 

#1: Et samtykke er ikke gyldigt, hvis brugeren skal vælge et forhåndsafkrydset felt fra. Tavshed og inaktivitet kan heller ikke udgøre et samtykke. Der skal en aktiv handling til.

#2: Cookie-reglerne gælder, uanset om der behandles persondata eller ej i de cookies der sendes til brugernes devices og som anvendelse til opsamling af data. 

#3: Det er et krav, at der i en cookie-politik oplyses om cookiernes funktionsvarighed samt hvorvidt tredjemands parter har mulighed for at få adgang til disse cookies eller ej.