vejledning til bekendtgørelse om krav til information og ... · cookies kan således være en stor...
TRANSCRIPT
Vejledningtil bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr ldquoCookie-bekendtgoslashrelsenrdquo
2 udgave april 2013
Vejledning 3
Indholdsfortegnelse
Forord 4
1 Indledning 6
2 Reglerne 9 Baggrund 9 Cookiebekendtgoslashrelsen 9
Formaringl og afgraelignsning 9 Krav om informeret samtykke 15 Informationskravet16 Kravet til samtykke19 Undtagelser 21
3 Selvregulering 24
4 Erhvervsstyrelsens tilsyn med reglerne 25
5 Links til lovgivning og direktiver 26
6 Teknisk Guide 271 skridt ndash Fastlaeligggelse af webejendom272 skridt ndash Undersoslashgelse af om der saeligttes cookies 283 skridt ndash Afgivelse af fyldestgoslashrende information 294 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies 365 Skridt ndash Indhentning af samtykke 37
Tekniske definitioner41
Vejledning4
FORORD
Dette er en opdateret udgave af den gaeligldende vejledning til bekendtgoslashrelse nr 1148 af 9 december 2011 om krav til information og samtykke fra brugeren ved lagring af eller adgang til allerede lagrede oplysninger i slutbrugers terminaludstyr herefter cookiebe-kendtgoslashrelsen Vejledningen blev foslashrste gang udsendt sammen med bekendtgoslashrelsen ved dennes ikrafttraeligden i december 2011 Bekendtgoslashrelsen gennemfoslashrer e-databe-skyttelsesdirektivet der bla indfoslashrer krav om informeret samtykke fra brugeren af en nettjeneste til lagring af cookies
Cookiebekendtgoslashrelsen har faringet sit kaldenavn efter navnet paring de smaring tekstfiler som den regulerer og som lagres paring en brugers computer eller andet elektronisk udstyr via bla Internettet Cookies muliggoslashr genkendelse af computeren eller udstyret i forbin-delse med brugerens faeligrden i den digitale verden
Siden cookiebekendtgoslashrelsens ikrafttraeligden har reglerne vaeligret debatteret bredt idet baringde virksomheder og offentlige myndigheder bla har paringpeget uklarheder og betyde-lige tekniske udfordringer ved den praktiske efterlevelse af EU-reglerne Formaringlet med den opdaterede vejledning er derfor at hjaeliglpe virksomheder og offentlige myndighe-der i gang og praeligsentere en mere praktisk tilgang til hvordan reglerne kan efterleves
Den opdaterede vejledning aeligndrer ikke paring fortolkningen af de essentielle krav til in-formation og samtykke i relation til cookies og lignende teknologier men indeholder praeligciseringer saeligrligt i forhold til
En indledende tekst omkring cookies og deres egenskaberAnsvar for 3 parts cookiesEksempler paring informationens tilgaeligngelighedHvilke cookies der er undtaget fra informations- og samtykkekravet Erhvervsstyrelsens tilsyn med reglerne
Opdateringen indeholder desuden flere praktiske eksempler samt en teknisk guide til virksomheder og offentlige myndigheder med inspiration til den praktiske implemen-tering af cookiereglerne paring de danske hjemmesider
Der laeliggges med den tilhoslashrende tekniske guide op til at virksomhederne foretager en naeligrmere analyse af hjemmesiders brug af cookies og lignende teknologier samt en kategorisering af cookies paring baggrund af deres forskellige egenskaber Lovgivningen omfatter alle typer af cookies men en kategorisering af disse kan vaeligre en hjaeliglp for den hjemmesideansvarlige til angivelse af formaringlet med de forskellige cookies som hjem-mesiden bruger og herved sikring af fyldestgoslashrende information til brugeren Endvi-dere vil cookiens karakter have betydning for vurderingen af informations- og samtyk-kekravet ud fra en betragtning af cookiens effekt i forhold til brugerens privatliv
Erhvervsstyrelsen er i taeligt dialog med Kommissionen og andre medlemsstater for at sikre en ensartet tilgang til reguleringen der som naeligvnt er baseret paring EU-lovgivning1 Der laeliggges saringledes vaeliggt paring at den danske fortolkning og haringndhaeligvelse af reglerne er i traringd med opfattelsen hos Kommissionen og de oslashvrige medlemslande Dialogen med Kommissionen og de oslashvrige medlemsstater fortsaeligttes med henblik paring at droslashfte reg-lerne og haringndhaeligvelsen heraf ogsaring i lyset af den teknologiske udvikling Endvidere foslashlges droslashftelserne af direktivet i den saringkaldte Artikel 29 Gruppe som er nedsat i hen-
1 Europa-Parlamentets og Raringdets Direktiv 200258EF om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor som aeligndret ved direktiv 2009136EF
Vejledning 5
hold til de generelle databeskyttelsesregler i Databeskyttelsesdirektivet2 Vejledningen vil i den forbindelse blive opdateret i det omfang der maringtte vaeligre behov herfor
Dialogen med Kommissionen og de oslashvrige medlemslande viser en bred enighed om fortolkningen af samtykkereglerne i EU men nogle lande haringndhaeligver i praksis samtyk-kekravet saringledes at det i saeligrlige tilfaeliglde accepteres at cookies lagres forud for at bru-geren har givet samtykke hertil Der er behov for en naeligrmere afklaring fra Kommis-sionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende informa-tion til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Erhvervsstyrelsen April 2013
2 Europa-Parlamentets og Raringdets direktiv 199546EF om beskyttelse af fysiske personer i forbindelse med behandling af per-sonoplysninger og om fri udveksling af saringdanne oplysninger
Vejledning6
1 INDLEDNING
Vejledningen understoslashtter reglerne i cookiebekendtgoslashrelsen der stiller krav om at hjemmesider der goslashr brug af teknologier til at lagre eller laeligse oplysninger paring en bru-gers computer eller andet it-udstyr (saringkaldte cookies) sikrer samtykke hertil fra bruge-ren af hjemmesiden inden teknologien anvendes
Cookiebekendtgoslashrelsen der traringdte i kraft 14 december 2011 implementerer e-databe-skyttelsesdirektivet3 med seneste aeligndringer fra 20094 hvormed samtykkekravet blev indfoslashrt
Reglerne er indfoslashrt for at oslashge beskyttelsen af privatlivet naringr vi bevaeligger os i den digi-tale verden Cookies indsamler data om brugeren af digitale tjenester ved at tilgaring bru-gerens computer eller andet terminaludstyr der anses for at vaeligre en del af brugerens privatsfaeligre Indsamlingen af data via cookies goslashr det muligt at genkende brugerens computer og foslashlge brugerens faeligrden paring nettet
Cookiereglerne skal laeligses i lyset af reglerne om beskyttelse af persondata hvor cookie-reglerne regulerer indsamling af data i bredere forstand idet der ikke skelnes til om der er tale om oplysninger der kan identificerer en person
Virksomhederne og offentlige myndigheder benytter sig i hoslashjere og hoslashjere grad af den digitale platform paring internettet og bruger mulighederne for den ofte lettere adgang her til kunder og brugere end i den fysiske verden Samtidig er de udfordret af flygtigheden hos brugerne paring nettet og den manglende personlige relation i den digitale verden Anvendelsen af teknologier som cookies giver mulighed for at skabe relationen med bedre brugeroplevelser og maringlrettede ydelser Cookies kan saringledes vaeligre en stor hjaeliglp for brugeren bla ved gentagne besoslashg paring hjemmesider hvor brugerens indstillinger og evt indtastede oplysninger huskes ved hjaeliglp af cookies og derfor ikke skal indtastes igen Cookies kan ogsaring bruges til at foslashlge brugerens faeligrden paring en enkelt hjemmeside eller paring tvaeligrs af hjemmesider og give grundlag for bla statistik og maringlrettede annon-cer og tjenester fra hjemmesideejeren selv eller fra 3 parter som eksempelvis udbydere af webstatistikmoduler reklame- eller mediebureauer Cookies er med til at styrke innovation og udvikling paring det digitale marked
Sigtet med reglerne er heller ikke at forbyde brugen af cookies men at oslashge gennemsig-tigheden med de processer der understoslashtter brugernes faeligrden paring Internettet baseret paring data indsamlet hos brugeren og samtidig sikre at brugeren fortsat har kontrollen med hvad disse data bruges til Reglerne laeliggger vaeliggt paring at den enkelte bruger skal have en reel mulighed for at til- eller fravaeliglge lagring af cookies Herved sikres tilliden til internettet der ogsaring er en afgoslashrende faktor for den fortsatte udvikling af det digitale marked
Cookies er i almindelighed passive filer der kan lagres eller tilgarings i brugeres terminal-udstyr men ikke interagere eller manipulere med udstyr eller oplysninger
Den viden der indsamles via cookies eller lignende teknologier kan imidlertid som ovenfor naeligvnt benyttes til en lang raeligkke forskellige formaringl fx personalisering og ud-vikling af mere brugervenlige tjenester generering af analyser om brugen af en hjem-meside eller maringlretning af adfaeligrdsbaseret markedsfoslashring til brugeren Afhaeligngig af den enkelte brugers personlige holdninger kan disse formaringl vaeligre mere eller mindre oslashnskvaeligrdige
3 Europa-Parlamentets og Raringdets direktiv 200258EF om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor
4 Europa-Parlamentets og Raringdets direktiv 2009136EF
Vejledning 7
Hertil kommer at cookies kan og ofte saeligttes af andre end hjemmesiden selv hvilket ikke altid er aringbenlyst for brugeren og kan goslashre det vanskeligt for brugeren at gennem-skue det reelle formaringl Det er her saeligrligt vigtigt at sikre brugerens opmaeligrksomhed paring at cookies kan foslashlge med fra en hjemmeside til en anden og foslashlge brugerens faeligrden rundt paring nettet Samtidig er det vigtigt at ejeren af hjemmesiden selv har kontrol over hvilke cookies der saeligttes og hvem der via hjemmesiden faringr adgang til brugerens data Har ejeren af hjemmesiden ikke denne kontrol bliver det dels meget vanskeligt eller umuligt at indhente et reelt informeret samtykke fra brugeren samtidig med at der kan vaeligre risiko for at andre aktoslashrer misbruger brugerens data eller udnytter data i mod-strid med ejeren af hjemmesidens egne interesser
I lyset af de forskellige egenskaber ved cookies og udnyttelsen heraf der skifter kon-stant i takt med den teknologiske udvikling og det voksende digitale marked er det noslashdvendigt at styrke den generelle oplysning af brugerne for at opfylde lovgivningens formaringl om at det er brugerne der paring et informeret grundlag skal beslutte om de vil tillade adgangen til oplysningerne
En analyse lavet af Foreningen for Dansk Internethandel FDIH5 viser at kendskab til cookies er stigende hos forbrugerne og at 2 ud af 3 forbrugere ved hvad en cookie er Det er overvejende aeligldre forbrugere der kender til cookies Analysen viser endvidere at halvdelen af dem som svarer ja til kendskab til cookies ogsaring aktivt har vaeligret inde og aeligndre i deres browserindstillinger for at forhindre eller begraelignse accepten af cookies For den gruppe som svarede nej til kendskabet til cookies og som primaeligrt bestaringr af yngre internetbruger afviser over 2 tredjedele imidlertid at have planer om fremadret-tet at aeligndre i browserindstillinger for at forhindre eller begraelignse accepten af cookies
Analysen viser at der er en stor forskel paring brugernes opfattelse af cookies og holdning til om cookies er noget man lever med eller oslashnsker at undgaring Den stigende brugerbe-vidsthed i forhold til cookies og anvendelsen heraf er imidlertid en faktor som baringde virksomheder og offentlige myndigheder boslashr forholde sig til
Naeligrvaeligrende vejledning uddyber reglerne i cookiebekendtgoslashrelsen saeligrligt de essen-tielle krav til information og samtykke og giver bud paring praktiske loslashsninger til hjem-mesideejerne Kompleksiteten og mangfoldigheden af digitale tjenester i dag goslashr det hverken muligt eller hensigtsmaeligssigt at beskrive i detaljen hvordan reglerne skal efter-leves men bekendtgoslashrelsen tegner sammen med denne vejledning en ramme eller et mulighedsrum hvori tjenesteudbydere kan finde inspiration til loslashsninger der passer til deres konkrete kontekst Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsig-tigheden og kontrollen for brugerne De eksempler der er med i vejledningen og i den tekniske guide til virksomheder er derfor ogsaring alene eksempler og ikke anvisninger paring endegyldige loslashsninger
Hjemmesideejere etableret i andre lande udover Danmark skal vaeligre opmaeligrksomme paring at de maringske ikke kan noslashjes med at indrette deres loslashsninger efter den danske lovgiv-ning jf vejledningens afsnit rdquoHvor gaeliglder hvilke reglerrdquo De danske cookieregler er baseret paring harmoniseret EU lovgivning der dog alene fastsaeligtter minimumskrav i for-bindelse med anvendelse af cookies og lignende teknologier I Danmark er reglerne implementeret med en tekstnaeligr gengivelse af direktivets bestemmelser og der er ikke indfoslashrt strengere regler
Vejledningen afspejler Erhvervsstyrelsens tilsyn med cookiereglerne der laeliggger vaeliggt paring hjemmeside ejernes indsats for at overholde reglerne og skabe gennemsigtighed for deres brugere paring nettet I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervs-styrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i
5 FDIHrsquos e-handels analyse fra 2012
Vejledning8
forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjemmesidens indsats ud fra de 5 processkridt som er givet i den tekniske guide jf vejledningens kapitel 6
Vejledning 9
2 REGLERNE
Baggrund
I forbindelse med revisionen af de europaeligiske teledirektiver i 20082009 indfoslashrtes aelign-dringen af e-databeskyttelsesdirektivets artikel 5 stk 3 der omhandler lagring af eller adgang til oplysninger i brugeres terminaludstyr fx computere smartphones eller tab-lets AEligndringen bestaringr saeligrligt i indfoslashrelse af et krav om indhentning af samtykke fra brugerne i forbindelse med lagring af eller adgang til oplysninger i brugerens terminal-udstyr
e-Databeskyttelsesdirektivets artikel 5 stk 3 indeholder en henvisning til persondata-beskyttelsesdirektivet6 og skal derfor laeligses sammen med de generelle regler om per-sondatabeskyttelse som er implementeret i dansk ret ved Lov om behandling af per-sonoplysninger7 Lov om behandling af personoplysninger opstiller generelle krav i forbindelse med behandling af personhenfoslashrbare oplysninger
AEligndringen af e-Databeskyttelsesdirektivet kom ind for at oslashge beskyttelsen af bruger-nes privatsfaeligre naringr de faeligrdes i en digital verden hvilket man ikke mente var opfyldt i tilstraeligkkelig grad af persondatabeskyttelsesreglerne eller den davaeligrende bestemmelse i e-databeskyttelsesdirektivet Privatlivsbeskyttelsen underbygges endvidere af Det Europaeligiske Charter for grundlaeligggende rettigheder som blev gjort juridisk bindende med Lissabontraktatens ikrafttraeligden
Cookiebekendtgoslashrelsen
AEligndringen af e-Databeskyttelsesdirektivet er implementeret i dansk ret med Bekendt-goslashrelse nr 1148 af 9 december 2011 om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr (Cookiebekendtgoslashrelsen) som er udstedt i medfoslashr af sect 9 og sect 81 stk 2 i lov nr 169 af 3 marts 2011 om elektro-niske kommunikationsnet og -tjenester
Formaringl og afgraelignsning
Hvad beskytter reglerneReglerne har til formaringl at beskytte brugernes privatsfaeligre Med reglerne anlaeliggges den betragtning at brugernes terminaludstyr udgoslashr en del af brugerens privatsfaeligre der skal beskyttes mod uretmaeligssig indtraeligngen
Terminaludstyr omfatter computere og mobile enheder som smartphones tablets mv hvori der kan lagres oplysninger eller opnarings adgang til allerede lagrede oplysninger
Den beskyttede er brugeren af et elektronisk kommunikationsnet eller ndashtjeneste som ikke paring kommercielt grundlag stiller de paringgaeligldende elektroniske kommunikationsnet eller- tjenester til raringdighed for andre dvs alle brugere af en computer eller en mobil enhed
Beskyttelsen knytter sig til terminaludstyret der som ovenfor naeligvnt anses for at vaeligre en del af ejerens privatsfaeligre
6 Direktiv 9546EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af saringdanne oplysninger
7 Lov nr 429 af 31 maj 2000 om behandling af personoplysninger
Vejledning10
Reglerne finder alene anvendelse paring offentligt tilgaeligngelige kommunikationsnet eller -tjenester og ikke paring virksomheders intranet og lignende lukkede brugergrupper At der kraeligves log-in for at faring adgang til et netvaeligrk medfoslashrer dog ikke i sig selv at der er tale om en lukket brugergruppe hvor cookiereglerne ikke finder anvendelse Det vil bero paring en konkret vurdering
Reglerne tager ikke hoslashjde for tilfaeliglde af flere brugere af det samme terminaludstyr Brugere skal vaeligre opmaeligrksomme paring at hvis de enten laringner en computer tablet mobil-telefon mv ud eller bruger en andens terminaludstyr saring accepterer de udstyrets ind-stillinger herunder accept af cookies og lignende teknologier Hvis brugeren af termi-naludstyret oslashnsker at sikre sig herimod maring det bero paring en aftale mellem ejerenlaringneren af udstyret
Det samme gaeliglder i det omfang man anvender en offentlig tilgaeligngelig computer ek-sempelvis paring biblioteket idet en bruger som udgangspunkt ikke kan gardere sig imod tidligere brugeres indstillinger Det er Erhvervsstyrelsens vurdering at denne brug ikke er omfattet af cookiereglernes beskyttelsesformaringl i forhold til brugerens privatsfaeligre Det er ikke hjemmesidernes ansvar at soslashrge for samtykke fra samtlige brugere eller indrette deres hjemmesider efter at siden kan tilgarings fra en offentlig tilgaeligngelig compu-ter
Hvilke teknologier er omfattetDer gives ikke i bekendtgoslashrelsen en naeligrmere definition af de teknologier som be-kendtgoslashrelsen regulerer udover selve beskrivelsen i bestemmelsen i sect 3 stk 1
Reglerne er teknologineutrale Bekendtgoslashrelsen raeligkker ud over lagring af eller adgang til oplysninger i brugeres terminaludstyr som finder sted i forbindelse med en opkob-ling til internettet og omfatter saringledes ogsaring lagring af eller adgang til oplysninger fra eksterne medier som fx USB-noslashgler CDrsquoer CD-ROMrsquoer eksterne harddiske eller lig-nende
For saring vidt angaringr den form det format eller den standard oplysninger lagres i omfatter bekendtgoslashrelsen ikke blot rdquoklassiskerdquo http-cookies men enhver form for lignende tek-nologier herunder ogsaring fx Flash-cookies (Local Shared Objects) Web Storage (HTML5) Javascripts eller cookies sat ved brug af Microsoft Silverlight
Cookies kan have forskellig levetid idet de kan stoppe ved udloslashbet af en browser ses-sion (dvs fra brugeren aringbner et browservindue til dette lukkes igen) eller de kan vare laeligngere tid og daeligkke flere browser-sessioner saringledes at de kan foslashlge brugeren rundt paring internettet
En cookie kan endvidere deles ind i 1 parts cookies og 3 parts cookies alt efter hvem der placerer cookiersquoen paring en hjemmeside
1 parts cookies er de cookies der placeres af ejeren af hjemmesiden der er den som brugeren umiddelbart interagerer med 3 parts cookies er dem som placeres paring en hjemmeside af 3 mand hvor denne eller andre faringr adgang til den data der indsamles
Vejledning 11
1 part 3 part
Cookies der saeligttes af hjemmesiden som brugeren besoslashger hvis adresse fremgaringr af URL vinduet
Cookies der saeligttes af andre end den hjemmeside brugeren besoslashger
Sessions cookies
Udloslashber enten i loslashbet af eller ved udgangen af en browser-session
EksbullStyring af grafikbullBesoslashgsstatistikbullBrugerindstillingbull IndkoslashbskurvbullBetalingsmodul bullSikkerheds-pro-
cedurer ved netbank
Eks bullStatistikbullHvor 3 part
leverer ydelser som beskrevet under eks paring 1 parts cookies er det afgoslashrende hvem der har adgang til brugerens data i forhold til om der er tale om 3 parts cookies
Baringde for 1 og 3 parts cookies vurderes sessions cookies ofte at vaeligre mindre indgribende i forhold til bruge-rens privatliv
Persistent cookies
Varer flere browser sessioner og kan foslashlge brugeren rundt paring nettet Kan vare fra timer til flere aringr
Eks bullHuske bruger-
indstillinger som navn og adresse sprog log-in naeligste gang brugeren besoslashger hjemme-siden udover en browser-session
bullTracking - enten genkende brugere fra tidligere besoslashg eller foslashlge brugeren til andre hjemmesi-der
EksbullTracking 1 parts cookies for
brugerindstilling Vurderes at vaeligre mindre indgribende i forhold til brugerens privatliv
Tracking cookies ndash baringde fra 1 part og 3 part anses for mere indgribende i brugerens privat-sfaeligre
Lovgivningen skelner for saring vidt angaringr informations- og samtykkekravet ikke mellem de forskellige typer af cookies men omfatter alle cookies uanset levetid og hvor de stammer fra
Som det fremgaringr nedenfor vil en cookies karakter i praksis kunne spille ind ved vurde-ringen af hvorvidt informations- og samtykkekravet er opfyldt da det her er afgoslashren-de at brugeren kender til cookiens funktion herunder ogsaring hvem der staringr bag cookien og hvem der herfra faringr adgang til indsamlet data
Hvilke handlinger er omfattetBekendtgoslashrelsen vedroslashrer alene den handling der bestaringr i lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr Handlinger der finder sted foslashr eller efter lagringen af eller adgangen til oplysninger i en brugeres terminaludstyr
Vejledning12
er ikke omfattet af reglerne i cookiebekendtgoslashrelsen Saringdanne handlinger kan i stedet vaeligre omfattet af de generelle bestemmelser om beskyttelse af persondata
Foslashlgende tabel giver en oversigt over graelignsefladerne mellem cookiebekendtgoslashrelse og persondataloven
Tabel 1 Anvendelsesomraringder for cookie-bekendtgoslashrelsen og persondataloven
Cookie-bekendtgoslashrelsen Persondataloven
Beskyttelsesobjekt Brugerens terminaludstyr forstaringet som en del af privatsfaeligren
Personoplysninger (ikke kun i terminaludstyr)
Omfattede oplysnings-typer
Alle oplysninger uden sondring
Som udgangspunkt kun personoplysninger Dog er oplysninger om virksomheder mv omfattet i saeligrlige tilfaeliglde
Omfattede behandlings-former
Lagring af eller adgang til oplysninger i en brugers terminaludstyr
Enhver behandling af personoplysninger inden for lovens anvendelsesomraringde hvor der ikke er saeligrregler i anden lovgivning der traeligder i stedet for
Kriterier for behandling(behandlingshjemmel)
HR Fyldestgoslashrende informa-tion til og samtykke fra brugerU Bekendtgoslashrelsens sect 4
Udtrykkelig samtykke er blot eacutet af flere mulige behandlingskriterier
Der er et overlap mellem cookiebekendtgoslashrelsen og persondataloven for saring vidt angaringr lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr naringr de indsamlede oplysninger er personoplysninger Kravet om informeret samtykke i cookiereglerne giver her en bedre beskyttelse af brugeren end persondatabeskyttelses-reglerne der omfatter en raeligkke situationer hvor informeret samtykke ikke er paringkraeligvet
Ved lagring af og adgang til allerede lagrede oplysninger som er personoplysninger i terminaludstyr vil cookiebekendtgoslashrelsen dermed garing forud for persondataloven jf Persondatalovens sect 2
I praksis vil det imidlertid forekomme at der udover lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr ogsaring finder andre behandlinger af op-lysninger sted
For eksempel naringr behandlingerne transmitteres til indsamles eller viderebehandles paring en server Saringdanne behandlingsformer ligger uden for brugernes terminaludstyr og er ikke omfattet af cookiereglerne Afhaeligngigt af de konkrete omstaeligndigheder kan reg-lerne i persondataloven evt finde anvendelse her
Hvilke oplysninger er omfattetBekendtgoslashrelsen vedroslashrer enhver type af oplysninger der indsamles eller lagres paring brugerens terminaludstyr
Vejledning 13
Cookiereglerne regulerer midlet til indsamling af data Der sondres ikke her mellem personhenfoslashrbare og ikke personhenfoslashrbare oplysninger
Det er ligeledes uden betydning om oplysningerne er semantisk meningsfulde ufor-staringelige tekststrenge kode eller om oplysningerne er krypterede
Eksempel Lagring af eller adgang til allerede lagrede oplysninger til brug for webstatistik
En udbyder af en hjemmeside oslashnsker at lave en analyse af hvordan hjemmesidens brugere benytter
siden med henblik paring at forbedre brugeroplevelsen Til dette formaringl oslashnsker udbyderen af hjemme-
siden at placere cookies i brugernes terminaludstyr
Tjenesteudbyderen er omfattet af bekendtgoslashrelsens krav til information og samtykke for saring vidt
angaringr lagringen af cookies og eventuel senere adgang til disse cookies i brugernes terminaludstyr
Oslashnsker tjenesteudbyderen efterfoslashlgende at analysere oplysningerne der er indsamlet ved hjaeliglp af
de placerede cookies falder denne behandling udenfor cookiebekendtgoslashrelsens anvendelsesomraring-
de Det gaeliglder eksempelvis den videre behandling af oplysningerne hos tjenesteudbyderen til brug
for udarbejdelse af statistik
Hvem gaeliglder reglerne forAlle der lagrer eller opnaringr adgang til oplysninger i brugeres terminaludstyr er omfattet af reglerne (se ogsaring det efterfoslashlgende afsnit rdquoHvor gaeliglder hvilke reglerrdquo)
Hjemmesider der henvender sig til alle eller udelukkende til virksomheder vil saringledes vaeligre omfattet af reglerne saringfremt der benyttes cookies eller lignende teknologier paring hjemmesiden idet hjemmesider som udgangspunkt kan tilgarings af alle
Ejeren af en hjemmeside er ligeledes forpligtet efter reglerne i forbindelse med 3 parts lagring af eller adgang til oplysninger i brugeres terminaludstyr hvis dette sker via udbyderens tjeneste fx ved hjaeliglp af indlejret kode i en bannerreklame software ap-plikationer eller links
Ejeren af en hjemmeside behoslashver ikke selv staring for den praktiske og tekniske efterle-velse af reglerne (informering og indhentning af et samtykke fra brugeren) men kan aftale at 3 part haringndterer dette paring vegne af tjenesteudbyderen Ansvaret for at reglerne overholdes vil dog altid ligge hos udbyderen af en tjenesteydelse uanset hvad denne maringtte have aftalt med 3 part da man ifoslashlge cookiebekendtgoslashrelsen heller ikke maring lade 3 part lagre eller faring adgang til allerede lagrede oplysninger uden information til og sam-tykke fra slutbrugeren
Der gaeliglder ikke efter cookiereglerne et krav om indgaringelse af databehandlingsaftale som der gaeliglder efter Persondataloven men det kan vaeligre hensigtsmaeligssigt hvor man giver adgang for 3 part til indsamling af data via ens hjemmeside at indgaring en skriftlig aftale med henblik paring at afdaeligkke med hvilke formaringl 3 part indsamler data om bru-gerne idet dette formaringl skal vaeligre omfattet af informationen paring hjemmesiden for at samtykke fra brugeren kan anses for at vaeligre reelt og fyldestgoslashrende jf nedenfor under afsnittet om rdquoKrav om informeret samtykkerdquo
Ved indlejring paring egen hjemmeside af andres tjenester der eksempelvis hentes via in-ternettet vil aftalen med 3 part oftest bero paring en ensidig accept af 3 partens givne forretningsbetingelser og ikke give mulighed for forhandling af kontraktvilkaringr Man skal vaeligre opmaeligrksom paring at det her kan vaeligre vanskeligt at kontrollere 3 partens brug af data som evt indsamles via cookies eller lignende teknologier og derved ogsaring van-skeligt i sidste ende at sikre et reelt informeret samtykke fra brugeren
Vejledning14
Eksempel Indlejring af et kommentarmodul paring en hjemmeside
Et stoslashrre nyhedsmedie oslashnsker at indlejre et modul der saeligtter brugerne af deres hjemmeside i stand
til at kommentere indholdet paring hjemmesiden Nyhedsmediet kontakter til dette formaringl udbyderen
af et kommentarmodul der kan indlejres paring hjemmesider Nyhedsmediet og udbyderen af modulet
aftaler at modulet indlejres nederst paring alle nyhedsmediets sider
Udbyderen af kommentarmodulet vil gerne saeligtte cookies i brugernes terminaludstyr naringr brugerne
tilgaringr en side for at kunne foslashlge med i hvor meget modulet bliver brugt Nyhedsmediet aftaler der-
for med udbyderen af kommentarmodulet at sidstnaeligvnte soslashrger for at reglerne om lagring af eller
adgang til oplysninger i brugeres terminal- udstyr efterleves ved at der gives fyldestgoslashrende infor-
mation og indhentes samtykke fra brugerne
Nyhedsmediet er dog ansvarlig for at efterlevelsen af reglerne rent faktisk finder sted og dermed for
at der ikke sker en uretmaeligssig lagring i brugernes terminaludstyr naringr brugere tilgaringr nyhedsmediets
hjemmeside uanset hvad nyhedsmediet maringtte have aftalt med udbyderen af kommentarmodulet
Dette gaeliglder altsaring ogsaring i tilfaeliglde af at udbyderen af kommentarmodulet anvender cookies til andre
formaringl end det der foslashlger af aftalen og oplyses til brugeren
Ejeren af en hjemmeside er ansvarlig for de cookies og lignende teknologier der saeligttes i forbindelse med en brugers besoslashg paring hjemmesiden
Linkes der paring hjemmesiden til andre hjemmesider eller anvendes der rdquodelebarerrdquo eller rdquolike-knapperrdquo til eksempelvis Facebook eller Twitter er det vigtigt at vaeligre opmaeligrk-som paring hvorvidt disse hjemmesider saeligtter cookies via links delebar eller like-knapper allerede inden brugeren linkes over til den nye hjemmeside da det som ovenfor naeligvnt er hjemmesideejeren der i sidste ende er ansvarlig for de cookies der saeligttes paring deres hjemmeside Naringr der foslashrst er linket over via delebaren overgaringr ansvaret til ejeren af den nye hjemmeside
Det er ikke et krav efter cookiereglerne men det anbefales at oplyse brugeren om at siden forlades og at de sider man giver adgang til evt bruger cookies
Ved oprettelse af digitale platforme hvorfra man tilgaringr andre hjemmesider som vil optraeligde i rammen af den digitale platform eksempelvis Erhvervsstyrelsens rdquoVirkdkrdquo eller Digitaliseringsstyrelsens rdquoBorgerdkrdquo vil det vaeligre ejeren af den enkelte hjemme-side der tilgarings via platformen der er ansvarlig for overholdelsen af cookiereglerne paring disse hjemmesider Ejeren af platformen har ansvaret for cookies der saeligttes af dem
Det samme vil gaeliglde ved oprettelse af hjemmesider via sociale medier som eksempel-vis Facebook Det sociale medie vil vaeligre ansvarlig for de cookies der saeligttes af mediet men ikke for de cookies der saeligttes af ejeren af hjemmesiden oprettet i det sociale medies format
Det afgoslashrende for hvem der baeligrer ansvaret for indhentelse af samtykke til anvendelse af cookies paring en hjemmeside afhaelignger af hvem der har kontrollen over indholdet paring hjemmesiden
Hvor gaeliglder hvilke reglerHjemmesideejere der er etableret i andre lande udover Danmark skal vaeligre opmaeligrk-somme paring at de maringske ikke kan noslashjes med at indrette deres loslashsninger efter den danske lovgivning De danske cookieregler er baseret paring harmoniseret EU lovgivning der dog alene fastsaeligtter minimumskrav i forbindelse med anvendelse af cookies og lignende teknologier
Der er ikke i e-Databeskyttelsesdirektivet taget stilling til reglernes geografiske anven-delsesomraringde men Europa-Kommissionen har tilkendegivet at det indenfor EU er lovgivningen i det land hvori udbyderen af en tjeneste er etableret der er gaeligldende Vi
Vejledning 15
laeliggger i Danmark umiddelbart op af Kommissionens fortolkning der foslashlger rdquoafsen-derlandsprincippetrdquo i E-handelsdirektivet8
Hvis udbyderen af en tjeneste etableret i Danmark lagrer eller opnaringr adgang til op-lysninger i en brugers terminaludstyr er tjenesteudbyderen saringledes forpligtet efter de danske regler De danske regler finder ligeledes anvendelse hvor udbyderen af en tjeneste etableret i Danmark lader en 3 part der er etableret i et andet land lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyderens tjene-ste
Ifoslashlge Kommissionen gaeliglder for udbyderen af en tjeneste etableret uden for EU lovgiv-ningen i det land hvor lagringen af eller adgangen til oplysninger i en brugers termi-naludstyr finder sted Erhvervsstyrelsen laeliggger i tilsynet med reglerne vaeliggt paring hvor-vidt hjemmesiden retter sig mod danske forbrugere i overensstemmelse med de folkeretlige jurisdiktionsprincipper om hvor en handling har virkning Der vil saringledes blive lagt vaeliggt paring en raeligkke faktorer som sprog leveringsbetingelser (feks en webshop hvor der kan leveres til Danmark) etc
Krav om informeret samtykke
Det helt centrale i aeligndringen til e-Databeskyttelsesdirektivet fra 2009 er kravet om indhentelse af informeret samtykke forud for placeringen af cookies der ogsaring er foslashrt videre til de danske regler i cookiebekendtgoslashrelsens sect 3
Cookiebekendtgoslashrelsen indeholder en definition af samtykke baseret paring samtykkede-finitionen i Persondatabeskyttelsesdirektivet som Cookiedirektivet henviser til Det samme gaeliglder indholdet af informationspligten der ogsaring er naeligrmere beskrevet i Per-sondatabeskyttelsesdirektivet
Kravene om information og samtykke boslashr ses som to komplementaeligre elementer der understoslashtter hinanden og ikke kan adskilles idet de er indfoslashrt for at sikre at brugeren kan traeligffe et reelt og oplyst valg omkring overvaringgningen af deres faeligrdsel paring internet-tet Er informationen ikke fyldestgoslashrende vil samtykket heller ikke vaeligre et reelt sam-tykke
Nedenfor er kravene til baringde information og samtykke naeligrmere uddybet Der gives en raeligkke praktiske eksempler og flere foslashlger af den tekniske guide som findes i vejlednin-gens sidste afsnit Der er alene tale om eksempler til inspiration da det fortsat vil vaeligre op til den enkelte hjemmesideejer at vurdere hvordan kravene bedst muligt efterleves paring netop deres tjeneste
Bekendtgoslashrelsens sect 3
sect 3 Fysiske eller juridiske personer maring ikke lagre oplysninger eller opnaring adgang til oplysninger der
allerede er lagret i en slutbrugers terminaludstyr eller lade tredjepart lagre oplysninger eller opnaring
adgang til oplysninger hvis slutbrugeren ikke giver samtykke hertil efter at have modtaget fyldest-
goslashrende information om lagringen af eller adgangen til oplysningerne
Stk 2 Information jf stk 1 er fyldestgoslashrende naringr den som minimum
1) fremstaringr i et klart praeligcist og letforstaringeligt sprog eller tilsvarende billedskrift
2) indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens
terminaludstyr
3) indeholder oplysninger der identificerer enhver fysisk eller juridisk person der foranstalter lagrin-
gen af eller adgangen til oplysningerne
4) indeholder en umiddelbart tilgaeligngelig adgang for slutbrugeren til at afslaring samtykke eller tilbage-
8 Europa-Parlamentets og Raringdets direktiv 200031EF om visse retlige aspekter af informationssamfundstjenester navnlig ele-ktronisk handel i det indre marked
Vejledning16
kalde samtykke til lagringen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig
vejledning om hvordan slutbrugeren anvender en saringdan adgang og
5) er umiddelbart tilgaeligngelig for slutbrugeren ved samlet og tydeligt at blive meddelt denne Des-
uden skal information naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminal-
udstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren
ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Informationskravet
Hvilke krav stilles til fyldestgoslashrende information Af bekendtgoslashrelsens sect 3 stk 2 fremgaringr de krav der som minimum skal vaeligre opfyldt foslashr informationen kan siges at vaeligre fyldestgoslashrende Der stilles krav til karakteren ind-holdet og tilgaeligngeligheden af informationen
Overordnet kan siges at informationen skal udgoslashre det videns grundlag der saeligtter brugerne i stand til at traeligffe reelle informerede valg I nogle tilfaeliglde boslashr det derfor ogsaring overvejes at medtage yderligere information end der kraeligves i bekendtgoslashrelsen hvis dette er noslashdvendigt for at brugerne kan forstaring konsekvenserne af deres valg
Loslashsninger skal opfylde cookiereglerne baringde paring hjemmesider og paring mobilsites ndash se evt teknisk guide i vejledningens kapitel 6
Krav til sprog og tekstsect 3 stk 2 nr 1 fastsaeligtter krav til at informationen fremstaringr i et klart praeligcist og letfor-staringeligt sprog eller tilsvarende billedskrift
Det indebaeligrer bla at informationen ikke boslashr formuleres i unoslashdigt teknisk eller juri-disk sprog samt at brugeren let kan danne sig et overblik
Brug af tabeller eller billedsprog fx i form af piktogrammer kan supplere eller erstatte mere traditionel tekst og goslashre informationen lettere at forstaring men maring vurderes ud fra brugerens kendskab til saringdanne alternativer
Bestemmelsen indeholder ikke krav til paring hvilket sprog informationen skal gives Valg af sprog boslashr dog ske under hensynstagen til hvilke brugere en tjeneste retter sig imod herunder isaeligr hvor disse brugere befinder sig geografisk
Krav til oplysning om formaringlsect 3 stk 2 nr 2 fastsaeligtter krav til at informationen indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens terminaludstyr
Brugeren har ret til at faring oplyst hvorfor der lagres eller tilgarings oplysninger og det er ikke tilstraeligkkeligt blot at oplyse at det sker Dette krav haelignger sammen med samtykkekra-vet der skal vaeligre en specifik viljestilkendegivelse Angivelsen af rdquovi bruger cookiesrdquo uden yderligere praeligcisering vurderes saringledes ikke at opfylde reglerne
Informationen om formaringl med lagringen af eller adgangen til oplysninger er helt cen-tral og skal understoslashtte at brugerne er bevidste om hvilke konsekvenser deres valg har Formaringlet boslashr derfor altid beskrives meget praeligcist og daeligkkende
Har lagringen af eller adgangen til oplysninger mere end eacutet formaringl skal der oplyses om samtlige formaringl Lagres eller tilgarings der flere oplysninger med samme formaringl eller af flere omgange vil det almindeligvis vaeligre tilstraeligkkeligt at beskrive formaringlet eacuten gang og ikke for hver oplysning der lagres eller opnarings adgang til
Vejledning 17
I relation til kravet om angivelse af formaringl saring er det her vigtigt at understrege at for-maringlsbeskrivelsen ligeledes skal omfatte eventuelle 3 parters formaringl med at anvende cookies
Eksempel Information om formaringl med brug af cookies
Brugen af cookies er meget udbredt og kan have en lang raeligkke formaringl herunder fx at optimere
brugeroplevelse eller design paring en tjeneste at generere webstatistik eller at maringlrette markedsfoslashring
til brugere
Den information der gives boslashr beskrive formaringlet med tjenestens brug af cookies og ikke de en-
kelte cookies i sig selv
Hvis en tjeneste eksempelvis bruger fire cookies til at optimere designet paring tjenesten mens yderli-
gere to cookies bruges til at haringndtere annoncer og en syvende cookie bruges til at genere websta-
tisk vil det almindeligvis vaeligre tilstraeligkkeligt at informere om de tre forskellige formaringl med brugen
af cookies og ikke noslashdvendigvis om de i alt syv cookies siden goslashr brug af
Oplysninger om hvem der saeligtter cookiessect 3 stk 2 nr 3 fastsaeligtter krav til at informationen indeholder oplysninger der identifi-cerer enhver fysisk eller juridisk person der foranstalter lagringen af oplysninger eller opnaringr adgang til allerede lagrede oplysninger
Brugere skal vaeligre i stand til at identificere den der foranstalter lagringen Det vil i mange tilfaeliglde vaeligre udbyderen af tjenesten men hvor udbyderen af en tjeneste lader 3 part lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyde-rens tjeneste skal 3 part ogsaring kunne identificeres af brugeren Den eksakte angivelse af hvilke 3 parter der saeligtter cookies kan ske paring en underside jf vejledningens afsnit om lagdelt information nedenfor
For saring vidt angaringr oplysninger der lagres eller tilgarings i brugeres terminaludstyr af en or-ganisation fx en virksomhed eller anden juridisk person angives oplysninger som identificerer organisationen og ikke dens medarbejdere
Hvilke konkrete informationer der skal vaeligre til stede for at brugere kan identificere de(n) der foretager lagringen vil variere fra tjeneste til tjeneste og afhaelignger af de par-ter der er involveret
Adgang til at afslaring cookiessect 3 stk 2 nr 4 fastsaeligtter krav til at informationen indeholder en umiddelbart tilgaelign-gelig adgang for slutbrugeren til at afslaring samtykke eller tilbagekalde samtykke til lagrin-gen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig vejledning om hvordan slutbrugeren anvender en saringdan adgang
Brugere skal have mulighed for at afslaring samtykke eller tilbagekalde et allerede givet samtykke Dette skal understoslashtte reel brugerkontrol og frivilligheden af brugeres sam-tykke Til dette formaringl skal der vaeligre en umiddelbart tilgaeligngelig adgang til at afslaring cookies og en klar praeligcis og letforstaringelig vejledning om hvordan brugere kan anvende en saringdan adgang Se endvidere nedenfor under afsnittet om rdquoKravet til samtykkerdquo hvor det slarings fast at der ikke gaeliglder noget krav om at en hjemmeside skal kunne tilgarings eller fungere uden cookies
Det kan i nogle tilfaeliglde vaeligre relevant at henvise til eksempelvis vejledninger og vaeligrk-toslashjer andre har udarbejdet Der stilles i bekendtgoslashrelsen ingen krav til at vejledninger eller vaeligrktoslashjer til at afslaring eller tilbagekalde et samtykke skal forefindes paring tjenesten der lagrer eller tilgaringr oplysninger Det er adgangen til vejledning og vaeligrktoslashjer som tjene-sten er forpligtet til at goslashre umiddelbart tilgaeligngelig for brugeren
Vejledning18
Krav om informationens tilgaeligngelighedsect 3 stk 2 nr 5 fastsaeligtter krav til at informationen er umiddelbart tilgaeligngelig for slut-brugeren ved samlet og tydeligt at blive meddelt denne Desuden skal informationen naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjene-ste
For at sikre reel brugerkontrol er det noslashdvendigt at informationen er umiddelbart tilgaeligngelig for brugere og kan tilgarings uden besvaeligr Dette er desuden en forudsaeligtning for at brugere ogsaring kan tilbagekalde et allerede afgivet samtykke Hvordan informatio-nen bedst goslashres tilgaeligngelig vil bla afhaelignge af tjenestens design og struktur hvorfor det vil variere fra tjeneste til tjeneste
Informationen kan vaeligre lagdeltDet kan vaeligre hensigtsmaeligssigt at benytte sig af lagdelt information saringledes at det dog sikres at brugerne med det samme faringr de vaeligsentligste informationer saringsom formaringlet med anvendelsen af cookies samtidig med at der linkes til mere detaljerede informa-tioner Brugen af piktogrammer eller andre tydeligt markerede indgange til informa-tionen kan understoslashtte dette men ikke goslashre det ud alene for umiddelbar tilgaeligngelig information
Den umiddelbare angivelse af formaringlet med anvendelsen af cookies boslashr omfatte infor-mation om 3 parts cookies idet det har betydning for brugeren hvem data tilgaringr Ek-sempelvis ved angivelse af formaringl som direkte markedsfoslashring skal det ogsaring fremgaring at direkte markedsfoslashring vil vaeligre fra 3 part Den praeligcise angivelse af 3 parter kan evt ske paring en underside
En tjeneste kan desuden vaeliglge at skelne mellem hvordan informationen praeligsenteres for brugere inden brugeren afgiver eller afslaringr samtykke og hvordan informationen praeligsenteres efter at brugere har afgivet eller afslaringet samtykke
Paring informations- og indholdstjenester herunder hjemmesider og andre online tjene-ster der lagrer eller tilgaringr oplysninger i en brugeres terminaludstyr skal informationen vaeligre vedvarende tilgaeligngelig for brugere ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Dette indebaeligrer at brugere ved anvendelse af saringdanne tjenester til enhver tid skal have adgang til informationen og en saringdan adgang boslashr vaeligre let at finde og anvende Det kan bla overvejes at opfylde dette krav ved at placere en saringdan adgang i sammenhaeligng med oslashvrige vedvarende elementer paring en tjeneste Brug af piktogrammer eller lignende kan ogsaring overvejes i denne sammenhaeligng
Nedenfor redegoslashres naeligrmere for kravet til samtykke Det kan heraf laeligses at samtykke kan gives paring forskellig maringde herunder ogsaring ved en aktiv handling Kravet til informa-tion kan variere for saring vidt angaringr tydelighed og tilgaeligngelighed alt efter hvilken form for samtykke der er tale om Krav til hvilke oplysninger der gives for at en information kan anses for fyldestgoslashrende varierer imidlertid ikke
Vaeligsentlig information der skal gives til brugeren med det samme er
- Alle formaringl med cookies og lignende teknologier
- Hvem der anvender cookies og lignende teknologier paring hjemmesiden
Vejledning 19
Eksempel Fyldestgoslashrende information ndash lagdelt med vaeligsentlige oplysninger foslashrst
En tjeneste paring nettet der giver brugeren mulighed for at sammenligne produkter og priser paring for-
skellige vareomraringder anvender cookies til at registrere antallet af brugere paring hjemmesiden og til at
registrere hvor brugeren kommer fra Paring hjemmesiden er der bannerreklamer for forskellige produ-
center relateret til de varekategorier som omtales paring hjemmesiden Bannerreklamerne leveres af 3
parter og anvender cookies til at registrere hvilke annoncer brugeren klikker paring saringledes at det er
muligt at identificere brugernes interesser og maringlrette annonceringen
Eksempel Umiddelbar information til brugeren
rdquoVi bruger cookies til statistik og til maringlrettet markedsfoslashring ogsaring fra os selv og vores an-
noncoslashrer ndash se her hvilke Laeligs her mere om vores brug af cookies herunder hvordan du
fravaeliglger brug af cookiesrdquo
Kravet til samtykke
Som ovenfor naeligvnt er den centrale aeligndring af reglerne kravet om indhentelse af in-formeret samtykke fra brugeren ved anvendelse af cookies eller lignende teknologier der foslashlger af cookiebekendtgoslashrelsens sect 3
Samtykke defineres i bekendtgoslashrelsens sect 2 stk 1 nr 8
Bekendtgoslashrelsens sect 2 stk 1 nr 8
sect 2 stk 1 nr 8) Samtykke Enhver frivillig specifik og informeret viljestilkendegivelse hvorved
slutbrugeren indvilliger i at der lagres oplysninger eller opnarings adgang til allerede lagrede oplysnin-
ger i slutbrugerens terminaludstyr
Da tjenester og deres brugere er vidt forskellige vil der vaeligre stor forskel paring hvordan et samtykke bedst indhentes
Kravet om samtykke skal sikre at brugere har reel kontrol med hvorvidt der lagres el-ler tilgarings oplysninger i deres terminaludstyr Naringr samtykket skal indhentes er det der-for vaeligsentligt at holde sig brugerens kontrolmuligheder for oslashje herunder brugerens reelle muligheder for at vurdere formaringlet med lagringen eller tilgangen til oplysnin-gerne
Reglerne giver i udgangspunktet tjenester et stort mulighedsrum til at vaeliglge hvordan samtykket bedst kan indhentes paring en maringde der fungerer i deres konkrete kontekst
At samtykket skal vaeligre frivilligt indebaeligrer bla at brugere skal have et faktisk valg
Det er ikke et krav at hjemmesider kan fungere uden brug af cookies eller lignende teknologier hvorfor afvisning af cookies kan medfoslashre at brugerens eneste mulighed er at forlade hjemmesiden Virksomheder har selvsagt et incitament for at deres hjem-meside er tilgaeligngelig men det er ikke lovstridigt at have loslashsninger der afskaeligrer bru-gere som ikke vil acceptere brugen af cookies
For offentlige hjemmesider kan der vaeligre andre overvejelser idet adgangen til offentlige tjenester gerne skulle vaeligre tilgaeligngelig for alle
I frivilligheden af samtykket ligger ogsaring at brugere skal have mulighed for at tilbage-kalde et allerede afgivet samtykke jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 4
Vejledning20
At samtykket skal vaeligre specifikt indebaeligrer bla at samtykket skal vaeligre praeligcist og vel-afgraelignset Samtykket behoslashver imidlertid ikke relatere sig til hver enkelt lagring af eller adgang til oplysninger i brugernes terminaludstyr I stedet boslashr samtykket knytte sig til det formaringl der ligger til grund for lagringen af eller adgangen til oplysningerne jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 2
Hvis lagring af eller adgang til oplysninger paring et senere tidspunkt benyttes til formaringl der raeligkker ud over hvad der tidligere er indhentet samtykke til skal der indhentes et nyt samtykke der omfatter det nye formaringl
At samtykket skal vaeligre informeret understoslashttes af kravene til information i bekendtgoslash-relsens sect 3 stk 2 hvor ikke mindst formaringlet med lagringen er vaeligsentligt Som del af et informeret samtykke boslashr brugere ogsaring oplyses om konsekvenserne af deres (fra)valg Saringdanne konsekvenser kan fx vaeligre at brugere ikke kan faring adgang til (dele af) tjenesten som ovenfor beskrevet hvis samtykket afslarings eller at et samtykke medfoslashrer at 3 parter faringr mulighed for at lagre eller tilgaring allerede lagrede oplysninger i brugeres terminalud-styr
Brugeres viljetilkendegivelse staringr helt centralt i indhentningen af et samtykke En tjene-steudbyder har pligt til at identificere en aktiv handling fra sine brugere der med rime-lighed kan tages til indtaeliggt for en tilkendegivelse af deres vilje paring et informeret grund-lag Det skal dog understreges at vilje kan tilkendegives paring en lang raeligkke forskellige maringder og at reglerne i bekendtgoslashrelsen ikke tager specifikt stilling til hvordan denne skal komme til udtryk
En viljestilkendegivelse kan vaeligre mange ting herunder eksempelvis
bull afkrydsning af en boks klik paring en knap eller udfyldelse af en formular i sammenhaeligng med rele-
vant information paring en tjeneste
bull aktiv brug af en tjeneste hvor det maring forventes at brugeren er informeret om at der vil ske lag-
ring af eller adgang til oplysninger (saringfremt dette ikke er afslaringet)
Kommissionen har tilkendegivet overfor Erhvervsstyrelsen at aktiv brug af en tjeneste som ovenfor beskrevet er i overensstemmelse med e-Databeskyttelsesdirektivet og ac-cepteres i de fleste medlemslande Det afgoslashrende er at der kan identificeres en aktiv handling eksempelvis at der klikkes videre paring siden og at brugeren har en forstaringelse af at de ved denne handling accepterer cookies dvs det er ikke nok bare generelt at informere om at hjemmesiden bruger cookies det skal praeligciseres at cookies saeligttes ved at brugeren eksempelvis klikker videre
Der vil vaeligre stor forskel paring hvordan samtykket bedst indhentes Det er den enkelte tjeneste selv der har de bedste forudsaeligtninger for at vaeliglge en loslashsning der overholder samtykkekravet og giver tjenestens brugere reel mulighed for at tilkendegive deres vilje paring et informeret grundlag
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt at defi-nere praeligcist hvordan brugere i konkrete tilfaeliglde skal tilkendegive sin vilje Bekendt-goslashrelsens samtykkekrav giver derfor tjenester et stort mulighedsrum til at udvikle nye og innovative loslashsninger der oslashger brugerkontrollen og gennemsigtigheden
Vejledning 21
Eksempel Samtykke
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Accepter cookies Afvis cookies Laeligs mere her om vores brug af cookies herunder hvordan
du fravaeliglger cookies igenrdquo
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Klikker du videre paring siden accepterer du at der saeligttes cookies til disse formaringl Laeligs mere
her om vores brug af cookies herunder hvordan du fravaeliglger brugen af cookiesrdquo
Hvis brugere vaeliglger ikke at give samtykke til lagringen af oplysninger eller vaeliglger at tilbagekalde et samtykke stilles der som ovenfor naeligvnt i bekendtgoslashrelsen ikke noget krav til at brugere fortsat skal have adgang til indhold paring en tjeneste
Erhvervsstyrelsen er opmaeligrksom paring at kravet om forudgaringende samtykke kan vaeligre teknisk udfordrende for en del hjemmesider der saeligtter cookies allerede naringr brugeren tilgaringr siden saeligrligt for at sikre statistik om hvor mange der besoslashger en hjemmeside og hvor de kommer fra
Direktivet stiller et grundlaeligggende krav om informeret samtykke Nogle lande har valgt at haringndhaeligve samtykkekravet saringledes at det undtagelsesvis i saeligrlige tilfaeliglde ac-cepteres at cookies kan lagres forud for at brugeren har givet samtykke hertil UK fastslaringr eksempelvis i deres vejledning til reglerne at samtykke saring vidt muligt skal ind-hentes foslashr der saeligttes cookies men accepterer dog at det ikke altid sker Hvor det ikke er muligt at indhente samtykke foslashr cookies lagres laeliggges der i UKrsquos vejledning imid-lertid vaeliggt paring virksomhedernes indsats for at sikre information til brugerne og deres mulighed for at give samtykkeafvise cookies hurtigst muligt ligesom der laeliggges vaeliggt paring at virksomhederne begraelignser adgangen til sessions cookies
Der er behov for en naeligrmere afklaring fra Kommissionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside eje-rens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Samtykke ved browserindstillinger er ikke anerkendt i Danmark paring nuvaeligrende tids-punkt og kun i faring af de oslashvrige EU-medlemslande Den generelle holdning er at de browserloslashsninger som findes paring markedet i dag ikke i tilstraeligkkelig grad sikrer mod brugen af cookies hvor brugeren har fravalgt det Med de eksisterende browsere er det ikke muligt at differentiere sit samtykke tilstraeligkkelig nuanceret saring det reelt bliver et rdquoja takrdquo til alle cookies eller rdquonej takrdquo til alle cookies hvorefter brugeren vil kunne op-leve betydelige begraelignsninger i forhold til indhold af forskellige tjenester paring nettet
Samtykket varer i udgangspunktet indtil forholdene aeligndres Brugeren skal hele tiden have en let adgang til at traeligkke samtykket tilbage
Undtagelser
Bekendtgoslashrelsens sect 4 indeholder to undtagelser til kravet om informeret samtykke fra brugeren forud for anvendelsen af cookies Er der tale om indsamling af data som falder under undtagelsesbestemmelserne vil der efter lovgivningen ikke stilles krav om hverken information eller samtykke Det kan imidlertid vaeligre en anbefaling ogsaring her at give information og indhente samtykke ud fra en betragtning om at fuldstaeligndig gennemsigtighed oslashger tilliden til internettet og derfor kan vaeligre gavnlig for en e-hand-ler eller udbyder af tjenesteydelser paring nettet Det skal ogsaring her vurderes hvorvidt situa-tionen kan vaeligre omfattet af reglerne om beskyttelse af persondata
Vejledning22
Bekendtgoslashrelsens sect 4
sect 4 Uanset sect 3 kan fysiske eller juridiske personer lagre oplysninger eller opnaring adgang til oplysninger
der allerede er lagret i en slutbrugers terminaludstyr hvis
1) lagringen af eller adgangen til oplysninger alene sker med det formaringl at overfoslashre kommunikation
via et elektronisk kommunikationsnet eller
2) lagringen af eller adgangen til oplysninger er paringkraeligvet for at saeligtte tjenesteyderen af en informa-
tionssamfundstjeneste som slutbrugeren udtrykkeligt har anmodet om i stand til at levere denne
tjeneste
Stk 2 Lagring af eller adgang til oplysninger i en slutbrugersterminaludstyr er paringkraeligvet jf stk 1
nr 2 hvis lagringen af eller adgangen til oplysninger er en teknisk forudsaeligtning for at kunne levere
en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
Erhvervsstyrelsen laeliggger i fortolkningen af undtagelsesbestemmelserne vaeliggt paring udta-lelser fra den saringkaldte Artikel 29 gruppe som er omtalt i forordet og som i juni 2012 offentliggjorde et dokument vedroslashrende undtagelsesbestemmelserne i e-Datadirekti-vet efter aeligndringerne i 2009 Det er vigtigt her at understrege at der ikke er tale om et juridisk bindende dokument men gruppens fortolkninger stoslashttes i vid udstraeligkning af EU Kommissionen og bredt i medlemsstaterne Et link til Artikel 29 gruppens udta-lelse foslashlger af kapitel 5 rdquoLinks til lovgivning og direktiverrdquo
1 undtagelse Cookies i forbindelse med opkobling til internettetDet er Erhvervsstyrelsens vurdering at sect 4 stk 1 nr 1 alene er moslashntet paring udbydere af internetforbindelser og den lagring af eller adgang til oplysninger i brugeres terminal-udstyr der maringtte finde sted som en del af opkoblingen til internettet og vedligehol-delse heraf
2 undtagelse Cookies der sikrer funktionaliteten af en tjeneste som brugeren har bedt omsect 4 stk 1 nr 2 har derimod et bredere anvendelsesomraringde
For at vaeligre omfattet af undtagelsesbestemmelsen i sect 4 stk 1 nr 2 skal to krav vaeligre opfyldt For det foslashrste skal brugeren udtrykkeligt have anmodet om tjenesten For det andet skal lagringen af eller adgangen til oplysninger i brugerens terminaludstyr vaeligre paringkraeligvet for leveringen af denne tjeneste Begge krav skal vaeligre opfyldt
Brugerens faeligrden paring nettet eller besoslashg paring en specifik hjemmeside kan ikke tages som et udtryk for en generel anmodning om de tjenester der her tilbydes
Hvorvidt lagring af oplysninger eller adgang til allerede lagrede oplysninger er paringkraelig-vet uddybes i sect 4 stk 2 hvorefter der skal vaeligre tale om en teknisk forudsaeligtning for at kunne levere en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
For at vaeligre en teknisk noslashdvendighed skal tjenesten ikke kunne fungere uden brug af cookiersquoen eller en lignende teknologi Samtidig er det vigtigt at der er en klar sammen-haeligng mellem den rdquoparingkraeligvederdquo teknologi og brugerens udtrykkelige anmodning om tjenesten
Med hensyn til tjenestens formaringl boslashr der laeliggges vaeliggt paring det formaringl med hvilket bru-gere tilgaringr tjenesten eller hjemmesiden
Cookies eller lignende teknologier der opfylder kravene til at vaeligre omfattet af undta-gelsen maring ikke anvendes med andre formaringl for oslashje I saring fald skal brugeren informeres og give samtykke til disse andre formaringl
Vejledning 23
Det har betydning for vurderingen af om cookies kan undtages fra kravet om informe-ret samtykke om der er tale om sessionscookies eller vedvarende cookies og hvor den stammer fra Vedvarende cookies vil sjaeligldent falde under undtagelsesbestemmelsen
Eksempler paring undtagelser efter sect 4
Elektroniske indkoslashbskurve
- Brugen af elektroniske indkoslashbskurve i webshops hvor det er noslashdvendigt at kunne genkende bru-
geren paring tvaeligrs af sideskift (genindlaeligsninger af webshoppen) da indkoslashbskurven ellers vil vaeligre tom
ved visning af en ny side Lagring af fx en cookie eller lignende teknologi er dermed en teknisk for-
udsaeligtning for at kunne levere den tjeneste (e-handel) som brugeren udtrykkeligt har anmodet om
(tilgaringet webshoppen og lagt varer i indkoslashbskurven) Indkoslashbskurven fungerer desuden i overensstem-
melse med det formaringl (at koslashbe varer) med hvilket brugeren tilgaringr webshoppen
Log-in situationer
- Anvendelse af log-in (eksempelvis ved netbank offentlige selvbetjeningsloslashsninger eller ved ad-
gang til saeligrlige netvaeligrk) hvor cookies sikrer at brugeren logges ind med brug af brugernavn
passwords og forbliver logget ind uden igen at skulle indtaste saringdanne koder Det er vigtigt at
understrege at det alene er selve log-in funktionen der er undtaget men ikke noslashdvendigvis cookies
som saeligttes ved aktiviteter efter log-in funktionen
Andre undtagelser
Brugerdefinerede browserindstillinger ndash eks valg af land sprog eller skriftstoslashrrelse
- Disse cookies kan vaeligre undtaget fra kravet om informeret samtykke i det omfang at disse udtryk-
kelig aktiveres af brugeren fx ved at klikke paring en knap eller afkrydse en rubrik og ikke benyttes til
andre formaringl og ikke i laeligngere tid end en browsersession
Authentificeringscookies
Cookies der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider
Brugervalideringscookies
Cookies der anvendes til at sikre mod (gentagne) fejl ved log-in
Multimedia player cookies
Cookies der anvendes til at regulere netvaeligrkshastighed eller billedkvalitet og til at aktivere play back
video- eller lydfiler
Plug-ins til sociale medier
Cookies der giver muligheden for enten at dele indholdet af en hjemmeside eller rdquolikerdquo indholdet via
det sociale medie Cookien saeligttes alene for at dirigere brugeren over paring den sociale hjemmeside og
logge ind her Den har alene betydning for brugere af sociale netvaeligrk der allerede er logget ind her
Bruges cookien til at tracke brugeren rundt paring nettet vil den ikke vaeligre omfattet
Load balancing
Cookies der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en
service
Det er Erhvervsstyrelsens vurdering at cookies der husker at en bruger har sagt rdquonej takrdquo til cookies er undtaget kravet om informeret samtykke da der er tale om et oslashnske fra brugeren og den er noslashdvendig for at huske indstillingen
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning 3
Indholdsfortegnelse
Forord 4
1 Indledning 6
2 Reglerne 9 Baggrund 9 Cookiebekendtgoslashrelsen 9
Formaringl og afgraelignsning 9 Krav om informeret samtykke 15 Informationskravet16 Kravet til samtykke19 Undtagelser 21
3 Selvregulering 24
4 Erhvervsstyrelsens tilsyn med reglerne 25
5 Links til lovgivning og direktiver 26
6 Teknisk Guide 271 skridt ndash Fastlaeligggelse af webejendom272 skridt ndash Undersoslashgelse af om der saeligttes cookies 283 skridt ndash Afgivelse af fyldestgoslashrende information 294 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies 365 Skridt ndash Indhentning af samtykke 37
Tekniske definitioner41
Vejledning4
FORORD
Dette er en opdateret udgave af den gaeligldende vejledning til bekendtgoslashrelse nr 1148 af 9 december 2011 om krav til information og samtykke fra brugeren ved lagring af eller adgang til allerede lagrede oplysninger i slutbrugers terminaludstyr herefter cookiebe-kendtgoslashrelsen Vejledningen blev foslashrste gang udsendt sammen med bekendtgoslashrelsen ved dennes ikrafttraeligden i december 2011 Bekendtgoslashrelsen gennemfoslashrer e-databe-skyttelsesdirektivet der bla indfoslashrer krav om informeret samtykke fra brugeren af en nettjeneste til lagring af cookies
Cookiebekendtgoslashrelsen har faringet sit kaldenavn efter navnet paring de smaring tekstfiler som den regulerer og som lagres paring en brugers computer eller andet elektronisk udstyr via bla Internettet Cookies muliggoslashr genkendelse af computeren eller udstyret i forbin-delse med brugerens faeligrden i den digitale verden
Siden cookiebekendtgoslashrelsens ikrafttraeligden har reglerne vaeligret debatteret bredt idet baringde virksomheder og offentlige myndigheder bla har paringpeget uklarheder og betyde-lige tekniske udfordringer ved den praktiske efterlevelse af EU-reglerne Formaringlet med den opdaterede vejledning er derfor at hjaeliglpe virksomheder og offentlige myndighe-der i gang og praeligsentere en mere praktisk tilgang til hvordan reglerne kan efterleves
Den opdaterede vejledning aeligndrer ikke paring fortolkningen af de essentielle krav til in-formation og samtykke i relation til cookies og lignende teknologier men indeholder praeligciseringer saeligrligt i forhold til
En indledende tekst omkring cookies og deres egenskaberAnsvar for 3 parts cookiesEksempler paring informationens tilgaeligngelighedHvilke cookies der er undtaget fra informations- og samtykkekravet Erhvervsstyrelsens tilsyn med reglerne
Opdateringen indeholder desuden flere praktiske eksempler samt en teknisk guide til virksomheder og offentlige myndigheder med inspiration til den praktiske implemen-tering af cookiereglerne paring de danske hjemmesider
Der laeliggges med den tilhoslashrende tekniske guide op til at virksomhederne foretager en naeligrmere analyse af hjemmesiders brug af cookies og lignende teknologier samt en kategorisering af cookies paring baggrund af deres forskellige egenskaber Lovgivningen omfatter alle typer af cookies men en kategorisering af disse kan vaeligre en hjaeliglp for den hjemmesideansvarlige til angivelse af formaringlet med de forskellige cookies som hjem-mesiden bruger og herved sikring af fyldestgoslashrende information til brugeren Endvi-dere vil cookiens karakter have betydning for vurderingen af informations- og samtyk-kekravet ud fra en betragtning af cookiens effekt i forhold til brugerens privatliv
Erhvervsstyrelsen er i taeligt dialog med Kommissionen og andre medlemsstater for at sikre en ensartet tilgang til reguleringen der som naeligvnt er baseret paring EU-lovgivning1 Der laeliggges saringledes vaeliggt paring at den danske fortolkning og haringndhaeligvelse af reglerne er i traringd med opfattelsen hos Kommissionen og de oslashvrige medlemslande Dialogen med Kommissionen og de oslashvrige medlemsstater fortsaeligttes med henblik paring at droslashfte reg-lerne og haringndhaeligvelsen heraf ogsaring i lyset af den teknologiske udvikling Endvidere foslashlges droslashftelserne af direktivet i den saringkaldte Artikel 29 Gruppe som er nedsat i hen-
1 Europa-Parlamentets og Raringdets Direktiv 200258EF om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor som aeligndret ved direktiv 2009136EF
Vejledning 5
hold til de generelle databeskyttelsesregler i Databeskyttelsesdirektivet2 Vejledningen vil i den forbindelse blive opdateret i det omfang der maringtte vaeligre behov herfor
Dialogen med Kommissionen og de oslashvrige medlemslande viser en bred enighed om fortolkningen af samtykkereglerne i EU men nogle lande haringndhaeligver i praksis samtyk-kekravet saringledes at det i saeligrlige tilfaeliglde accepteres at cookies lagres forud for at bru-geren har givet samtykke hertil Der er behov for en naeligrmere afklaring fra Kommis-sionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende informa-tion til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Erhvervsstyrelsen April 2013
2 Europa-Parlamentets og Raringdets direktiv 199546EF om beskyttelse af fysiske personer i forbindelse med behandling af per-sonoplysninger og om fri udveksling af saringdanne oplysninger
Vejledning6
1 INDLEDNING
Vejledningen understoslashtter reglerne i cookiebekendtgoslashrelsen der stiller krav om at hjemmesider der goslashr brug af teknologier til at lagre eller laeligse oplysninger paring en bru-gers computer eller andet it-udstyr (saringkaldte cookies) sikrer samtykke hertil fra bruge-ren af hjemmesiden inden teknologien anvendes
Cookiebekendtgoslashrelsen der traringdte i kraft 14 december 2011 implementerer e-databe-skyttelsesdirektivet3 med seneste aeligndringer fra 20094 hvormed samtykkekravet blev indfoslashrt
Reglerne er indfoslashrt for at oslashge beskyttelsen af privatlivet naringr vi bevaeligger os i den digi-tale verden Cookies indsamler data om brugeren af digitale tjenester ved at tilgaring bru-gerens computer eller andet terminaludstyr der anses for at vaeligre en del af brugerens privatsfaeligre Indsamlingen af data via cookies goslashr det muligt at genkende brugerens computer og foslashlge brugerens faeligrden paring nettet
Cookiereglerne skal laeligses i lyset af reglerne om beskyttelse af persondata hvor cookie-reglerne regulerer indsamling af data i bredere forstand idet der ikke skelnes til om der er tale om oplysninger der kan identificerer en person
Virksomhederne og offentlige myndigheder benytter sig i hoslashjere og hoslashjere grad af den digitale platform paring internettet og bruger mulighederne for den ofte lettere adgang her til kunder og brugere end i den fysiske verden Samtidig er de udfordret af flygtigheden hos brugerne paring nettet og den manglende personlige relation i den digitale verden Anvendelsen af teknologier som cookies giver mulighed for at skabe relationen med bedre brugeroplevelser og maringlrettede ydelser Cookies kan saringledes vaeligre en stor hjaeliglp for brugeren bla ved gentagne besoslashg paring hjemmesider hvor brugerens indstillinger og evt indtastede oplysninger huskes ved hjaeliglp af cookies og derfor ikke skal indtastes igen Cookies kan ogsaring bruges til at foslashlge brugerens faeligrden paring en enkelt hjemmeside eller paring tvaeligrs af hjemmesider og give grundlag for bla statistik og maringlrettede annon-cer og tjenester fra hjemmesideejeren selv eller fra 3 parter som eksempelvis udbydere af webstatistikmoduler reklame- eller mediebureauer Cookies er med til at styrke innovation og udvikling paring det digitale marked
Sigtet med reglerne er heller ikke at forbyde brugen af cookies men at oslashge gennemsig-tigheden med de processer der understoslashtter brugernes faeligrden paring Internettet baseret paring data indsamlet hos brugeren og samtidig sikre at brugeren fortsat har kontrollen med hvad disse data bruges til Reglerne laeliggger vaeliggt paring at den enkelte bruger skal have en reel mulighed for at til- eller fravaeliglge lagring af cookies Herved sikres tilliden til internettet der ogsaring er en afgoslashrende faktor for den fortsatte udvikling af det digitale marked
Cookies er i almindelighed passive filer der kan lagres eller tilgarings i brugeres terminal-udstyr men ikke interagere eller manipulere med udstyr eller oplysninger
Den viden der indsamles via cookies eller lignende teknologier kan imidlertid som ovenfor naeligvnt benyttes til en lang raeligkke forskellige formaringl fx personalisering og ud-vikling af mere brugervenlige tjenester generering af analyser om brugen af en hjem-meside eller maringlretning af adfaeligrdsbaseret markedsfoslashring til brugeren Afhaeligngig af den enkelte brugers personlige holdninger kan disse formaringl vaeligre mere eller mindre oslashnskvaeligrdige
3 Europa-Parlamentets og Raringdets direktiv 200258EF om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor
4 Europa-Parlamentets og Raringdets direktiv 2009136EF
Vejledning 7
Hertil kommer at cookies kan og ofte saeligttes af andre end hjemmesiden selv hvilket ikke altid er aringbenlyst for brugeren og kan goslashre det vanskeligt for brugeren at gennem-skue det reelle formaringl Det er her saeligrligt vigtigt at sikre brugerens opmaeligrksomhed paring at cookies kan foslashlge med fra en hjemmeside til en anden og foslashlge brugerens faeligrden rundt paring nettet Samtidig er det vigtigt at ejeren af hjemmesiden selv har kontrol over hvilke cookies der saeligttes og hvem der via hjemmesiden faringr adgang til brugerens data Har ejeren af hjemmesiden ikke denne kontrol bliver det dels meget vanskeligt eller umuligt at indhente et reelt informeret samtykke fra brugeren samtidig med at der kan vaeligre risiko for at andre aktoslashrer misbruger brugerens data eller udnytter data i mod-strid med ejeren af hjemmesidens egne interesser
I lyset af de forskellige egenskaber ved cookies og udnyttelsen heraf der skifter kon-stant i takt med den teknologiske udvikling og det voksende digitale marked er det noslashdvendigt at styrke den generelle oplysning af brugerne for at opfylde lovgivningens formaringl om at det er brugerne der paring et informeret grundlag skal beslutte om de vil tillade adgangen til oplysningerne
En analyse lavet af Foreningen for Dansk Internethandel FDIH5 viser at kendskab til cookies er stigende hos forbrugerne og at 2 ud af 3 forbrugere ved hvad en cookie er Det er overvejende aeligldre forbrugere der kender til cookies Analysen viser endvidere at halvdelen af dem som svarer ja til kendskab til cookies ogsaring aktivt har vaeligret inde og aeligndre i deres browserindstillinger for at forhindre eller begraelignse accepten af cookies For den gruppe som svarede nej til kendskabet til cookies og som primaeligrt bestaringr af yngre internetbruger afviser over 2 tredjedele imidlertid at have planer om fremadret-tet at aeligndre i browserindstillinger for at forhindre eller begraelignse accepten af cookies
Analysen viser at der er en stor forskel paring brugernes opfattelse af cookies og holdning til om cookies er noget man lever med eller oslashnsker at undgaring Den stigende brugerbe-vidsthed i forhold til cookies og anvendelsen heraf er imidlertid en faktor som baringde virksomheder og offentlige myndigheder boslashr forholde sig til
Naeligrvaeligrende vejledning uddyber reglerne i cookiebekendtgoslashrelsen saeligrligt de essen-tielle krav til information og samtykke og giver bud paring praktiske loslashsninger til hjem-mesideejerne Kompleksiteten og mangfoldigheden af digitale tjenester i dag goslashr det hverken muligt eller hensigtsmaeligssigt at beskrive i detaljen hvordan reglerne skal efter-leves men bekendtgoslashrelsen tegner sammen med denne vejledning en ramme eller et mulighedsrum hvori tjenesteudbydere kan finde inspiration til loslashsninger der passer til deres konkrete kontekst Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsig-tigheden og kontrollen for brugerne De eksempler der er med i vejledningen og i den tekniske guide til virksomheder er derfor ogsaring alene eksempler og ikke anvisninger paring endegyldige loslashsninger
Hjemmesideejere etableret i andre lande udover Danmark skal vaeligre opmaeligrksomme paring at de maringske ikke kan noslashjes med at indrette deres loslashsninger efter den danske lovgiv-ning jf vejledningens afsnit rdquoHvor gaeliglder hvilke reglerrdquo De danske cookieregler er baseret paring harmoniseret EU lovgivning der dog alene fastsaeligtter minimumskrav i for-bindelse med anvendelse af cookies og lignende teknologier I Danmark er reglerne implementeret med en tekstnaeligr gengivelse af direktivets bestemmelser og der er ikke indfoslashrt strengere regler
Vejledningen afspejler Erhvervsstyrelsens tilsyn med cookiereglerne der laeliggger vaeliggt paring hjemmeside ejernes indsats for at overholde reglerne og skabe gennemsigtighed for deres brugere paring nettet I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervs-styrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i
5 FDIHrsquos e-handels analyse fra 2012
Vejledning8
forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjemmesidens indsats ud fra de 5 processkridt som er givet i den tekniske guide jf vejledningens kapitel 6
Vejledning 9
2 REGLERNE
Baggrund
I forbindelse med revisionen af de europaeligiske teledirektiver i 20082009 indfoslashrtes aelign-dringen af e-databeskyttelsesdirektivets artikel 5 stk 3 der omhandler lagring af eller adgang til oplysninger i brugeres terminaludstyr fx computere smartphones eller tab-lets AEligndringen bestaringr saeligrligt i indfoslashrelse af et krav om indhentning af samtykke fra brugerne i forbindelse med lagring af eller adgang til oplysninger i brugerens terminal-udstyr
e-Databeskyttelsesdirektivets artikel 5 stk 3 indeholder en henvisning til persondata-beskyttelsesdirektivet6 og skal derfor laeligses sammen med de generelle regler om per-sondatabeskyttelse som er implementeret i dansk ret ved Lov om behandling af per-sonoplysninger7 Lov om behandling af personoplysninger opstiller generelle krav i forbindelse med behandling af personhenfoslashrbare oplysninger
AEligndringen af e-Databeskyttelsesdirektivet kom ind for at oslashge beskyttelsen af bruger-nes privatsfaeligre naringr de faeligrdes i en digital verden hvilket man ikke mente var opfyldt i tilstraeligkkelig grad af persondatabeskyttelsesreglerne eller den davaeligrende bestemmelse i e-databeskyttelsesdirektivet Privatlivsbeskyttelsen underbygges endvidere af Det Europaeligiske Charter for grundlaeligggende rettigheder som blev gjort juridisk bindende med Lissabontraktatens ikrafttraeligden
Cookiebekendtgoslashrelsen
AEligndringen af e-Databeskyttelsesdirektivet er implementeret i dansk ret med Bekendt-goslashrelse nr 1148 af 9 december 2011 om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr (Cookiebekendtgoslashrelsen) som er udstedt i medfoslashr af sect 9 og sect 81 stk 2 i lov nr 169 af 3 marts 2011 om elektro-niske kommunikationsnet og -tjenester
Formaringl og afgraelignsning
Hvad beskytter reglerneReglerne har til formaringl at beskytte brugernes privatsfaeligre Med reglerne anlaeliggges den betragtning at brugernes terminaludstyr udgoslashr en del af brugerens privatsfaeligre der skal beskyttes mod uretmaeligssig indtraeligngen
Terminaludstyr omfatter computere og mobile enheder som smartphones tablets mv hvori der kan lagres oplysninger eller opnarings adgang til allerede lagrede oplysninger
Den beskyttede er brugeren af et elektronisk kommunikationsnet eller ndashtjeneste som ikke paring kommercielt grundlag stiller de paringgaeligldende elektroniske kommunikationsnet eller- tjenester til raringdighed for andre dvs alle brugere af en computer eller en mobil enhed
Beskyttelsen knytter sig til terminaludstyret der som ovenfor naeligvnt anses for at vaeligre en del af ejerens privatsfaeligre
6 Direktiv 9546EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af saringdanne oplysninger
7 Lov nr 429 af 31 maj 2000 om behandling af personoplysninger
Vejledning10
Reglerne finder alene anvendelse paring offentligt tilgaeligngelige kommunikationsnet eller -tjenester og ikke paring virksomheders intranet og lignende lukkede brugergrupper At der kraeligves log-in for at faring adgang til et netvaeligrk medfoslashrer dog ikke i sig selv at der er tale om en lukket brugergruppe hvor cookiereglerne ikke finder anvendelse Det vil bero paring en konkret vurdering
Reglerne tager ikke hoslashjde for tilfaeliglde af flere brugere af det samme terminaludstyr Brugere skal vaeligre opmaeligrksomme paring at hvis de enten laringner en computer tablet mobil-telefon mv ud eller bruger en andens terminaludstyr saring accepterer de udstyrets ind-stillinger herunder accept af cookies og lignende teknologier Hvis brugeren af termi-naludstyret oslashnsker at sikre sig herimod maring det bero paring en aftale mellem ejerenlaringneren af udstyret
Det samme gaeliglder i det omfang man anvender en offentlig tilgaeligngelig computer ek-sempelvis paring biblioteket idet en bruger som udgangspunkt ikke kan gardere sig imod tidligere brugeres indstillinger Det er Erhvervsstyrelsens vurdering at denne brug ikke er omfattet af cookiereglernes beskyttelsesformaringl i forhold til brugerens privatsfaeligre Det er ikke hjemmesidernes ansvar at soslashrge for samtykke fra samtlige brugere eller indrette deres hjemmesider efter at siden kan tilgarings fra en offentlig tilgaeligngelig compu-ter
Hvilke teknologier er omfattetDer gives ikke i bekendtgoslashrelsen en naeligrmere definition af de teknologier som be-kendtgoslashrelsen regulerer udover selve beskrivelsen i bestemmelsen i sect 3 stk 1
Reglerne er teknologineutrale Bekendtgoslashrelsen raeligkker ud over lagring af eller adgang til oplysninger i brugeres terminaludstyr som finder sted i forbindelse med en opkob-ling til internettet og omfatter saringledes ogsaring lagring af eller adgang til oplysninger fra eksterne medier som fx USB-noslashgler CDrsquoer CD-ROMrsquoer eksterne harddiske eller lig-nende
For saring vidt angaringr den form det format eller den standard oplysninger lagres i omfatter bekendtgoslashrelsen ikke blot rdquoklassiskerdquo http-cookies men enhver form for lignende tek-nologier herunder ogsaring fx Flash-cookies (Local Shared Objects) Web Storage (HTML5) Javascripts eller cookies sat ved brug af Microsoft Silverlight
Cookies kan have forskellig levetid idet de kan stoppe ved udloslashbet af en browser ses-sion (dvs fra brugeren aringbner et browservindue til dette lukkes igen) eller de kan vare laeligngere tid og daeligkke flere browser-sessioner saringledes at de kan foslashlge brugeren rundt paring internettet
En cookie kan endvidere deles ind i 1 parts cookies og 3 parts cookies alt efter hvem der placerer cookiersquoen paring en hjemmeside
1 parts cookies er de cookies der placeres af ejeren af hjemmesiden der er den som brugeren umiddelbart interagerer med 3 parts cookies er dem som placeres paring en hjemmeside af 3 mand hvor denne eller andre faringr adgang til den data der indsamles
Vejledning 11
1 part 3 part
Cookies der saeligttes af hjemmesiden som brugeren besoslashger hvis adresse fremgaringr af URL vinduet
Cookies der saeligttes af andre end den hjemmeside brugeren besoslashger
Sessions cookies
Udloslashber enten i loslashbet af eller ved udgangen af en browser-session
EksbullStyring af grafikbullBesoslashgsstatistikbullBrugerindstillingbull IndkoslashbskurvbullBetalingsmodul bullSikkerheds-pro-
cedurer ved netbank
Eks bullStatistikbullHvor 3 part
leverer ydelser som beskrevet under eks paring 1 parts cookies er det afgoslashrende hvem der har adgang til brugerens data i forhold til om der er tale om 3 parts cookies
Baringde for 1 og 3 parts cookies vurderes sessions cookies ofte at vaeligre mindre indgribende i forhold til bruge-rens privatliv
Persistent cookies
Varer flere browser sessioner og kan foslashlge brugeren rundt paring nettet Kan vare fra timer til flere aringr
Eks bullHuske bruger-
indstillinger som navn og adresse sprog log-in naeligste gang brugeren besoslashger hjemme-siden udover en browser-session
bullTracking - enten genkende brugere fra tidligere besoslashg eller foslashlge brugeren til andre hjemmesi-der
EksbullTracking 1 parts cookies for
brugerindstilling Vurderes at vaeligre mindre indgribende i forhold til brugerens privatliv
Tracking cookies ndash baringde fra 1 part og 3 part anses for mere indgribende i brugerens privat-sfaeligre
Lovgivningen skelner for saring vidt angaringr informations- og samtykkekravet ikke mellem de forskellige typer af cookies men omfatter alle cookies uanset levetid og hvor de stammer fra
Som det fremgaringr nedenfor vil en cookies karakter i praksis kunne spille ind ved vurde-ringen af hvorvidt informations- og samtykkekravet er opfyldt da det her er afgoslashren-de at brugeren kender til cookiens funktion herunder ogsaring hvem der staringr bag cookien og hvem der herfra faringr adgang til indsamlet data
Hvilke handlinger er omfattetBekendtgoslashrelsen vedroslashrer alene den handling der bestaringr i lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr Handlinger der finder sted foslashr eller efter lagringen af eller adgangen til oplysninger i en brugeres terminaludstyr
Vejledning12
er ikke omfattet af reglerne i cookiebekendtgoslashrelsen Saringdanne handlinger kan i stedet vaeligre omfattet af de generelle bestemmelser om beskyttelse af persondata
Foslashlgende tabel giver en oversigt over graelignsefladerne mellem cookiebekendtgoslashrelse og persondataloven
Tabel 1 Anvendelsesomraringder for cookie-bekendtgoslashrelsen og persondataloven
Cookie-bekendtgoslashrelsen Persondataloven
Beskyttelsesobjekt Brugerens terminaludstyr forstaringet som en del af privatsfaeligren
Personoplysninger (ikke kun i terminaludstyr)
Omfattede oplysnings-typer
Alle oplysninger uden sondring
Som udgangspunkt kun personoplysninger Dog er oplysninger om virksomheder mv omfattet i saeligrlige tilfaeliglde
Omfattede behandlings-former
Lagring af eller adgang til oplysninger i en brugers terminaludstyr
Enhver behandling af personoplysninger inden for lovens anvendelsesomraringde hvor der ikke er saeligrregler i anden lovgivning der traeligder i stedet for
Kriterier for behandling(behandlingshjemmel)
HR Fyldestgoslashrende informa-tion til og samtykke fra brugerU Bekendtgoslashrelsens sect 4
Udtrykkelig samtykke er blot eacutet af flere mulige behandlingskriterier
Der er et overlap mellem cookiebekendtgoslashrelsen og persondataloven for saring vidt angaringr lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr naringr de indsamlede oplysninger er personoplysninger Kravet om informeret samtykke i cookiereglerne giver her en bedre beskyttelse af brugeren end persondatabeskyttelses-reglerne der omfatter en raeligkke situationer hvor informeret samtykke ikke er paringkraeligvet
Ved lagring af og adgang til allerede lagrede oplysninger som er personoplysninger i terminaludstyr vil cookiebekendtgoslashrelsen dermed garing forud for persondataloven jf Persondatalovens sect 2
I praksis vil det imidlertid forekomme at der udover lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr ogsaring finder andre behandlinger af op-lysninger sted
For eksempel naringr behandlingerne transmitteres til indsamles eller viderebehandles paring en server Saringdanne behandlingsformer ligger uden for brugernes terminaludstyr og er ikke omfattet af cookiereglerne Afhaeligngigt af de konkrete omstaeligndigheder kan reg-lerne i persondataloven evt finde anvendelse her
Hvilke oplysninger er omfattetBekendtgoslashrelsen vedroslashrer enhver type af oplysninger der indsamles eller lagres paring brugerens terminaludstyr
Vejledning 13
Cookiereglerne regulerer midlet til indsamling af data Der sondres ikke her mellem personhenfoslashrbare og ikke personhenfoslashrbare oplysninger
Det er ligeledes uden betydning om oplysningerne er semantisk meningsfulde ufor-staringelige tekststrenge kode eller om oplysningerne er krypterede
Eksempel Lagring af eller adgang til allerede lagrede oplysninger til brug for webstatistik
En udbyder af en hjemmeside oslashnsker at lave en analyse af hvordan hjemmesidens brugere benytter
siden med henblik paring at forbedre brugeroplevelsen Til dette formaringl oslashnsker udbyderen af hjemme-
siden at placere cookies i brugernes terminaludstyr
Tjenesteudbyderen er omfattet af bekendtgoslashrelsens krav til information og samtykke for saring vidt
angaringr lagringen af cookies og eventuel senere adgang til disse cookies i brugernes terminaludstyr
Oslashnsker tjenesteudbyderen efterfoslashlgende at analysere oplysningerne der er indsamlet ved hjaeliglp af
de placerede cookies falder denne behandling udenfor cookiebekendtgoslashrelsens anvendelsesomraring-
de Det gaeliglder eksempelvis den videre behandling af oplysningerne hos tjenesteudbyderen til brug
for udarbejdelse af statistik
Hvem gaeliglder reglerne forAlle der lagrer eller opnaringr adgang til oplysninger i brugeres terminaludstyr er omfattet af reglerne (se ogsaring det efterfoslashlgende afsnit rdquoHvor gaeliglder hvilke reglerrdquo)
Hjemmesider der henvender sig til alle eller udelukkende til virksomheder vil saringledes vaeligre omfattet af reglerne saringfremt der benyttes cookies eller lignende teknologier paring hjemmesiden idet hjemmesider som udgangspunkt kan tilgarings af alle
Ejeren af en hjemmeside er ligeledes forpligtet efter reglerne i forbindelse med 3 parts lagring af eller adgang til oplysninger i brugeres terminaludstyr hvis dette sker via udbyderens tjeneste fx ved hjaeliglp af indlejret kode i en bannerreklame software ap-plikationer eller links
Ejeren af en hjemmeside behoslashver ikke selv staring for den praktiske og tekniske efterle-velse af reglerne (informering og indhentning af et samtykke fra brugeren) men kan aftale at 3 part haringndterer dette paring vegne af tjenesteudbyderen Ansvaret for at reglerne overholdes vil dog altid ligge hos udbyderen af en tjenesteydelse uanset hvad denne maringtte have aftalt med 3 part da man ifoslashlge cookiebekendtgoslashrelsen heller ikke maring lade 3 part lagre eller faring adgang til allerede lagrede oplysninger uden information til og sam-tykke fra slutbrugeren
Der gaeliglder ikke efter cookiereglerne et krav om indgaringelse af databehandlingsaftale som der gaeliglder efter Persondataloven men det kan vaeligre hensigtsmaeligssigt hvor man giver adgang for 3 part til indsamling af data via ens hjemmeside at indgaring en skriftlig aftale med henblik paring at afdaeligkke med hvilke formaringl 3 part indsamler data om bru-gerne idet dette formaringl skal vaeligre omfattet af informationen paring hjemmesiden for at samtykke fra brugeren kan anses for at vaeligre reelt og fyldestgoslashrende jf nedenfor under afsnittet om rdquoKrav om informeret samtykkerdquo
Ved indlejring paring egen hjemmeside af andres tjenester der eksempelvis hentes via in-ternettet vil aftalen med 3 part oftest bero paring en ensidig accept af 3 partens givne forretningsbetingelser og ikke give mulighed for forhandling af kontraktvilkaringr Man skal vaeligre opmaeligrksom paring at det her kan vaeligre vanskeligt at kontrollere 3 partens brug af data som evt indsamles via cookies eller lignende teknologier og derved ogsaring van-skeligt i sidste ende at sikre et reelt informeret samtykke fra brugeren
Vejledning14
Eksempel Indlejring af et kommentarmodul paring en hjemmeside
Et stoslashrre nyhedsmedie oslashnsker at indlejre et modul der saeligtter brugerne af deres hjemmeside i stand
til at kommentere indholdet paring hjemmesiden Nyhedsmediet kontakter til dette formaringl udbyderen
af et kommentarmodul der kan indlejres paring hjemmesider Nyhedsmediet og udbyderen af modulet
aftaler at modulet indlejres nederst paring alle nyhedsmediets sider
Udbyderen af kommentarmodulet vil gerne saeligtte cookies i brugernes terminaludstyr naringr brugerne
tilgaringr en side for at kunne foslashlge med i hvor meget modulet bliver brugt Nyhedsmediet aftaler der-
for med udbyderen af kommentarmodulet at sidstnaeligvnte soslashrger for at reglerne om lagring af eller
adgang til oplysninger i brugeres terminal- udstyr efterleves ved at der gives fyldestgoslashrende infor-
mation og indhentes samtykke fra brugerne
Nyhedsmediet er dog ansvarlig for at efterlevelsen af reglerne rent faktisk finder sted og dermed for
at der ikke sker en uretmaeligssig lagring i brugernes terminaludstyr naringr brugere tilgaringr nyhedsmediets
hjemmeside uanset hvad nyhedsmediet maringtte have aftalt med udbyderen af kommentarmodulet
Dette gaeliglder altsaring ogsaring i tilfaeliglde af at udbyderen af kommentarmodulet anvender cookies til andre
formaringl end det der foslashlger af aftalen og oplyses til brugeren
Ejeren af en hjemmeside er ansvarlig for de cookies og lignende teknologier der saeligttes i forbindelse med en brugers besoslashg paring hjemmesiden
Linkes der paring hjemmesiden til andre hjemmesider eller anvendes der rdquodelebarerrdquo eller rdquolike-knapperrdquo til eksempelvis Facebook eller Twitter er det vigtigt at vaeligre opmaeligrk-som paring hvorvidt disse hjemmesider saeligtter cookies via links delebar eller like-knapper allerede inden brugeren linkes over til den nye hjemmeside da det som ovenfor naeligvnt er hjemmesideejeren der i sidste ende er ansvarlig for de cookies der saeligttes paring deres hjemmeside Naringr der foslashrst er linket over via delebaren overgaringr ansvaret til ejeren af den nye hjemmeside
Det er ikke et krav efter cookiereglerne men det anbefales at oplyse brugeren om at siden forlades og at de sider man giver adgang til evt bruger cookies
Ved oprettelse af digitale platforme hvorfra man tilgaringr andre hjemmesider som vil optraeligde i rammen af den digitale platform eksempelvis Erhvervsstyrelsens rdquoVirkdkrdquo eller Digitaliseringsstyrelsens rdquoBorgerdkrdquo vil det vaeligre ejeren af den enkelte hjemme-side der tilgarings via platformen der er ansvarlig for overholdelsen af cookiereglerne paring disse hjemmesider Ejeren af platformen har ansvaret for cookies der saeligttes af dem
Det samme vil gaeliglde ved oprettelse af hjemmesider via sociale medier som eksempel-vis Facebook Det sociale medie vil vaeligre ansvarlig for de cookies der saeligttes af mediet men ikke for de cookies der saeligttes af ejeren af hjemmesiden oprettet i det sociale medies format
Det afgoslashrende for hvem der baeligrer ansvaret for indhentelse af samtykke til anvendelse af cookies paring en hjemmeside afhaelignger af hvem der har kontrollen over indholdet paring hjemmesiden
Hvor gaeliglder hvilke reglerHjemmesideejere der er etableret i andre lande udover Danmark skal vaeligre opmaeligrk-somme paring at de maringske ikke kan noslashjes med at indrette deres loslashsninger efter den danske lovgivning De danske cookieregler er baseret paring harmoniseret EU lovgivning der dog alene fastsaeligtter minimumskrav i forbindelse med anvendelse af cookies og lignende teknologier
Der er ikke i e-Databeskyttelsesdirektivet taget stilling til reglernes geografiske anven-delsesomraringde men Europa-Kommissionen har tilkendegivet at det indenfor EU er lovgivningen i det land hvori udbyderen af en tjeneste er etableret der er gaeligldende Vi
Vejledning 15
laeliggger i Danmark umiddelbart op af Kommissionens fortolkning der foslashlger rdquoafsen-derlandsprincippetrdquo i E-handelsdirektivet8
Hvis udbyderen af en tjeneste etableret i Danmark lagrer eller opnaringr adgang til op-lysninger i en brugers terminaludstyr er tjenesteudbyderen saringledes forpligtet efter de danske regler De danske regler finder ligeledes anvendelse hvor udbyderen af en tjeneste etableret i Danmark lader en 3 part der er etableret i et andet land lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyderens tjene-ste
Ifoslashlge Kommissionen gaeliglder for udbyderen af en tjeneste etableret uden for EU lovgiv-ningen i det land hvor lagringen af eller adgangen til oplysninger i en brugers termi-naludstyr finder sted Erhvervsstyrelsen laeliggger i tilsynet med reglerne vaeliggt paring hvor-vidt hjemmesiden retter sig mod danske forbrugere i overensstemmelse med de folkeretlige jurisdiktionsprincipper om hvor en handling har virkning Der vil saringledes blive lagt vaeliggt paring en raeligkke faktorer som sprog leveringsbetingelser (feks en webshop hvor der kan leveres til Danmark) etc
Krav om informeret samtykke
Det helt centrale i aeligndringen til e-Databeskyttelsesdirektivet fra 2009 er kravet om indhentelse af informeret samtykke forud for placeringen af cookies der ogsaring er foslashrt videre til de danske regler i cookiebekendtgoslashrelsens sect 3
Cookiebekendtgoslashrelsen indeholder en definition af samtykke baseret paring samtykkede-finitionen i Persondatabeskyttelsesdirektivet som Cookiedirektivet henviser til Det samme gaeliglder indholdet af informationspligten der ogsaring er naeligrmere beskrevet i Per-sondatabeskyttelsesdirektivet
Kravene om information og samtykke boslashr ses som to komplementaeligre elementer der understoslashtter hinanden og ikke kan adskilles idet de er indfoslashrt for at sikre at brugeren kan traeligffe et reelt og oplyst valg omkring overvaringgningen af deres faeligrdsel paring internet-tet Er informationen ikke fyldestgoslashrende vil samtykket heller ikke vaeligre et reelt sam-tykke
Nedenfor er kravene til baringde information og samtykke naeligrmere uddybet Der gives en raeligkke praktiske eksempler og flere foslashlger af den tekniske guide som findes i vejlednin-gens sidste afsnit Der er alene tale om eksempler til inspiration da det fortsat vil vaeligre op til den enkelte hjemmesideejer at vurdere hvordan kravene bedst muligt efterleves paring netop deres tjeneste
Bekendtgoslashrelsens sect 3
sect 3 Fysiske eller juridiske personer maring ikke lagre oplysninger eller opnaring adgang til oplysninger der
allerede er lagret i en slutbrugers terminaludstyr eller lade tredjepart lagre oplysninger eller opnaring
adgang til oplysninger hvis slutbrugeren ikke giver samtykke hertil efter at have modtaget fyldest-
goslashrende information om lagringen af eller adgangen til oplysningerne
Stk 2 Information jf stk 1 er fyldestgoslashrende naringr den som minimum
1) fremstaringr i et klart praeligcist og letforstaringeligt sprog eller tilsvarende billedskrift
2) indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens
terminaludstyr
3) indeholder oplysninger der identificerer enhver fysisk eller juridisk person der foranstalter lagrin-
gen af eller adgangen til oplysningerne
4) indeholder en umiddelbart tilgaeligngelig adgang for slutbrugeren til at afslaring samtykke eller tilbage-
8 Europa-Parlamentets og Raringdets direktiv 200031EF om visse retlige aspekter af informationssamfundstjenester navnlig ele-ktronisk handel i det indre marked
Vejledning16
kalde samtykke til lagringen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig
vejledning om hvordan slutbrugeren anvender en saringdan adgang og
5) er umiddelbart tilgaeligngelig for slutbrugeren ved samlet og tydeligt at blive meddelt denne Des-
uden skal information naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminal-
udstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren
ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Informationskravet
Hvilke krav stilles til fyldestgoslashrende information Af bekendtgoslashrelsens sect 3 stk 2 fremgaringr de krav der som minimum skal vaeligre opfyldt foslashr informationen kan siges at vaeligre fyldestgoslashrende Der stilles krav til karakteren ind-holdet og tilgaeligngeligheden af informationen
Overordnet kan siges at informationen skal udgoslashre det videns grundlag der saeligtter brugerne i stand til at traeligffe reelle informerede valg I nogle tilfaeliglde boslashr det derfor ogsaring overvejes at medtage yderligere information end der kraeligves i bekendtgoslashrelsen hvis dette er noslashdvendigt for at brugerne kan forstaring konsekvenserne af deres valg
Loslashsninger skal opfylde cookiereglerne baringde paring hjemmesider og paring mobilsites ndash se evt teknisk guide i vejledningens kapitel 6
Krav til sprog og tekstsect 3 stk 2 nr 1 fastsaeligtter krav til at informationen fremstaringr i et klart praeligcist og letfor-staringeligt sprog eller tilsvarende billedskrift
Det indebaeligrer bla at informationen ikke boslashr formuleres i unoslashdigt teknisk eller juri-disk sprog samt at brugeren let kan danne sig et overblik
Brug af tabeller eller billedsprog fx i form af piktogrammer kan supplere eller erstatte mere traditionel tekst og goslashre informationen lettere at forstaring men maring vurderes ud fra brugerens kendskab til saringdanne alternativer
Bestemmelsen indeholder ikke krav til paring hvilket sprog informationen skal gives Valg af sprog boslashr dog ske under hensynstagen til hvilke brugere en tjeneste retter sig imod herunder isaeligr hvor disse brugere befinder sig geografisk
Krav til oplysning om formaringlsect 3 stk 2 nr 2 fastsaeligtter krav til at informationen indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens terminaludstyr
Brugeren har ret til at faring oplyst hvorfor der lagres eller tilgarings oplysninger og det er ikke tilstraeligkkeligt blot at oplyse at det sker Dette krav haelignger sammen med samtykkekra-vet der skal vaeligre en specifik viljestilkendegivelse Angivelsen af rdquovi bruger cookiesrdquo uden yderligere praeligcisering vurderes saringledes ikke at opfylde reglerne
Informationen om formaringl med lagringen af eller adgangen til oplysninger er helt cen-tral og skal understoslashtte at brugerne er bevidste om hvilke konsekvenser deres valg har Formaringlet boslashr derfor altid beskrives meget praeligcist og daeligkkende
Har lagringen af eller adgangen til oplysninger mere end eacutet formaringl skal der oplyses om samtlige formaringl Lagres eller tilgarings der flere oplysninger med samme formaringl eller af flere omgange vil det almindeligvis vaeligre tilstraeligkkeligt at beskrive formaringlet eacuten gang og ikke for hver oplysning der lagres eller opnarings adgang til
Vejledning 17
I relation til kravet om angivelse af formaringl saring er det her vigtigt at understrege at for-maringlsbeskrivelsen ligeledes skal omfatte eventuelle 3 parters formaringl med at anvende cookies
Eksempel Information om formaringl med brug af cookies
Brugen af cookies er meget udbredt og kan have en lang raeligkke formaringl herunder fx at optimere
brugeroplevelse eller design paring en tjeneste at generere webstatistik eller at maringlrette markedsfoslashring
til brugere
Den information der gives boslashr beskrive formaringlet med tjenestens brug af cookies og ikke de en-
kelte cookies i sig selv
Hvis en tjeneste eksempelvis bruger fire cookies til at optimere designet paring tjenesten mens yderli-
gere to cookies bruges til at haringndtere annoncer og en syvende cookie bruges til at genere websta-
tisk vil det almindeligvis vaeligre tilstraeligkkeligt at informere om de tre forskellige formaringl med brugen
af cookies og ikke noslashdvendigvis om de i alt syv cookies siden goslashr brug af
Oplysninger om hvem der saeligtter cookiessect 3 stk 2 nr 3 fastsaeligtter krav til at informationen indeholder oplysninger der identifi-cerer enhver fysisk eller juridisk person der foranstalter lagringen af oplysninger eller opnaringr adgang til allerede lagrede oplysninger
Brugere skal vaeligre i stand til at identificere den der foranstalter lagringen Det vil i mange tilfaeliglde vaeligre udbyderen af tjenesten men hvor udbyderen af en tjeneste lader 3 part lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyde-rens tjeneste skal 3 part ogsaring kunne identificeres af brugeren Den eksakte angivelse af hvilke 3 parter der saeligtter cookies kan ske paring en underside jf vejledningens afsnit om lagdelt information nedenfor
For saring vidt angaringr oplysninger der lagres eller tilgarings i brugeres terminaludstyr af en or-ganisation fx en virksomhed eller anden juridisk person angives oplysninger som identificerer organisationen og ikke dens medarbejdere
Hvilke konkrete informationer der skal vaeligre til stede for at brugere kan identificere de(n) der foretager lagringen vil variere fra tjeneste til tjeneste og afhaelignger af de par-ter der er involveret
Adgang til at afslaring cookiessect 3 stk 2 nr 4 fastsaeligtter krav til at informationen indeholder en umiddelbart tilgaelign-gelig adgang for slutbrugeren til at afslaring samtykke eller tilbagekalde samtykke til lagrin-gen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig vejledning om hvordan slutbrugeren anvender en saringdan adgang
Brugere skal have mulighed for at afslaring samtykke eller tilbagekalde et allerede givet samtykke Dette skal understoslashtte reel brugerkontrol og frivilligheden af brugeres sam-tykke Til dette formaringl skal der vaeligre en umiddelbart tilgaeligngelig adgang til at afslaring cookies og en klar praeligcis og letforstaringelig vejledning om hvordan brugere kan anvende en saringdan adgang Se endvidere nedenfor under afsnittet om rdquoKravet til samtykkerdquo hvor det slarings fast at der ikke gaeliglder noget krav om at en hjemmeside skal kunne tilgarings eller fungere uden cookies
Det kan i nogle tilfaeliglde vaeligre relevant at henvise til eksempelvis vejledninger og vaeligrk-toslashjer andre har udarbejdet Der stilles i bekendtgoslashrelsen ingen krav til at vejledninger eller vaeligrktoslashjer til at afslaring eller tilbagekalde et samtykke skal forefindes paring tjenesten der lagrer eller tilgaringr oplysninger Det er adgangen til vejledning og vaeligrktoslashjer som tjene-sten er forpligtet til at goslashre umiddelbart tilgaeligngelig for brugeren
Vejledning18
Krav om informationens tilgaeligngelighedsect 3 stk 2 nr 5 fastsaeligtter krav til at informationen er umiddelbart tilgaeligngelig for slut-brugeren ved samlet og tydeligt at blive meddelt denne Desuden skal informationen naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjene-ste
For at sikre reel brugerkontrol er det noslashdvendigt at informationen er umiddelbart tilgaeligngelig for brugere og kan tilgarings uden besvaeligr Dette er desuden en forudsaeligtning for at brugere ogsaring kan tilbagekalde et allerede afgivet samtykke Hvordan informatio-nen bedst goslashres tilgaeligngelig vil bla afhaelignge af tjenestens design og struktur hvorfor det vil variere fra tjeneste til tjeneste
Informationen kan vaeligre lagdeltDet kan vaeligre hensigtsmaeligssigt at benytte sig af lagdelt information saringledes at det dog sikres at brugerne med det samme faringr de vaeligsentligste informationer saringsom formaringlet med anvendelsen af cookies samtidig med at der linkes til mere detaljerede informa-tioner Brugen af piktogrammer eller andre tydeligt markerede indgange til informa-tionen kan understoslashtte dette men ikke goslashre det ud alene for umiddelbar tilgaeligngelig information
Den umiddelbare angivelse af formaringlet med anvendelsen af cookies boslashr omfatte infor-mation om 3 parts cookies idet det har betydning for brugeren hvem data tilgaringr Ek-sempelvis ved angivelse af formaringl som direkte markedsfoslashring skal det ogsaring fremgaring at direkte markedsfoslashring vil vaeligre fra 3 part Den praeligcise angivelse af 3 parter kan evt ske paring en underside
En tjeneste kan desuden vaeliglge at skelne mellem hvordan informationen praeligsenteres for brugere inden brugeren afgiver eller afslaringr samtykke og hvordan informationen praeligsenteres efter at brugere har afgivet eller afslaringet samtykke
Paring informations- og indholdstjenester herunder hjemmesider og andre online tjene-ster der lagrer eller tilgaringr oplysninger i en brugeres terminaludstyr skal informationen vaeligre vedvarende tilgaeligngelig for brugere ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Dette indebaeligrer at brugere ved anvendelse af saringdanne tjenester til enhver tid skal have adgang til informationen og en saringdan adgang boslashr vaeligre let at finde og anvende Det kan bla overvejes at opfylde dette krav ved at placere en saringdan adgang i sammenhaeligng med oslashvrige vedvarende elementer paring en tjeneste Brug af piktogrammer eller lignende kan ogsaring overvejes i denne sammenhaeligng
Nedenfor redegoslashres naeligrmere for kravet til samtykke Det kan heraf laeligses at samtykke kan gives paring forskellig maringde herunder ogsaring ved en aktiv handling Kravet til informa-tion kan variere for saring vidt angaringr tydelighed og tilgaeligngelighed alt efter hvilken form for samtykke der er tale om Krav til hvilke oplysninger der gives for at en information kan anses for fyldestgoslashrende varierer imidlertid ikke
Vaeligsentlig information der skal gives til brugeren med det samme er
- Alle formaringl med cookies og lignende teknologier
- Hvem der anvender cookies og lignende teknologier paring hjemmesiden
Vejledning 19
Eksempel Fyldestgoslashrende information ndash lagdelt med vaeligsentlige oplysninger foslashrst
En tjeneste paring nettet der giver brugeren mulighed for at sammenligne produkter og priser paring for-
skellige vareomraringder anvender cookies til at registrere antallet af brugere paring hjemmesiden og til at
registrere hvor brugeren kommer fra Paring hjemmesiden er der bannerreklamer for forskellige produ-
center relateret til de varekategorier som omtales paring hjemmesiden Bannerreklamerne leveres af 3
parter og anvender cookies til at registrere hvilke annoncer brugeren klikker paring saringledes at det er
muligt at identificere brugernes interesser og maringlrette annonceringen
Eksempel Umiddelbar information til brugeren
rdquoVi bruger cookies til statistik og til maringlrettet markedsfoslashring ogsaring fra os selv og vores an-
noncoslashrer ndash se her hvilke Laeligs her mere om vores brug af cookies herunder hvordan du
fravaeliglger brug af cookiesrdquo
Kravet til samtykke
Som ovenfor naeligvnt er den centrale aeligndring af reglerne kravet om indhentelse af in-formeret samtykke fra brugeren ved anvendelse af cookies eller lignende teknologier der foslashlger af cookiebekendtgoslashrelsens sect 3
Samtykke defineres i bekendtgoslashrelsens sect 2 stk 1 nr 8
Bekendtgoslashrelsens sect 2 stk 1 nr 8
sect 2 stk 1 nr 8) Samtykke Enhver frivillig specifik og informeret viljestilkendegivelse hvorved
slutbrugeren indvilliger i at der lagres oplysninger eller opnarings adgang til allerede lagrede oplysnin-
ger i slutbrugerens terminaludstyr
Da tjenester og deres brugere er vidt forskellige vil der vaeligre stor forskel paring hvordan et samtykke bedst indhentes
Kravet om samtykke skal sikre at brugere har reel kontrol med hvorvidt der lagres el-ler tilgarings oplysninger i deres terminaludstyr Naringr samtykket skal indhentes er det der-for vaeligsentligt at holde sig brugerens kontrolmuligheder for oslashje herunder brugerens reelle muligheder for at vurdere formaringlet med lagringen eller tilgangen til oplysnin-gerne
Reglerne giver i udgangspunktet tjenester et stort mulighedsrum til at vaeliglge hvordan samtykket bedst kan indhentes paring en maringde der fungerer i deres konkrete kontekst
At samtykket skal vaeligre frivilligt indebaeligrer bla at brugere skal have et faktisk valg
Det er ikke et krav at hjemmesider kan fungere uden brug af cookies eller lignende teknologier hvorfor afvisning af cookies kan medfoslashre at brugerens eneste mulighed er at forlade hjemmesiden Virksomheder har selvsagt et incitament for at deres hjem-meside er tilgaeligngelig men det er ikke lovstridigt at have loslashsninger der afskaeligrer bru-gere som ikke vil acceptere brugen af cookies
For offentlige hjemmesider kan der vaeligre andre overvejelser idet adgangen til offentlige tjenester gerne skulle vaeligre tilgaeligngelig for alle
I frivilligheden af samtykket ligger ogsaring at brugere skal have mulighed for at tilbage-kalde et allerede afgivet samtykke jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 4
Vejledning20
At samtykket skal vaeligre specifikt indebaeligrer bla at samtykket skal vaeligre praeligcist og vel-afgraelignset Samtykket behoslashver imidlertid ikke relatere sig til hver enkelt lagring af eller adgang til oplysninger i brugernes terminaludstyr I stedet boslashr samtykket knytte sig til det formaringl der ligger til grund for lagringen af eller adgangen til oplysningerne jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 2
Hvis lagring af eller adgang til oplysninger paring et senere tidspunkt benyttes til formaringl der raeligkker ud over hvad der tidligere er indhentet samtykke til skal der indhentes et nyt samtykke der omfatter det nye formaringl
At samtykket skal vaeligre informeret understoslashttes af kravene til information i bekendtgoslash-relsens sect 3 stk 2 hvor ikke mindst formaringlet med lagringen er vaeligsentligt Som del af et informeret samtykke boslashr brugere ogsaring oplyses om konsekvenserne af deres (fra)valg Saringdanne konsekvenser kan fx vaeligre at brugere ikke kan faring adgang til (dele af) tjenesten som ovenfor beskrevet hvis samtykket afslarings eller at et samtykke medfoslashrer at 3 parter faringr mulighed for at lagre eller tilgaring allerede lagrede oplysninger i brugeres terminalud-styr
Brugeres viljetilkendegivelse staringr helt centralt i indhentningen af et samtykke En tjene-steudbyder har pligt til at identificere en aktiv handling fra sine brugere der med rime-lighed kan tages til indtaeliggt for en tilkendegivelse af deres vilje paring et informeret grund-lag Det skal dog understreges at vilje kan tilkendegives paring en lang raeligkke forskellige maringder og at reglerne i bekendtgoslashrelsen ikke tager specifikt stilling til hvordan denne skal komme til udtryk
En viljestilkendegivelse kan vaeligre mange ting herunder eksempelvis
bull afkrydsning af en boks klik paring en knap eller udfyldelse af en formular i sammenhaeligng med rele-
vant information paring en tjeneste
bull aktiv brug af en tjeneste hvor det maring forventes at brugeren er informeret om at der vil ske lag-
ring af eller adgang til oplysninger (saringfremt dette ikke er afslaringet)
Kommissionen har tilkendegivet overfor Erhvervsstyrelsen at aktiv brug af en tjeneste som ovenfor beskrevet er i overensstemmelse med e-Databeskyttelsesdirektivet og ac-cepteres i de fleste medlemslande Det afgoslashrende er at der kan identificeres en aktiv handling eksempelvis at der klikkes videre paring siden og at brugeren har en forstaringelse af at de ved denne handling accepterer cookies dvs det er ikke nok bare generelt at informere om at hjemmesiden bruger cookies det skal praeligciseres at cookies saeligttes ved at brugeren eksempelvis klikker videre
Der vil vaeligre stor forskel paring hvordan samtykket bedst indhentes Det er den enkelte tjeneste selv der har de bedste forudsaeligtninger for at vaeliglge en loslashsning der overholder samtykkekravet og giver tjenestens brugere reel mulighed for at tilkendegive deres vilje paring et informeret grundlag
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt at defi-nere praeligcist hvordan brugere i konkrete tilfaeliglde skal tilkendegive sin vilje Bekendt-goslashrelsens samtykkekrav giver derfor tjenester et stort mulighedsrum til at udvikle nye og innovative loslashsninger der oslashger brugerkontrollen og gennemsigtigheden
Vejledning 21
Eksempel Samtykke
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Accepter cookies Afvis cookies Laeligs mere her om vores brug af cookies herunder hvordan
du fravaeliglger cookies igenrdquo
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Klikker du videre paring siden accepterer du at der saeligttes cookies til disse formaringl Laeligs mere
her om vores brug af cookies herunder hvordan du fravaeliglger brugen af cookiesrdquo
Hvis brugere vaeliglger ikke at give samtykke til lagringen af oplysninger eller vaeliglger at tilbagekalde et samtykke stilles der som ovenfor naeligvnt i bekendtgoslashrelsen ikke noget krav til at brugere fortsat skal have adgang til indhold paring en tjeneste
Erhvervsstyrelsen er opmaeligrksom paring at kravet om forudgaringende samtykke kan vaeligre teknisk udfordrende for en del hjemmesider der saeligtter cookies allerede naringr brugeren tilgaringr siden saeligrligt for at sikre statistik om hvor mange der besoslashger en hjemmeside og hvor de kommer fra
Direktivet stiller et grundlaeligggende krav om informeret samtykke Nogle lande har valgt at haringndhaeligve samtykkekravet saringledes at det undtagelsesvis i saeligrlige tilfaeliglde ac-cepteres at cookies kan lagres forud for at brugeren har givet samtykke hertil UK fastslaringr eksempelvis i deres vejledning til reglerne at samtykke saring vidt muligt skal ind-hentes foslashr der saeligttes cookies men accepterer dog at det ikke altid sker Hvor det ikke er muligt at indhente samtykke foslashr cookies lagres laeliggges der i UKrsquos vejledning imid-lertid vaeliggt paring virksomhedernes indsats for at sikre information til brugerne og deres mulighed for at give samtykkeafvise cookies hurtigst muligt ligesom der laeliggges vaeliggt paring at virksomhederne begraelignser adgangen til sessions cookies
Der er behov for en naeligrmere afklaring fra Kommissionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside eje-rens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Samtykke ved browserindstillinger er ikke anerkendt i Danmark paring nuvaeligrende tids-punkt og kun i faring af de oslashvrige EU-medlemslande Den generelle holdning er at de browserloslashsninger som findes paring markedet i dag ikke i tilstraeligkkelig grad sikrer mod brugen af cookies hvor brugeren har fravalgt det Med de eksisterende browsere er det ikke muligt at differentiere sit samtykke tilstraeligkkelig nuanceret saring det reelt bliver et rdquoja takrdquo til alle cookies eller rdquonej takrdquo til alle cookies hvorefter brugeren vil kunne op-leve betydelige begraelignsninger i forhold til indhold af forskellige tjenester paring nettet
Samtykket varer i udgangspunktet indtil forholdene aeligndres Brugeren skal hele tiden have en let adgang til at traeligkke samtykket tilbage
Undtagelser
Bekendtgoslashrelsens sect 4 indeholder to undtagelser til kravet om informeret samtykke fra brugeren forud for anvendelsen af cookies Er der tale om indsamling af data som falder under undtagelsesbestemmelserne vil der efter lovgivningen ikke stilles krav om hverken information eller samtykke Det kan imidlertid vaeligre en anbefaling ogsaring her at give information og indhente samtykke ud fra en betragtning om at fuldstaeligndig gennemsigtighed oslashger tilliden til internettet og derfor kan vaeligre gavnlig for en e-hand-ler eller udbyder af tjenesteydelser paring nettet Det skal ogsaring her vurderes hvorvidt situa-tionen kan vaeligre omfattet af reglerne om beskyttelse af persondata
Vejledning22
Bekendtgoslashrelsens sect 4
sect 4 Uanset sect 3 kan fysiske eller juridiske personer lagre oplysninger eller opnaring adgang til oplysninger
der allerede er lagret i en slutbrugers terminaludstyr hvis
1) lagringen af eller adgangen til oplysninger alene sker med det formaringl at overfoslashre kommunikation
via et elektronisk kommunikationsnet eller
2) lagringen af eller adgangen til oplysninger er paringkraeligvet for at saeligtte tjenesteyderen af en informa-
tionssamfundstjeneste som slutbrugeren udtrykkeligt har anmodet om i stand til at levere denne
tjeneste
Stk 2 Lagring af eller adgang til oplysninger i en slutbrugersterminaludstyr er paringkraeligvet jf stk 1
nr 2 hvis lagringen af eller adgangen til oplysninger er en teknisk forudsaeligtning for at kunne levere
en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
Erhvervsstyrelsen laeliggger i fortolkningen af undtagelsesbestemmelserne vaeliggt paring udta-lelser fra den saringkaldte Artikel 29 gruppe som er omtalt i forordet og som i juni 2012 offentliggjorde et dokument vedroslashrende undtagelsesbestemmelserne i e-Datadirekti-vet efter aeligndringerne i 2009 Det er vigtigt her at understrege at der ikke er tale om et juridisk bindende dokument men gruppens fortolkninger stoslashttes i vid udstraeligkning af EU Kommissionen og bredt i medlemsstaterne Et link til Artikel 29 gruppens udta-lelse foslashlger af kapitel 5 rdquoLinks til lovgivning og direktiverrdquo
1 undtagelse Cookies i forbindelse med opkobling til internettetDet er Erhvervsstyrelsens vurdering at sect 4 stk 1 nr 1 alene er moslashntet paring udbydere af internetforbindelser og den lagring af eller adgang til oplysninger i brugeres terminal-udstyr der maringtte finde sted som en del af opkoblingen til internettet og vedligehol-delse heraf
2 undtagelse Cookies der sikrer funktionaliteten af en tjeneste som brugeren har bedt omsect 4 stk 1 nr 2 har derimod et bredere anvendelsesomraringde
For at vaeligre omfattet af undtagelsesbestemmelsen i sect 4 stk 1 nr 2 skal to krav vaeligre opfyldt For det foslashrste skal brugeren udtrykkeligt have anmodet om tjenesten For det andet skal lagringen af eller adgangen til oplysninger i brugerens terminaludstyr vaeligre paringkraeligvet for leveringen af denne tjeneste Begge krav skal vaeligre opfyldt
Brugerens faeligrden paring nettet eller besoslashg paring en specifik hjemmeside kan ikke tages som et udtryk for en generel anmodning om de tjenester der her tilbydes
Hvorvidt lagring af oplysninger eller adgang til allerede lagrede oplysninger er paringkraelig-vet uddybes i sect 4 stk 2 hvorefter der skal vaeligre tale om en teknisk forudsaeligtning for at kunne levere en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
For at vaeligre en teknisk noslashdvendighed skal tjenesten ikke kunne fungere uden brug af cookiersquoen eller en lignende teknologi Samtidig er det vigtigt at der er en klar sammen-haeligng mellem den rdquoparingkraeligvederdquo teknologi og brugerens udtrykkelige anmodning om tjenesten
Med hensyn til tjenestens formaringl boslashr der laeliggges vaeliggt paring det formaringl med hvilket bru-gere tilgaringr tjenesten eller hjemmesiden
Cookies eller lignende teknologier der opfylder kravene til at vaeligre omfattet af undta-gelsen maring ikke anvendes med andre formaringl for oslashje I saring fald skal brugeren informeres og give samtykke til disse andre formaringl
Vejledning 23
Det har betydning for vurderingen af om cookies kan undtages fra kravet om informe-ret samtykke om der er tale om sessionscookies eller vedvarende cookies og hvor den stammer fra Vedvarende cookies vil sjaeligldent falde under undtagelsesbestemmelsen
Eksempler paring undtagelser efter sect 4
Elektroniske indkoslashbskurve
- Brugen af elektroniske indkoslashbskurve i webshops hvor det er noslashdvendigt at kunne genkende bru-
geren paring tvaeligrs af sideskift (genindlaeligsninger af webshoppen) da indkoslashbskurven ellers vil vaeligre tom
ved visning af en ny side Lagring af fx en cookie eller lignende teknologi er dermed en teknisk for-
udsaeligtning for at kunne levere den tjeneste (e-handel) som brugeren udtrykkeligt har anmodet om
(tilgaringet webshoppen og lagt varer i indkoslashbskurven) Indkoslashbskurven fungerer desuden i overensstem-
melse med det formaringl (at koslashbe varer) med hvilket brugeren tilgaringr webshoppen
Log-in situationer
- Anvendelse af log-in (eksempelvis ved netbank offentlige selvbetjeningsloslashsninger eller ved ad-
gang til saeligrlige netvaeligrk) hvor cookies sikrer at brugeren logges ind med brug af brugernavn
passwords og forbliver logget ind uden igen at skulle indtaste saringdanne koder Det er vigtigt at
understrege at det alene er selve log-in funktionen der er undtaget men ikke noslashdvendigvis cookies
som saeligttes ved aktiviteter efter log-in funktionen
Andre undtagelser
Brugerdefinerede browserindstillinger ndash eks valg af land sprog eller skriftstoslashrrelse
- Disse cookies kan vaeligre undtaget fra kravet om informeret samtykke i det omfang at disse udtryk-
kelig aktiveres af brugeren fx ved at klikke paring en knap eller afkrydse en rubrik og ikke benyttes til
andre formaringl og ikke i laeligngere tid end en browsersession
Authentificeringscookies
Cookies der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider
Brugervalideringscookies
Cookies der anvendes til at sikre mod (gentagne) fejl ved log-in
Multimedia player cookies
Cookies der anvendes til at regulere netvaeligrkshastighed eller billedkvalitet og til at aktivere play back
video- eller lydfiler
Plug-ins til sociale medier
Cookies der giver muligheden for enten at dele indholdet af en hjemmeside eller rdquolikerdquo indholdet via
det sociale medie Cookien saeligttes alene for at dirigere brugeren over paring den sociale hjemmeside og
logge ind her Den har alene betydning for brugere af sociale netvaeligrk der allerede er logget ind her
Bruges cookien til at tracke brugeren rundt paring nettet vil den ikke vaeligre omfattet
Load balancing
Cookies der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en
service
Det er Erhvervsstyrelsens vurdering at cookies der husker at en bruger har sagt rdquonej takrdquo til cookies er undtaget kravet om informeret samtykke da der er tale om et oslashnske fra brugeren og den er noslashdvendig for at huske indstillingen
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning4
FORORD
Dette er en opdateret udgave af den gaeligldende vejledning til bekendtgoslashrelse nr 1148 af 9 december 2011 om krav til information og samtykke fra brugeren ved lagring af eller adgang til allerede lagrede oplysninger i slutbrugers terminaludstyr herefter cookiebe-kendtgoslashrelsen Vejledningen blev foslashrste gang udsendt sammen med bekendtgoslashrelsen ved dennes ikrafttraeligden i december 2011 Bekendtgoslashrelsen gennemfoslashrer e-databe-skyttelsesdirektivet der bla indfoslashrer krav om informeret samtykke fra brugeren af en nettjeneste til lagring af cookies
Cookiebekendtgoslashrelsen har faringet sit kaldenavn efter navnet paring de smaring tekstfiler som den regulerer og som lagres paring en brugers computer eller andet elektronisk udstyr via bla Internettet Cookies muliggoslashr genkendelse af computeren eller udstyret i forbin-delse med brugerens faeligrden i den digitale verden
Siden cookiebekendtgoslashrelsens ikrafttraeligden har reglerne vaeligret debatteret bredt idet baringde virksomheder og offentlige myndigheder bla har paringpeget uklarheder og betyde-lige tekniske udfordringer ved den praktiske efterlevelse af EU-reglerne Formaringlet med den opdaterede vejledning er derfor at hjaeliglpe virksomheder og offentlige myndighe-der i gang og praeligsentere en mere praktisk tilgang til hvordan reglerne kan efterleves
Den opdaterede vejledning aeligndrer ikke paring fortolkningen af de essentielle krav til in-formation og samtykke i relation til cookies og lignende teknologier men indeholder praeligciseringer saeligrligt i forhold til
En indledende tekst omkring cookies og deres egenskaberAnsvar for 3 parts cookiesEksempler paring informationens tilgaeligngelighedHvilke cookies der er undtaget fra informations- og samtykkekravet Erhvervsstyrelsens tilsyn med reglerne
Opdateringen indeholder desuden flere praktiske eksempler samt en teknisk guide til virksomheder og offentlige myndigheder med inspiration til den praktiske implemen-tering af cookiereglerne paring de danske hjemmesider
Der laeliggges med den tilhoslashrende tekniske guide op til at virksomhederne foretager en naeligrmere analyse af hjemmesiders brug af cookies og lignende teknologier samt en kategorisering af cookies paring baggrund af deres forskellige egenskaber Lovgivningen omfatter alle typer af cookies men en kategorisering af disse kan vaeligre en hjaeliglp for den hjemmesideansvarlige til angivelse af formaringlet med de forskellige cookies som hjem-mesiden bruger og herved sikring af fyldestgoslashrende information til brugeren Endvi-dere vil cookiens karakter have betydning for vurderingen af informations- og samtyk-kekravet ud fra en betragtning af cookiens effekt i forhold til brugerens privatliv
Erhvervsstyrelsen er i taeligt dialog med Kommissionen og andre medlemsstater for at sikre en ensartet tilgang til reguleringen der som naeligvnt er baseret paring EU-lovgivning1 Der laeliggges saringledes vaeliggt paring at den danske fortolkning og haringndhaeligvelse af reglerne er i traringd med opfattelsen hos Kommissionen og de oslashvrige medlemslande Dialogen med Kommissionen og de oslashvrige medlemsstater fortsaeligttes med henblik paring at droslashfte reg-lerne og haringndhaeligvelsen heraf ogsaring i lyset af den teknologiske udvikling Endvidere foslashlges droslashftelserne af direktivet i den saringkaldte Artikel 29 Gruppe som er nedsat i hen-
1 Europa-Parlamentets og Raringdets Direktiv 200258EF om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor som aeligndret ved direktiv 2009136EF
Vejledning 5
hold til de generelle databeskyttelsesregler i Databeskyttelsesdirektivet2 Vejledningen vil i den forbindelse blive opdateret i det omfang der maringtte vaeligre behov herfor
Dialogen med Kommissionen og de oslashvrige medlemslande viser en bred enighed om fortolkningen af samtykkereglerne i EU men nogle lande haringndhaeligver i praksis samtyk-kekravet saringledes at det i saeligrlige tilfaeliglde accepteres at cookies lagres forud for at bru-geren har givet samtykke hertil Der er behov for en naeligrmere afklaring fra Kommis-sionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende informa-tion til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Erhvervsstyrelsen April 2013
2 Europa-Parlamentets og Raringdets direktiv 199546EF om beskyttelse af fysiske personer i forbindelse med behandling af per-sonoplysninger og om fri udveksling af saringdanne oplysninger
Vejledning6
1 INDLEDNING
Vejledningen understoslashtter reglerne i cookiebekendtgoslashrelsen der stiller krav om at hjemmesider der goslashr brug af teknologier til at lagre eller laeligse oplysninger paring en bru-gers computer eller andet it-udstyr (saringkaldte cookies) sikrer samtykke hertil fra bruge-ren af hjemmesiden inden teknologien anvendes
Cookiebekendtgoslashrelsen der traringdte i kraft 14 december 2011 implementerer e-databe-skyttelsesdirektivet3 med seneste aeligndringer fra 20094 hvormed samtykkekravet blev indfoslashrt
Reglerne er indfoslashrt for at oslashge beskyttelsen af privatlivet naringr vi bevaeligger os i den digi-tale verden Cookies indsamler data om brugeren af digitale tjenester ved at tilgaring bru-gerens computer eller andet terminaludstyr der anses for at vaeligre en del af brugerens privatsfaeligre Indsamlingen af data via cookies goslashr det muligt at genkende brugerens computer og foslashlge brugerens faeligrden paring nettet
Cookiereglerne skal laeligses i lyset af reglerne om beskyttelse af persondata hvor cookie-reglerne regulerer indsamling af data i bredere forstand idet der ikke skelnes til om der er tale om oplysninger der kan identificerer en person
Virksomhederne og offentlige myndigheder benytter sig i hoslashjere og hoslashjere grad af den digitale platform paring internettet og bruger mulighederne for den ofte lettere adgang her til kunder og brugere end i den fysiske verden Samtidig er de udfordret af flygtigheden hos brugerne paring nettet og den manglende personlige relation i den digitale verden Anvendelsen af teknologier som cookies giver mulighed for at skabe relationen med bedre brugeroplevelser og maringlrettede ydelser Cookies kan saringledes vaeligre en stor hjaeliglp for brugeren bla ved gentagne besoslashg paring hjemmesider hvor brugerens indstillinger og evt indtastede oplysninger huskes ved hjaeliglp af cookies og derfor ikke skal indtastes igen Cookies kan ogsaring bruges til at foslashlge brugerens faeligrden paring en enkelt hjemmeside eller paring tvaeligrs af hjemmesider og give grundlag for bla statistik og maringlrettede annon-cer og tjenester fra hjemmesideejeren selv eller fra 3 parter som eksempelvis udbydere af webstatistikmoduler reklame- eller mediebureauer Cookies er med til at styrke innovation og udvikling paring det digitale marked
Sigtet med reglerne er heller ikke at forbyde brugen af cookies men at oslashge gennemsig-tigheden med de processer der understoslashtter brugernes faeligrden paring Internettet baseret paring data indsamlet hos brugeren og samtidig sikre at brugeren fortsat har kontrollen med hvad disse data bruges til Reglerne laeliggger vaeliggt paring at den enkelte bruger skal have en reel mulighed for at til- eller fravaeliglge lagring af cookies Herved sikres tilliden til internettet der ogsaring er en afgoslashrende faktor for den fortsatte udvikling af det digitale marked
Cookies er i almindelighed passive filer der kan lagres eller tilgarings i brugeres terminal-udstyr men ikke interagere eller manipulere med udstyr eller oplysninger
Den viden der indsamles via cookies eller lignende teknologier kan imidlertid som ovenfor naeligvnt benyttes til en lang raeligkke forskellige formaringl fx personalisering og ud-vikling af mere brugervenlige tjenester generering af analyser om brugen af en hjem-meside eller maringlretning af adfaeligrdsbaseret markedsfoslashring til brugeren Afhaeligngig af den enkelte brugers personlige holdninger kan disse formaringl vaeligre mere eller mindre oslashnskvaeligrdige
3 Europa-Parlamentets og Raringdets direktiv 200258EF om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor
4 Europa-Parlamentets og Raringdets direktiv 2009136EF
Vejledning 7
Hertil kommer at cookies kan og ofte saeligttes af andre end hjemmesiden selv hvilket ikke altid er aringbenlyst for brugeren og kan goslashre det vanskeligt for brugeren at gennem-skue det reelle formaringl Det er her saeligrligt vigtigt at sikre brugerens opmaeligrksomhed paring at cookies kan foslashlge med fra en hjemmeside til en anden og foslashlge brugerens faeligrden rundt paring nettet Samtidig er det vigtigt at ejeren af hjemmesiden selv har kontrol over hvilke cookies der saeligttes og hvem der via hjemmesiden faringr adgang til brugerens data Har ejeren af hjemmesiden ikke denne kontrol bliver det dels meget vanskeligt eller umuligt at indhente et reelt informeret samtykke fra brugeren samtidig med at der kan vaeligre risiko for at andre aktoslashrer misbruger brugerens data eller udnytter data i mod-strid med ejeren af hjemmesidens egne interesser
I lyset af de forskellige egenskaber ved cookies og udnyttelsen heraf der skifter kon-stant i takt med den teknologiske udvikling og det voksende digitale marked er det noslashdvendigt at styrke den generelle oplysning af brugerne for at opfylde lovgivningens formaringl om at det er brugerne der paring et informeret grundlag skal beslutte om de vil tillade adgangen til oplysningerne
En analyse lavet af Foreningen for Dansk Internethandel FDIH5 viser at kendskab til cookies er stigende hos forbrugerne og at 2 ud af 3 forbrugere ved hvad en cookie er Det er overvejende aeligldre forbrugere der kender til cookies Analysen viser endvidere at halvdelen af dem som svarer ja til kendskab til cookies ogsaring aktivt har vaeligret inde og aeligndre i deres browserindstillinger for at forhindre eller begraelignse accepten af cookies For den gruppe som svarede nej til kendskabet til cookies og som primaeligrt bestaringr af yngre internetbruger afviser over 2 tredjedele imidlertid at have planer om fremadret-tet at aeligndre i browserindstillinger for at forhindre eller begraelignse accepten af cookies
Analysen viser at der er en stor forskel paring brugernes opfattelse af cookies og holdning til om cookies er noget man lever med eller oslashnsker at undgaring Den stigende brugerbe-vidsthed i forhold til cookies og anvendelsen heraf er imidlertid en faktor som baringde virksomheder og offentlige myndigheder boslashr forholde sig til
Naeligrvaeligrende vejledning uddyber reglerne i cookiebekendtgoslashrelsen saeligrligt de essen-tielle krav til information og samtykke og giver bud paring praktiske loslashsninger til hjem-mesideejerne Kompleksiteten og mangfoldigheden af digitale tjenester i dag goslashr det hverken muligt eller hensigtsmaeligssigt at beskrive i detaljen hvordan reglerne skal efter-leves men bekendtgoslashrelsen tegner sammen med denne vejledning en ramme eller et mulighedsrum hvori tjenesteudbydere kan finde inspiration til loslashsninger der passer til deres konkrete kontekst Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsig-tigheden og kontrollen for brugerne De eksempler der er med i vejledningen og i den tekniske guide til virksomheder er derfor ogsaring alene eksempler og ikke anvisninger paring endegyldige loslashsninger
Hjemmesideejere etableret i andre lande udover Danmark skal vaeligre opmaeligrksomme paring at de maringske ikke kan noslashjes med at indrette deres loslashsninger efter den danske lovgiv-ning jf vejledningens afsnit rdquoHvor gaeliglder hvilke reglerrdquo De danske cookieregler er baseret paring harmoniseret EU lovgivning der dog alene fastsaeligtter minimumskrav i for-bindelse med anvendelse af cookies og lignende teknologier I Danmark er reglerne implementeret med en tekstnaeligr gengivelse af direktivets bestemmelser og der er ikke indfoslashrt strengere regler
Vejledningen afspejler Erhvervsstyrelsens tilsyn med cookiereglerne der laeliggger vaeliggt paring hjemmeside ejernes indsats for at overholde reglerne og skabe gennemsigtighed for deres brugere paring nettet I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervs-styrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i
5 FDIHrsquos e-handels analyse fra 2012
Vejledning8
forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjemmesidens indsats ud fra de 5 processkridt som er givet i den tekniske guide jf vejledningens kapitel 6
Vejledning 9
2 REGLERNE
Baggrund
I forbindelse med revisionen af de europaeligiske teledirektiver i 20082009 indfoslashrtes aelign-dringen af e-databeskyttelsesdirektivets artikel 5 stk 3 der omhandler lagring af eller adgang til oplysninger i brugeres terminaludstyr fx computere smartphones eller tab-lets AEligndringen bestaringr saeligrligt i indfoslashrelse af et krav om indhentning af samtykke fra brugerne i forbindelse med lagring af eller adgang til oplysninger i brugerens terminal-udstyr
e-Databeskyttelsesdirektivets artikel 5 stk 3 indeholder en henvisning til persondata-beskyttelsesdirektivet6 og skal derfor laeligses sammen med de generelle regler om per-sondatabeskyttelse som er implementeret i dansk ret ved Lov om behandling af per-sonoplysninger7 Lov om behandling af personoplysninger opstiller generelle krav i forbindelse med behandling af personhenfoslashrbare oplysninger
AEligndringen af e-Databeskyttelsesdirektivet kom ind for at oslashge beskyttelsen af bruger-nes privatsfaeligre naringr de faeligrdes i en digital verden hvilket man ikke mente var opfyldt i tilstraeligkkelig grad af persondatabeskyttelsesreglerne eller den davaeligrende bestemmelse i e-databeskyttelsesdirektivet Privatlivsbeskyttelsen underbygges endvidere af Det Europaeligiske Charter for grundlaeligggende rettigheder som blev gjort juridisk bindende med Lissabontraktatens ikrafttraeligden
Cookiebekendtgoslashrelsen
AEligndringen af e-Databeskyttelsesdirektivet er implementeret i dansk ret med Bekendt-goslashrelse nr 1148 af 9 december 2011 om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr (Cookiebekendtgoslashrelsen) som er udstedt i medfoslashr af sect 9 og sect 81 stk 2 i lov nr 169 af 3 marts 2011 om elektro-niske kommunikationsnet og -tjenester
Formaringl og afgraelignsning
Hvad beskytter reglerneReglerne har til formaringl at beskytte brugernes privatsfaeligre Med reglerne anlaeliggges den betragtning at brugernes terminaludstyr udgoslashr en del af brugerens privatsfaeligre der skal beskyttes mod uretmaeligssig indtraeligngen
Terminaludstyr omfatter computere og mobile enheder som smartphones tablets mv hvori der kan lagres oplysninger eller opnarings adgang til allerede lagrede oplysninger
Den beskyttede er brugeren af et elektronisk kommunikationsnet eller ndashtjeneste som ikke paring kommercielt grundlag stiller de paringgaeligldende elektroniske kommunikationsnet eller- tjenester til raringdighed for andre dvs alle brugere af en computer eller en mobil enhed
Beskyttelsen knytter sig til terminaludstyret der som ovenfor naeligvnt anses for at vaeligre en del af ejerens privatsfaeligre
6 Direktiv 9546EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af saringdanne oplysninger
7 Lov nr 429 af 31 maj 2000 om behandling af personoplysninger
Vejledning10
Reglerne finder alene anvendelse paring offentligt tilgaeligngelige kommunikationsnet eller -tjenester og ikke paring virksomheders intranet og lignende lukkede brugergrupper At der kraeligves log-in for at faring adgang til et netvaeligrk medfoslashrer dog ikke i sig selv at der er tale om en lukket brugergruppe hvor cookiereglerne ikke finder anvendelse Det vil bero paring en konkret vurdering
Reglerne tager ikke hoslashjde for tilfaeliglde af flere brugere af det samme terminaludstyr Brugere skal vaeligre opmaeligrksomme paring at hvis de enten laringner en computer tablet mobil-telefon mv ud eller bruger en andens terminaludstyr saring accepterer de udstyrets ind-stillinger herunder accept af cookies og lignende teknologier Hvis brugeren af termi-naludstyret oslashnsker at sikre sig herimod maring det bero paring en aftale mellem ejerenlaringneren af udstyret
Det samme gaeliglder i det omfang man anvender en offentlig tilgaeligngelig computer ek-sempelvis paring biblioteket idet en bruger som udgangspunkt ikke kan gardere sig imod tidligere brugeres indstillinger Det er Erhvervsstyrelsens vurdering at denne brug ikke er omfattet af cookiereglernes beskyttelsesformaringl i forhold til brugerens privatsfaeligre Det er ikke hjemmesidernes ansvar at soslashrge for samtykke fra samtlige brugere eller indrette deres hjemmesider efter at siden kan tilgarings fra en offentlig tilgaeligngelig compu-ter
Hvilke teknologier er omfattetDer gives ikke i bekendtgoslashrelsen en naeligrmere definition af de teknologier som be-kendtgoslashrelsen regulerer udover selve beskrivelsen i bestemmelsen i sect 3 stk 1
Reglerne er teknologineutrale Bekendtgoslashrelsen raeligkker ud over lagring af eller adgang til oplysninger i brugeres terminaludstyr som finder sted i forbindelse med en opkob-ling til internettet og omfatter saringledes ogsaring lagring af eller adgang til oplysninger fra eksterne medier som fx USB-noslashgler CDrsquoer CD-ROMrsquoer eksterne harddiske eller lig-nende
For saring vidt angaringr den form det format eller den standard oplysninger lagres i omfatter bekendtgoslashrelsen ikke blot rdquoklassiskerdquo http-cookies men enhver form for lignende tek-nologier herunder ogsaring fx Flash-cookies (Local Shared Objects) Web Storage (HTML5) Javascripts eller cookies sat ved brug af Microsoft Silverlight
Cookies kan have forskellig levetid idet de kan stoppe ved udloslashbet af en browser ses-sion (dvs fra brugeren aringbner et browservindue til dette lukkes igen) eller de kan vare laeligngere tid og daeligkke flere browser-sessioner saringledes at de kan foslashlge brugeren rundt paring internettet
En cookie kan endvidere deles ind i 1 parts cookies og 3 parts cookies alt efter hvem der placerer cookiersquoen paring en hjemmeside
1 parts cookies er de cookies der placeres af ejeren af hjemmesiden der er den som brugeren umiddelbart interagerer med 3 parts cookies er dem som placeres paring en hjemmeside af 3 mand hvor denne eller andre faringr adgang til den data der indsamles
Vejledning 11
1 part 3 part
Cookies der saeligttes af hjemmesiden som brugeren besoslashger hvis adresse fremgaringr af URL vinduet
Cookies der saeligttes af andre end den hjemmeside brugeren besoslashger
Sessions cookies
Udloslashber enten i loslashbet af eller ved udgangen af en browser-session
EksbullStyring af grafikbullBesoslashgsstatistikbullBrugerindstillingbull IndkoslashbskurvbullBetalingsmodul bullSikkerheds-pro-
cedurer ved netbank
Eks bullStatistikbullHvor 3 part
leverer ydelser som beskrevet under eks paring 1 parts cookies er det afgoslashrende hvem der har adgang til brugerens data i forhold til om der er tale om 3 parts cookies
Baringde for 1 og 3 parts cookies vurderes sessions cookies ofte at vaeligre mindre indgribende i forhold til bruge-rens privatliv
Persistent cookies
Varer flere browser sessioner og kan foslashlge brugeren rundt paring nettet Kan vare fra timer til flere aringr
Eks bullHuske bruger-
indstillinger som navn og adresse sprog log-in naeligste gang brugeren besoslashger hjemme-siden udover en browser-session
bullTracking - enten genkende brugere fra tidligere besoslashg eller foslashlge brugeren til andre hjemmesi-der
EksbullTracking 1 parts cookies for
brugerindstilling Vurderes at vaeligre mindre indgribende i forhold til brugerens privatliv
Tracking cookies ndash baringde fra 1 part og 3 part anses for mere indgribende i brugerens privat-sfaeligre
Lovgivningen skelner for saring vidt angaringr informations- og samtykkekravet ikke mellem de forskellige typer af cookies men omfatter alle cookies uanset levetid og hvor de stammer fra
Som det fremgaringr nedenfor vil en cookies karakter i praksis kunne spille ind ved vurde-ringen af hvorvidt informations- og samtykkekravet er opfyldt da det her er afgoslashren-de at brugeren kender til cookiens funktion herunder ogsaring hvem der staringr bag cookien og hvem der herfra faringr adgang til indsamlet data
Hvilke handlinger er omfattetBekendtgoslashrelsen vedroslashrer alene den handling der bestaringr i lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr Handlinger der finder sted foslashr eller efter lagringen af eller adgangen til oplysninger i en brugeres terminaludstyr
Vejledning12
er ikke omfattet af reglerne i cookiebekendtgoslashrelsen Saringdanne handlinger kan i stedet vaeligre omfattet af de generelle bestemmelser om beskyttelse af persondata
Foslashlgende tabel giver en oversigt over graelignsefladerne mellem cookiebekendtgoslashrelse og persondataloven
Tabel 1 Anvendelsesomraringder for cookie-bekendtgoslashrelsen og persondataloven
Cookie-bekendtgoslashrelsen Persondataloven
Beskyttelsesobjekt Brugerens terminaludstyr forstaringet som en del af privatsfaeligren
Personoplysninger (ikke kun i terminaludstyr)
Omfattede oplysnings-typer
Alle oplysninger uden sondring
Som udgangspunkt kun personoplysninger Dog er oplysninger om virksomheder mv omfattet i saeligrlige tilfaeliglde
Omfattede behandlings-former
Lagring af eller adgang til oplysninger i en brugers terminaludstyr
Enhver behandling af personoplysninger inden for lovens anvendelsesomraringde hvor der ikke er saeligrregler i anden lovgivning der traeligder i stedet for
Kriterier for behandling(behandlingshjemmel)
HR Fyldestgoslashrende informa-tion til og samtykke fra brugerU Bekendtgoslashrelsens sect 4
Udtrykkelig samtykke er blot eacutet af flere mulige behandlingskriterier
Der er et overlap mellem cookiebekendtgoslashrelsen og persondataloven for saring vidt angaringr lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr naringr de indsamlede oplysninger er personoplysninger Kravet om informeret samtykke i cookiereglerne giver her en bedre beskyttelse af brugeren end persondatabeskyttelses-reglerne der omfatter en raeligkke situationer hvor informeret samtykke ikke er paringkraeligvet
Ved lagring af og adgang til allerede lagrede oplysninger som er personoplysninger i terminaludstyr vil cookiebekendtgoslashrelsen dermed garing forud for persondataloven jf Persondatalovens sect 2
I praksis vil det imidlertid forekomme at der udover lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr ogsaring finder andre behandlinger af op-lysninger sted
For eksempel naringr behandlingerne transmitteres til indsamles eller viderebehandles paring en server Saringdanne behandlingsformer ligger uden for brugernes terminaludstyr og er ikke omfattet af cookiereglerne Afhaeligngigt af de konkrete omstaeligndigheder kan reg-lerne i persondataloven evt finde anvendelse her
Hvilke oplysninger er omfattetBekendtgoslashrelsen vedroslashrer enhver type af oplysninger der indsamles eller lagres paring brugerens terminaludstyr
Vejledning 13
Cookiereglerne regulerer midlet til indsamling af data Der sondres ikke her mellem personhenfoslashrbare og ikke personhenfoslashrbare oplysninger
Det er ligeledes uden betydning om oplysningerne er semantisk meningsfulde ufor-staringelige tekststrenge kode eller om oplysningerne er krypterede
Eksempel Lagring af eller adgang til allerede lagrede oplysninger til brug for webstatistik
En udbyder af en hjemmeside oslashnsker at lave en analyse af hvordan hjemmesidens brugere benytter
siden med henblik paring at forbedre brugeroplevelsen Til dette formaringl oslashnsker udbyderen af hjemme-
siden at placere cookies i brugernes terminaludstyr
Tjenesteudbyderen er omfattet af bekendtgoslashrelsens krav til information og samtykke for saring vidt
angaringr lagringen af cookies og eventuel senere adgang til disse cookies i brugernes terminaludstyr
Oslashnsker tjenesteudbyderen efterfoslashlgende at analysere oplysningerne der er indsamlet ved hjaeliglp af
de placerede cookies falder denne behandling udenfor cookiebekendtgoslashrelsens anvendelsesomraring-
de Det gaeliglder eksempelvis den videre behandling af oplysningerne hos tjenesteudbyderen til brug
for udarbejdelse af statistik
Hvem gaeliglder reglerne forAlle der lagrer eller opnaringr adgang til oplysninger i brugeres terminaludstyr er omfattet af reglerne (se ogsaring det efterfoslashlgende afsnit rdquoHvor gaeliglder hvilke reglerrdquo)
Hjemmesider der henvender sig til alle eller udelukkende til virksomheder vil saringledes vaeligre omfattet af reglerne saringfremt der benyttes cookies eller lignende teknologier paring hjemmesiden idet hjemmesider som udgangspunkt kan tilgarings af alle
Ejeren af en hjemmeside er ligeledes forpligtet efter reglerne i forbindelse med 3 parts lagring af eller adgang til oplysninger i brugeres terminaludstyr hvis dette sker via udbyderens tjeneste fx ved hjaeliglp af indlejret kode i en bannerreklame software ap-plikationer eller links
Ejeren af en hjemmeside behoslashver ikke selv staring for den praktiske og tekniske efterle-velse af reglerne (informering og indhentning af et samtykke fra brugeren) men kan aftale at 3 part haringndterer dette paring vegne af tjenesteudbyderen Ansvaret for at reglerne overholdes vil dog altid ligge hos udbyderen af en tjenesteydelse uanset hvad denne maringtte have aftalt med 3 part da man ifoslashlge cookiebekendtgoslashrelsen heller ikke maring lade 3 part lagre eller faring adgang til allerede lagrede oplysninger uden information til og sam-tykke fra slutbrugeren
Der gaeliglder ikke efter cookiereglerne et krav om indgaringelse af databehandlingsaftale som der gaeliglder efter Persondataloven men det kan vaeligre hensigtsmaeligssigt hvor man giver adgang for 3 part til indsamling af data via ens hjemmeside at indgaring en skriftlig aftale med henblik paring at afdaeligkke med hvilke formaringl 3 part indsamler data om bru-gerne idet dette formaringl skal vaeligre omfattet af informationen paring hjemmesiden for at samtykke fra brugeren kan anses for at vaeligre reelt og fyldestgoslashrende jf nedenfor under afsnittet om rdquoKrav om informeret samtykkerdquo
Ved indlejring paring egen hjemmeside af andres tjenester der eksempelvis hentes via in-ternettet vil aftalen med 3 part oftest bero paring en ensidig accept af 3 partens givne forretningsbetingelser og ikke give mulighed for forhandling af kontraktvilkaringr Man skal vaeligre opmaeligrksom paring at det her kan vaeligre vanskeligt at kontrollere 3 partens brug af data som evt indsamles via cookies eller lignende teknologier og derved ogsaring van-skeligt i sidste ende at sikre et reelt informeret samtykke fra brugeren
Vejledning14
Eksempel Indlejring af et kommentarmodul paring en hjemmeside
Et stoslashrre nyhedsmedie oslashnsker at indlejre et modul der saeligtter brugerne af deres hjemmeside i stand
til at kommentere indholdet paring hjemmesiden Nyhedsmediet kontakter til dette formaringl udbyderen
af et kommentarmodul der kan indlejres paring hjemmesider Nyhedsmediet og udbyderen af modulet
aftaler at modulet indlejres nederst paring alle nyhedsmediets sider
Udbyderen af kommentarmodulet vil gerne saeligtte cookies i brugernes terminaludstyr naringr brugerne
tilgaringr en side for at kunne foslashlge med i hvor meget modulet bliver brugt Nyhedsmediet aftaler der-
for med udbyderen af kommentarmodulet at sidstnaeligvnte soslashrger for at reglerne om lagring af eller
adgang til oplysninger i brugeres terminal- udstyr efterleves ved at der gives fyldestgoslashrende infor-
mation og indhentes samtykke fra brugerne
Nyhedsmediet er dog ansvarlig for at efterlevelsen af reglerne rent faktisk finder sted og dermed for
at der ikke sker en uretmaeligssig lagring i brugernes terminaludstyr naringr brugere tilgaringr nyhedsmediets
hjemmeside uanset hvad nyhedsmediet maringtte have aftalt med udbyderen af kommentarmodulet
Dette gaeliglder altsaring ogsaring i tilfaeliglde af at udbyderen af kommentarmodulet anvender cookies til andre
formaringl end det der foslashlger af aftalen og oplyses til brugeren
Ejeren af en hjemmeside er ansvarlig for de cookies og lignende teknologier der saeligttes i forbindelse med en brugers besoslashg paring hjemmesiden
Linkes der paring hjemmesiden til andre hjemmesider eller anvendes der rdquodelebarerrdquo eller rdquolike-knapperrdquo til eksempelvis Facebook eller Twitter er det vigtigt at vaeligre opmaeligrk-som paring hvorvidt disse hjemmesider saeligtter cookies via links delebar eller like-knapper allerede inden brugeren linkes over til den nye hjemmeside da det som ovenfor naeligvnt er hjemmesideejeren der i sidste ende er ansvarlig for de cookies der saeligttes paring deres hjemmeside Naringr der foslashrst er linket over via delebaren overgaringr ansvaret til ejeren af den nye hjemmeside
Det er ikke et krav efter cookiereglerne men det anbefales at oplyse brugeren om at siden forlades og at de sider man giver adgang til evt bruger cookies
Ved oprettelse af digitale platforme hvorfra man tilgaringr andre hjemmesider som vil optraeligde i rammen af den digitale platform eksempelvis Erhvervsstyrelsens rdquoVirkdkrdquo eller Digitaliseringsstyrelsens rdquoBorgerdkrdquo vil det vaeligre ejeren af den enkelte hjemme-side der tilgarings via platformen der er ansvarlig for overholdelsen af cookiereglerne paring disse hjemmesider Ejeren af platformen har ansvaret for cookies der saeligttes af dem
Det samme vil gaeliglde ved oprettelse af hjemmesider via sociale medier som eksempel-vis Facebook Det sociale medie vil vaeligre ansvarlig for de cookies der saeligttes af mediet men ikke for de cookies der saeligttes af ejeren af hjemmesiden oprettet i det sociale medies format
Det afgoslashrende for hvem der baeligrer ansvaret for indhentelse af samtykke til anvendelse af cookies paring en hjemmeside afhaelignger af hvem der har kontrollen over indholdet paring hjemmesiden
Hvor gaeliglder hvilke reglerHjemmesideejere der er etableret i andre lande udover Danmark skal vaeligre opmaeligrk-somme paring at de maringske ikke kan noslashjes med at indrette deres loslashsninger efter den danske lovgivning De danske cookieregler er baseret paring harmoniseret EU lovgivning der dog alene fastsaeligtter minimumskrav i forbindelse med anvendelse af cookies og lignende teknologier
Der er ikke i e-Databeskyttelsesdirektivet taget stilling til reglernes geografiske anven-delsesomraringde men Europa-Kommissionen har tilkendegivet at det indenfor EU er lovgivningen i det land hvori udbyderen af en tjeneste er etableret der er gaeligldende Vi
Vejledning 15
laeliggger i Danmark umiddelbart op af Kommissionens fortolkning der foslashlger rdquoafsen-derlandsprincippetrdquo i E-handelsdirektivet8
Hvis udbyderen af en tjeneste etableret i Danmark lagrer eller opnaringr adgang til op-lysninger i en brugers terminaludstyr er tjenesteudbyderen saringledes forpligtet efter de danske regler De danske regler finder ligeledes anvendelse hvor udbyderen af en tjeneste etableret i Danmark lader en 3 part der er etableret i et andet land lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyderens tjene-ste
Ifoslashlge Kommissionen gaeliglder for udbyderen af en tjeneste etableret uden for EU lovgiv-ningen i det land hvor lagringen af eller adgangen til oplysninger i en brugers termi-naludstyr finder sted Erhvervsstyrelsen laeliggger i tilsynet med reglerne vaeliggt paring hvor-vidt hjemmesiden retter sig mod danske forbrugere i overensstemmelse med de folkeretlige jurisdiktionsprincipper om hvor en handling har virkning Der vil saringledes blive lagt vaeliggt paring en raeligkke faktorer som sprog leveringsbetingelser (feks en webshop hvor der kan leveres til Danmark) etc
Krav om informeret samtykke
Det helt centrale i aeligndringen til e-Databeskyttelsesdirektivet fra 2009 er kravet om indhentelse af informeret samtykke forud for placeringen af cookies der ogsaring er foslashrt videre til de danske regler i cookiebekendtgoslashrelsens sect 3
Cookiebekendtgoslashrelsen indeholder en definition af samtykke baseret paring samtykkede-finitionen i Persondatabeskyttelsesdirektivet som Cookiedirektivet henviser til Det samme gaeliglder indholdet af informationspligten der ogsaring er naeligrmere beskrevet i Per-sondatabeskyttelsesdirektivet
Kravene om information og samtykke boslashr ses som to komplementaeligre elementer der understoslashtter hinanden og ikke kan adskilles idet de er indfoslashrt for at sikre at brugeren kan traeligffe et reelt og oplyst valg omkring overvaringgningen af deres faeligrdsel paring internet-tet Er informationen ikke fyldestgoslashrende vil samtykket heller ikke vaeligre et reelt sam-tykke
Nedenfor er kravene til baringde information og samtykke naeligrmere uddybet Der gives en raeligkke praktiske eksempler og flere foslashlger af den tekniske guide som findes i vejlednin-gens sidste afsnit Der er alene tale om eksempler til inspiration da det fortsat vil vaeligre op til den enkelte hjemmesideejer at vurdere hvordan kravene bedst muligt efterleves paring netop deres tjeneste
Bekendtgoslashrelsens sect 3
sect 3 Fysiske eller juridiske personer maring ikke lagre oplysninger eller opnaring adgang til oplysninger der
allerede er lagret i en slutbrugers terminaludstyr eller lade tredjepart lagre oplysninger eller opnaring
adgang til oplysninger hvis slutbrugeren ikke giver samtykke hertil efter at have modtaget fyldest-
goslashrende information om lagringen af eller adgangen til oplysningerne
Stk 2 Information jf stk 1 er fyldestgoslashrende naringr den som minimum
1) fremstaringr i et klart praeligcist og letforstaringeligt sprog eller tilsvarende billedskrift
2) indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens
terminaludstyr
3) indeholder oplysninger der identificerer enhver fysisk eller juridisk person der foranstalter lagrin-
gen af eller adgangen til oplysningerne
4) indeholder en umiddelbart tilgaeligngelig adgang for slutbrugeren til at afslaring samtykke eller tilbage-
8 Europa-Parlamentets og Raringdets direktiv 200031EF om visse retlige aspekter af informationssamfundstjenester navnlig ele-ktronisk handel i det indre marked
Vejledning16
kalde samtykke til lagringen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig
vejledning om hvordan slutbrugeren anvender en saringdan adgang og
5) er umiddelbart tilgaeligngelig for slutbrugeren ved samlet og tydeligt at blive meddelt denne Des-
uden skal information naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminal-
udstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren
ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Informationskravet
Hvilke krav stilles til fyldestgoslashrende information Af bekendtgoslashrelsens sect 3 stk 2 fremgaringr de krav der som minimum skal vaeligre opfyldt foslashr informationen kan siges at vaeligre fyldestgoslashrende Der stilles krav til karakteren ind-holdet og tilgaeligngeligheden af informationen
Overordnet kan siges at informationen skal udgoslashre det videns grundlag der saeligtter brugerne i stand til at traeligffe reelle informerede valg I nogle tilfaeliglde boslashr det derfor ogsaring overvejes at medtage yderligere information end der kraeligves i bekendtgoslashrelsen hvis dette er noslashdvendigt for at brugerne kan forstaring konsekvenserne af deres valg
Loslashsninger skal opfylde cookiereglerne baringde paring hjemmesider og paring mobilsites ndash se evt teknisk guide i vejledningens kapitel 6
Krav til sprog og tekstsect 3 stk 2 nr 1 fastsaeligtter krav til at informationen fremstaringr i et klart praeligcist og letfor-staringeligt sprog eller tilsvarende billedskrift
Det indebaeligrer bla at informationen ikke boslashr formuleres i unoslashdigt teknisk eller juri-disk sprog samt at brugeren let kan danne sig et overblik
Brug af tabeller eller billedsprog fx i form af piktogrammer kan supplere eller erstatte mere traditionel tekst og goslashre informationen lettere at forstaring men maring vurderes ud fra brugerens kendskab til saringdanne alternativer
Bestemmelsen indeholder ikke krav til paring hvilket sprog informationen skal gives Valg af sprog boslashr dog ske under hensynstagen til hvilke brugere en tjeneste retter sig imod herunder isaeligr hvor disse brugere befinder sig geografisk
Krav til oplysning om formaringlsect 3 stk 2 nr 2 fastsaeligtter krav til at informationen indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens terminaludstyr
Brugeren har ret til at faring oplyst hvorfor der lagres eller tilgarings oplysninger og det er ikke tilstraeligkkeligt blot at oplyse at det sker Dette krav haelignger sammen med samtykkekra-vet der skal vaeligre en specifik viljestilkendegivelse Angivelsen af rdquovi bruger cookiesrdquo uden yderligere praeligcisering vurderes saringledes ikke at opfylde reglerne
Informationen om formaringl med lagringen af eller adgangen til oplysninger er helt cen-tral og skal understoslashtte at brugerne er bevidste om hvilke konsekvenser deres valg har Formaringlet boslashr derfor altid beskrives meget praeligcist og daeligkkende
Har lagringen af eller adgangen til oplysninger mere end eacutet formaringl skal der oplyses om samtlige formaringl Lagres eller tilgarings der flere oplysninger med samme formaringl eller af flere omgange vil det almindeligvis vaeligre tilstraeligkkeligt at beskrive formaringlet eacuten gang og ikke for hver oplysning der lagres eller opnarings adgang til
Vejledning 17
I relation til kravet om angivelse af formaringl saring er det her vigtigt at understrege at for-maringlsbeskrivelsen ligeledes skal omfatte eventuelle 3 parters formaringl med at anvende cookies
Eksempel Information om formaringl med brug af cookies
Brugen af cookies er meget udbredt og kan have en lang raeligkke formaringl herunder fx at optimere
brugeroplevelse eller design paring en tjeneste at generere webstatistik eller at maringlrette markedsfoslashring
til brugere
Den information der gives boslashr beskrive formaringlet med tjenestens brug af cookies og ikke de en-
kelte cookies i sig selv
Hvis en tjeneste eksempelvis bruger fire cookies til at optimere designet paring tjenesten mens yderli-
gere to cookies bruges til at haringndtere annoncer og en syvende cookie bruges til at genere websta-
tisk vil det almindeligvis vaeligre tilstraeligkkeligt at informere om de tre forskellige formaringl med brugen
af cookies og ikke noslashdvendigvis om de i alt syv cookies siden goslashr brug af
Oplysninger om hvem der saeligtter cookiessect 3 stk 2 nr 3 fastsaeligtter krav til at informationen indeholder oplysninger der identifi-cerer enhver fysisk eller juridisk person der foranstalter lagringen af oplysninger eller opnaringr adgang til allerede lagrede oplysninger
Brugere skal vaeligre i stand til at identificere den der foranstalter lagringen Det vil i mange tilfaeliglde vaeligre udbyderen af tjenesten men hvor udbyderen af en tjeneste lader 3 part lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyde-rens tjeneste skal 3 part ogsaring kunne identificeres af brugeren Den eksakte angivelse af hvilke 3 parter der saeligtter cookies kan ske paring en underside jf vejledningens afsnit om lagdelt information nedenfor
For saring vidt angaringr oplysninger der lagres eller tilgarings i brugeres terminaludstyr af en or-ganisation fx en virksomhed eller anden juridisk person angives oplysninger som identificerer organisationen og ikke dens medarbejdere
Hvilke konkrete informationer der skal vaeligre til stede for at brugere kan identificere de(n) der foretager lagringen vil variere fra tjeneste til tjeneste og afhaelignger af de par-ter der er involveret
Adgang til at afslaring cookiessect 3 stk 2 nr 4 fastsaeligtter krav til at informationen indeholder en umiddelbart tilgaelign-gelig adgang for slutbrugeren til at afslaring samtykke eller tilbagekalde samtykke til lagrin-gen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig vejledning om hvordan slutbrugeren anvender en saringdan adgang
Brugere skal have mulighed for at afslaring samtykke eller tilbagekalde et allerede givet samtykke Dette skal understoslashtte reel brugerkontrol og frivilligheden af brugeres sam-tykke Til dette formaringl skal der vaeligre en umiddelbart tilgaeligngelig adgang til at afslaring cookies og en klar praeligcis og letforstaringelig vejledning om hvordan brugere kan anvende en saringdan adgang Se endvidere nedenfor under afsnittet om rdquoKravet til samtykkerdquo hvor det slarings fast at der ikke gaeliglder noget krav om at en hjemmeside skal kunne tilgarings eller fungere uden cookies
Det kan i nogle tilfaeliglde vaeligre relevant at henvise til eksempelvis vejledninger og vaeligrk-toslashjer andre har udarbejdet Der stilles i bekendtgoslashrelsen ingen krav til at vejledninger eller vaeligrktoslashjer til at afslaring eller tilbagekalde et samtykke skal forefindes paring tjenesten der lagrer eller tilgaringr oplysninger Det er adgangen til vejledning og vaeligrktoslashjer som tjene-sten er forpligtet til at goslashre umiddelbart tilgaeligngelig for brugeren
Vejledning18
Krav om informationens tilgaeligngelighedsect 3 stk 2 nr 5 fastsaeligtter krav til at informationen er umiddelbart tilgaeligngelig for slut-brugeren ved samlet og tydeligt at blive meddelt denne Desuden skal informationen naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjene-ste
For at sikre reel brugerkontrol er det noslashdvendigt at informationen er umiddelbart tilgaeligngelig for brugere og kan tilgarings uden besvaeligr Dette er desuden en forudsaeligtning for at brugere ogsaring kan tilbagekalde et allerede afgivet samtykke Hvordan informatio-nen bedst goslashres tilgaeligngelig vil bla afhaelignge af tjenestens design og struktur hvorfor det vil variere fra tjeneste til tjeneste
Informationen kan vaeligre lagdeltDet kan vaeligre hensigtsmaeligssigt at benytte sig af lagdelt information saringledes at det dog sikres at brugerne med det samme faringr de vaeligsentligste informationer saringsom formaringlet med anvendelsen af cookies samtidig med at der linkes til mere detaljerede informa-tioner Brugen af piktogrammer eller andre tydeligt markerede indgange til informa-tionen kan understoslashtte dette men ikke goslashre det ud alene for umiddelbar tilgaeligngelig information
Den umiddelbare angivelse af formaringlet med anvendelsen af cookies boslashr omfatte infor-mation om 3 parts cookies idet det har betydning for brugeren hvem data tilgaringr Ek-sempelvis ved angivelse af formaringl som direkte markedsfoslashring skal det ogsaring fremgaring at direkte markedsfoslashring vil vaeligre fra 3 part Den praeligcise angivelse af 3 parter kan evt ske paring en underside
En tjeneste kan desuden vaeliglge at skelne mellem hvordan informationen praeligsenteres for brugere inden brugeren afgiver eller afslaringr samtykke og hvordan informationen praeligsenteres efter at brugere har afgivet eller afslaringet samtykke
Paring informations- og indholdstjenester herunder hjemmesider og andre online tjene-ster der lagrer eller tilgaringr oplysninger i en brugeres terminaludstyr skal informationen vaeligre vedvarende tilgaeligngelig for brugere ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Dette indebaeligrer at brugere ved anvendelse af saringdanne tjenester til enhver tid skal have adgang til informationen og en saringdan adgang boslashr vaeligre let at finde og anvende Det kan bla overvejes at opfylde dette krav ved at placere en saringdan adgang i sammenhaeligng med oslashvrige vedvarende elementer paring en tjeneste Brug af piktogrammer eller lignende kan ogsaring overvejes i denne sammenhaeligng
Nedenfor redegoslashres naeligrmere for kravet til samtykke Det kan heraf laeligses at samtykke kan gives paring forskellig maringde herunder ogsaring ved en aktiv handling Kravet til informa-tion kan variere for saring vidt angaringr tydelighed og tilgaeligngelighed alt efter hvilken form for samtykke der er tale om Krav til hvilke oplysninger der gives for at en information kan anses for fyldestgoslashrende varierer imidlertid ikke
Vaeligsentlig information der skal gives til brugeren med det samme er
- Alle formaringl med cookies og lignende teknologier
- Hvem der anvender cookies og lignende teknologier paring hjemmesiden
Vejledning 19
Eksempel Fyldestgoslashrende information ndash lagdelt med vaeligsentlige oplysninger foslashrst
En tjeneste paring nettet der giver brugeren mulighed for at sammenligne produkter og priser paring for-
skellige vareomraringder anvender cookies til at registrere antallet af brugere paring hjemmesiden og til at
registrere hvor brugeren kommer fra Paring hjemmesiden er der bannerreklamer for forskellige produ-
center relateret til de varekategorier som omtales paring hjemmesiden Bannerreklamerne leveres af 3
parter og anvender cookies til at registrere hvilke annoncer brugeren klikker paring saringledes at det er
muligt at identificere brugernes interesser og maringlrette annonceringen
Eksempel Umiddelbar information til brugeren
rdquoVi bruger cookies til statistik og til maringlrettet markedsfoslashring ogsaring fra os selv og vores an-
noncoslashrer ndash se her hvilke Laeligs her mere om vores brug af cookies herunder hvordan du
fravaeliglger brug af cookiesrdquo
Kravet til samtykke
Som ovenfor naeligvnt er den centrale aeligndring af reglerne kravet om indhentelse af in-formeret samtykke fra brugeren ved anvendelse af cookies eller lignende teknologier der foslashlger af cookiebekendtgoslashrelsens sect 3
Samtykke defineres i bekendtgoslashrelsens sect 2 stk 1 nr 8
Bekendtgoslashrelsens sect 2 stk 1 nr 8
sect 2 stk 1 nr 8) Samtykke Enhver frivillig specifik og informeret viljestilkendegivelse hvorved
slutbrugeren indvilliger i at der lagres oplysninger eller opnarings adgang til allerede lagrede oplysnin-
ger i slutbrugerens terminaludstyr
Da tjenester og deres brugere er vidt forskellige vil der vaeligre stor forskel paring hvordan et samtykke bedst indhentes
Kravet om samtykke skal sikre at brugere har reel kontrol med hvorvidt der lagres el-ler tilgarings oplysninger i deres terminaludstyr Naringr samtykket skal indhentes er det der-for vaeligsentligt at holde sig brugerens kontrolmuligheder for oslashje herunder brugerens reelle muligheder for at vurdere formaringlet med lagringen eller tilgangen til oplysnin-gerne
Reglerne giver i udgangspunktet tjenester et stort mulighedsrum til at vaeliglge hvordan samtykket bedst kan indhentes paring en maringde der fungerer i deres konkrete kontekst
At samtykket skal vaeligre frivilligt indebaeligrer bla at brugere skal have et faktisk valg
Det er ikke et krav at hjemmesider kan fungere uden brug af cookies eller lignende teknologier hvorfor afvisning af cookies kan medfoslashre at brugerens eneste mulighed er at forlade hjemmesiden Virksomheder har selvsagt et incitament for at deres hjem-meside er tilgaeligngelig men det er ikke lovstridigt at have loslashsninger der afskaeligrer bru-gere som ikke vil acceptere brugen af cookies
For offentlige hjemmesider kan der vaeligre andre overvejelser idet adgangen til offentlige tjenester gerne skulle vaeligre tilgaeligngelig for alle
I frivilligheden af samtykket ligger ogsaring at brugere skal have mulighed for at tilbage-kalde et allerede afgivet samtykke jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 4
Vejledning20
At samtykket skal vaeligre specifikt indebaeligrer bla at samtykket skal vaeligre praeligcist og vel-afgraelignset Samtykket behoslashver imidlertid ikke relatere sig til hver enkelt lagring af eller adgang til oplysninger i brugernes terminaludstyr I stedet boslashr samtykket knytte sig til det formaringl der ligger til grund for lagringen af eller adgangen til oplysningerne jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 2
Hvis lagring af eller adgang til oplysninger paring et senere tidspunkt benyttes til formaringl der raeligkker ud over hvad der tidligere er indhentet samtykke til skal der indhentes et nyt samtykke der omfatter det nye formaringl
At samtykket skal vaeligre informeret understoslashttes af kravene til information i bekendtgoslash-relsens sect 3 stk 2 hvor ikke mindst formaringlet med lagringen er vaeligsentligt Som del af et informeret samtykke boslashr brugere ogsaring oplyses om konsekvenserne af deres (fra)valg Saringdanne konsekvenser kan fx vaeligre at brugere ikke kan faring adgang til (dele af) tjenesten som ovenfor beskrevet hvis samtykket afslarings eller at et samtykke medfoslashrer at 3 parter faringr mulighed for at lagre eller tilgaring allerede lagrede oplysninger i brugeres terminalud-styr
Brugeres viljetilkendegivelse staringr helt centralt i indhentningen af et samtykke En tjene-steudbyder har pligt til at identificere en aktiv handling fra sine brugere der med rime-lighed kan tages til indtaeliggt for en tilkendegivelse af deres vilje paring et informeret grund-lag Det skal dog understreges at vilje kan tilkendegives paring en lang raeligkke forskellige maringder og at reglerne i bekendtgoslashrelsen ikke tager specifikt stilling til hvordan denne skal komme til udtryk
En viljestilkendegivelse kan vaeligre mange ting herunder eksempelvis
bull afkrydsning af en boks klik paring en knap eller udfyldelse af en formular i sammenhaeligng med rele-
vant information paring en tjeneste
bull aktiv brug af en tjeneste hvor det maring forventes at brugeren er informeret om at der vil ske lag-
ring af eller adgang til oplysninger (saringfremt dette ikke er afslaringet)
Kommissionen har tilkendegivet overfor Erhvervsstyrelsen at aktiv brug af en tjeneste som ovenfor beskrevet er i overensstemmelse med e-Databeskyttelsesdirektivet og ac-cepteres i de fleste medlemslande Det afgoslashrende er at der kan identificeres en aktiv handling eksempelvis at der klikkes videre paring siden og at brugeren har en forstaringelse af at de ved denne handling accepterer cookies dvs det er ikke nok bare generelt at informere om at hjemmesiden bruger cookies det skal praeligciseres at cookies saeligttes ved at brugeren eksempelvis klikker videre
Der vil vaeligre stor forskel paring hvordan samtykket bedst indhentes Det er den enkelte tjeneste selv der har de bedste forudsaeligtninger for at vaeliglge en loslashsning der overholder samtykkekravet og giver tjenestens brugere reel mulighed for at tilkendegive deres vilje paring et informeret grundlag
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt at defi-nere praeligcist hvordan brugere i konkrete tilfaeliglde skal tilkendegive sin vilje Bekendt-goslashrelsens samtykkekrav giver derfor tjenester et stort mulighedsrum til at udvikle nye og innovative loslashsninger der oslashger brugerkontrollen og gennemsigtigheden
Vejledning 21
Eksempel Samtykke
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Accepter cookies Afvis cookies Laeligs mere her om vores brug af cookies herunder hvordan
du fravaeliglger cookies igenrdquo
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Klikker du videre paring siden accepterer du at der saeligttes cookies til disse formaringl Laeligs mere
her om vores brug af cookies herunder hvordan du fravaeliglger brugen af cookiesrdquo
Hvis brugere vaeliglger ikke at give samtykke til lagringen af oplysninger eller vaeliglger at tilbagekalde et samtykke stilles der som ovenfor naeligvnt i bekendtgoslashrelsen ikke noget krav til at brugere fortsat skal have adgang til indhold paring en tjeneste
Erhvervsstyrelsen er opmaeligrksom paring at kravet om forudgaringende samtykke kan vaeligre teknisk udfordrende for en del hjemmesider der saeligtter cookies allerede naringr brugeren tilgaringr siden saeligrligt for at sikre statistik om hvor mange der besoslashger en hjemmeside og hvor de kommer fra
Direktivet stiller et grundlaeligggende krav om informeret samtykke Nogle lande har valgt at haringndhaeligve samtykkekravet saringledes at det undtagelsesvis i saeligrlige tilfaeliglde ac-cepteres at cookies kan lagres forud for at brugeren har givet samtykke hertil UK fastslaringr eksempelvis i deres vejledning til reglerne at samtykke saring vidt muligt skal ind-hentes foslashr der saeligttes cookies men accepterer dog at det ikke altid sker Hvor det ikke er muligt at indhente samtykke foslashr cookies lagres laeliggges der i UKrsquos vejledning imid-lertid vaeliggt paring virksomhedernes indsats for at sikre information til brugerne og deres mulighed for at give samtykkeafvise cookies hurtigst muligt ligesom der laeliggges vaeliggt paring at virksomhederne begraelignser adgangen til sessions cookies
Der er behov for en naeligrmere afklaring fra Kommissionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside eje-rens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Samtykke ved browserindstillinger er ikke anerkendt i Danmark paring nuvaeligrende tids-punkt og kun i faring af de oslashvrige EU-medlemslande Den generelle holdning er at de browserloslashsninger som findes paring markedet i dag ikke i tilstraeligkkelig grad sikrer mod brugen af cookies hvor brugeren har fravalgt det Med de eksisterende browsere er det ikke muligt at differentiere sit samtykke tilstraeligkkelig nuanceret saring det reelt bliver et rdquoja takrdquo til alle cookies eller rdquonej takrdquo til alle cookies hvorefter brugeren vil kunne op-leve betydelige begraelignsninger i forhold til indhold af forskellige tjenester paring nettet
Samtykket varer i udgangspunktet indtil forholdene aeligndres Brugeren skal hele tiden have en let adgang til at traeligkke samtykket tilbage
Undtagelser
Bekendtgoslashrelsens sect 4 indeholder to undtagelser til kravet om informeret samtykke fra brugeren forud for anvendelsen af cookies Er der tale om indsamling af data som falder under undtagelsesbestemmelserne vil der efter lovgivningen ikke stilles krav om hverken information eller samtykke Det kan imidlertid vaeligre en anbefaling ogsaring her at give information og indhente samtykke ud fra en betragtning om at fuldstaeligndig gennemsigtighed oslashger tilliden til internettet og derfor kan vaeligre gavnlig for en e-hand-ler eller udbyder af tjenesteydelser paring nettet Det skal ogsaring her vurderes hvorvidt situa-tionen kan vaeligre omfattet af reglerne om beskyttelse af persondata
Vejledning22
Bekendtgoslashrelsens sect 4
sect 4 Uanset sect 3 kan fysiske eller juridiske personer lagre oplysninger eller opnaring adgang til oplysninger
der allerede er lagret i en slutbrugers terminaludstyr hvis
1) lagringen af eller adgangen til oplysninger alene sker med det formaringl at overfoslashre kommunikation
via et elektronisk kommunikationsnet eller
2) lagringen af eller adgangen til oplysninger er paringkraeligvet for at saeligtte tjenesteyderen af en informa-
tionssamfundstjeneste som slutbrugeren udtrykkeligt har anmodet om i stand til at levere denne
tjeneste
Stk 2 Lagring af eller adgang til oplysninger i en slutbrugersterminaludstyr er paringkraeligvet jf stk 1
nr 2 hvis lagringen af eller adgangen til oplysninger er en teknisk forudsaeligtning for at kunne levere
en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
Erhvervsstyrelsen laeliggger i fortolkningen af undtagelsesbestemmelserne vaeliggt paring udta-lelser fra den saringkaldte Artikel 29 gruppe som er omtalt i forordet og som i juni 2012 offentliggjorde et dokument vedroslashrende undtagelsesbestemmelserne i e-Datadirekti-vet efter aeligndringerne i 2009 Det er vigtigt her at understrege at der ikke er tale om et juridisk bindende dokument men gruppens fortolkninger stoslashttes i vid udstraeligkning af EU Kommissionen og bredt i medlemsstaterne Et link til Artikel 29 gruppens udta-lelse foslashlger af kapitel 5 rdquoLinks til lovgivning og direktiverrdquo
1 undtagelse Cookies i forbindelse med opkobling til internettetDet er Erhvervsstyrelsens vurdering at sect 4 stk 1 nr 1 alene er moslashntet paring udbydere af internetforbindelser og den lagring af eller adgang til oplysninger i brugeres terminal-udstyr der maringtte finde sted som en del af opkoblingen til internettet og vedligehol-delse heraf
2 undtagelse Cookies der sikrer funktionaliteten af en tjeneste som brugeren har bedt omsect 4 stk 1 nr 2 har derimod et bredere anvendelsesomraringde
For at vaeligre omfattet af undtagelsesbestemmelsen i sect 4 stk 1 nr 2 skal to krav vaeligre opfyldt For det foslashrste skal brugeren udtrykkeligt have anmodet om tjenesten For det andet skal lagringen af eller adgangen til oplysninger i brugerens terminaludstyr vaeligre paringkraeligvet for leveringen af denne tjeneste Begge krav skal vaeligre opfyldt
Brugerens faeligrden paring nettet eller besoslashg paring en specifik hjemmeside kan ikke tages som et udtryk for en generel anmodning om de tjenester der her tilbydes
Hvorvidt lagring af oplysninger eller adgang til allerede lagrede oplysninger er paringkraelig-vet uddybes i sect 4 stk 2 hvorefter der skal vaeligre tale om en teknisk forudsaeligtning for at kunne levere en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
For at vaeligre en teknisk noslashdvendighed skal tjenesten ikke kunne fungere uden brug af cookiersquoen eller en lignende teknologi Samtidig er det vigtigt at der er en klar sammen-haeligng mellem den rdquoparingkraeligvederdquo teknologi og brugerens udtrykkelige anmodning om tjenesten
Med hensyn til tjenestens formaringl boslashr der laeliggges vaeliggt paring det formaringl med hvilket bru-gere tilgaringr tjenesten eller hjemmesiden
Cookies eller lignende teknologier der opfylder kravene til at vaeligre omfattet af undta-gelsen maring ikke anvendes med andre formaringl for oslashje I saring fald skal brugeren informeres og give samtykke til disse andre formaringl
Vejledning 23
Det har betydning for vurderingen af om cookies kan undtages fra kravet om informe-ret samtykke om der er tale om sessionscookies eller vedvarende cookies og hvor den stammer fra Vedvarende cookies vil sjaeligldent falde under undtagelsesbestemmelsen
Eksempler paring undtagelser efter sect 4
Elektroniske indkoslashbskurve
- Brugen af elektroniske indkoslashbskurve i webshops hvor det er noslashdvendigt at kunne genkende bru-
geren paring tvaeligrs af sideskift (genindlaeligsninger af webshoppen) da indkoslashbskurven ellers vil vaeligre tom
ved visning af en ny side Lagring af fx en cookie eller lignende teknologi er dermed en teknisk for-
udsaeligtning for at kunne levere den tjeneste (e-handel) som brugeren udtrykkeligt har anmodet om
(tilgaringet webshoppen og lagt varer i indkoslashbskurven) Indkoslashbskurven fungerer desuden i overensstem-
melse med det formaringl (at koslashbe varer) med hvilket brugeren tilgaringr webshoppen
Log-in situationer
- Anvendelse af log-in (eksempelvis ved netbank offentlige selvbetjeningsloslashsninger eller ved ad-
gang til saeligrlige netvaeligrk) hvor cookies sikrer at brugeren logges ind med brug af brugernavn
passwords og forbliver logget ind uden igen at skulle indtaste saringdanne koder Det er vigtigt at
understrege at det alene er selve log-in funktionen der er undtaget men ikke noslashdvendigvis cookies
som saeligttes ved aktiviteter efter log-in funktionen
Andre undtagelser
Brugerdefinerede browserindstillinger ndash eks valg af land sprog eller skriftstoslashrrelse
- Disse cookies kan vaeligre undtaget fra kravet om informeret samtykke i det omfang at disse udtryk-
kelig aktiveres af brugeren fx ved at klikke paring en knap eller afkrydse en rubrik og ikke benyttes til
andre formaringl og ikke i laeligngere tid end en browsersession
Authentificeringscookies
Cookies der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider
Brugervalideringscookies
Cookies der anvendes til at sikre mod (gentagne) fejl ved log-in
Multimedia player cookies
Cookies der anvendes til at regulere netvaeligrkshastighed eller billedkvalitet og til at aktivere play back
video- eller lydfiler
Plug-ins til sociale medier
Cookies der giver muligheden for enten at dele indholdet af en hjemmeside eller rdquolikerdquo indholdet via
det sociale medie Cookien saeligttes alene for at dirigere brugeren over paring den sociale hjemmeside og
logge ind her Den har alene betydning for brugere af sociale netvaeligrk der allerede er logget ind her
Bruges cookien til at tracke brugeren rundt paring nettet vil den ikke vaeligre omfattet
Load balancing
Cookies der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en
service
Det er Erhvervsstyrelsens vurdering at cookies der husker at en bruger har sagt rdquonej takrdquo til cookies er undtaget kravet om informeret samtykke da der er tale om et oslashnske fra brugeren og den er noslashdvendig for at huske indstillingen
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning 5
hold til de generelle databeskyttelsesregler i Databeskyttelsesdirektivet2 Vejledningen vil i den forbindelse blive opdateret i det omfang der maringtte vaeligre behov herfor
Dialogen med Kommissionen og de oslashvrige medlemslande viser en bred enighed om fortolkningen af samtykkereglerne i EU men nogle lande haringndhaeligver i praksis samtyk-kekravet saringledes at det i saeligrlige tilfaeliglde accepteres at cookies lagres forud for at bru-geren har givet samtykke hertil Der er behov for en naeligrmere afklaring fra Kommis-sionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende informa-tion til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Erhvervsstyrelsen April 2013
2 Europa-Parlamentets og Raringdets direktiv 199546EF om beskyttelse af fysiske personer i forbindelse med behandling af per-sonoplysninger og om fri udveksling af saringdanne oplysninger
Vejledning6
1 INDLEDNING
Vejledningen understoslashtter reglerne i cookiebekendtgoslashrelsen der stiller krav om at hjemmesider der goslashr brug af teknologier til at lagre eller laeligse oplysninger paring en bru-gers computer eller andet it-udstyr (saringkaldte cookies) sikrer samtykke hertil fra bruge-ren af hjemmesiden inden teknologien anvendes
Cookiebekendtgoslashrelsen der traringdte i kraft 14 december 2011 implementerer e-databe-skyttelsesdirektivet3 med seneste aeligndringer fra 20094 hvormed samtykkekravet blev indfoslashrt
Reglerne er indfoslashrt for at oslashge beskyttelsen af privatlivet naringr vi bevaeligger os i den digi-tale verden Cookies indsamler data om brugeren af digitale tjenester ved at tilgaring bru-gerens computer eller andet terminaludstyr der anses for at vaeligre en del af brugerens privatsfaeligre Indsamlingen af data via cookies goslashr det muligt at genkende brugerens computer og foslashlge brugerens faeligrden paring nettet
Cookiereglerne skal laeligses i lyset af reglerne om beskyttelse af persondata hvor cookie-reglerne regulerer indsamling af data i bredere forstand idet der ikke skelnes til om der er tale om oplysninger der kan identificerer en person
Virksomhederne og offentlige myndigheder benytter sig i hoslashjere og hoslashjere grad af den digitale platform paring internettet og bruger mulighederne for den ofte lettere adgang her til kunder og brugere end i den fysiske verden Samtidig er de udfordret af flygtigheden hos brugerne paring nettet og den manglende personlige relation i den digitale verden Anvendelsen af teknologier som cookies giver mulighed for at skabe relationen med bedre brugeroplevelser og maringlrettede ydelser Cookies kan saringledes vaeligre en stor hjaeliglp for brugeren bla ved gentagne besoslashg paring hjemmesider hvor brugerens indstillinger og evt indtastede oplysninger huskes ved hjaeliglp af cookies og derfor ikke skal indtastes igen Cookies kan ogsaring bruges til at foslashlge brugerens faeligrden paring en enkelt hjemmeside eller paring tvaeligrs af hjemmesider og give grundlag for bla statistik og maringlrettede annon-cer og tjenester fra hjemmesideejeren selv eller fra 3 parter som eksempelvis udbydere af webstatistikmoduler reklame- eller mediebureauer Cookies er med til at styrke innovation og udvikling paring det digitale marked
Sigtet med reglerne er heller ikke at forbyde brugen af cookies men at oslashge gennemsig-tigheden med de processer der understoslashtter brugernes faeligrden paring Internettet baseret paring data indsamlet hos brugeren og samtidig sikre at brugeren fortsat har kontrollen med hvad disse data bruges til Reglerne laeliggger vaeliggt paring at den enkelte bruger skal have en reel mulighed for at til- eller fravaeliglge lagring af cookies Herved sikres tilliden til internettet der ogsaring er en afgoslashrende faktor for den fortsatte udvikling af det digitale marked
Cookies er i almindelighed passive filer der kan lagres eller tilgarings i brugeres terminal-udstyr men ikke interagere eller manipulere med udstyr eller oplysninger
Den viden der indsamles via cookies eller lignende teknologier kan imidlertid som ovenfor naeligvnt benyttes til en lang raeligkke forskellige formaringl fx personalisering og ud-vikling af mere brugervenlige tjenester generering af analyser om brugen af en hjem-meside eller maringlretning af adfaeligrdsbaseret markedsfoslashring til brugeren Afhaeligngig af den enkelte brugers personlige holdninger kan disse formaringl vaeligre mere eller mindre oslashnskvaeligrdige
3 Europa-Parlamentets og Raringdets direktiv 200258EF om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor
4 Europa-Parlamentets og Raringdets direktiv 2009136EF
Vejledning 7
Hertil kommer at cookies kan og ofte saeligttes af andre end hjemmesiden selv hvilket ikke altid er aringbenlyst for brugeren og kan goslashre det vanskeligt for brugeren at gennem-skue det reelle formaringl Det er her saeligrligt vigtigt at sikre brugerens opmaeligrksomhed paring at cookies kan foslashlge med fra en hjemmeside til en anden og foslashlge brugerens faeligrden rundt paring nettet Samtidig er det vigtigt at ejeren af hjemmesiden selv har kontrol over hvilke cookies der saeligttes og hvem der via hjemmesiden faringr adgang til brugerens data Har ejeren af hjemmesiden ikke denne kontrol bliver det dels meget vanskeligt eller umuligt at indhente et reelt informeret samtykke fra brugeren samtidig med at der kan vaeligre risiko for at andre aktoslashrer misbruger brugerens data eller udnytter data i mod-strid med ejeren af hjemmesidens egne interesser
I lyset af de forskellige egenskaber ved cookies og udnyttelsen heraf der skifter kon-stant i takt med den teknologiske udvikling og det voksende digitale marked er det noslashdvendigt at styrke den generelle oplysning af brugerne for at opfylde lovgivningens formaringl om at det er brugerne der paring et informeret grundlag skal beslutte om de vil tillade adgangen til oplysningerne
En analyse lavet af Foreningen for Dansk Internethandel FDIH5 viser at kendskab til cookies er stigende hos forbrugerne og at 2 ud af 3 forbrugere ved hvad en cookie er Det er overvejende aeligldre forbrugere der kender til cookies Analysen viser endvidere at halvdelen af dem som svarer ja til kendskab til cookies ogsaring aktivt har vaeligret inde og aeligndre i deres browserindstillinger for at forhindre eller begraelignse accepten af cookies For den gruppe som svarede nej til kendskabet til cookies og som primaeligrt bestaringr af yngre internetbruger afviser over 2 tredjedele imidlertid at have planer om fremadret-tet at aeligndre i browserindstillinger for at forhindre eller begraelignse accepten af cookies
Analysen viser at der er en stor forskel paring brugernes opfattelse af cookies og holdning til om cookies er noget man lever med eller oslashnsker at undgaring Den stigende brugerbe-vidsthed i forhold til cookies og anvendelsen heraf er imidlertid en faktor som baringde virksomheder og offentlige myndigheder boslashr forholde sig til
Naeligrvaeligrende vejledning uddyber reglerne i cookiebekendtgoslashrelsen saeligrligt de essen-tielle krav til information og samtykke og giver bud paring praktiske loslashsninger til hjem-mesideejerne Kompleksiteten og mangfoldigheden af digitale tjenester i dag goslashr det hverken muligt eller hensigtsmaeligssigt at beskrive i detaljen hvordan reglerne skal efter-leves men bekendtgoslashrelsen tegner sammen med denne vejledning en ramme eller et mulighedsrum hvori tjenesteudbydere kan finde inspiration til loslashsninger der passer til deres konkrete kontekst Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsig-tigheden og kontrollen for brugerne De eksempler der er med i vejledningen og i den tekniske guide til virksomheder er derfor ogsaring alene eksempler og ikke anvisninger paring endegyldige loslashsninger
Hjemmesideejere etableret i andre lande udover Danmark skal vaeligre opmaeligrksomme paring at de maringske ikke kan noslashjes med at indrette deres loslashsninger efter den danske lovgiv-ning jf vejledningens afsnit rdquoHvor gaeliglder hvilke reglerrdquo De danske cookieregler er baseret paring harmoniseret EU lovgivning der dog alene fastsaeligtter minimumskrav i for-bindelse med anvendelse af cookies og lignende teknologier I Danmark er reglerne implementeret med en tekstnaeligr gengivelse af direktivets bestemmelser og der er ikke indfoslashrt strengere regler
Vejledningen afspejler Erhvervsstyrelsens tilsyn med cookiereglerne der laeliggger vaeliggt paring hjemmeside ejernes indsats for at overholde reglerne og skabe gennemsigtighed for deres brugere paring nettet I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervs-styrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i
5 FDIHrsquos e-handels analyse fra 2012
Vejledning8
forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjemmesidens indsats ud fra de 5 processkridt som er givet i den tekniske guide jf vejledningens kapitel 6
Vejledning 9
2 REGLERNE
Baggrund
I forbindelse med revisionen af de europaeligiske teledirektiver i 20082009 indfoslashrtes aelign-dringen af e-databeskyttelsesdirektivets artikel 5 stk 3 der omhandler lagring af eller adgang til oplysninger i brugeres terminaludstyr fx computere smartphones eller tab-lets AEligndringen bestaringr saeligrligt i indfoslashrelse af et krav om indhentning af samtykke fra brugerne i forbindelse med lagring af eller adgang til oplysninger i brugerens terminal-udstyr
e-Databeskyttelsesdirektivets artikel 5 stk 3 indeholder en henvisning til persondata-beskyttelsesdirektivet6 og skal derfor laeligses sammen med de generelle regler om per-sondatabeskyttelse som er implementeret i dansk ret ved Lov om behandling af per-sonoplysninger7 Lov om behandling af personoplysninger opstiller generelle krav i forbindelse med behandling af personhenfoslashrbare oplysninger
AEligndringen af e-Databeskyttelsesdirektivet kom ind for at oslashge beskyttelsen af bruger-nes privatsfaeligre naringr de faeligrdes i en digital verden hvilket man ikke mente var opfyldt i tilstraeligkkelig grad af persondatabeskyttelsesreglerne eller den davaeligrende bestemmelse i e-databeskyttelsesdirektivet Privatlivsbeskyttelsen underbygges endvidere af Det Europaeligiske Charter for grundlaeligggende rettigheder som blev gjort juridisk bindende med Lissabontraktatens ikrafttraeligden
Cookiebekendtgoslashrelsen
AEligndringen af e-Databeskyttelsesdirektivet er implementeret i dansk ret med Bekendt-goslashrelse nr 1148 af 9 december 2011 om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr (Cookiebekendtgoslashrelsen) som er udstedt i medfoslashr af sect 9 og sect 81 stk 2 i lov nr 169 af 3 marts 2011 om elektro-niske kommunikationsnet og -tjenester
Formaringl og afgraelignsning
Hvad beskytter reglerneReglerne har til formaringl at beskytte brugernes privatsfaeligre Med reglerne anlaeliggges den betragtning at brugernes terminaludstyr udgoslashr en del af brugerens privatsfaeligre der skal beskyttes mod uretmaeligssig indtraeligngen
Terminaludstyr omfatter computere og mobile enheder som smartphones tablets mv hvori der kan lagres oplysninger eller opnarings adgang til allerede lagrede oplysninger
Den beskyttede er brugeren af et elektronisk kommunikationsnet eller ndashtjeneste som ikke paring kommercielt grundlag stiller de paringgaeligldende elektroniske kommunikationsnet eller- tjenester til raringdighed for andre dvs alle brugere af en computer eller en mobil enhed
Beskyttelsen knytter sig til terminaludstyret der som ovenfor naeligvnt anses for at vaeligre en del af ejerens privatsfaeligre
6 Direktiv 9546EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af saringdanne oplysninger
7 Lov nr 429 af 31 maj 2000 om behandling af personoplysninger
Vejledning10
Reglerne finder alene anvendelse paring offentligt tilgaeligngelige kommunikationsnet eller -tjenester og ikke paring virksomheders intranet og lignende lukkede brugergrupper At der kraeligves log-in for at faring adgang til et netvaeligrk medfoslashrer dog ikke i sig selv at der er tale om en lukket brugergruppe hvor cookiereglerne ikke finder anvendelse Det vil bero paring en konkret vurdering
Reglerne tager ikke hoslashjde for tilfaeliglde af flere brugere af det samme terminaludstyr Brugere skal vaeligre opmaeligrksomme paring at hvis de enten laringner en computer tablet mobil-telefon mv ud eller bruger en andens terminaludstyr saring accepterer de udstyrets ind-stillinger herunder accept af cookies og lignende teknologier Hvis brugeren af termi-naludstyret oslashnsker at sikre sig herimod maring det bero paring en aftale mellem ejerenlaringneren af udstyret
Det samme gaeliglder i det omfang man anvender en offentlig tilgaeligngelig computer ek-sempelvis paring biblioteket idet en bruger som udgangspunkt ikke kan gardere sig imod tidligere brugeres indstillinger Det er Erhvervsstyrelsens vurdering at denne brug ikke er omfattet af cookiereglernes beskyttelsesformaringl i forhold til brugerens privatsfaeligre Det er ikke hjemmesidernes ansvar at soslashrge for samtykke fra samtlige brugere eller indrette deres hjemmesider efter at siden kan tilgarings fra en offentlig tilgaeligngelig compu-ter
Hvilke teknologier er omfattetDer gives ikke i bekendtgoslashrelsen en naeligrmere definition af de teknologier som be-kendtgoslashrelsen regulerer udover selve beskrivelsen i bestemmelsen i sect 3 stk 1
Reglerne er teknologineutrale Bekendtgoslashrelsen raeligkker ud over lagring af eller adgang til oplysninger i brugeres terminaludstyr som finder sted i forbindelse med en opkob-ling til internettet og omfatter saringledes ogsaring lagring af eller adgang til oplysninger fra eksterne medier som fx USB-noslashgler CDrsquoer CD-ROMrsquoer eksterne harddiske eller lig-nende
For saring vidt angaringr den form det format eller den standard oplysninger lagres i omfatter bekendtgoslashrelsen ikke blot rdquoklassiskerdquo http-cookies men enhver form for lignende tek-nologier herunder ogsaring fx Flash-cookies (Local Shared Objects) Web Storage (HTML5) Javascripts eller cookies sat ved brug af Microsoft Silverlight
Cookies kan have forskellig levetid idet de kan stoppe ved udloslashbet af en browser ses-sion (dvs fra brugeren aringbner et browservindue til dette lukkes igen) eller de kan vare laeligngere tid og daeligkke flere browser-sessioner saringledes at de kan foslashlge brugeren rundt paring internettet
En cookie kan endvidere deles ind i 1 parts cookies og 3 parts cookies alt efter hvem der placerer cookiersquoen paring en hjemmeside
1 parts cookies er de cookies der placeres af ejeren af hjemmesiden der er den som brugeren umiddelbart interagerer med 3 parts cookies er dem som placeres paring en hjemmeside af 3 mand hvor denne eller andre faringr adgang til den data der indsamles
Vejledning 11
1 part 3 part
Cookies der saeligttes af hjemmesiden som brugeren besoslashger hvis adresse fremgaringr af URL vinduet
Cookies der saeligttes af andre end den hjemmeside brugeren besoslashger
Sessions cookies
Udloslashber enten i loslashbet af eller ved udgangen af en browser-session
EksbullStyring af grafikbullBesoslashgsstatistikbullBrugerindstillingbull IndkoslashbskurvbullBetalingsmodul bullSikkerheds-pro-
cedurer ved netbank
Eks bullStatistikbullHvor 3 part
leverer ydelser som beskrevet under eks paring 1 parts cookies er det afgoslashrende hvem der har adgang til brugerens data i forhold til om der er tale om 3 parts cookies
Baringde for 1 og 3 parts cookies vurderes sessions cookies ofte at vaeligre mindre indgribende i forhold til bruge-rens privatliv
Persistent cookies
Varer flere browser sessioner og kan foslashlge brugeren rundt paring nettet Kan vare fra timer til flere aringr
Eks bullHuske bruger-
indstillinger som navn og adresse sprog log-in naeligste gang brugeren besoslashger hjemme-siden udover en browser-session
bullTracking - enten genkende brugere fra tidligere besoslashg eller foslashlge brugeren til andre hjemmesi-der
EksbullTracking 1 parts cookies for
brugerindstilling Vurderes at vaeligre mindre indgribende i forhold til brugerens privatliv
Tracking cookies ndash baringde fra 1 part og 3 part anses for mere indgribende i brugerens privat-sfaeligre
Lovgivningen skelner for saring vidt angaringr informations- og samtykkekravet ikke mellem de forskellige typer af cookies men omfatter alle cookies uanset levetid og hvor de stammer fra
Som det fremgaringr nedenfor vil en cookies karakter i praksis kunne spille ind ved vurde-ringen af hvorvidt informations- og samtykkekravet er opfyldt da det her er afgoslashren-de at brugeren kender til cookiens funktion herunder ogsaring hvem der staringr bag cookien og hvem der herfra faringr adgang til indsamlet data
Hvilke handlinger er omfattetBekendtgoslashrelsen vedroslashrer alene den handling der bestaringr i lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr Handlinger der finder sted foslashr eller efter lagringen af eller adgangen til oplysninger i en brugeres terminaludstyr
Vejledning12
er ikke omfattet af reglerne i cookiebekendtgoslashrelsen Saringdanne handlinger kan i stedet vaeligre omfattet af de generelle bestemmelser om beskyttelse af persondata
Foslashlgende tabel giver en oversigt over graelignsefladerne mellem cookiebekendtgoslashrelse og persondataloven
Tabel 1 Anvendelsesomraringder for cookie-bekendtgoslashrelsen og persondataloven
Cookie-bekendtgoslashrelsen Persondataloven
Beskyttelsesobjekt Brugerens terminaludstyr forstaringet som en del af privatsfaeligren
Personoplysninger (ikke kun i terminaludstyr)
Omfattede oplysnings-typer
Alle oplysninger uden sondring
Som udgangspunkt kun personoplysninger Dog er oplysninger om virksomheder mv omfattet i saeligrlige tilfaeliglde
Omfattede behandlings-former
Lagring af eller adgang til oplysninger i en brugers terminaludstyr
Enhver behandling af personoplysninger inden for lovens anvendelsesomraringde hvor der ikke er saeligrregler i anden lovgivning der traeligder i stedet for
Kriterier for behandling(behandlingshjemmel)
HR Fyldestgoslashrende informa-tion til og samtykke fra brugerU Bekendtgoslashrelsens sect 4
Udtrykkelig samtykke er blot eacutet af flere mulige behandlingskriterier
Der er et overlap mellem cookiebekendtgoslashrelsen og persondataloven for saring vidt angaringr lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr naringr de indsamlede oplysninger er personoplysninger Kravet om informeret samtykke i cookiereglerne giver her en bedre beskyttelse af brugeren end persondatabeskyttelses-reglerne der omfatter en raeligkke situationer hvor informeret samtykke ikke er paringkraeligvet
Ved lagring af og adgang til allerede lagrede oplysninger som er personoplysninger i terminaludstyr vil cookiebekendtgoslashrelsen dermed garing forud for persondataloven jf Persondatalovens sect 2
I praksis vil det imidlertid forekomme at der udover lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr ogsaring finder andre behandlinger af op-lysninger sted
For eksempel naringr behandlingerne transmitteres til indsamles eller viderebehandles paring en server Saringdanne behandlingsformer ligger uden for brugernes terminaludstyr og er ikke omfattet af cookiereglerne Afhaeligngigt af de konkrete omstaeligndigheder kan reg-lerne i persondataloven evt finde anvendelse her
Hvilke oplysninger er omfattetBekendtgoslashrelsen vedroslashrer enhver type af oplysninger der indsamles eller lagres paring brugerens terminaludstyr
Vejledning 13
Cookiereglerne regulerer midlet til indsamling af data Der sondres ikke her mellem personhenfoslashrbare og ikke personhenfoslashrbare oplysninger
Det er ligeledes uden betydning om oplysningerne er semantisk meningsfulde ufor-staringelige tekststrenge kode eller om oplysningerne er krypterede
Eksempel Lagring af eller adgang til allerede lagrede oplysninger til brug for webstatistik
En udbyder af en hjemmeside oslashnsker at lave en analyse af hvordan hjemmesidens brugere benytter
siden med henblik paring at forbedre brugeroplevelsen Til dette formaringl oslashnsker udbyderen af hjemme-
siden at placere cookies i brugernes terminaludstyr
Tjenesteudbyderen er omfattet af bekendtgoslashrelsens krav til information og samtykke for saring vidt
angaringr lagringen af cookies og eventuel senere adgang til disse cookies i brugernes terminaludstyr
Oslashnsker tjenesteudbyderen efterfoslashlgende at analysere oplysningerne der er indsamlet ved hjaeliglp af
de placerede cookies falder denne behandling udenfor cookiebekendtgoslashrelsens anvendelsesomraring-
de Det gaeliglder eksempelvis den videre behandling af oplysningerne hos tjenesteudbyderen til brug
for udarbejdelse af statistik
Hvem gaeliglder reglerne forAlle der lagrer eller opnaringr adgang til oplysninger i brugeres terminaludstyr er omfattet af reglerne (se ogsaring det efterfoslashlgende afsnit rdquoHvor gaeliglder hvilke reglerrdquo)
Hjemmesider der henvender sig til alle eller udelukkende til virksomheder vil saringledes vaeligre omfattet af reglerne saringfremt der benyttes cookies eller lignende teknologier paring hjemmesiden idet hjemmesider som udgangspunkt kan tilgarings af alle
Ejeren af en hjemmeside er ligeledes forpligtet efter reglerne i forbindelse med 3 parts lagring af eller adgang til oplysninger i brugeres terminaludstyr hvis dette sker via udbyderens tjeneste fx ved hjaeliglp af indlejret kode i en bannerreklame software ap-plikationer eller links
Ejeren af en hjemmeside behoslashver ikke selv staring for den praktiske og tekniske efterle-velse af reglerne (informering og indhentning af et samtykke fra brugeren) men kan aftale at 3 part haringndterer dette paring vegne af tjenesteudbyderen Ansvaret for at reglerne overholdes vil dog altid ligge hos udbyderen af en tjenesteydelse uanset hvad denne maringtte have aftalt med 3 part da man ifoslashlge cookiebekendtgoslashrelsen heller ikke maring lade 3 part lagre eller faring adgang til allerede lagrede oplysninger uden information til og sam-tykke fra slutbrugeren
Der gaeliglder ikke efter cookiereglerne et krav om indgaringelse af databehandlingsaftale som der gaeliglder efter Persondataloven men det kan vaeligre hensigtsmaeligssigt hvor man giver adgang for 3 part til indsamling af data via ens hjemmeside at indgaring en skriftlig aftale med henblik paring at afdaeligkke med hvilke formaringl 3 part indsamler data om bru-gerne idet dette formaringl skal vaeligre omfattet af informationen paring hjemmesiden for at samtykke fra brugeren kan anses for at vaeligre reelt og fyldestgoslashrende jf nedenfor under afsnittet om rdquoKrav om informeret samtykkerdquo
Ved indlejring paring egen hjemmeside af andres tjenester der eksempelvis hentes via in-ternettet vil aftalen med 3 part oftest bero paring en ensidig accept af 3 partens givne forretningsbetingelser og ikke give mulighed for forhandling af kontraktvilkaringr Man skal vaeligre opmaeligrksom paring at det her kan vaeligre vanskeligt at kontrollere 3 partens brug af data som evt indsamles via cookies eller lignende teknologier og derved ogsaring van-skeligt i sidste ende at sikre et reelt informeret samtykke fra brugeren
Vejledning14
Eksempel Indlejring af et kommentarmodul paring en hjemmeside
Et stoslashrre nyhedsmedie oslashnsker at indlejre et modul der saeligtter brugerne af deres hjemmeside i stand
til at kommentere indholdet paring hjemmesiden Nyhedsmediet kontakter til dette formaringl udbyderen
af et kommentarmodul der kan indlejres paring hjemmesider Nyhedsmediet og udbyderen af modulet
aftaler at modulet indlejres nederst paring alle nyhedsmediets sider
Udbyderen af kommentarmodulet vil gerne saeligtte cookies i brugernes terminaludstyr naringr brugerne
tilgaringr en side for at kunne foslashlge med i hvor meget modulet bliver brugt Nyhedsmediet aftaler der-
for med udbyderen af kommentarmodulet at sidstnaeligvnte soslashrger for at reglerne om lagring af eller
adgang til oplysninger i brugeres terminal- udstyr efterleves ved at der gives fyldestgoslashrende infor-
mation og indhentes samtykke fra brugerne
Nyhedsmediet er dog ansvarlig for at efterlevelsen af reglerne rent faktisk finder sted og dermed for
at der ikke sker en uretmaeligssig lagring i brugernes terminaludstyr naringr brugere tilgaringr nyhedsmediets
hjemmeside uanset hvad nyhedsmediet maringtte have aftalt med udbyderen af kommentarmodulet
Dette gaeliglder altsaring ogsaring i tilfaeliglde af at udbyderen af kommentarmodulet anvender cookies til andre
formaringl end det der foslashlger af aftalen og oplyses til brugeren
Ejeren af en hjemmeside er ansvarlig for de cookies og lignende teknologier der saeligttes i forbindelse med en brugers besoslashg paring hjemmesiden
Linkes der paring hjemmesiden til andre hjemmesider eller anvendes der rdquodelebarerrdquo eller rdquolike-knapperrdquo til eksempelvis Facebook eller Twitter er det vigtigt at vaeligre opmaeligrk-som paring hvorvidt disse hjemmesider saeligtter cookies via links delebar eller like-knapper allerede inden brugeren linkes over til den nye hjemmeside da det som ovenfor naeligvnt er hjemmesideejeren der i sidste ende er ansvarlig for de cookies der saeligttes paring deres hjemmeside Naringr der foslashrst er linket over via delebaren overgaringr ansvaret til ejeren af den nye hjemmeside
Det er ikke et krav efter cookiereglerne men det anbefales at oplyse brugeren om at siden forlades og at de sider man giver adgang til evt bruger cookies
Ved oprettelse af digitale platforme hvorfra man tilgaringr andre hjemmesider som vil optraeligde i rammen af den digitale platform eksempelvis Erhvervsstyrelsens rdquoVirkdkrdquo eller Digitaliseringsstyrelsens rdquoBorgerdkrdquo vil det vaeligre ejeren af den enkelte hjemme-side der tilgarings via platformen der er ansvarlig for overholdelsen af cookiereglerne paring disse hjemmesider Ejeren af platformen har ansvaret for cookies der saeligttes af dem
Det samme vil gaeliglde ved oprettelse af hjemmesider via sociale medier som eksempel-vis Facebook Det sociale medie vil vaeligre ansvarlig for de cookies der saeligttes af mediet men ikke for de cookies der saeligttes af ejeren af hjemmesiden oprettet i det sociale medies format
Det afgoslashrende for hvem der baeligrer ansvaret for indhentelse af samtykke til anvendelse af cookies paring en hjemmeside afhaelignger af hvem der har kontrollen over indholdet paring hjemmesiden
Hvor gaeliglder hvilke reglerHjemmesideejere der er etableret i andre lande udover Danmark skal vaeligre opmaeligrk-somme paring at de maringske ikke kan noslashjes med at indrette deres loslashsninger efter den danske lovgivning De danske cookieregler er baseret paring harmoniseret EU lovgivning der dog alene fastsaeligtter minimumskrav i forbindelse med anvendelse af cookies og lignende teknologier
Der er ikke i e-Databeskyttelsesdirektivet taget stilling til reglernes geografiske anven-delsesomraringde men Europa-Kommissionen har tilkendegivet at det indenfor EU er lovgivningen i det land hvori udbyderen af en tjeneste er etableret der er gaeligldende Vi
Vejledning 15
laeliggger i Danmark umiddelbart op af Kommissionens fortolkning der foslashlger rdquoafsen-derlandsprincippetrdquo i E-handelsdirektivet8
Hvis udbyderen af en tjeneste etableret i Danmark lagrer eller opnaringr adgang til op-lysninger i en brugers terminaludstyr er tjenesteudbyderen saringledes forpligtet efter de danske regler De danske regler finder ligeledes anvendelse hvor udbyderen af en tjeneste etableret i Danmark lader en 3 part der er etableret i et andet land lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyderens tjene-ste
Ifoslashlge Kommissionen gaeliglder for udbyderen af en tjeneste etableret uden for EU lovgiv-ningen i det land hvor lagringen af eller adgangen til oplysninger i en brugers termi-naludstyr finder sted Erhvervsstyrelsen laeliggger i tilsynet med reglerne vaeliggt paring hvor-vidt hjemmesiden retter sig mod danske forbrugere i overensstemmelse med de folkeretlige jurisdiktionsprincipper om hvor en handling har virkning Der vil saringledes blive lagt vaeliggt paring en raeligkke faktorer som sprog leveringsbetingelser (feks en webshop hvor der kan leveres til Danmark) etc
Krav om informeret samtykke
Det helt centrale i aeligndringen til e-Databeskyttelsesdirektivet fra 2009 er kravet om indhentelse af informeret samtykke forud for placeringen af cookies der ogsaring er foslashrt videre til de danske regler i cookiebekendtgoslashrelsens sect 3
Cookiebekendtgoslashrelsen indeholder en definition af samtykke baseret paring samtykkede-finitionen i Persondatabeskyttelsesdirektivet som Cookiedirektivet henviser til Det samme gaeliglder indholdet af informationspligten der ogsaring er naeligrmere beskrevet i Per-sondatabeskyttelsesdirektivet
Kravene om information og samtykke boslashr ses som to komplementaeligre elementer der understoslashtter hinanden og ikke kan adskilles idet de er indfoslashrt for at sikre at brugeren kan traeligffe et reelt og oplyst valg omkring overvaringgningen af deres faeligrdsel paring internet-tet Er informationen ikke fyldestgoslashrende vil samtykket heller ikke vaeligre et reelt sam-tykke
Nedenfor er kravene til baringde information og samtykke naeligrmere uddybet Der gives en raeligkke praktiske eksempler og flere foslashlger af den tekniske guide som findes i vejlednin-gens sidste afsnit Der er alene tale om eksempler til inspiration da det fortsat vil vaeligre op til den enkelte hjemmesideejer at vurdere hvordan kravene bedst muligt efterleves paring netop deres tjeneste
Bekendtgoslashrelsens sect 3
sect 3 Fysiske eller juridiske personer maring ikke lagre oplysninger eller opnaring adgang til oplysninger der
allerede er lagret i en slutbrugers terminaludstyr eller lade tredjepart lagre oplysninger eller opnaring
adgang til oplysninger hvis slutbrugeren ikke giver samtykke hertil efter at have modtaget fyldest-
goslashrende information om lagringen af eller adgangen til oplysningerne
Stk 2 Information jf stk 1 er fyldestgoslashrende naringr den som minimum
1) fremstaringr i et klart praeligcist og letforstaringeligt sprog eller tilsvarende billedskrift
2) indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens
terminaludstyr
3) indeholder oplysninger der identificerer enhver fysisk eller juridisk person der foranstalter lagrin-
gen af eller adgangen til oplysningerne
4) indeholder en umiddelbart tilgaeligngelig adgang for slutbrugeren til at afslaring samtykke eller tilbage-
8 Europa-Parlamentets og Raringdets direktiv 200031EF om visse retlige aspekter af informationssamfundstjenester navnlig ele-ktronisk handel i det indre marked
Vejledning16
kalde samtykke til lagringen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig
vejledning om hvordan slutbrugeren anvender en saringdan adgang og
5) er umiddelbart tilgaeligngelig for slutbrugeren ved samlet og tydeligt at blive meddelt denne Des-
uden skal information naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminal-
udstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren
ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Informationskravet
Hvilke krav stilles til fyldestgoslashrende information Af bekendtgoslashrelsens sect 3 stk 2 fremgaringr de krav der som minimum skal vaeligre opfyldt foslashr informationen kan siges at vaeligre fyldestgoslashrende Der stilles krav til karakteren ind-holdet og tilgaeligngeligheden af informationen
Overordnet kan siges at informationen skal udgoslashre det videns grundlag der saeligtter brugerne i stand til at traeligffe reelle informerede valg I nogle tilfaeliglde boslashr det derfor ogsaring overvejes at medtage yderligere information end der kraeligves i bekendtgoslashrelsen hvis dette er noslashdvendigt for at brugerne kan forstaring konsekvenserne af deres valg
Loslashsninger skal opfylde cookiereglerne baringde paring hjemmesider og paring mobilsites ndash se evt teknisk guide i vejledningens kapitel 6
Krav til sprog og tekstsect 3 stk 2 nr 1 fastsaeligtter krav til at informationen fremstaringr i et klart praeligcist og letfor-staringeligt sprog eller tilsvarende billedskrift
Det indebaeligrer bla at informationen ikke boslashr formuleres i unoslashdigt teknisk eller juri-disk sprog samt at brugeren let kan danne sig et overblik
Brug af tabeller eller billedsprog fx i form af piktogrammer kan supplere eller erstatte mere traditionel tekst og goslashre informationen lettere at forstaring men maring vurderes ud fra brugerens kendskab til saringdanne alternativer
Bestemmelsen indeholder ikke krav til paring hvilket sprog informationen skal gives Valg af sprog boslashr dog ske under hensynstagen til hvilke brugere en tjeneste retter sig imod herunder isaeligr hvor disse brugere befinder sig geografisk
Krav til oplysning om formaringlsect 3 stk 2 nr 2 fastsaeligtter krav til at informationen indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens terminaludstyr
Brugeren har ret til at faring oplyst hvorfor der lagres eller tilgarings oplysninger og det er ikke tilstraeligkkeligt blot at oplyse at det sker Dette krav haelignger sammen med samtykkekra-vet der skal vaeligre en specifik viljestilkendegivelse Angivelsen af rdquovi bruger cookiesrdquo uden yderligere praeligcisering vurderes saringledes ikke at opfylde reglerne
Informationen om formaringl med lagringen af eller adgangen til oplysninger er helt cen-tral og skal understoslashtte at brugerne er bevidste om hvilke konsekvenser deres valg har Formaringlet boslashr derfor altid beskrives meget praeligcist og daeligkkende
Har lagringen af eller adgangen til oplysninger mere end eacutet formaringl skal der oplyses om samtlige formaringl Lagres eller tilgarings der flere oplysninger med samme formaringl eller af flere omgange vil det almindeligvis vaeligre tilstraeligkkeligt at beskrive formaringlet eacuten gang og ikke for hver oplysning der lagres eller opnarings adgang til
Vejledning 17
I relation til kravet om angivelse af formaringl saring er det her vigtigt at understrege at for-maringlsbeskrivelsen ligeledes skal omfatte eventuelle 3 parters formaringl med at anvende cookies
Eksempel Information om formaringl med brug af cookies
Brugen af cookies er meget udbredt og kan have en lang raeligkke formaringl herunder fx at optimere
brugeroplevelse eller design paring en tjeneste at generere webstatistik eller at maringlrette markedsfoslashring
til brugere
Den information der gives boslashr beskrive formaringlet med tjenestens brug af cookies og ikke de en-
kelte cookies i sig selv
Hvis en tjeneste eksempelvis bruger fire cookies til at optimere designet paring tjenesten mens yderli-
gere to cookies bruges til at haringndtere annoncer og en syvende cookie bruges til at genere websta-
tisk vil det almindeligvis vaeligre tilstraeligkkeligt at informere om de tre forskellige formaringl med brugen
af cookies og ikke noslashdvendigvis om de i alt syv cookies siden goslashr brug af
Oplysninger om hvem der saeligtter cookiessect 3 stk 2 nr 3 fastsaeligtter krav til at informationen indeholder oplysninger der identifi-cerer enhver fysisk eller juridisk person der foranstalter lagringen af oplysninger eller opnaringr adgang til allerede lagrede oplysninger
Brugere skal vaeligre i stand til at identificere den der foranstalter lagringen Det vil i mange tilfaeliglde vaeligre udbyderen af tjenesten men hvor udbyderen af en tjeneste lader 3 part lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyde-rens tjeneste skal 3 part ogsaring kunne identificeres af brugeren Den eksakte angivelse af hvilke 3 parter der saeligtter cookies kan ske paring en underside jf vejledningens afsnit om lagdelt information nedenfor
For saring vidt angaringr oplysninger der lagres eller tilgarings i brugeres terminaludstyr af en or-ganisation fx en virksomhed eller anden juridisk person angives oplysninger som identificerer organisationen og ikke dens medarbejdere
Hvilke konkrete informationer der skal vaeligre til stede for at brugere kan identificere de(n) der foretager lagringen vil variere fra tjeneste til tjeneste og afhaelignger af de par-ter der er involveret
Adgang til at afslaring cookiessect 3 stk 2 nr 4 fastsaeligtter krav til at informationen indeholder en umiddelbart tilgaelign-gelig adgang for slutbrugeren til at afslaring samtykke eller tilbagekalde samtykke til lagrin-gen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig vejledning om hvordan slutbrugeren anvender en saringdan adgang
Brugere skal have mulighed for at afslaring samtykke eller tilbagekalde et allerede givet samtykke Dette skal understoslashtte reel brugerkontrol og frivilligheden af brugeres sam-tykke Til dette formaringl skal der vaeligre en umiddelbart tilgaeligngelig adgang til at afslaring cookies og en klar praeligcis og letforstaringelig vejledning om hvordan brugere kan anvende en saringdan adgang Se endvidere nedenfor under afsnittet om rdquoKravet til samtykkerdquo hvor det slarings fast at der ikke gaeliglder noget krav om at en hjemmeside skal kunne tilgarings eller fungere uden cookies
Det kan i nogle tilfaeliglde vaeligre relevant at henvise til eksempelvis vejledninger og vaeligrk-toslashjer andre har udarbejdet Der stilles i bekendtgoslashrelsen ingen krav til at vejledninger eller vaeligrktoslashjer til at afslaring eller tilbagekalde et samtykke skal forefindes paring tjenesten der lagrer eller tilgaringr oplysninger Det er adgangen til vejledning og vaeligrktoslashjer som tjene-sten er forpligtet til at goslashre umiddelbart tilgaeligngelig for brugeren
Vejledning18
Krav om informationens tilgaeligngelighedsect 3 stk 2 nr 5 fastsaeligtter krav til at informationen er umiddelbart tilgaeligngelig for slut-brugeren ved samlet og tydeligt at blive meddelt denne Desuden skal informationen naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjene-ste
For at sikre reel brugerkontrol er det noslashdvendigt at informationen er umiddelbart tilgaeligngelig for brugere og kan tilgarings uden besvaeligr Dette er desuden en forudsaeligtning for at brugere ogsaring kan tilbagekalde et allerede afgivet samtykke Hvordan informatio-nen bedst goslashres tilgaeligngelig vil bla afhaelignge af tjenestens design og struktur hvorfor det vil variere fra tjeneste til tjeneste
Informationen kan vaeligre lagdeltDet kan vaeligre hensigtsmaeligssigt at benytte sig af lagdelt information saringledes at det dog sikres at brugerne med det samme faringr de vaeligsentligste informationer saringsom formaringlet med anvendelsen af cookies samtidig med at der linkes til mere detaljerede informa-tioner Brugen af piktogrammer eller andre tydeligt markerede indgange til informa-tionen kan understoslashtte dette men ikke goslashre det ud alene for umiddelbar tilgaeligngelig information
Den umiddelbare angivelse af formaringlet med anvendelsen af cookies boslashr omfatte infor-mation om 3 parts cookies idet det har betydning for brugeren hvem data tilgaringr Ek-sempelvis ved angivelse af formaringl som direkte markedsfoslashring skal det ogsaring fremgaring at direkte markedsfoslashring vil vaeligre fra 3 part Den praeligcise angivelse af 3 parter kan evt ske paring en underside
En tjeneste kan desuden vaeliglge at skelne mellem hvordan informationen praeligsenteres for brugere inden brugeren afgiver eller afslaringr samtykke og hvordan informationen praeligsenteres efter at brugere har afgivet eller afslaringet samtykke
Paring informations- og indholdstjenester herunder hjemmesider og andre online tjene-ster der lagrer eller tilgaringr oplysninger i en brugeres terminaludstyr skal informationen vaeligre vedvarende tilgaeligngelig for brugere ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Dette indebaeligrer at brugere ved anvendelse af saringdanne tjenester til enhver tid skal have adgang til informationen og en saringdan adgang boslashr vaeligre let at finde og anvende Det kan bla overvejes at opfylde dette krav ved at placere en saringdan adgang i sammenhaeligng med oslashvrige vedvarende elementer paring en tjeneste Brug af piktogrammer eller lignende kan ogsaring overvejes i denne sammenhaeligng
Nedenfor redegoslashres naeligrmere for kravet til samtykke Det kan heraf laeligses at samtykke kan gives paring forskellig maringde herunder ogsaring ved en aktiv handling Kravet til informa-tion kan variere for saring vidt angaringr tydelighed og tilgaeligngelighed alt efter hvilken form for samtykke der er tale om Krav til hvilke oplysninger der gives for at en information kan anses for fyldestgoslashrende varierer imidlertid ikke
Vaeligsentlig information der skal gives til brugeren med det samme er
- Alle formaringl med cookies og lignende teknologier
- Hvem der anvender cookies og lignende teknologier paring hjemmesiden
Vejledning 19
Eksempel Fyldestgoslashrende information ndash lagdelt med vaeligsentlige oplysninger foslashrst
En tjeneste paring nettet der giver brugeren mulighed for at sammenligne produkter og priser paring for-
skellige vareomraringder anvender cookies til at registrere antallet af brugere paring hjemmesiden og til at
registrere hvor brugeren kommer fra Paring hjemmesiden er der bannerreklamer for forskellige produ-
center relateret til de varekategorier som omtales paring hjemmesiden Bannerreklamerne leveres af 3
parter og anvender cookies til at registrere hvilke annoncer brugeren klikker paring saringledes at det er
muligt at identificere brugernes interesser og maringlrette annonceringen
Eksempel Umiddelbar information til brugeren
rdquoVi bruger cookies til statistik og til maringlrettet markedsfoslashring ogsaring fra os selv og vores an-
noncoslashrer ndash se her hvilke Laeligs her mere om vores brug af cookies herunder hvordan du
fravaeliglger brug af cookiesrdquo
Kravet til samtykke
Som ovenfor naeligvnt er den centrale aeligndring af reglerne kravet om indhentelse af in-formeret samtykke fra brugeren ved anvendelse af cookies eller lignende teknologier der foslashlger af cookiebekendtgoslashrelsens sect 3
Samtykke defineres i bekendtgoslashrelsens sect 2 stk 1 nr 8
Bekendtgoslashrelsens sect 2 stk 1 nr 8
sect 2 stk 1 nr 8) Samtykke Enhver frivillig specifik og informeret viljestilkendegivelse hvorved
slutbrugeren indvilliger i at der lagres oplysninger eller opnarings adgang til allerede lagrede oplysnin-
ger i slutbrugerens terminaludstyr
Da tjenester og deres brugere er vidt forskellige vil der vaeligre stor forskel paring hvordan et samtykke bedst indhentes
Kravet om samtykke skal sikre at brugere har reel kontrol med hvorvidt der lagres el-ler tilgarings oplysninger i deres terminaludstyr Naringr samtykket skal indhentes er det der-for vaeligsentligt at holde sig brugerens kontrolmuligheder for oslashje herunder brugerens reelle muligheder for at vurdere formaringlet med lagringen eller tilgangen til oplysnin-gerne
Reglerne giver i udgangspunktet tjenester et stort mulighedsrum til at vaeliglge hvordan samtykket bedst kan indhentes paring en maringde der fungerer i deres konkrete kontekst
At samtykket skal vaeligre frivilligt indebaeligrer bla at brugere skal have et faktisk valg
Det er ikke et krav at hjemmesider kan fungere uden brug af cookies eller lignende teknologier hvorfor afvisning af cookies kan medfoslashre at brugerens eneste mulighed er at forlade hjemmesiden Virksomheder har selvsagt et incitament for at deres hjem-meside er tilgaeligngelig men det er ikke lovstridigt at have loslashsninger der afskaeligrer bru-gere som ikke vil acceptere brugen af cookies
For offentlige hjemmesider kan der vaeligre andre overvejelser idet adgangen til offentlige tjenester gerne skulle vaeligre tilgaeligngelig for alle
I frivilligheden af samtykket ligger ogsaring at brugere skal have mulighed for at tilbage-kalde et allerede afgivet samtykke jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 4
Vejledning20
At samtykket skal vaeligre specifikt indebaeligrer bla at samtykket skal vaeligre praeligcist og vel-afgraelignset Samtykket behoslashver imidlertid ikke relatere sig til hver enkelt lagring af eller adgang til oplysninger i brugernes terminaludstyr I stedet boslashr samtykket knytte sig til det formaringl der ligger til grund for lagringen af eller adgangen til oplysningerne jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 2
Hvis lagring af eller adgang til oplysninger paring et senere tidspunkt benyttes til formaringl der raeligkker ud over hvad der tidligere er indhentet samtykke til skal der indhentes et nyt samtykke der omfatter det nye formaringl
At samtykket skal vaeligre informeret understoslashttes af kravene til information i bekendtgoslash-relsens sect 3 stk 2 hvor ikke mindst formaringlet med lagringen er vaeligsentligt Som del af et informeret samtykke boslashr brugere ogsaring oplyses om konsekvenserne af deres (fra)valg Saringdanne konsekvenser kan fx vaeligre at brugere ikke kan faring adgang til (dele af) tjenesten som ovenfor beskrevet hvis samtykket afslarings eller at et samtykke medfoslashrer at 3 parter faringr mulighed for at lagre eller tilgaring allerede lagrede oplysninger i brugeres terminalud-styr
Brugeres viljetilkendegivelse staringr helt centralt i indhentningen af et samtykke En tjene-steudbyder har pligt til at identificere en aktiv handling fra sine brugere der med rime-lighed kan tages til indtaeliggt for en tilkendegivelse af deres vilje paring et informeret grund-lag Det skal dog understreges at vilje kan tilkendegives paring en lang raeligkke forskellige maringder og at reglerne i bekendtgoslashrelsen ikke tager specifikt stilling til hvordan denne skal komme til udtryk
En viljestilkendegivelse kan vaeligre mange ting herunder eksempelvis
bull afkrydsning af en boks klik paring en knap eller udfyldelse af en formular i sammenhaeligng med rele-
vant information paring en tjeneste
bull aktiv brug af en tjeneste hvor det maring forventes at brugeren er informeret om at der vil ske lag-
ring af eller adgang til oplysninger (saringfremt dette ikke er afslaringet)
Kommissionen har tilkendegivet overfor Erhvervsstyrelsen at aktiv brug af en tjeneste som ovenfor beskrevet er i overensstemmelse med e-Databeskyttelsesdirektivet og ac-cepteres i de fleste medlemslande Det afgoslashrende er at der kan identificeres en aktiv handling eksempelvis at der klikkes videre paring siden og at brugeren har en forstaringelse af at de ved denne handling accepterer cookies dvs det er ikke nok bare generelt at informere om at hjemmesiden bruger cookies det skal praeligciseres at cookies saeligttes ved at brugeren eksempelvis klikker videre
Der vil vaeligre stor forskel paring hvordan samtykket bedst indhentes Det er den enkelte tjeneste selv der har de bedste forudsaeligtninger for at vaeliglge en loslashsning der overholder samtykkekravet og giver tjenestens brugere reel mulighed for at tilkendegive deres vilje paring et informeret grundlag
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt at defi-nere praeligcist hvordan brugere i konkrete tilfaeliglde skal tilkendegive sin vilje Bekendt-goslashrelsens samtykkekrav giver derfor tjenester et stort mulighedsrum til at udvikle nye og innovative loslashsninger der oslashger brugerkontrollen og gennemsigtigheden
Vejledning 21
Eksempel Samtykke
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Accepter cookies Afvis cookies Laeligs mere her om vores brug af cookies herunder hvordan
du fravaeliglger cookies igenrdquo
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Klikker du videre paring siden accepterer du at der saeligttes cookies til disse formaringl Laeligs mere
her om vores brug af cookies herunder hvordan du fravaeliglger brugen af cookiesrdquo
Hvis brugere vaeliglger ikke at give samtykke til lagringen af oplysninger eller vaeliglger at tilbagekalde et samtykke stilles der som ovenfor naeligvnt i bekendtgoslashrelsen ikke noget krav til at brugere fortsat skal have adgang til indhold paring en tjeneste
Erhvervsstyrelsen er opmaeligrksom paring at kravet om forudgaringende samtykke kan vaeligre teknisk udfordrende for en del hjemmesider der saeligtter cookies allerede naringr brugeren tilgaringr siden saeligrligt for at sikre statistik om hvor mange der besoslashger en hjemmeside og hvor de kommer fra
Direktivet stiller et grundlaeligggende krav om informeret samtykke Nogle lande har valgt at haringndhaeligve samtykkekravet saringledes at det undtagelsesvis i saeligrlige tilfaeliglde ac-cepteres at cookies kan lagres forud for at brugeren har givet samtykke hertil UK fastslaringr eksempelvis i deres vejledning til reglerne at samtykke saring vidt muligt skal ind-hentes foslashr der saeligttes cookies men accepterer dog at det ikke altid sker Hvor det ikke er muligt at indhente samtykke foslashr cookies lagres laeliggges der i UKrsquos vejledning imid-lertid vaeliggt paring virksomhedernes indsats for at sikre information til brugerne og deres mulighed for at give samtykkeafvise cookies hurtigst muligt ligesom der laeliggges vaeliggt paring at virksomhederne begraelignser adgangen til sessions cookies
Der er behov for en naeligrmere afklaring fra Kommissionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside eje-rens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Samtykke ved browserindstillinger er ikke anerkendt i Danmark paring nuvaeligrende tids-punkt og kun i faring af de oslashvrige EU-medlemslande Den generelle holdning er at de browserloslashsninger som findes paring markedet i dag ikke i tilstraeligkkelig grad sikrer mod brugen af cookies hvor brugeren har fravalgt det Med de eksisterende browsere er det ikke muligt at differentiere sit samtykke tilstraeligkkelig nuanceret saring det reelt bliver et rdquoja takrdquo til alle cookies eller rdquonej takrdquo til alle cookies hvorefter brugeren vil kunne op-leve betydelige begraelignsninger i forhold til indhold af forskellige tjenester paring nettet
Samtykket varer i udgangspunktet indtil forholdene aeligndres Brugeren skal hele tiden have en let adgang til at traeligkke samtykket tilbage
Undtagelser
Bekendtgoslashrelsens sect 4 indeholder to undtagelser til kravet om informeret samtykke fra brugeren forud for anvendelsen af cookies Er der tale om indsamling af data som falder under undtagelsesbestemmelserne vil der efter lovgivningen ikke stilles krav om hverken information eller samtykke Det kan imidlertid vaeligre en anbefaling ogsaring her at give information og indhente samtykke ud fra en betragtning om at fuldstaeligndig gennemsigtighed oslashger tilliden til internettet og derfor kan vaeligre gavnlig for en e-hand-ler eller udbyder af tjenesteydelser paring nettet Det skal ogsaring her vurderes hvorvidt situa-tionen kan vaeligre omfattet af reglerne om beskyttelse af persondata
Vejledning22
Bekendtgoslashrelsens sect 4
sect 4 Uanset sect 3 kan fysiske eller juridiske personer lagre oplysninger eller opnaring adgang til oplysninger
der allerede er lagret i en slutbrugers terminaludstyr hvis
1) lagringen af eller adgangen til oplysninger alene sker med det formaringl at overfoslashre kommunikation
via et elektronisk kommunikationsnet eller
2) lagringen af eller adgangen til oplysninger er paringkraeligvet for at saeligtte tjenesteyderen af en informa-
tionssamfundstjeneste som slutbrugeren udtrykkeligt har anmodet om i stand til at levere denne
tjeneste
Stk 2 Lagring af eller adgang til oplysninger i en slutbrugersterminaludstyr er paringkraeligvet jf stk 1
nr 2 hvis lagringen af eller adgangen til oplysninger er en teknisk forudsaeligtning for at kunne levere
en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
Erhvervsstyrelsen laeliggger i fortolkningen af undtagelsesbestemmelserne vaeliggt paring udta-lelser fra den saringkaldte Artikel 29 gruppe som er omtalt i forordet og som i juni 2012 offentliggjorde et dokument vedroslashrende undtagelsesbestemmelserne i e-Datadirekti-vet efter aeligndringerne i 2009 Det er vigtigt her at understrege at der ikke er tale om et juridisk bindende dokument men gruppens fortolkninger stoslashttes i vid udstraeligkning af EU Kommissionen og bredt i medlemsstaterne Et link til Artikel 29 gruppens udta-lelse foslashlger af kapitel 5 rdquoLinks til lovgivning og direktiverrdquo
1 undtagelse Cookies i forbindelse med opkobling til internettetDet er Erhvervsstyrelsens vurdering at sect 4 stk 1 nr 1 alene er moslashntet paring udbydere af internetforbindelser og den lagring af eller adgang til oplysninger i brugeres terminal-udstyr der maringtte finde sted som en del af opkoblingen til internettet og vedligehol-delse heraf
2 undtagelse Cookies der sikrer funktionaliteten af en tjeneste som brugeren har bedt omsect 4 stk 1 nr 2 har derimod et bredere anvendelsesomraringde
For at vaeligre omfattet af undtagelsesbestemmelsen i sect 4 stk 1 nr 2 skal to krav vaeligre opfyldt For det foslashrste skal brugeren udtrykkeligt have anmodet om tjenesten For det andet skal lagringen af eller adgangen til oplysninger i brugerens terminaludstyr vaeligre paringkraeligvet for leveringen af denne tjeneste Begge krav skal vaeligre opfyldt
Brugerens faeligrden paring nettet eller besoslashg paring en specifik hjemmeside kan ikke tages som et udtryk for en generel anmodning om de tjenester der her tilbydes
Hvorvidt lagring af oplysninger eller adgang til allerede lagrede oplysninger er paringkraelig-vet uddybes i sect 4 stk 2 hvorefter der skal vaeligre tale om en teknisk forudsaeligtning for at kunne levere en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
For at vaeligre en teknisk noslashdvendighed skal tjenesten ikke kunne fungere uden brug af cookiersquoen eller en lignende teknologi Samtidig er det vigtigt at der er en klar sammen-haeligng mellem den rdquoparingkraeligvederdquo teknologi og brugerens udtrykkelige anmodning om tjenesten
Med hensyn til tjenestens formaringl boslashr der laeliggges vaeliggt paring det formaringl med hvilket bru-gere tilgaringr tjenesten eller hjemmesiden
Cookies eller lignende teknologier der opfylder kravene til at vaeligre omfattet af undta-gelsen maring ikke anvendes med andre formaringl for oslashje I saring fald skal brugeren informeres og give samtykke til disse andre formaringl
Vejledning 23
Det har betydning for vurderingen af om cookies kan undtages fra kravet om informe-ret samtykke om der er tale om sessionscookies eller vedvarende cookies og hvor den stammer fra Vedvarende cookies vil sjaeligldent falde under undtagelsesbestemmelsen
Eksempler paring undtagelser efter sect 4
Elektroniske indkoslashbskurve
- Brugen af elektroniske indkoslashbskurve i webshops hvor det er noslashdvendigt at kunne genkende bru-
geren paring tvaeligrs af sideskift (genindlaeligsninger af webshoppen) da indkoslashbskurven ellers vil vaeligre tom
ved visning af en ny side Lagring af fx en cookie eller lignende teknologi er dermed en teknisk for-
udsaeligtning for at kunne levere den tjeneste (e-handel) som brugeren udtrykkeligt har anmodet om
(tilgaringet webshoppen og lagt varer i indkoslashbskurven) Indkoslashbskurven fungerer desuden i overensstem-
melse med det formaringl (at koslashbe varer) med hvilket brugeren tilgaringr webshoppen
Log-in situationer
- Anvendelse af log-in (eksempelvis ved netbank offentlige selvbetjeningsloslashsninger eller ved ad-
gang til saeligrlige netvaeligrk) hvor cookies sikrer at brugeren logges ind med brug af brugernavn
passwords og forbliver logget ind uden igen at skulle indtaste saringdanne koder Det er vigtigt at
understrege at det alene er selve log-in funktionen der er undtaget men ikke noslashdvendigvis cookies
som saeligttes ved aktiviteter efter log-in funktionen
Andre undtagelser
Brugerdefinerede browserindstillinger ndash eks valg af land sprog eller skriftstoslashrrelse
- Disse cookies kan vaeligre undtaget fra kravet om informeret samtykke i det omfang at disse udtryk-
kelig aktiveres af brugeren fx ved at klikke paring en knap eller afkrydse en rubrik og ikke benyttes til
andre formaringl og ikke i laeligngere tid end en browsersession
Authentificeringscookies
Cookies der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider
Brugervalideringscookies
Cookies der anvendes til at sikre mod (gentagne) fejl ved log-in
Multimedia player cookies
Cookies der anvendes til at regulere netvaeligrkshastighed eller billedkvalitet og til at aktivere play back
video- eller lydfiler
Plug-ins til sociale medier
Cookies der giver muligheden for enten at dele indholdet af en hjemmeside eller rdquolikerdquo indholdet via
det sociale medie Cookien saeligttes alene for at dirigere brugeren over paring den sociale hjemmeside og
logge ind her Den har alene betydning for brugere af sociale netvaeligrk der allerede er logget ind her
Bruges cookien til at tracke brugeren rundt paring nettet vil den ikke vaeligre omfattet
Load balancing
Cookies der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en
service
Det er Erhvervsstyrelsens vurdering at cookies der husker at en bruger har sagt rdquonej takrdquo til cookies er undtaget kravet om informeret samtykke da der er tale om et oslashnske fra brugeren og den er noslashdvendig for at huske indstillingen
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning6
1 INDLEDNING
Vejledningen understoslashtter reglerne i cookiebekendtgoslashrelsen der stiller krav om at hjemmesider der goslashr brug af teknologier til at lagre eller laeligse oplysninger paring en bru-gers computer eller andet it-udstyr (saringkaldte cookies) sikrer samtykke hertil fra bruge-ren af hjemmesiden inden teknologien anvendes
Cookiebekendtgoslashrelsen der traringdte i kraft 14 december 2011 implementerer e-databe-skyttelsesdirektivet3 med seneste aeligndringer fra 20094 hvormed samtykkekravet blev indfoslashrt
Reglerne er indfoslashrt for at oslashge beskyttelsen af privatlivet naringr vi bevaeligger os i den digi-tale verden Cookies indsamler data om brugeren af digitale tjenester ved at tilgaring bru-gerens computer eller andet terminaludstyr der anses for at vaeligre en del af brugerens privatsfaeligre Indsamlingen af data via cookies goslashr det muligt at genkende brugerens computer og foslashlge brugerens faeligrden paring nettet
Cookiereglerne skal laeligses i lyset af reglerne om beskyttelse af persondata hvor cookie-reglerne regulerer indsamling af data i bredere forstand idet der ikke skelnes til om der er tale om oplysninger der kan identificerer en person
Virksomhederne og offentlige myndigheder benytter sig i hoslashjere og hoslashjere grad af den digitale platform paring internettet og bruger mulighederne for den ofte lettere adgang her til kunder og brugere end i den fysiske verden Samtidig er de udfordret af flygtigheden hos brugerne paring nettet og den manglende personlige relation i den digitale verden Anvendelsen af teknologier som cookies giver mulighed for at skabe relationen med bedre brugeroplevelser og maringlrettede ydelser Cookies kan saringledes vaeligre en stor hjaeliglp for brugeren bla ved gentagne besoslashg paring hjemmesider hvor brugerens indstillinger og evt indtastede oplysninger huskes ved hjaeliglp af cookies og derfor ikke skal indtastes igen Cookies kan ogsaring bruges til at foslashlge brugerens faeligrden paring en enkelt hjemmeside eller paring tvaeligrs af hjemmesider og give grundlag for bla statistik og maringlrettede annon-cer og tjenester fra hjemmesideejeren selv eller fra 3 parter som eksempelvis udbydere af webstatistikmoduler reklame- eller mediebureauer Cookies er med til at styrke innovation og udvikling paring det digitale marked
Sigtet med reglerne er heller ikke at forbyde brugen af cookies men at oslashge gennemsig-tigheden med de processer der understoslashtter brugernes faeligrden paring Internettet baseret paring data indsamlet hos brugeren og samtidig sikre at brugeren fortsat har kontrollen med hvad disse data bruges til Reglerne laeliggger vaeliggt paring at den enkelte bruger skal have en reel mulighed for at til- eller fravaeliglge lagring af cookies Herved sikres tilliden til internettet der ogsaring er en afgoslashrende faktor for den fortsatte udvikling af det digitale marked
Cookies er i almindelighed passive filer der kan lagres eller tilgarings i brugeres terminal-udstyr men ikke interagere eller manipulere med udstyr eller oplysninger
Den viden der indsamles via cookies eller lignende teknologier kan imidlertid som ovenfor naeligvnt benyttes til en lang raeligkke forskellige formaringl fx personalisering og ud-vikling af mere brugervenlige tjenester generering af analyser om brugen af en hjem-meside eller maringlretning af adfaeligrdsbaseret markedsfoslashring til brugeren Afhaeligngig af den enkelte brugers personlige holdninger kan disse formaringl vaeligre mere eller mindre oslashnskvaeligrdige
3 Europa-Parlamentets og Raringdets direktiv 200258EF om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor
4 Europa-Parlamentets og Raringdets direktiv 2009136EF
Vejledning 7
Hertil kommer at cookies kan og ofte saeligttes af andre end hjemmesiden selv hvilket ikke altid er aringbenlyst for brugeren og kan goslashre det vanskeligt for brugeren at gennem-skue det reelle formaringl Det er her saeligrligt vigtigt at sikre brugerens opmaeligrksomhed paring at cookies kan foslashlge med fra en hjemmeside til en anden og foslashlge brugerens faeligrden rundt paring nettet Samtidig er det vigtigt at ejeren af hjemmesiden selv har kontrol over hvilke cookies der saeligttes og hvem der via hjemmesiden faringr adgang til brugerens data Har ejeren af hjemmesiden ikke denne kontrol bliver det dels meget vanskeligt eller umuligt at indhente et reelt informeret samtykke fra brugeren samtidig med at der kan vaeligre risiko for at andre aktoslashrer misbruger brugerens data eller udnytter data i mod-strid med ejeren af hjemmesidens egne interesser
I lyset af de forskellige egenskaber ved cookies og udnyttelsen heraf der skifter kon-stant i takt med den teknologiske udvikling og det voksende digitale marked er det noslashdvendigt at styrke den generelle oplysning af brugerne for at opfylde lovgivningens formaringl om at det er brugerne der paring et informeret grundlag skal beslutte om de vil tillade adgangen til oplysningerne
En analyse lavet af Foreningen for Dansk Internethandel FDIH5 viser at kendskab til cookies er stigende hos forbrugerne og at 2 ud af 3 forbrugere ved hvad en cookie er Det er overvejende aeligldre forbrugere der kender til cookies Analysen viser endvidere at halvdelen af dem som svarer ja til kendskab til cookies ogsaring aktivt har vaeligret inde og aeligndre i deres browserindstillinger for at forhindre eller begraelignse accepten af cookies For den gruppe som svarede nej til kendskabet til cookies og som primaeligrt bestaringr af yngre internetbruger afviser over 2 tredjedele imidlertid at have planer om fremadret-tet at aeligndre i browserindstillinger for at forhindre eller begraelignse accepten af cookies
Analysen viser at der er en stor forskel paring brugernes opfattelse af cookies og holdning til om cookies er noget man lever med eller oslashnsker at undgaring Den stigende brugerbe-vidsthed i forhold til cookies og anvendelsen heraf er imidlertid en faktor som baringde virksomheder og offentlige myndigheder boslashr forholde sig til
Naeligrvaeligrende vejledning uddyber reglerne i cookiebekendtgoslashrelsen saeligrligt de essen-tielle krav til information og samtykke og giver bud paring praktiske loslashsninger til hjem-mesideejerne Kompleksiteten og mangfoldigheden af digitale tjenester i dag goslashr det hverken muligt eller hensigtsmaeligssigt at beskrive i detaljen hvordan reglerne skal efter-leves men bekendtgoslashrelsen tegner sammen med denne vejledning en ramme eller et mulighedsrum hvori tjenesteudbydere kan finde inspiration til loslashsninger der passer til deres konkrete kontekst Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsig-tigheden og kontrollen for brugerne De eksempler der er med i vejledningen og i den tekniske guide til virksomheder er derfor ogsaring alene eksempler og ikke anvisninger paring endegyldige loslashsninger
Hjemmesideejere etableret i andre lande udover Danmark skal vaeligre opmaeligrksomme paring at de maringske ikke kan noslashjes med at indrette deres loslashsninger efter den danske lovgiv-ning jf vejledningens afsnit rdquoHvor gaeliglder hvilke reglerrdquo De danske cookieregler er baseret paring harmoniseret EU lovgivning der dog alene fastsaeligtter minimumskrav i for-bindelse med anvendelse af cookies og lignende teknologier I Danmark er reglerne implementeret med en tekstnaeligr gengivelse af direktivets bestemmelser og der er ikke indfoslashrt strengere regler
Vejledningen afspejler Erhvervsstyrelsens tilsyn med cookiereglerne der laeliggger vaeliggt paring hjemmeside ejernes indsats for at overholde reglerne og skabe gennemsigtighed for deres brugere paring nettet I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervs-styrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i
5 FDIHrsquos e-handels analyse fra 2012
Vejledning8
forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjemmesidens indsats ud fra de 5 processkridt som er givet i den tekniske guide jf vejledningens kapitel 6
Vejledning 9
2 REGLERNE
Baggrund
I forbindelse med revisionen af de europaeligiske teledirektiver i 20082009 indfoslashrtes aelign-dringen af e-databeskyttelsesdirektivets artikel 5 stk 3 der omhandler lagring af eller adgang til oplysninger i brugeres terminaludstyr fx computere smartphones eller tab-lets AEligndringen bestaringr saeligrligt i indfoslashrelse af et krav om indhentning af samtykke fra brugerne i forbindelse med lagring af eller adgang til oplysninger i brugerens terminal-udstyr
e-Databeskyttelsesdirektivets artikel 5 stk 3 indeholder en henvisning til persondata-beskyttelsesdirektivet6 og skal derfor laeligses sammen med de generelle regler om per-sondatabeskyttelse som er implementeret i dansk ret ved Lov om behandling af per-sonoplysninger7 Lov om behandling af personoplysninger opstiller generelle krav i forbindelse med behandling af personhenfoslashrbare oplysninger
AEligndringen af e-Databeskyttelsesdirektivet kom ind for at oslashge beskyttelsen af bruger-nes privatsfaeligre naringr de faeligrdes i en digital verden hvilket man ikke mente var opfyldt i tilstraeligkkelig grad af persondatabeskyttelsesreglerne eller den davaeligrende bestemmelse i e-databeskyttelsesdirektivet Privatlivsbeskyttelsen underbygges endvidere af Det Europaeligiske Charter for grundlaeligggende rettigheder som blev gjort juridisk bindende med Lissabontraktatens ikrafttraeligden
Cookiebekendtgoslashrelsen
AEligndringen af e-Databeskyttelsesdirektivet er implementeret i dansk ret med Bekendt-goslashrelse nr 1148 af 9 december 2011 om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr (Cookiebekendtgoslashrelsen) som er udstedt i medfoslashr af sect 9 og sect 81 stk 2 i lov nr 169 af 3 marts 2011 om elektro-niske kommunikationsnet og -tjenester
Formaringl og afgraelignsning
Hvad beskytter reglerneReglerne har til formaringl at beskytte brugernes privatsfaeligre Med reglerne anlaeliggges den betragtning at brugernes terminaludstyr udgoslashr en del af brugerens privatsfaeligre der skal beskyttes mod uretmaeligssig indtraeligngen
Terminaludstyr omfatter computere og mobile enheder som smartphones tablets mv hvori der kan lagres oplysninger eller opnarings adgang til allerede lagrede oplysninger
Den beskyttede er brugeren af et elektronisk kommunikationsnet eller ndashtjeneste som ikke paring kommercielt grundlag stiller de paringgaeligldende elektroniske kommunikationsnet eller- tjenester til raringdighed for andre dvs alle brugere af en computer eller en mobil enhed
Beskyttelsen knytter sig til terminaludstyret der som ovenfor naeligvnt anses for at vaeligre en del af ejerens privatsfaeligre
6 Direktiv 9546EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af saringdanne oplysninger
7 Lov nr 429 af 31 maj 2000 om behandling af personoplysninger
Vejledning10
Reglerne finder alene anvendelse paring offentligt tilgaeligngelige kommunikationsnet eller -tjenester og ikke paring virksomheders intranet og lignende lukkede brugergrupper At der kraeligves log-in for at faring adgang til et netvaeligrk medfoslashrer dog ikke i sig selv at der er tale om en lukket brugergruppe hvor cookiereglerne ikke finder anvendelse Det vil bero paring en konkret vurdering
Reglerne tager ikke hoslashjde for tilfaeliglde af flere brugere af det samme terminaludstyr Brugere skal vaeligre opmaeligrksomme paring at hvis de enten laringner en computer tablet mobil-telefon mv ud eller bruger en andens terminaludstyr saring accepterer de udstyrets ind-stillinger herunder accept af cookies og lignende teknologier Hvis brugeren af termi-naludstyret oslashnsker at sikre sig herimod maring det bero paring en aftale mellem ejerenlaringneren af udstyret
Det samme gaeliglder i det omfang man anvender en offentlig tilgaeligngelig computer ek-sempelvis paring biblioteket idet en bruger som udgangspunkt ikke kan gardere sig imod tidligere brugeres indstillinger Det er Erhvervsstyrelsens vurdering at denne brug ikke er omfattet af cookiereglernes beskyttelsesformaringl i forhold til brugerens privatsfaeligre Det er ikke hjemmesidernes ansvar at soslashrge for samtykke fra samtlige brugere eller indrette deres hjemmesider efter at siden kan tilgarings fra en offentlig tilgaeligngelig compu-ter
Hvilke teknologier er omfattetDer gives ikke i bekendtgoslashrelsen en naeligrmere definition af de teknologier som be-kendtgoslashrelsen regulerer udover selve beskrivelsen i bestemmelsen i sect 3 stk 1
Reglerne er teknologineutrale Bekendtgoslashrelsen raeligkker ud over lagring af eller adgang til oplysninger i brugeres terminaludstyr som finder sted i forbindelse med en opkob-ling til internettet og omfatter saringledes ogsaring lagring af eller adgang til oplysninger fra eksterne medier som fx USB-noslashgler CDrsquoer CD-ROMrsquoer eksterne harddiske eller lig-nende
For saring vidt angaringr den form det format eller den standard oplysninger lagres i omfatter bekendtgoslashrelsen ikke blot rdquoklassiskerdquo http-cookies men enhver form for lignende tek-nologier herunder ogsaring fx Flash-cookies (Local Shared Objects) Web Storage (HTML5) Javascripts eller cookies sat ved brug af Microsoft Silverlight
Cookies kan have forskellig levetid idet de kan stoppe ved udloslashbet af en browser ses-sion (dvs fra brugeren aringbner et browservindue til dette lukkes igen) eller de kan vare laeligngere tid og daeligkke flere browser-sessioner saringledes at de kan foslashlge brugeren rundt paring internettet
En cookie kan endvidere deles ind i 1 parts cookies og 3 parts cookies alt efter hvem der placerer cookiersquoen paring en hjemmeside
1 parts cookies er de cookies der placeres af ejeren af hjemmesiden der er den som brugeren umiddelbart interagerer med 3 parts cookies er dem som placeres paring en hjemmeside af 3 mand hvor denne eller andre faringr adgang til den data der indsamles
Vejledning 11
1 part 3 part
Cookies der saeligttes af hjemmesiden som brugeren besoslashger hvis adresse fremgaringr af URL vinduet
Cookies der saeligttes af andre end den hjemmeside brugeren besoslashger
Sessions cookies
Udloslashber enten i loslashbet af eller ved udgangen af en browser-session
EksbullStyring af grafikbullBesoslashgsstatistikbullBrugerindstillingbull IndkoslashbskurvbullBetalingsmodul bullSikkerheds-pro-
cedurer ved netbank
Eks bullStatistikbullHvor 3 part
leverer ydelser som beskrevet under eks paring 1 parts cookies er det afgoslashrende hvem der har adgang til brugerens data i forhold til om der er tale om 3 parts cookies
Baringde for 1 og 3 parts cookies vurderes sessions cookies ofte at vaeligre mindre indgribende i forhold til bruge-rens privatliv
Persistent cookies
Varer flere browser sessioner og kan foslashlge brugeren rundt paring nettet Kan vare fra timer til flere aringr
Eks bullHuske bruger-
indstillinger som navn og adresse sprog log-in naeligste gang brugeren besoslashger hjemme-siden udover en browser-session
bullTracking - enten genkende brugere fra tidligere besoslashg eller foslashlge brugeren til andre hjemmesi-der
EksbullTracking 1 parts cookies for
brugerindstilling Vurderes at vaeligre mindre indgribende i forhold til brugerens privatliv
Tracking cookies ndash baringde fra 1 part og 3 part anses for mere indgribende i brugerens privat-sfaeligre
Lovgivningen skelner for saring vidt angaringr informations- og samtykkekravet ikke mellem de forskellige typer af cookies men omfatter alle cookies uanset levetid og hvor de stammer fra
Som det fremgaringr nedenfor vil en cookies karakter i praksis kunne spille ind ved vurde-ringen af hvorvidt informations- og samtykkekravet er opfyldt da det her er afgoslashren-de at brugeren kender til cookiens funktion herunder ogsaring hvem der staringr bag cookien og hvem der herfra faringr adgang til indsamlet data
Hvilke handlinger er omfattetBekendtgoslashrelsen vedroslashrer alene den handling der bestaringr i lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr Handlinger der finder sted foslashr eller efter lagringen af eller adgangen til oplysninger i en brugeres terminaludstyr
Vejledning12
er ikke omfattet af reglerne i cookiebekendtgoslashrelsen Saringdanne handlinger kan i stedet vaeligre omfattet af de generelle bestemmelser om beskyttelse af persondata
Foslashlgende tabel giver en oversigt over graelignsefladerne mellem cookiebekendtgoslashrelse og persondataloven
Tabel 1 Anvendelsesomraringder for cookie-bekendtgoslashrelsen og persondataloven
Cookie-bekendtgoslashrelsen Persondataloven
Beskyttelsesobjekt Brugerens terminaludstyr forstaringet som en del af privatsfaeligren
Personoplysninger (ikke kun i terminaludstyr)
Omfattede oplysnings-typer
Alle oplysninger uden sondring
Som udgangspunkt kun personoplysninger Dog er oplysninger om virksomheder mv omfattet i saeligrlige tilfaeliglde
Omfattede behandlings-former
Lagring af eller adgang til oplysninger i en brugers terminaludstyr
Enhver behandling af personoplysninger inden for lovens anvendelsesomraringde hvor der ikke er saeligrregler i anden lovgivning der traeligder i stedet for
Kriterier for behandling(behandlingshjemmel)
HR Fyldestgoslashrende informa-tion til og samtykke fra brugerU Bekendtgoslashrelsens sect 4
Udtrykkelig samtykke er blot eacutet af flere mulige behandlingskriterier
Der er et overlap mellem cookiebekendtgoslashrelsen og persondataloven for saring vidt angaringr lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr naringr de indsamlede oplysninger er personoplysninger Kravet om informeret samtykke i cookiereglerne giver her en bedre beskyttelse af brugeren end persondatabeskyttelses-reglerne der omfatter en raeligkke situationer hvor informeret samtykke ikke er paringkraeligvet
Ved lagring af og adgang til allerede lagrede oplysninger som er personoplysninger i terminaludstyr vil cookiebekendtgoslashrelsen dermed garing forud for persondataloven jf Persondatalovens sect 2
I praksis vil det imidlertid forekomme at der udover lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr ogsaring finder andre behandlinger af op-lysninger sted
For eksempel naringr behandlingerne transmitteres til indsamles eller viderebehandles paring en server Saringdanne behandlingsformer ligger uden for brugernes terminaludstyr og er ikke omfattet af cookiereglerne Afhaeligngigt af de konkrete omstaeligndigheder kan reg-lerne i persondataloven evt finde anvendelse her
Hvilke oplysninger er omfattetBekendtgoslashrelsen vedroslashrer enhver type af oplysninger der indsamles eller lagres paring brugerens terminaludstyr
Vejledning 13
Cookiereglerne regulerer midlet til indsamling af data Der sondres ikke her mellem personhenfoslashrbare og ikke personhenfoslashrbare oplysninger
Det er ligeledes uden betydning om oplysningerne er semantisk meningsfulde ufor-staringelige tekststrenge kode eller om oplysningerne er krypterede
Eksempel Lagring af eller adgang til allerede lagrede oplysninger til brug for webstatistik
En udbyder af en hjemmeside oslashnsker at lave en analyse af hvordan hjemmesidens brugere benytter
siden med henblik paring at forbedre brugeroplevelsen Til dette formaringl oslashnsker udbyderen af hjemme-
siden at placere cookies i brugernes terminaludstyr
Tjenesteudbyderen er omfattet af bekendtgoslashrelsens krav til information og samtykke for saring vidt
angaringr lagringen af cookies og eventuel senere adgang til disse cookies i brugernes terminaludstyr
Oslashnsker tjenesteudbyderen efterfoslashlgende at analysere oplysningerne der er indsamlet ved hjaeliglp af
de placerede cookies falder denne behandling udenfor cookiebekendtgoslashrelsens anvendelsesomraring-
de Det gaeliglder eksempelvis den videre behandling af oplysningerne hos tjenesteudbyderen til brug
for udarbejdelse af statistik
Hvem gaeliglder reglerne forAlle der lagrer eller opnaringr adgang til oplysninger i brugeres terminaludstyr er omfattet af reglerne (se ogsaring det efterfoslashlgende afsnit rdquoHvor gaeliglder hvilke reglerrdquo)
Hjemmesider der henvender sig til alle eller udelukkende til virksomheder vil saringledes vaeligre omfattet af reglerne saringfremt der benyttes cookies eller lignende teknologier paring hjemmesiden idet hjemmesider som udgangspunkt kan tilgarings af alle
Ejeren af en hjemmeside er ligeledes forpligtet efter reglerne i forbindelse med 3 parts lagring af eller adgang til oplysninger i brugeres terminaludstyr hvis dette sker via udbyderens tjeneste fx ved hjaeliglp af indlejret kode i en bannerreklame software ap-plikationer eller links
Ejeren af en hjemmeside behoslashver ikke selv staring for den praktiske og tekniske efterle-velse af reglerne (informering og indhentning af et samtykke fra brugeren) men kan aftale at 3 part haringndterer dette paring vegne af tjenesteudbyderen Ansvaret for at reglerne overholdes vil dog altid ligge hos udbyderen af en tjenesteydelse uanset hvad denne maringtte have aftalt med 3 part da man ifoslashlge cookiebekendtgoslashrelsen heller ikke maring lade 3 part lagre eller faring adgang til allerede lagrede oplysninger uden information til og sam-tykke fra slutbrugeren
Der gaeliglder ikke efter cookiereglerne et krav om indgaringelse af databehandlingsaftale som der gaeliglder efter Persondataloven men det kan vaeligre hensigtsmaeligssigt hvor man giver adgang for 3 part til indsamling af data via ens hjemmeside at indgaring en skriftlig aftale med henblik paring at afdaeligkke med hvilke formaringl 3 part indsamler data om bru-gerne idet dette formaringl skal vaeligre omfattet af informationen paring hjemmesiden for at samtykke fra brugeren kan anses for at vaeligre reelt og fyldestgoslashrende jf nedenfor under afsnittet om rdquoKrav om informeret samtykkerdquo
Ved indlejring paring egen hjemmeside af andres tjenester der eksempelvis hentes via in-ternettet vil aftalen med 3 part oftest bero paring en ensidig accept af 3 partens givne forretningsbetingelser og ikke give mulighed for forhandling af kontraktvilkaringr Man skal vaeligre opmaeligrksom paring at det her kan vaeligre vanskeligt at kontrollere 3 partens brug af data som evt indsamles via cookies eller lignende teknologier og derved ogsaring van-skeligt i sidste ende at sikre et reelt informeret samtykke fra brugeren
Vejledning14
Eksempel Indlejring af et kommentarmodul paring en hjemmeside
Et stoslashrre nyhedsmedie oslashnsker at indlejre et modul der saeligtter brugerne af deres hjemmeside i stand
til at kommentere indholdet paring hjemmesiden Nyhedsmediet kontakter til dette formaringl udbyderen
af et kommentarmodul der kan indlejres paring hjemmesider Nyhedsmediet og udbyderen af modulet
aftaler at modulet indlejres nederst paring alle nyhedsmediets sider
Udbyderen af kommentarmodulet vil gerne saeligtte cookies i brugernes terminaludstyr naringr brugerne
tilgaringr en side for at kunne foslashlge med i hvor meget modulet bliver brugt Nyhedsmediet aftaler der-
for med udbyderen af kommentarmodulet at sidstnaeligvnte soslashrger for at reglerne om lagring af eller
adgang til oplysninger i brugeres terminal- udstyr efterleves ved at der gives fyldestgoslashrende infor-
mation og indhentes samtykke fra brugerne
Nyhedsmediet er dog ansvarlig for at efterlevelsen af reglerne rent faktisk finder sted og dermed for
at der ikke sker en uretmaeligssig lagring i brugernes terminaludstyr naringr brugere tilgaringr nyhedsmediets
hjemmeside uanset hvad nyhedsmediet maringtte have aftalt med udbyderen af kommentarmodulet
Dette gaeliglder altsaring ogsaring i tilfaeliglde af at udbyderen af kommentarmodulet anvender cookies til andre
formaringl end det der foslashlger af aftalen og oplyses til brugeren
Ejeren af en hjemmeside er ansvarlig for de cookies og lignende teknologier der saeligttes i forbindelse med en brugers besoslashg paring hjemmesiden
Linkes der paring hjemmesiden til andre hjemmesider eller anvendes der rdquodelebarerrdquo eller rdquolike-knapperrdquo til eksempelvis Facebook eller Twitter er det vigtigt at vaeligre opmaeligrk-som paring hvorvidt disse hjemmesider saeligtter cookies via links delebar eller like-knapper allerede inden brugeren linkes over til den nye hjemmeside da det som ovenfor naeligvnt er hjemmesideejeren der i sidste ende er ansvarlig for de cookies der saeligttes paring deres hjemmeside Naringr der foslashrst er linket over via delebaren overgaringr ansvaret til ejeren af den nye hjemmeside
Det er ikke et krav efter cookiereglerne men det anbefales at oplyse brugeren om at siden forlades og at de sider man giver adgang til evt bruger cookies
Ved oprettelse af digitale platforme hvorfra man tilgaringr andre hjemmesider som vil optraeligde i rammen af den digitale platform eksempelvis Erhvervsstyrelsens rdquoVirkdkrdquo eller Digitaliseringsstyrelsens rdquoBorgerdkrdquo vil det vaeligre ejeren af den enkelte hjemme-side der tilgarings via platformen der er ansvarlig for overholdelsen af cookiereglerne paring disse hjemmesider Ejeren af platformen har ansvaret for cookies der saeligttes af dem
Det samme vil gaeliglde ved oprettelse af hjemmesider via sociale medier som eksempel-vis Facebook Det sociale medie vil vaeligre ansvarlig for de cookies der saeligttes af mediet men ikke for de cookies der saeligttes af ejeren af hjemmesiden oprettet i det sociale medies format
Det afgoslashrende for hvem der baeligrer ansvaret for indhentelse af samtykke til anvendelse af cookies paring en hjemmeside afhaelignger af hvem der har kontrollen over indholdet paring hjemmesiden
Hvor gaeliglder hvilke reglerHjemmesideejere der er etableret i andre lande udover Danmark skal vaeligre opmaeligrk-somme paring at de maringske ikke kan noslashjes med at indrette deres loslashsninger efter den danske lovgivning De danske cookieregler er baseret paring harmoniseret EU lovgivning der dog alene fastsaeligtter minimumskrav i forbindelse med anvendelse af cookies og lignende teknologier
Der er ikke i e-Databeskyttelsesdirektivet taget stilling til reglernes geografiske anven-delsesomraringde men Europa-Kommissionen har tilkendegivet at det indenfor EU er lovgivningen i det land hvori udbyderen af en tjeneste er etableret der er gaeligldende Vi
Vejledning 15
laeliggger i Danmark umiddelbart op af Kommissionens fortolkning der foslashlger rdquoafsen-derlandsprincippetrdquo i E-handelsdirektivet8
Hvis udbyderen af en tjeneste etableret i Danmark lagrer eller opnaringr adgang til op-lysninger i en brugers terminaludstyr er tjenesteudbyderen saringledes forpligtet efter de danske regler De danske regler finder ligeledes anvendelse hvor udbyderen af en tjeneste etableret i Danmark lader en 3 part der er etableret i et andet land lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyderens tjene-ste
Ifoslashlge Kommissionen gaeliglder for udbyderen af en tjeneste etableret uden for EU lovgiv-ningen i det land hvor lagringen af eller adgangen til oplysninger i en brugers termi-naludstyr finder sted Erhvervsstyrelsen laeliggger i tilsynet med reglerne vaeliggt paring hvor-vidt hjemmesiden retter sig mod danske forbrugere i overensstemmelse med de folkeretlige jurisdiktionsprincipper om hvor en handling har virkning Der vil saringledes blive lagt vaeliggt paring en raeligkke faktorer som sprog leveringsbetingelser (feks en webshop hvor der kan leveres til Danmark) etc
Krav om informeret samtykke
Det helt centrale i aeligndringen til e-Databeskyttelsesdirektivet fra 2009 er kravet om indhentelse af informeret samtykke forud for placeringen af cookies der ogsaring er foslashrt videre til de danske regler i cookiebekendtgoslashrelsens sect 3
Cookiebekendtgoslashrelsen indeholder en definition af samtykke baseret paring samtykkede-finitionen i Persondatabeskyttelsesdirektivet som Cookiedirektivet henviser til Det samme gaeliglder indholdet af informationspligten der ogsaring er naeligrmere beskrevet i Per-sondatabeskyttelsesdirektivet
Kravene om information og samtykke boslashr ses som to komplementaeligre elementer der understoslashtter hinanden og ikke kan adskilles idet de er indfoslashrt for at sikre at brugeren kan traeligffe et reelt og oplyst valg omkring overvaringgningen af deres faeligrdsel paring internet-tet Er informationen ikke fyldestgoslashrende vil samtykket heller ikke vaeligre et reelt sam-tykke
Nedenfor er kravene til baringde information og samtykke naeligrmere uddybet Der gives en raeligkke praktiske eksempler og flere foslashlger af den tekniske guide som findes i vejlednin-gens sidste afsnit Der er alene tale om eksempler til inspiration da det fortsat vil vaeligre op til den enkelte hjemmesideejer at vurdere hvordan kravene bedst muligt efterleves paring netop deres tjeneste
Bekendtgoslashrelsens sect 3
sect 3 Fysiske eller juridiske personer maring ikke lagre oplysninger eller opnaring adgang til oplysninger der
allerede er lagret i en slutbrugers terminaludstyr eller lade tredjepart lagre oplysninger eller opnaring
adgang til oplysninger hvis slutbrugeren ikke giver samtykke hertil efter at have modtaget fyldest-
goslashrende information om lagringen af eller adgangen til oplysningerne
Stk 2 Information jf stk 1 er fyldestgoslashrende naringr den som minimum
1) fremstaringr i et klart praeligcist og letforstaringeligt sprog eller tilsvarende billedskrift
2) indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens
terminaludstyr
3) indeholder oplysninger der identificerer enhver fysisk eller juridisk person der foranstalter lagrin-
gen af eller adgangen til oplysningerne
4) indeholder en umiddelbart tilgaeligngelig adgang for slutbrugeren til at afslaring samtykke eller tilbage-
8 Europa-Parlamentets og Raringdets direktiv 200031EF om visse retlige aspekter af informationssamfundstjenester navnlig ele-ktronisk handel i det indre marked
Vejledning16
kalde samtykke til lagringen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig
vejledning om hvordan slutbrugeren anvender en saringdan adgang og
5) er umiddelbart tilgaeligngelig for slutbrugeren ved samlet og tydeligt at blive meddelt denne Des-
uden skal information naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminal-
udstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren
ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Informationskravet
Hvilke krav stilles til fyldestgoslashrende information Af bekendtgoslashrelsens sect 3 stk 2 fremgaringr de krav der som minimum skal vaeligre opfyldt foslashr informationen kan siges at vaeligre fyldestgoslashrende Der stilles krav til karakteren ind-holdet og tilgaeligngeligheden af informationen
Overordnet kan siges at informationen skal udgoslashre det videns grundlag der saeligtter brugerne i stand til at traeligffe reelle informerede valg I nogle tilfaeliglde boslashr det derfor ogsaring overvejes at medtage yderligere information end der kraeligves i bekendtgoslashrelsen hvis dette er noslashdvendigt for at brugerne kan forstaring konsekvenserne af deres valg
Loslashsninger skal opfylde cookiereglerne baringde paring hjemmesider og paring mobilsites ndash se evt teknisk guide i vejledningens kapitel 6
Krav til sprog og tekstsect 3 stk 2 nr 1 fastsaeligtter krav til at informationen fremstaringr i et klart praeligcist og letfor-staringeligt sprog eller tilsvarende billedskrift
Det indebaeligrer bla at informationen ikke boslashr formuleres i unoslashdigt teknisk eller juri-disk sprog samt at brugeren let kan danne sig et overblik
Brug af tabeller eller billedsprog fx i form af piktogrammer kan supplere eller erstatte mere traditionel tekst og goslashre informationen lettere at forstaring men maring vurderes ud fra brugerens kendskab til saringdanne alternativer
Bestemmelsen indeholder ikke krav til paring hvilket sprog informationen skal gives Valg af sprog boslashr dog ske under hensynstagen til hvilke brugere en tjeneste retter sig imod herunder isaeligr hvor disse brugere befinder sig geografisk
Krav til oplysning om formaringlsect 3 stk 2 nr 2 fastsaeligtter krav til at informationen indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens terminaludstyr
Brugeren har ret til at faring oplyst hvorfor der lagres eller tilgarings oplysninger og det er ikke tilstraeligkkeligt blot at oplyse at det sker Dette krav haelignger sammen med samtykkekra-vet der skal vaeligre en specifik viljestilkendegivelse Angivelsen af rdquovi bruger cookiesrdquo uden yderligere praeligcisering vurderes saringledes ikke at opfylde reglerne
Informationen om formaringl med lagringen af eller adgangen til oplysninger er helt cen-tral og skal understoslashtte at brugerne er bevidste om hvilke konsekvenser deres valg har Formaringlet boslashr derfor altid beskrives meget praeligcist og daeligkkende
Har lagringen af eller adgangen til oplysninger mere end eacutet formaringl skal der oplyses om samtlige formaringl Lagres eller tilgarings der flere oplysninger med samme formaringl eller af flere omgange vil det almindeligvis vaeligre tilstraeligkkeligt at beskrive formaringlet eacuten gang og ikke for hver oplysning der lagres eller opnarings adgang til
Vejledning 17
I relation til kravet om angivelse af formaringl saring er det her vigtigt at understrege at for-maringlsbeskrivelsen ligeledes skal omfatte eventuelle 3 parters formaringl med at anvende cookies
Eksempel Information om formaringl med brug af cookies
Brugen af cookies er meget udbredt og kan have en lang raeligkke formaringl herunder fx at optimere
brugeroplevelse eller design paring en tjeneste at generere webstatistik eller at maringlrette markedsfoslashring
til brugere
Den information der gives boslashr beskrive formaringlet med tjenestens brug af cookies og ikke de en-
kelte cookies i sig selv
Hvis en tjeneste eksempelvis bruger fire cookies til at optimere designet paring tjenesten mens yderli-
gere to cookies bruges til at haringndtere annoncer og en syvende cookie bruges til at genere websta-
tisk vil det almindeligvis vaeligre tilstraeligkkeligt at informere om de tre forskellige formaringl med brugen
af cookies og ikke noslashdvendigvis om de i alt syv cookies siden goslashr brug af
Oplysninger om hvem der saeligtter cookiessect 3 stk 2 nr 3 fastsaeligtter krav til at informationen indeholder oplysninger der identifi-cerer enhver fysisk eller juridisk person der foranstalter lagringen af oplysninger eller opnaringr adgang til allerede lagrede oplysninger
Brugere skal vaeligre i stand til at identificere den der foranstalter lagringen Det vil i mange tilfaeliglde vaeligre udbyderen af tjenesten men hvor udbyderen af en tjeneste lader 3 part lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyde-rens tjeneste skal 3 part ogsaring kunne identificeres af brugeren Den eksakte angivelse af hvilke 3 parter der saeligtter cookies kan ske paring en underside jf vejledningens afsnit om lagdelt information nedenfor
For saring vidt angaringr oplysninger der lagres eller tilgarings i brugeres terminaludstyr af en or-ganisation fx en virksomhed eller anden juridisk person angives oplysninger som identificerer organisationen og ikke dens medarbejdere
Hvilke konkrete informationer der skal vaeligre til stede for at brugere kan identificere de(n) der foretager lagringen vil variere fra tjeneste til tjeneste og afhaelignger af de par-ter der er involveret
Adgang til at afslaring cookiessect 3 stk 2 nr 4 fastsaeligtter krav til at informationen indeholder en umiddelbart tilgaelign-gelig adgang for slutbrugeren til at afslaring samtykke eller tilbagekalde samtykke til lagrin-gen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig vejledning om hvordan slutbrugeren anvender en saringdan adgang
Brugere skal have mulighed for at afslaring samtykke eller tilbagekalde et allerede givet samtykke Dette skal understoslashtte reel brugerkontrol og frivilligheden af brugeres sam-tykke Til dette formaringl skal der vaeligre en umiddelbart tilgaeligngelig adgang til at afslaring cookies og en klar praeligcis og letforstaringelig vejledning om hvordan brugere kan anvende en saringdan adgang Se endvidere nedenfor under afsnittet om rdquoKravet til samtykkerdquo hvor det slarings fast at der ikke gaeliglder noget krav om at en hjemmeside skal kunne tilgarings eller fungere uden cookies
Det kan i nogle tilfaeliglde vaeligre relevant at henvise til eksempelvis vejledninger og vaeligrk-toslashjer andre har udarbejdet Der stilles i bekendtgoslashrelsen ingen krav til at vejledninger eller vaeligrktoslashjer til at afslaring eller tilbagekalde et samtykke skal forefindes paring tjenesten der lagrer eller tilgaringr oplysninger Det er adgangen til vejledning og vaeligrktoslashjer som tjene-sten er forpligtet til at goslashre umiddelbart tilgaeligngelig for brugeren
Vejledning18
Krav om informationens tilgaeligngelighedsect 3 stk 2 nr 5 fastsaeligtter krav til at informationen er umiddelbart tilgaeligngelig for slut-brugeren ved samlet og tydeligt at blive meddelt denne Desuden skal informationen naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjene-ste
For at sikre reel brugerkontrol er det noslashdvendigt at informationen er umiddelbart tilgaeligngelig for brugere og kan tilgarings uden besvaeligr Dette er desuden en forudsaeligtning for at brugere ogsaring kan tilbagekalde et allerede afgivet samtykke Hvordan informatio-nen bedst goslashres tilgaeligngelig vil bla afhaelignge af tjenestens design og struktur hvorfor det vil variere fra tjeneste til tjeneste
Informationen kan vaeligre lagdeltDet kan vaeligre hensigtsmaeligssigt at benytte sig af lagdelt information saringledes at det dog sikres at brugerne med det samme faringr de vaeligsentligste informationer saringsom formaringlet med anvendelsen af cookies samtidig med at der linkes til mere detaljerede informa-tioner Brugen af piktogrammer eller andre tydeligt markerede indgange til informa-tionen kan understoslashtte dette men ikke goslashre det ud alene for umiddelbar tilgaeligngelig information
Den umiddelbare angivelse af formaringlet med anvendelsen af cookies boslashr omfatte infor-mation om 3 parts cookies idet det har betydning for brugeren hvem data tilgaringr Ek-sempelvis ved angivelse af formaringl som direkte markedsfoslashring skal det ogsaring fremgaring at direkte markedsfoslashring vil vaeligre fra 3 part Den praeligcise angivelse af 3 parter kan evt ske paring en underside
En tjeneste kan desuden vaeliglge at skelne mellem hvordan informationen praeligsenteres for brugere inden brugeren afgiver eller afslaringr samtykke og hvordan informationen praeligsenteres efter at brugere har afgivet eller afslaringet samtykke
Paring informations- og indholdstjenester herunder hjemmesider og andre online tjene-ster der lagrer eller tilgaringr oplysninger i en brugeres terminaludstyr skal informationen vaeligre vedvarende tilgaeligngelig for brugere ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Dette indebaeligrer at brugere ved anvendelse af saringdanne tjenester til enhver tid skal have adgang til informationen og en saringdan adgang boslashr vaeligre let at finde og anvende Det kan bla overvejes at opfylde dette krav ved at placere en saringdan adgang i sammenhaeligng med oslashvrige vedvarende elementer paring en tjeneste Brug af piktogrammer eller lignende kan ogsaring overvejes i denne sammenhaeligng
Nedenfor redegoslashres naeligrmere for kravet til samtykke Det kan heraf laeligses at samtykke kan gives paring forskellig maringde herunder ogsaring ved en aktiv handling Kravet til informa-tion kan variere for saring vidt angaringr tydelighed og tilgaeligngelighed alt efter hvilken form for samtykke der er tale om Krav til hvilke oplysninger der gives for at en information kan anses for fyldestgoslashrende varierer imidlertid ikke
Vaeligsentlig information der skal gives til brugeren med det samme er
- Alle formaringl med cookies og lignende teknologier
- Hvem der anvender cookies og lignende teknologier paring hjemmesiden
Vejledning 19
Eksempel Fyldestgoslashrende information ndash lagdelt med vaeligsentlige oplysninger foslashrst
En tjeneste paring nettet der giver brugeren mulighed for at sammenligne produkter og priser paring for-
skellige vareomraringder anvender cookies til at registrere antallet af brugere paring hjemmesiden og til at
registrere hvor brugeren kommer fra Paring hjemmesiden er der bannerreklamer for forskellige produ-
center relateret til de varekategorier som omtales paring hjemmesiden Bannerreklamerne leveres af 3
parter og anvender cookies til at registrere hvilke annoncer brugeren klikker paring saringledes at det er
muligt at identificere brugernes interesser og maringlrette annonceringen
Eksempel Umiddelbar information til brugeren
rdquoVi bruger cookies til statistik og til maringlrettet markedsfoslashring ogsaring fra os selv og vores an-
noncoslashrer ndash se her hvilke Laeligs her mere om vores brug af cookies herunder hvordan du
fravaeliglger brug af cookiesrdquo
Kravet til samtykke
Som ovenfor naeligvnt er den centrale aeligndring af reglerne kravet om indhentelse af in-formeret samtykke fra brugeren ved anvendelse af cookies eller lignende teknologier der foslashlger af cookiebekendtgoslashrelsens sect 3
Samtykke defineres i bekendtgoslashrelsens sect 2 stk 1 nr 8
Bekendtgoslashrelsens sect 2 stk 1 nr 8
sect 2 stk 1 nr 8) Samtykke Enhver frivillig specifik og informeret viljestilkendegivelse hvorved
slutbrugeren indvilliger i at der lagres oplysninger eller opnarings adgang til allerede lagrede oplysnin-
ger i slutbrugerens terminaludstyr
Da tjenester og deres brugere er vidt forskellige vil der vaeligre stor forskel paring hvordan et samtykke bedst indhentes
Kravet om samtykke skal sikre at brugere har reel kontrol med hvorvidt der lagres el-ler tilgarings oplysninger i deres terminaludstyr Naringr samtykket skal indhentes er det der-for vaeligsentligt at holde sig brugerens kontrolmuligheder for oslashje herunder brugerens reelle muligheder for at vurdere formaringlet med lagringen eller tilgangen til oplysnin-gerne
Reglerne giver i udgangspunktet tjenester et stort mulighedsrum til at vaeliglge hvordan samtykket bedst kan indhentes paring en maringde der fungerer i deres konkrete kontekst
At samtykket skal vaeligre frivilligt indebaeligrer bla at brugere skal have et faktisk valg
Det er ikke et krav at hjemmesider kan fungere uden brug af cookies eller lignende teknologier hvorfor afvisning af cookies kan medfoslashre at brugerens eneste mulighed er at forlade hjemmesiden Virksomheder har selvsagt et incitament for at deres hjem-meside er tilgaeligngelig men det er ikke lovstridigt at have loslashsninger der afskaeligrer bru-gere som ikke vil acceptere brugen af cookies
For offentlige hjemmesider kan der vaeligre andre overvejelser idet adgangen til offentlige tjenester gerne skulle vaeligre tilgaeligngelig for alle
I frivilligheden af samtykket ligger ogsaring at brugere skal have mulighed for at tilbage-kalde et allerede afgivet samtykke jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 4
Vejledning20
At samtykket skal vaeligre specifikt indebaeligrer bla at samtykket skal vaeligre praeligcist og vel-afgraelignset Samtykket behoslashver imidlertid ikke relatere sig til hver enkelt lagring af eller adgang til oplysninger i brugernes terminaludstyr I stedet boslashr samtykket knytte sig til det formaringl der ligger til grund for lagringen af eller adgangen til oplysningerne jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 2
Hvis lagring af eller adgang til oplysninger paring et senere tidspunkt benyttes til formaringl der raeligkker ud over hvad der tidligere er indhentet samtykke til skal der indhentes et nyt samtykke der omfatter det nye formaringl
At samtykket skal vaeligre informeret understoslashttes af kravene til information i bekendtgoslash-relsens sect 3 stk 2 hvor ikke mindst formaringlet med lagringen er vaeligsentligt Som del af et informeret samtykke boslashr brugere ogsaring oplyses om konsekvenserne af deres (fra)valg Saringdanne konsekvenser kan fx vaeligre at brugere ikke kan faring adgang til (dele af) tjenesten som ovenfor beskrevet hvis samtykket afslarings eller at et samtykke medfoslashrer at 3 parter faringr mulighed for at lagre eller tilgaring allerede lagrede oplysninger i brugeres terminalud-styr
Brugeres viljetilkendegivelse staringr helt centralt i indhentningen af et samtykke En tjene-steudbyder har pligt til at identificere en aktiv handling fra sine brugere der med rime-lighed kan tages til indtaeliggt for en tilkendegivelse af deres vilje paring et informeret grund-lag Det skal dog understreges at vilje kan tilkendegives paring en lang raeligkke forskellige maringder og at reglerne i bekendtgoslashrelsen ikke tager specifikt stilling til hvordan denne skal komme til udtryk
En viljestilkendegivelse kan vaeligre mange ting herunder eksempelvis
bull afkrydsning af en boks klik paring en knap eller udfyldelse af en formular i sammenhaeligng med rele-
vant information paring en tjeneste
bull aktiv brug af en tjeneste hvor det maring forventes at brugeren er informeret om at der vil ske lag-
ring af eller adgang til oplysninger (saringfremt dette ikke er afslaringet)
Kommissionen har tilkendegivet overfor Erhvervsstyrelsen at aktiv brug af en tjeneste som ovenfor beskrevet er i overensstemmelse med e-Databeskyttelsesdirektivet og ac-cepteres i de fleste medlemslande Det afgoslashrende er at der kan identificeres en aktiv handling eksempelvis at der klikkes videre paring siden og at brugeren har en forstaringelse af at de ved denne handling accepterer cookies dvs det er ikke nok bare generelt at informere om at hjemmesiden bruger cookies det skal praeligciseres at cookies saeligttes ved at brugeren eksempelvis klikker videre
Der vil vaeligre stor forskel paring hvordan samtykket bedst indhentes Det er den enkelte tjeneste selv der har de bedste forudsaeligtninger for at vaeliglge en loslashsning der overholder samtykkekravet og giver tjenestens brugere reel mulighed for at tilkendegive deres vilje paring et informeret grundlag
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt at defi-nere praeligcist hvordan brugere i konkrete tilfaeliglde skal tilkendegive sin vilje Bekendt-goslashrelsens samtykkekrav giver derfor tjenester et stort mulighedsrum til at udvikle nye og innovative loslashsninger der oslashger brugerkontrollen og gennemsigtigheden
Vejledning 21
Eksempel Samtykke
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Accepter cookies Afvis cookies Laeligs mere her om vores brug af cookies herunder hvordan
du fravaeliglger cookies igenrdquo
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Klikker du videre paring siden accepterer du at der saeligttes cookies til disse formaringl Laeligs mere
her om vores brug af cookies herunder hvordan du fravaeliglger brugen af cookiesrdquo
Hvis brugere vaeliglger ikke at give samtykke til lagringen af oplysninger eller vaeliglger at tilbagekalde et samtykke stilles der som ovenfor naeligvnt i bekendtgoslashrelsen ikke noget krav til at brugere fortsat skal have adgang til indhold paring en tjeneste
Erhvervsstyrelsen er opmaeligrksom paring at kravet om forudgaringende samtykke kan vaeligre teknisk udfordrende for en del hjemmesider der saeligtter cookies allerede naringr brugeren tilgaringr siden saeligrligt for at sikre statistik om hvor mange der besoslashger en hjemmeside og hvor de kommer fra
Direktivet stiller et grundlaeligggende krav om informeret samtykke Nogle lande har valgt at haringndhaeligve samtykkekravet saringledes at det undtagelsesvis i saeligrlige tilfaeliglde ac-cepteres at cookies kan lagres forud for at brugeren har givet samtykke hertil UK fastslaringr eksempelvis i deres vejledning til reglerne at samtykke saring vidt muligt skal ind-hentes foslashr der saeligttes cookies men accepterer dog at det ikke altid sker Hvor det ikke er muligt at indhente samtykke foslashr cookies lagres laeliggges der i UKrsquos vejledning imid-lertid vaeliggt paring virksomhedernes indsats for at sikre information til brugerne og deres mulighed for at give samtykkeafvise cookies hurtigst muligt ligesom der laeliggges vaeliggt paring at virksomhederne begraelignser adgangen til sessions cookies
Der er behov for en naeligrmere afklaring fra Kommissionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside eje-rens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Samtykke ved browserindstillinger er ikke anerkendt i Danmark paring nuvaeligrende tids-punkt og kun i faring af de oslashvrige EU-medlemslande Den generelle holdning er at de browserloslashsninger som findes paring markedet i dag ikke i tilstraeligkkelig grad sikrer mod brugen af cookies hvor brugeren har fravalgt det Med de eksisterende browsere er det ikke muligt at differentiere sit samtykke tilstraeligkkelig nuanceret saring det reelt bliver et rdquoja takrdquo til alle cookies eller rdquonej takrdquo til alle cookies hvorefter brugeren vil kunne op-leve betydelige begraelignsninger i forhold til indhold af forskellige tjenester paring nettet
Samtykket varer i udgangspunktet indtil forholdene aeligndres Brugeren skal hele tiden have en let adgang til at traeligkke samtykket tilbage
Undtagelser
Bekendtgoslashrelsens sect 4 indeholder to undtagelser til kravet om informeret samtykke fra brugeren forud for anvendelsen af cookies Er der tale om indsamling af data som falder under undtagelsesbestemmelserne vil der efter lovgivningen ikke stilles krav om hverken information eller samtykke Det kan imidlertid vaeligre en anbefaling ogsaring her at give information og indhente samtykke ud fra en betragtning om at fuldstaeligndig gennemsigtighed oslashger tilliden til internettet og derfor kan vaeligre gavnlig for en e-hand-ler eller udbyder af tjenesteydelser paring nettet Det skal ogsaring her vurderes hvorvidt situa-tionen kan vaeligre omfattet af reglerne om beskyttelse af persondata
Vejledning22
Bekendtgoslashrelsens sect 4
sect 4 Uanset sect 3 kan fysiske eller juridiske personer lagre oplysninger eller opnaring adgang til oplysninger
der allerede er lagret i en slutbrugers terminaludstyr hvis
1) lagringen af eller adgangen til oplysninger alene sker med det formaringl at overfoslashre kommunikation
via et elektronisk kommunikationsnet eller
2) lagringen af eller adgangen til oplysninger er paringkraeligvet for at saeligtte tjenesteyderen af en informa-
tionssamfundstjeneste som slutbrugeren udtrykkeligt har anmodet om i stand til at levere denne
tjeneste
Stk 2 Lagring af eller adgang til oplysninger i en slutbrugersterminaludstyr er paringkraeligvet jf stk 1
nr 2 hvis lagringen af eller adgangen til oplysninger er en teknisk forudsaeligtning for at kunne levere
en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
Erhvervsstyrelsen laeliggger i fortolkningen af undtagelsesbestemmelserne vaeliggt paring udta-lelser fra den saringkaldte Artikel 29 gruppe som er omtalt i forordet og som i juni 2012 offentliggjorde et dokument vedroslashrende undtagelsesbestemmelserne i e-Datadirekti-vet efter aeligndringerne i 2009 Det er vigtigt her at understrege at der ikke er tale om et juridisk bindende dokument men gruppens fortolkninger stoslashttes i vid udstraeligkning af EU Kommissionen og bredt i medlemsstaterne Et link til Artikel 29 gruppens udta-lelse foslashlger af kapitel 5 rdquoLinks til lovgivning og direktiverrdquo
1 undtagelse Cookies i forbindelse med opkobling til internettetDet er Erhvervsstyrelsens vurdering at sect 4 stk 1 nr 1 alene er moslashntet paring udbydere af internetforbindelser og den lagring af eller adgang til oplysninger i brugeres terminal-udstyr der maringtte finde sted som en del af opkoblingen til internettet og vedligehol-delse heraf
2 undtagelse Cookies der sikrer funktionaliteten af en tjeneste som brugeren har bedt omsect 4 stk 1 nr 2 har derimod et bredere anvendelsesomraringde
For at vaeligre omfattet af undtagelsesbestemmelsen i sect 4 stk 1 nr 2 skal to krav vaeligre opfyldt For det foslashrste skal brugeren udtrykkeligt have anmodet om tjenesten For det andet skal lagringen af eller adgangen til oplysninger i brugerens terminaludstyr vaeligre paringkraeligvet for leveringen af denne tjeneste Begge krav skal vaeligre opfyldt
Brugerens faeligrden paring nettet eller besoslashg paring en specifik hjemmeside kan ikke tages som et udtryk for en generel anmodning om de tjenester der her tilbydes
Hvorvidt lagring af oplysninger eller adgang til allerede lagrede oplysninger er paringkraelig-vet uddybes i sect 4 stk 2 hvorefter der skal vaeligre tale om en teknisk forudsaeligtning for at kunne levere en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
For at vaeligre en teknisk noslashdvendighed skal tjenesten ikke kunne fungere uden brug af cookiersquoen eller en lignende teknologi Samtidig er det vigtigt at der er en klar sammen-haeligng mellem den rdquoparingkraeligvederdquo teknologi og brugerens udtrykkelige anmodning om tjenesten
Med hensyn til tjenestens formaringl boslashr der laeliggges vaeliggt paring det formaringl med hvilket bru-gere tilgaringr tjenesten eller hjemmesiden
Cookies eller lignende teknologier der opfylder kravene til at vaeligre omfattet af undta-gelsen maring ikke anvendes med andre formaringl for oslashje I saring fald skal brugeren informeres og give samtykke til disse andre formaringl
Vejledning 23
Det har betydning for vurderingen af om cookies kan undtages fra kravet om informe-ret samtykke om der er tale om sessionscookies eller vedvarende cookies og hvor den stammer fra Vedvarende cookies vil sjaeligldent falde under undtagelsesbestemmelsen
Eksempler paring undtagelser efter sect 4
Elektroniske indkoslashbskurve
- Brugen af elektroniske indkoslashbskurve i webshops hvor det er noslashdvendigt at kunne genkende bru-
geren paring tvaeligrs af sideskift (genindlaeligsninger af webshoppen) da indkoslashbskurven ellers vil vaeligre tom
ved visning af en ny side Lagring af fx en cookie eller lignende teknologi er dermed en teknisk for-
udsaeligtning for at kunne levere den tjeneste (e-handel) som brugeren udtrykkeligt har anmodet om
(tilgaringet webshoppen og lagt varer i indkoslashbskurven) Indkoslashbskurven fungerer desuden i overensstem-
melse med det formaringl (at koslashbe varer) med hvilket brugeren tilgaringr webshoppen
Log-in situationer
- Anvendelse af log-in (eksempelvis ved netbank offentlige selvbetjeningsloslashsninger eller ved ad-
gang til saeligrlige netvaeligrk) hvor cookies sikrer at brugeren logges ind med brug af brugernavn
passwords og forbliver logget ind uden igen at skulle indtaste saringdanne koder Det er vigtigt at
understrege at det alene er selve log-in funktionen der er undtaget men ikke noslashdvendigvis cookies
som saeligttes ved aktiviteter efter log-in funktionen
Andre undtagelser
Brugerdefinerede browserindstillinger ndash eks valg af land sprog eller skriftstoslashrrelse
- Disse cookies kan vaeligre undtaget fra kravet om informeret samtykke i det omfang at disse udtryk-
kelig aktiveres af brugeren fx ved at klikke paring en knap eller afkrydse en rubrik og ikke benyttes til
andre formaringl og ikke i laeligngere tid end en browsersession
Authentificeringscookies
Cookies der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider
Brugervalideringscookies
Cookies der anvendes til at sikre mod (gentagne) fejl ved log-in
Multimedia player cookies
Cookies der anvendes til at regulere netvaeligrkshastighed eller billedkvalitet og til at aktivere play back
video- eller lydfiler
Plug-ins til sociale medier
Cookies der giver muligheden for enten at dele indholdet af en hjemmeside eller rdquolikerdquo indholdet via
det sociale medie Cookien saeligttes alene for at dirigere brugeren over paring den sociale hjemmeside og
logge ind her Den har alene betydning for brugere af sociale netvaeligrk der allerede er logget ind her
Bruges cookien til at tracke brugeren rundt paring nettet vil den ikke vaeligre omfattet
Load balancing
Cookies der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en
service
Det er Erhvervsstyrelsens vurdering at cookies der husker at en bruger har sagt rdquonej takrdquo til cookies er undtaget kravet om informeret samtykke da der er tale om et oslashnske fra brugeren og den er noslashdvendig for at huske indstillingen
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning 7
Hertil kommer at cookies kan og ofte saeligttes af andre end hjemmesiden selv hvilket ikke altid er aringbenlyst for brugeren og kan goslashre det vanskeligt for brugeren at gennem-skue det reelle formaringl Det er her saeligrligt vigtigt at sikre brugerens opmaeligrksomhed paring at cookies kan foslashlge med fra en hjemmeside til en anden og foslashlge brugerens faeligrden rundt paring nettet Samtidig er det vigtigt at ejeren af hjemmesiden selv har kontrol over hvilke cookies der saeligttes og hvem der via hjemmesiden faringr adgang til brugerens data Har ejeren af hjemmesiden ikke denne kontrol bliver det dels meget vanskeligt eller umuligt at indhente et reelt informeret samtykke fra brugeren samtidig med at der kan vaeligre risiko for at andre aktoslashrer misbruger brugerens data eller udnytter data i mod-strid med ejeren af hjemmesidens egne interesser
I lyset af de forskellige egenskaber ved cookies og udnyttelsen heraf der skifter kon-stant i takt med den teknologiske udvikling og det voksende digitale marked er det noslashdvendigt at styrke den generelle oplysning af brugerne for at opfylde lovgivningens formaringl om at det er brugerne der paring et informeret grundlag skal beslutte om de vil tillade adgangen til oplysningerne
En analyse lavet af Foreningen for Dansk Internethandel FDIH5 viser at kendskab til cookies er stigende hos forbrugerne og at 2 ud af 3 forbrugere ved hvad en cookie er Det er overvejende aeligldre forbrugere der kender til cookies Analysen viser endvidere at halvdelen af dem som svarer ja til kendskab til cookies ogsaring aktivt har vaeligret inde og aeligndre i deres browserindstillinger for at forhindre eller begraelignse accepten af cookies For den gruppe som svarede nej til kendskabet til cookies og som primaeligrt bestaringr af yngre internetbruger afviser over 2 tredjedele imidlertid at have planer om fremadret-tet at aeligndre i browserindstillinger for at forhindre eller begraelignse accepten af cookies
Analysen viser at der er en stor forskel paring brugernes opfattelse af cookies og holdning til om cookies er noget man lever med eller oslashnsker at undgaring Den stigende brugerbe-vidsthed i forhold til cookies og anvendelsen heraf er imidlertid en faktor som baringde virksomheder og offentlige myndigheder boslashr forholde sig til
Naeligrvaeligrende vejledning uddyber reglerne i cookiebekendtgoslashrelsen saeligrligt de essen-tielle krav til information og samtykke og giver bud paring praktiske loslashsninger til hjem-mesideejerne Kompleksiteten og mangfoldigheden af digitale tjenester i dag goslashr det hverken muligt eller hensigtsmaeligssigt at beskrive i detaljen hvordan reglerne skal efter-leves men bekendtgoslashrelsen tegner sammen med denne vejledning en ramme eller et mulighedsrum hvori tjenesteudbydere kan finde inspiration til loslashsninger der passer til deres konkrete kontekst Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsig-tigheden og kontrollen for brugerne De eksempler der er med i vejledningen og i den tekniske guide til virksomheder er derfor ogsaring alene eksempler og ikke anvisninger paring endegyldige loslashsninger
Hjemmesideejere etableret i andre lande udover Danmark skal vaeligre opmaeligrksomme paring at de maringske ikke kan noslashjes med at indrette deres loslashsninger efter den danske lovgiv-ning jf vejledningens afsnit rdquoHvor gaeliglder hvilke reglerrdquo De danske cookieregler er baseret paring harmoniseret EU lovgivning der dog alene fastsaeligtter minimumskrav i for-bindelse med anvendelse af cookies og lignende teknologier I Danmark er reglerne implementeret med en tekstnaeligr gengivelse af direktivets bestemmelser og der er ikke indfoslashrt strengere regler
Vejledningen afspejler Erhvervsstyrelsens tilsyn med cookiereglerne der laeliggger vaeliggt paring hjemmeside ejernes indsats for at overholde reglerne og skabe gennemsigtighed for deres brugere paring nettet I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervs-styrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i
5 FDIHrsquos e-handels analyse fra 2012
Vejledning8
forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjemmesidens indsats ud fra de 5 processkridt som er givet i den tekniske guide jf vejledningens kapitel 6
Vejledning 9
2 REGLERNE
Baggrund
I forbindelse med revisionen af de europaeligiske teledirektiver i 20082009 indfoslashrtes aelign-dringen af e-databeskyttelsesdirektivets artikel 5 stk 3 der omhandler lagring af eller adgang til oplysninger i brugeres terminaludstyr fx computere smartphones eller tab-lets AEligndringen bestaringr saeligrligt i indfoslashrelse af et krav om indhentning af samtykke fra brugerne i forbindelse med lagring af eller adgang til oplysninger i brugerens terminal-udstyr
e-Databeskyttelsesdirektivets artikel 5 stk 3 indeholder en henvisning til persondata-beskyttelsesdirektivet6 og skal derfor laeligses sammen med de generelle regler om per-sondatabeskyttelse som er implementeret i dansk ret ved Lov om behandling af per-sonoplysninger7 Lov om behandling af personoplysninger opstiller generelle krav i forbindelse med behandling af personhenfoslashrbare oplysninger
AEligndringen af e-Databeskyttelsesdirektivet kom ind for at oslashge beskyttelsen af bruger-nes privatsfaeligre naringr de faeligrdes i en digital verden hvilket man ikke mente var opfyldt i tilstraeligkkelig grad af persondatabeskyttelsesreglerne eller den davaeligrende bestemmelse i e-databeskyttelsesdirektivet Privatlivsbeskyttelsen underbygges endvidere af Det Europaeligiske Charter for grundlaeligggende rettigheder som blev gjort juridisk bindende med Lissabontraktatens ikrafttraeligden
Cookiebekendtgoslashrelsen
AEligndringen af e-Databeskyttelsesdirektivet er implementeret i dansk ret med Bekendt-goslashrelse nr 1148 af 9 december 2011 om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr (Cookiebekendtgoslashrelsen) som er udstedt i medfoslashr af sect 9 og sect 81 stk 2 i lov nr 169 af 3 marts 2011 om elektro-niske kommunikationsnet og -tjenester
Formaringl og afgraelignsning
Hvad beskytter reglerneReglerne har til formaringl at beskytte brugernes privatsfaeligre Med reglerne anlaeliggges den betragtning at brugernes terminaludstyr udgoslashr en del af brugerens privatsfaeligre der skal beskyttes mod uretmaeligssig indtraeligngen
Terminaludstyr omfatter computere og mobile enheder som smartphones tablets mv hvori der kan lagres oplysninger eller opnarings adgang til allerede lagrede oplysninger
Den beskyttede er brugeren af et elektronisk kommunikationsnet eller ndashtjeneste som ikke paring kommercielt grundlag stiller de paringgaeligldende elektroniske kommunikationsnet eller- tjenester til raringdighed for andre dvs alle brugere af en computer eller en mobil enhed
Beskyttelsen knytter sig til terminaludstyret der som ovenfor naeligvnt anses for at vaeligre en del af ejerens privatsfaeligre
6 Direktiv 9546EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af saringdanne oplysninger
7 Lov nr 429 af 31 maj 2000 om behandling af personoplysninger
Vejledning10
Reglerne finder alene anvendelse paring offentligt tilgaeligngelige kommunikationsnet eller -tjenester og ikke paring virksomheders intranet og lignende lukkede brugergrupper At der kraeligves log-in for at faring adgang til et netvaeligrk medfoslashrer dog ikke i sig selv at der er tale om en lukket brugergruppe hvor cookiereglerne ikke finder anvendelse Det vil bero paring en konkret vurdering
Reglerne tager ikke hoslashjde for tilfaeliglde af flere brugere af det samme terminaludstyr Brugere skal vaeligre opmaeligrksomme paring at hvis de enten laringner en computer tablet mobil-telefon mv ud eller bruger en andens terminaludstyr saring accepterer de udstyrets ind-stillinger herunder accept af cookies og lignende teknologier Hvis brugeren af termi-naludstyret oslashnsker at sikre sig herimod maring det bero paring en aftale mellem ejerenlaringneren af udstyret
Det samme gaeliglder i det omfang man anvender en offentlig tilgaeligngelig computer ek-sempelvis paring biblioteket idet en bruger som udgangspunkt ikke kan gardere sig imod tidligere brugeres indstillinger Det er Erhvervsstyrelsens vurdering at denne brug ikke er omfattet af cookiereglernes beskyttelsesformaringl i forhold til brugerens privatsfaeligre Det er ikke hjemmesidernes ansvar at soslashrge for samtykke fra samtlige brugere eller indrette deres hjemmesider efter at siden kan tilgarings fra en offentlig tilgaeligngelig compu-ter
Hvilke teknologier er omfattetDer gives ikke i bekendtgoslashrelsen en naeligrmere definition af de teknologier som be-kendtgoslashrelsen regulerer udover selve beskrivelsen i bestemmelsen i sect 3 stk 1
Reglerne er teknologineutrale Bekendtgoslashrelsen raeligkker ud over lagring af eller adgang til oplysninger i brugeres terminaludstyr som finder sted i forbindelse med en opkob-ling til internettet og omfatter saringledes ogsaring lagring af eller adgang til oplysninger fra eksterne medier som fx USB-noslashgler CDrsquoer CD-ROMrsquoer eksterne harddiske eller lig-nende
For saring vidt angaringr den form det format eller den standard oplysninger lagres i omfatter bekendtgoslashrelsen ikke blot rdquoklassiskerdquo http-cookies men enhver form for lignende tek-nologier herunder ogsaring fx Flash-cookies (Local Shared Objects) Web Storage (HTML5) Javascripts eller cookies sat ved brug af Microsoft Silverlight
Cookies kan have forskellig levetid idet de kan stoppe ved udloslashbet af en browser ses-sion (dvs fra brugeren aringbner et browservindue til dette lukkes igen) eller de kan vare laeligngere tid og daeligkke flere browser-sessioner saringledes at de kan foslashlge brugeren rundt paring internettet
En cookie kan endvidere deles ind i 1 parts cookies og 3 parts cookies alt efter hvem der placerer cookiersquoen paring en hjemmeside
1 parts cookies er de cookies der placeres af ejeren af hjemmesiden der er den som brugeren umiddelbart interagerer med 3 parts cookies er dem som placeres paring en hjemmeside af 3 mand hvor denne eller andre faringr adgang til den data der indsamles
Vejledning 11
1 part 3 part
Cookies der saeligttes af hjemmesiden som brugeren besoslashger hvis adresse fremgaringr af URL vinduet
Cookies der saeligttes af andre end den hjemmeside brugeren besoslashger
Sessions cookies
Udloslashber enten i loslashbet af eller ved udgangen af en browser-session
EksbullStyring af grafikbullBesoslashgsstatistikbullBrugerindstillingbull IndkoslashbskurvbullBetalingsmodul bullSikkerheds-pro-
cedurer ved netbank
Eks bullStatistikbullHvor 3 part
leverer ydelser som beskrevet under eks paring 1 parts cookies er det afgoslashrende hvem der har adgang til brugerens data i forhold til om der er tale om 3 parts cookies
Baringde for 1 og 3 parts cookies vurderes sessions cookies ofte at vaeligre mindre indgribende i forhold til bruge-rens privatliv
Persistent cookies
Varer flere browser sessioner og kan foslashlge brugeren rundt paring nettet Kan vare fra timer til flere aringr
Eks bullHuske bruger-
indstillinger som navn og adresse sprog log-in naeligste gang brugeren besoslashger hjemme-siden udover en browser-session
bullTracking - enten genkende brugere fra tidligere besoslashg eller foslashlge brugeren til andre hjemmesi-der
EksbullTracking 1 parts cookies for
brugerindstilling Vurderes at vaeligre mindre indgribende i forhold til brugerens privatliv
Tracking cookies ndash baringde fra 1 part og 3 part anses for mere indgribende i brugerens privat-sfaeligre
Lovgivningen skelner for saring vidt angaringr informations- og samtykkekravet ikke mellem de forskellige typer af cookies men omfatter alle cookies uanset levetid og hvor de stammer fra
Som det fremgaringr nedenfor vil en cookies karakter i praksis kunne spille ind ved vurde-ringen af hvorvidt informations- og samtykkekravet er opfyldt da det her er afgoslashren-de at brugeren kender til cookiens funktion herunder ogsaring hvem der staringr bag cookien og hvem der herfra faringr adgang til indsamlet data
Hvilke handlinger er omfattetBekendtgoslashrelsen vedroslashrer alene den handling der bestaringr i lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr Handlinger der finder sted foslashr eller efter lagringen af eller adgangen til oplysninger i en brugeres terminaludstyr
Vejledning12
er ikke omfattet af reglerne i cookiebekendtgoslashrelsen Saringdanne handlinger kan i stedet vaeligre omfattet af de generelle bestemmelser om beskyttelse af persondata
Foslashlgende tabel giver en oversigt over graelignsefladerne mellem cookiebekendtgoslashrelse og persondataloven
Tabel 1 Anvendelsesomraringder for cookie-bekendtgoslashrelsen og persondataloven
Cookie-bekendtgoslashrelsen Persondataloven
Beskyttelsesobjekt Brugerens terminaludstyr forstaringet som en del af privatsfaeligren
Personoplysninger (ikke kun i terminaludstyr)
Omfattede oplysnings-typer
Alle oplysninger uden sondring
Som udgangspunkt kun personoplysninger Dog er oplysninger om virksomheder mv omfattet i saeligrlige tilfaeliglde
Omfattede behandlings-former
Lagring af eller adgang til oplysninger i en brugers terminaludstyr
Enhver behandling af personoplysninger inden for lovens anvendelsesomraringde hvor der ikke er saeligrregler i anden lovgivning der traeligder i stedet for
Kriterier for behandling(behandlingshjemmel)
HR Fyldestgoslashrende informa-tion til og samtykke fra brugerU Bekendtgoslashrelsens sect 4
Udtrykkelig samtykke er blot eacutet af flere mulige behandlingskriterier
Der er et overlap mellem cookiebekendtgoslashrelsen og persondataloven for saring vidt angaringr lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr naringr de indsamlede oplysninger er personoplysninger Kravet om informeret samtykke i cookiereglerne giver her en bedre beskyttelse af brugeren end persondatabeskyttelses-reglerne der omfatter en raeligkke situationer hvor informeret samtykke ikke er paringkraeligvet
Ved lagring af og adgang til allerede lagrede oplysninger som er personoplysninger i terminaludstyr vil cookiebekendtgoslashrelsen dermed garing forud for persondataloven jf Persondatalovens sect 2
I praksis vil det imidlertid forekomme at der udover lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr ogsaring finder andre behandlinger af op-lysninger sted
For eksempel naringr behandlingerne transmitteres til indsamles eller viderebehandles paring en server Saringdanne behandlingsformer ligger uden for brugernes terminaludstyr og er ikke omfattet af cookiereglerne Afhaeligngigt af de konkrete omstaeligndigheder kan reg-lerne i persondataloven evt finde anvendelse her
Hvilke oplysninger er omfattetBekendtgoslashrelsen vedroslashrer enhver type af oplysninger der indsamles eller lagres paring brugerens terminaludstyr
Vejledning 13
Cookiereglerne regulerer midlet til indsamling af data Der sondres ikke her mellem personhenfoslashrbare og ikke personhenfoslashrbare oplysninger
Det er ligeledes uden betydning om oplysningerne er semantisk meningsfulde ufor-staringelige tekststrenge kode eller om oplysningerne er krypterede
Eksempel Lagring af eller adgang til allerede lagrede oplysninger til brug for webstatistik
En udbyder af en hjemmeside oslashnsker at lave en analyse af hvordan hjemmesidens brugere benytter
siden med henblik paring at forbedre brugeroplevelsen Til dette formaringl oslashnsker udbyderen af hjemme-
siden at placere cookies i brugernes terminaludstyr
Tjenesteudbyderen er omfattet af bekendtgoslashrelsens krav til information og samtykke for saring vidt
angaringr lagringen af cookies og eventuel senere adgang til disse cookies i brugernes terminaludstyr
Oslashnsker tjenesteudbyderen efterfoslashlgende at analysere oplysningerne der er indsamlet ved hjaeliglp af
de placerede cookies falder denne behandling udenfor cookiebekendtgoslashrelsens anvendelsesomraring-
de Det gaeliglder eksempelvis den videre behandling af oplysningerne hos tjenesteudbyderen til brug
for udarbejdelse af statistik
Hvem gaeliglder reglerne forAlle der lagrer eller opnaringr adgang til oplysninger i brugeres terminaludstyr er omfattet af reglerne (se ogsaring det efterfoslashlgende afsnit rdquoHvor gaeliglder hvilke reglerrdquo)
Hjemmesider der henvender sig til alle eller udelukkende til virksomheder vil saringledes vaeligre omfattet af reglerne saringfremt der benyttes cookies eller lignende teknologier paring hjemmesiden idet hjemmesider som udgangspunkt kan tilgarings af alle
Ejeren af en hjemmeside er ligeledes forpligtet efter reglerne i forbindelse med 3 parts lagring af eller adgang til oplysninger i brugeres terminaludstyr hvis dette sker via udbyderens tjeneste fx ved hjaeliglp af indlejret kode i en bannerreklame software ap-plikationer eller links
Ejeren af en hjemmeside behoslashver ikke selv staring for den praktiske og tekniske efterle-velse af reglerne (informering og indhentning af et samtykke fra brugeren) men kan aftale at 3 part haringndterer dette paring vegne af tjenesteudbyderen Ansvaret for at reglerne overholdes vil dog altid ligge hos udbyderen af en tjenesteydelse uanset hvad denne maringtte have aftalt med 3 part da man ifoslashlge cookiebekendtgoslashrelsen heller ikke maring lade 3 part lagre eller faring adgang til allerede lagrede oplysninger uden information til og sam-tykke fra slutbrugeren
Der gaeliglder ikke efter cookiereglerne et krav om indgaringelse af databehandlingsaftale som der gaeliglder efter Persondataloven men det kan vaeligre hensigtsmaeligssigt hvor man giver adgang for 3 part til indsamling af data via ens hjemmeside at indgaring en skriftlig aftale med henblik paring at afdaeligkke med hvilke formaringl 3 part indsamler data om bru-gerne idet dette formaringl skal vaeligre omfattet af informationen paring hjemmesiden for at samtykke fra brugeren kan anses for at vaeligre reelt og fyldestgoslashrende jf nedenfor under afsnittet om rdquoKrav om informeret samtykkerdquo
Ved indlejring paring egen hjemmeside af andres tjenester der eksempelvis hentes via in-ternettet vil aftalen med 3 part oftest bero paring en ensidig accept af 3 partens givne forretningsbetingelser og ikke give mulighed for forhandling af kontraktvilkaringr Man skal vaeligre opmaeligrksom paring at det her kan vaeligre vanskeligt at kontrollere 3 partens brug af data som evt indsamles via cookies eller lignende teknologier og derved ogsaring van-skeligt i sidste ende at sikre et reelt informeret samtykke fra brugeren
Vejledning14
Eksempel Indlejring af et kommentarmodul paring en hjemmeside
Et stoslashrre nyhedsmedie oslashnsker at indlejre et modul der saeligtter brugerne af deres hjemmeside i stand
til at kommentere indholdet paring hjemmesiden Nyhedsmediet kontakter til dette formaringl udbyderen
af et kommentarmodul der kan indlejres paring hjemmesider Nyhedsmediet og udbyderen af modulet
aftaler at modulet indlejres nederst paring alle nyhedsmediets sider
Udbyderen af kommentarmodulet vil gerne saeligtte cookies i brugernes terminaludstyr naringr brugerne
tilgaringr en side for at kunne foslashlge med i hvor meget modulet bliver brugt Nyhedsmediet aftaler der-
for med udbyderen af kommentarmodulet at sidstnaeligvnte soslashrger for at reglerne om lagring af eller
adgang til oplysninger i brugeres terminal- udstyr efterleves ved at der gives fyldestgoslashrende infor-
mation og indhentes samtykke fra brugerne
Nyhedsmediet er dog ansvarlig for at efterlevelsen af reglerne rent faktisk finder sted og dermed for
at der ikke sker en uretmaeligssig lagring i brugernes terminaludstyr naringr brugere tilgaringr nyhedsmediets
hjemmeside uanset hvad nyhedsmediet maringtte have aftalt med udbyderen af kommentarmodulet
Dette gaeliglder altsaring ogsaring i tilfaeliglde af at udbyderen af kommentarmodulet anvender cookies til andre
formaringl end det der foslashlger af aftalen og oplyses til brugeren
Ejeren af en hjemmeside er ansvarlig for de cookies og lignende teknologier der saeligttes i forbindelse med en brugers besoslashg paring hjemmesiden
Linkes der paring hjemmesiden til andre hjemmesider eller anvendes der rdquodelebarerrdquo eller rdquolike-knapperrdquo til eksempelvis Facebook eller Twitter er det vigtigt at vaeligre opmaeligrk-som paring hvorvidt disse hjemmesider saeligtter cookies via links delebar eller like-knapper allerede inden brugeren linkes over til den nye hjemmeside da det som ovenfor naeligvnt er hjemmesideejeren der i sidste ende er ansvarlig for de cookies der saeligttes paring deres hjemmeside Naringr der foslashrst er linket over via delebaren overgaringr ansvaret til ejeren af den nye hjemmeside
Det er ikke et krav efter cookiereglerne men det anbefales at oplyse brugeren om at siden forlades og at de sider man giver adgang til evt bruger cookies
Ved oprettelse af digitale platforme hvorfra man tilgaringr andre hjemmesider som vil optraeligde i rammen af den digitale platform eksempelvis Erhvervsstyrelsens rdquoVirkdkrdquo eller Digitaliseringsstyrelsens rdquoBorgerdkrdquo vil det vaeligre ejeren af den enkelte hjemme-side der tilgarings via platformen der er ansvarlig for overholdelsen af cookiereglerne paring disse hjemmesider Ejeren af platformen har ansvaret for cookies der saeligttes af dem
Det samme vil gaeliglde ved oprettelse af hjemmesider via sociale medier som eksempel-vis Facebook Det sociale medie vil vaeligre ansvarlig for de cookies der saeligttes af mediet men ikke for de cookies der saeligttes af ejeren af hjemmesiden oprettet i det sociale medies format
Det afgoslashrende for hvem der baeligrer ansvaret for indhentelse af samtykke til anvendelse af cookies paring en hjemmeside afhaelignger af hvem der har kontrollen over indholdet paring hjemmesiden
Hvor gaeliglder hvilke reglerHjemmesideejere der er etableret i andre lande udover Danmark skal vaeligre opmaeligrk-somme paring at de maringske ikke kan noslashjes med at indrette deres loslashsninger efter den danske lovgivning De danske cookieregler er baseret paring harmoniseret EU lovgivning der dog alene fastsaeligtter minimumskrav i forbindelse med anvendelse af cookies og lignende teknologier
Der er ikke i e-Databeskyttelsesdirektivet taget stilling til reglernes geografiske anven-delsesomraringde men Europa-Kommissionen har tilkendegivet at det indenfor EU er lovgivningen i det land hvori udbyderen af en tjeneste er etableret der er gaeligldende Vi
Vejledning 15
laeliggger i Danmark umiddelbart op af Kommissionens fortolkning der foslashlger rdquoafsen-derlandsprincippetrdquo i E-handelsdirektivet8
Hvis udbyderen af en tjeneste etableret i Danmark lagrer eller opnaringr adgang til op-lysninger i en brugers terminaludstyr er tjenesteudbyderen saringledes forpligtet efter de danske regler De danske regler finder ligeledes anvendelse hvor udbyderen af en tjeneste etableret i Danmark lader en 3 part der er etableret i et andet land lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyderens tjene-ste
Ifoslashlge Kommissionen gaeliglder for udbyderen af en tjeneste etableret uden for EU lovgiv-ningen i det land hvor lagringen af eller adgangen til oplysninger i en brugers termi-naludstyr finder sted Erhvervsstyrelsen laeliggger i tilsynet med reglerne vaeliggt paring hvor-vidt hjemmesiden retter sig mod danske forbrugere i overensstemmelse med de folkeretlige jurisdiktionsprincipper om hvor en handling har virkning Der vil saringledes blive lagt vaeliggt paring en raeligkke faktorer som sprog leveringsbetingelser (feks en webshop hvor der kan leveres til Danmark) etc
Krav om informeret samtykke
Det helt centrale i aeligndringen til e-Databeskyttelsesdirektivet fra 2009 er kravet om indhentelse af informeret samtykke forud for placeringen af cookies der ogsaring er foslashrt videre til de danske regler i cookiebekendtgoslashrelsens sect 3
Cookiebekendtgoslashrelsen indeholder en definition af samtykke baseret paring samtykkede-finitionen i Persondatabeskyttelsesdirektivet som Cookiedirektivet henviser til Det samme gaeliglder indholdet af informationspligten der ogsaring er naeligrmere beskrevet i Per-sondatabeskyttelsesdirektivet
Kravene om information og samtykke boslashr ses som to komplementaeligre elementer der understoslashtter hinanden og ikke kan adskilles idet de er indfoslashrt for at sikre at brugeren kan traeligffe et reelt og oplyst valg omkring overvaringgningen af deres faeligrdsel paring internet-tet Er informationen ikke fyldestgoslashrende vil samtykket heller ikke vaeligre et reelt sam-tykke
Nedenfor er kravene til baringde information og samtykke naeligrmere uddybet Der gives en raeligkke praktiske eksempler og flere foslashlger af den tekniske guide som findes i vejlednin-gens sidste afsnit Der er alene tale om eksempler til inspiration da det fortsat vil vaeligre op til den enkelte hjemmesideejer at vurdere hvordan kravene bedst muligt efterleves paring netop deres tjeneste
Bekendtgoslashrelsens sect 3
sect 3 Fysiske eller juridiske personer maring ikke lagre oplysninger eller opnaring adgang til oplysninger der
allerede er lagret i en slutbrugers terminaludstyr eller lade tredjepart lagre oplysninger eller opnaring
adgang til oplysninger hvis slutbrugeren ikke giver samtykke hertil efter at have modtaget fyldest-
goslashrende information om lagringen af eller adgangen til oplysningerne
Stk 2 Information jf stk 1 er fyldestgoslashrende naringr den som minimum
1) fremstaringr i et klart praeligcist og letforstaringeligt sprog eller tilsvarende billedskrift
2) indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens
terminaludstyr
3) indeholder oplysninger der identificerer enhver fysisk eller juridisk person der foranstalter lagrin-
gen af eller adgangen til oplysningerne
4) indeholder en umiddelbart tilgaeligngelig adgang for slutbrugeren til at afslaring samtykke eller tilbage-
8 Europa-Parlamentets og Raringdets direktiv 200031EF om visse retlige aspekter af informationssamfundstjenester navnlig ele-ktronisk handel i det indre marked
Vejledning16
kalde samtykke til lagringen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig
vejledning om hvordan slutbrugeren anvender en saringdan adgang og
5) er umiddelbart tilgaeligngelig for slutbrugeren ved samlet og tydeligt at blive meddelt denne Des-
uden skal information naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminal-
udstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren
ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Informationskravet
Hvilke krav stilles til fyldestgoslashrende information Af bekendtgoslashrelsens sect 3 stk 2 fremgaringr de krav der som minimum skal vaeligre opfyldt foslashr informationen kan siges at vaeligre fyldestgoslashrende Der stilles krav til karakteren ind-holdet og tilgaeligngeligheden af informationen
Overordnet kan siges at informationen skal udgoslashre det videns grundlag der saeligtter brugerne i stand til at traeligffe reelle informerede valg I nogle tilfaeliglde boslashr det derfor ogsaring overvejes at medtage yderligere information end der kraeligves i bekendtgoslashrelsen hvis dette er noslashdvendigt for at brugerne kan forstaring konsekvenserne af deres valg
Loslashsninger skal opfylde cookiereglerne baringde paring hjemmesider og paring mobilsites ndash se evt teknisk guide i vejledningens kapitel 6
Krav til sprog og tekstsect 3 stk 2 nr 1 fastsaeligtter krav til at informationen fremstaringr i et klart praeligcist og letfor-staringeligt sprog eller tilsvarende billedskrift
Det indebaeligrer bla at informationen ikke boslashr formuleres i unoslashdigt teknisk eller juri-disk sprog samt at brugeren let kan danne sig et overblik
Brug af tabeller eller billedsprog fx i form af piktogrammer kan supplere eller erstatte mere traditionel tekst og goslashre informationen lettere at forstaring men maring vurderes ud fra brugerens kendskab til saringdanne alternativer
Bestemmelsen indeholder ikke krav til paring hvilket sprog informationen skal gives Valg af sprog boslashr dog ske under hensynstagen til hvilke brugere en tjeneste retter sig imod herunder isaeligr hvor disse brugere befinder sig geografisk
Krav til oplysning om formaringlsect 3 stk 2 nr 2 fastsaeligtter krav til at informationen indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens terminaludstyr
Brugeren har ret til at faring oplyst hvorfor der lagres eller tilgarings oplysninger og det er ikke tilstraeligkkeligt blot at oplyse at det sker Dette krav haelignger sammen med samtykkekra-vet der skal vaeligre en specifik viljestilkendegivelse Angivelsen af rdquovi bruger cookiesrdquo uden yderligere praeligcisering vurderes saringledes ikke at opfylde reglerne
Informationen om formaringl med lagringen af eller adgangen til oplysninger er helt cen-tral og skal understoslashtte at brugerne er bevidste om hvilke konsekvenser deres valg har Formaringlet boslashr derfor altid beskrives meget praeligcist og daeligkkende
Har lagringen af eller adgangen til oplysninger mere end eacutet formaringl skal der oplyses om samtlige formaringl Lagres eller tilgarings der flere oplysninger med samme formaringl eller af flere omgange vil det almindeligvis vaeligre tilstraeligkkeligt at beskrive formaringlet eacuten gang og ikke for hver oplysning der lagres eller opnarings adgang til
Vejledning 17
I relation til kravet om angivelse af formaringl saring er det her vigtigt at understrege at for-maringlsbeskrivelsen ligeledes skal omfatte eventuelle 3 parters formaringl med at anvende cookies
Eksempel Information om formaringl med brug af cookies
Brugen af cookies er meget udbredt og kan have en lang raeligkke formaringl herunder fx at optimere
brugeroplevelse eller design paring en tjeneste at generere webstatistik eller at maringlrette markedsfoslashring
til brugere
Den information der gives boslashr beskrive formaringlet med tjenestens brug af cookies og ikke de en-
kelte cookies i sig selv
Hvis en tjeneste eksempelvis bruger fire cookies til at optimere designet paring tjenesten mens yderli-
gere to cookies bruges til at haringndtere annoncer og en syvende cookie bruges til at genere websta-
tisk vil det almindeligvis vaeligre tilstraeligkkeligt at informere om de tre forskellige formaringl med brugen
af cookies og ikke noslashdvendigvis om de i alt syv cookies siden goslashr brug af
Oplysninger om hvem der saeligtter cookiessect 3 stk 2 nr 3 fastsaeligtter krav til at informationen indeholder oplysninger der identifi-cerer enhver fysisk eller juridisk person der foranstalter lagringen af oplysninger eller opnaringr adgang til allerede lagrede oplysninger
Brugere skal vaeligre i stand til at identificere den der foranstalter lagringen Det vil i mange tilfaeliglde vaeligre udbyderen af tjenesten men hvor udbyderen af en tjeneste lader 3 part lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyde-rens tjeneste skal 3 part ogsaring kunne identificeres af brugeren Den eksakte angivelse af hvilke 3 parter der saeligtter cookies kan ske paring en underside jf vejledningens afsnit om lagdelt information nedenfor
For saring vidt angaringr oplysninger der lagres eller tilgarings i brugeres terminaludstyr af en or-ganisation fx en virksomhed eller anden juridisk person angives oplysninger som identificerer organisationen og ikke dens medarbejdere
Hvilke konkrete informationer der skal vaeligre til stede for at brugere kan identificere de(n) der foretager lagringen vil variere fra tjeneste til tjeneste og afhaelignger af de par-ter der er involveret
Adgang til at afslaring cookiessect 3 stk 2 nr 4 fastsaeligtter krav til at informationen indeholder en umiddelbart tilgaelign-gelig adgang for slutbrugeren til at afslaring samtykke eller tilbagekalde samtykke til lagrin-gen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig vejledning om hvordan slutbrugeren anvender en saringdan adgang
Brugere skal have mulighed for at afslaring samtykke eller tilbagekalde et allerede givet samtykke Dette skal understoslashtte reel brugerkontrol og frivilligheden af brugeres sam-tykke Til dette formaringl skal der vaeligre en umiddelbart tilgaeligngelig adgang til at afslaring cookies og en klar praeligcis og letforstaringelig vejledning om hvordan brugere kan anvende en saringdan adgang Se endvidere nedenfor under afsnittet om rdquoKravet til samtykkerdquo hvor det slarings fast at der ikke gaeliglder noget krav om at en hjemmeside skal kunne tilgarings eller fungere uden cookies
Det kan i nogle tilfaeliglde vaeligre relevant at henvise til eksempelvis vejledninger og vaeligrk-toslashjer andre har udarbejdet Der stilles i bekendtgoslashrelsen ingen krav til at vejledninger eller vaeligrktoslashjer til at afslaring eller tilbagekalde et samtykke skal forefindes paring tjenesten der lagrer eller tilgaringr oplysninger Det er adgangen til vejledning og vaeligrktoslashjer som tjene-sten er forpligtet til at goslashre umiddelbart tilgaeligngelig for brugeren
Vejledning18
Krav om informationens tilgaeligngelighedsect 3 stk 2 nr 5 fastsaeligtter krav til at informationen er umiddelbart tilgaeligngelig for slut-brugeren ved samlet og tydeligt at blive meddelt denne Desuden skal informationen naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjene-ste
For at sikre reel brugerkontrol er det noslashdvendigt at informationen er umiddelbart tilgaeligngelig for brugere og kan tilgarings uden besvaeligr Dette er desuden en forudsaeligtning for at brugere ogsaring kan tilbagekalde et allerede afgivet samtykke Hvordan informatio-nen bedst goslashres tilgaeligngelig vil bla afhaelignge af tjenestens design og struktur hvorfor det vil variere fra tjeneste til tjeneste
Informationen kan vaeligre lagdeltDet kan vaeligre hensigtsmaeligssigt at benytte sig af lagdelt information saringledes at det dog sikres at brugerne med det samme faringr de vaeligsentligste informationer saringsom formaringlet med anvendelsen af cookies samtidig med at der linkes til mere detaljerede informa-tioner Brugen af piktogrammer eller andre tydeligt markerede indgange til informa-tionen kan understoslashtte dette men ikke goslashre det ud alene for umiddelbar tilgaeligngelig information
Den umiddelbare angivelse af formaringlet med anvendelsen af cookies boslashr omfatte infor-mation om 3 parts cookies idet det har betydning for brugeren hvem data tilgaringr Ek-sempelvis ved angivelse af formaringl som direkte markedsfoslashring skal det ogsaring fremgaring at direkte markedsfoslashring vil vaeligre fra 3 part Den praeligcise angivelse af 3 parter kan evt ske paring en underside
En tjeneste kan desuden vaeliglge at skelne mellem hvordan informationen praeligsenteres for brugere inden brugeren afgiver eller afslaringr samtykke og hvordan informationen praeligsenteres efter at brugere har afgivet eller afslaringet samtykke
Paring informations- og indholdstjenester herunder hjemmesider og andre online tjene-ster der lagrer eller tilgaringr oplysninger i en brugeres terminaludstyr skal informationen vaeligre vedvarende tilgaeligngelig for brugere ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Dette indebaeligrer at brugere ved anvendelse af saringdanne tjenester til enhver tid skal have adgang til informationen og en saringdan adgang boslashr vaeligre let at finde og anvende Det kan bla overvejes at opfylde dette krav ved at placere en saringdan adgang i sammenhaeligng med oslashvrige vedvarende elementer paring en tjeneste Brug af piktogrammer eller lignende kan ogsaring overvejes i denne sammenhaeligng
Nedenfor redegoslashres naeligrmere for kravet til samtykke Det kan heraf laeligses at samtykke kan gives paring forskellig maringde herunder ogsaring ved en aktiv handling Kravet til informa-tion kan variere for saring vidt angaringr tydelighed og tilgaeligngelighed alt efter hvilken form for samtykke der er tale om Krav til hvilke oplysninger der gives for at en information kan anses for fyldestgoslashrende varierer imidlertid ikke
Vaeligsentlig information der skal gives til brugeren med det samme er
- Alle formaringl med cookies og lignende teknologier
- Hvem der anvender cookies og lignende teknologier paring hjemmesiden
Vejledning 19
Eksempel Fyldestgoslashrende information ndash lagdelt med vaeligsentlige oplysninger foslashrst
En tjeneste paring nettet der giver brugeren mulighed for at sammenligne produkter og priser paring for-
skellige vareomraringder anvender cookies til at registrere antallet af brugere paring hjemmesiden og til at
registrere hvor brugeren kommer fra Paring hjemmesiden er der bannerreklamer for forskellige produ-
center relateret til de varekategorier som omtales paring hjemmesiden Bannerreklamerne leveres af 3
parter og anvender cookies til at registrere hvilke annoncer brugeren klikker paring saringledes at det er
muligt at identificere brugernes interesser og maringlrette annonceringen
Eksempel Umiddelbar information til brugeren
rdquoVi bruger cookies til statistik og til maringlrettet markedsfoslashring ogsaring fra os selv og vores an-
noncoslashrer ndash se her hvilke Laeligs her mere om vores brug af cookies herunder hvordan du
fravaeliglger brug af cookiesrdquo
Kravet til samtykke
Som ovenfor naeligvnt er den centrale aeligndring af reglerne kravet om indhentelse af in-formeret samtykke fra brugeren ved anvendelse af cookies eller lignende teknologier der foslashlger af cookiebekendtgoslashrelsens sect 3
Samtykke defineres i bekendtgoslashrelsens sect 2 stk 1 nr 8
Bekendtgoslashrelsens sect 2 stk 1 nr 8
sect 2 stk 1 nr 8) Samtykke Enhver frivillig specifik og informeret viljestilkendegivelse hvorved
slutbrugeren indvilliger i at der lagres oplysninger eller opnarings adgang til allerede lagrede oplysnin-
ger i slutbrugerens terminaludstyr
Da tjenester og deres brugere er vidt forskellige vil der vaeligre stor forskel paring hvordan et samtykke bedst indhentes
Kravet om samtykke skal sikre at brugere har reel kontrol med hvorvidt der lagres el-ler tilgarings oplysninger i deres terminaludstyr Naringr samtykket skal indhentes er det der-for vaeligsentligt at holde sig brugerens kontrolmuligheder for oslashje herunder brugerens reelle muligheder for at vurdere formaringlet med lagringen eller tilgangen til oplysnin-gerne
Reglerne giver i udgangspunktet tjenester et stort mulighedsrum til at vaeliglge hvordan samtykket bedst kan indhentes paring en maringde der fungerer i deres konkrete kontekst
At samtykket skal vaeligre frivilligt indebaeligrer bla at brugere skal have et faktisk valg
Det er ikke et krav at hjemmesider kan fungere uden brug af cookies eller lignende teknologier hvorfor afvisning af cookies kan medfoslashre at brugerens eneste mulighed er at forlade hjemmesiden Virksomheder har selvsagt et incitament for at deres hjem-meside er tilgaeligngelig men det er ikke lovstridigt at have loslashsninger der afskaeligrer bru-gere som ikke vil acceptere brugen af cookies
For offentlige hjemmesider kan der vaeligre andre overvejelser idet adgangen til offentlige tjenester gerne skulle vaeligre tilgaeligngelig for alle
I frivilligheden af samtykket ligger ogsaring at brugere skal have mulighed for at tilbage-kalde et allerede afgivet samtykke jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 4
Vejledning20
At samtykket skal vaeligre specifikt indebaeligrer bla at samtykket skal vaeligre praeligcist og vel-afgraelignset Samtykket behoslashver imidlertid ikke relatere sig til hver enkelt lagring af eller adgang til oplysninger i brugernes terminaludstyr I stedet boslashr samtykket knytte sig til det formaringl der ligger til grund for lagringen af eller adgangen til oplysningerne jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 2
Hvis lagring af eller adgang til oplysninger paring et senere tidspunkt benyttes til formaringl der raeligkker ud over hvad der tidligere er indhentet samtykke til skal der indhentes et nyt samtykke der omfatter det nye formaringl
At samtykket skal vaeligre informeret understoslashttes af kravene til information i bekendtgoslash-relsens sect 3 stk 2 hvor ikke mindst formaringlet med lagringen er vaeligsentligt Som del af et informeret samtykke boslashr brugere ogsaring oplyses om konsekvenserne af deres (fra)valg Saringdanne konsekvenser kan fx vaeligre at brugere ikke kan faring adgang til (dele af) tjenesten som ovenfor beskrevet hvis samtykket afslarings eller at et samtykke medfoslashrer at 3 parter faringr mulighed for at lagre eller tilgaring allerede lagrede oplysninger i brugeres terminalud-styr
Brugeres viljetilkendegivelse staringr helt centralt i indhentningen af et samtykke En tjene-steudbyder har pligt til at identificere en aktiv handling fra sine brugere der med rime-lighed kan tages til indtaeliggt for en tilkendegivelse af deres vilje paring et informeret grund-lag Det skal dog understreges at vilje kan tilkendegives paring en lang raeligkke forskellige maringder og at reglerne i bekendtgoslashrelsen ikke tager specifikt stilling til hvordan denne skal komme til udtryk
En viljestilkendegivelse kan vaeligre mange ting herunder eksempelvis
bull afkrydsning af en boks klik paring en knap eller udfyldelse af en formular i sammenhaeligng med rele-
vant information paring en tjeneste
bull aktiv brug af en tjeneste hvor det maring forventes at brugeren er informeret om at der vil ske lag-
ring af eller adgang til oplysninger (saringfremt dette ikke er afslaringet)
Kommissionen har tilkendegivet overfor Erhvervsstyrelsen at aktiv brug af en tjeneste som ovenfor beskrevet er i overensstemmelse med e-Databeskyttelsesdirektivet og ac-cepteres i de fleste medlemslande Det afgoslashrende er at der kan identificeres en aktiv handling eksempelvis at der klikkes videre paring siden og at brugeren har en forstaringelse af at de ved denne handling accepterer cookies dvs det er ikke nok bare generelt at informere om at hjemmesiden bruger cookies det skal praeligciseres at cookies saeligttes ved at brugeren eksempelvis klikker videre
Der vil vaeligre stor forskel paring hvordan samtykket bedst indhentes Det er den enkelte tjeneste selv der har de bedste forudsaeligtninger for at vaeliglge en loslashsning der overholder samtykkekravet og giver tjenestens brugere reel mulighed for at tilkendegive deres vilje paring et informeret grundlag
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt at defi-nere praeligcist hvordan brugere i konkrete tilfaeliglde skal tilkendegive sin vilje Bekendt-goslashrelsens samtykkekrav giver derfor tjenester et stort mulighedsrum til at udvikle nye og innovative loslashsninger der oslashger brugerkontrollen og gennemsigtigheden
Vejledning 21
Eksempel Samtykke
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Accepter cookies Afvis cookies Laeligs mere her om vores brug af cookies herunder hvordan
du fravaeliglger cookies igenrdquo
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Klikker du videre paring siden accepterer du at der saeligttes cookies til disse formaringl Laeligs mere
her om vores brug af cookies herunder hvordan du fravaeliglger brugen af cookiesrdquo
Hvis brugere vaeliglger ikke at give samtykke til lagringen af oplysninger eller vaeliglger at tilbagekalde et samtykke stilles der som ovenfor naeligvnt i bekendtgoslashrelsen ikke noget krav til at brugere fortsat skal have adgang til indhold paring en tjeneste
Erhvervsstyrelsen er opmaeligrksom paring at kravet om forudgaringende samtykke kan vaeligre teknisk udfordrende for en del hjemmesider der saeligtter cookies allerede naringr brugeren tilgaringr siden saeligrligt for at sikre statistik om hvor mange der besoslashger en hjemmeside og hvor de kommer fra
Direktivet stiller et grundlaeligggende krav om informeret samtykke Nogle lande har valgt at haringndhaeligve samtykkekravet saringledes at det undtagelsesvis i saeligrlige tilfaeliglde ac-cepteres at cookies kan lagres forud for at brugeren har givet samtykke hertil UK fastslaringr eksempelvis i deres vejledning til reglerne at samtykke saring vidt muligt skal ind-hentes foslashr der saeligttes cookies men accepterer dog at det ikke altid sker Hvor det ikke er muligt at indhente samtykke foslashr cookies lagres laeliggges der i UKrsquos vejledning imid-lertid vaeliggt paring virksomhedernes indsats for at sikre information til brugerne og deres mulighed for at give samtykkeafvise cookies hurtigst muligt ligesom der laeliggges vaeliggt paring at virksomhederne begraelignser adgangen til sessions cookies
Der er behov for en naeligrmere afklaring fra Kommissionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside eje-rens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Samtykke ved browserindstillinger er ikke anerkendt i Danmark paring nuvaeligrende tids-punkt og kun i faring af de oslashvrige EU-medlemslande Den generelle holdning er at de browserloslashsninger som findes paring markedet i dag ikke i tilstraeligkkelig grad sikrer mod brugen af cookies hvor brugeren har fravalgt det Med de eksisterende browsere er det ikke muligt at differentiere sit samtykke tilstraeligkkelig nuanceret saring det reelt bliver et rdquoja takrdquo til alle cookies eller rdquonej takrdquo til alle cookies hvorefter brugeren vil kunne op-leve betydelige begraelignsninger i forhold til indhold af forskellige tjenester paring nettet
Samtykket varer i udgangspunktet indtil forholdene aeligndres Brugeren skal hele tiden have en let adgang til at traeligkke samtykket tilbage
Undtagelser
Bekendtgoslashrelsens sect 4 indeholder to undtagelser til kravet om informeret samtykke fra brugeren forud for anvendelsen af cookies Er der tale om indsamling af data som falder under undtagelsesbestemmelserne vil der efter lovgivningen ikke stilles krav om hverken information eller samtykke Det kan imidlertid vaeligre en anbefaling ogsaring her at give information og indhente samtykke ud fra en betragtning om at fuldstaeligndig gennemsigtighed oslashger tilliden til internettet og derfor kan vaeligre gavnlig for en e-hand-ler eller udbyder af tjenesteydelser paring nettet Det skal ogsaring her vurderes hvorvidt situa-tionen kan vaeligre omfattet af reglerne om beskyttelse af persondata
Vejledning22
Bekendtgoslashrelsens sect 4
sect 4 Uanset sect 3 kan fysiske eller juridiske personer lagre oplysninger eller opnaring adgang til oplysninger
der allerede er lagret i en slutbrugers terminaludstyr hvis
1) lagringen af eller adgangen til oplysninger alene sker med det formaringl at overfoslashre kommunikation
via et elektronisk kommunikationsnet eller
2) lagringen af eller adgangen til oplysninger er paringkraeligvet for at saeligtte tjenesteyderen af en informa-
tionssamfundstjeneste som slutbrugeren udtrykkeligt har anmodet om i stand til at levere denne
tjeneste
Stk 2 Lagring af eller adgang til oplysninger i en slutbrugersterminaludstyr er paringkraeligvet jf stk 1
nr 2 hvis lagringen af eller adgangen til oplysninger er en teknisk forudsaeligtning for at kunne levere
en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
Erhvervsstyrelsen laeliggger i fortolkningen af undtagelsesbestemmelserne vaeliggt paring udta-lelser fra den saringkaldte Artikel 29 gruppe som er omtalt i forordet og som i juni 2012 offentliggjorde et dokument vedroslashrende undtagelsesbestemmelserne i e-Datadirekti-vet efter aeligndringerne i 2009 Det er vigtigt her at understrege at der ikke er tale om et juridisk bindende dokument men gruppens fortolkninger stoslashttes i vid udstraeligkning af EU Kommissionen og bredt i medlemsstaterne Et link til Artikel 29 gruppens udta-lelse foslashlger af kapitel 5 rdquoLinks til lovgivning og direktiverrdquo
1 undtagelse Cookies i forbindelse med opkobling til internettetDet er Erhvervsstyrelsens vurdering at sect 4 stk 1 nr 1 alene er moslashntet paring udbydere af internetforbindelser og den lagring af eller adgang til oplysninger i brugeres terminal-udstyr der maringtte finde sted som en del af opkoblingen til internettet og vedligehol-delse heraf
2 undtagelse Cookies der sikrer funktionaliteten af en tjeneste som brugeren har bedt omsect 4 stk 1 nr 2 har derimod et bredere anvendelsesomraringde
For at vaeligre omfattet af undtagelsesbestemmelsen i sect 4 stk 1 nr 2 skal to krav vaeligre opfyldt For det foslashrste skal brugeren udtrykkeligt have anmodet om tjenesten For det andet skal lagringen af eller adgangen til oplysninger i brugerens terminaludstyr vaeligre paringkraeligvet for leveringen af denne tjeneste Begge krav skal vaeligre opfyldt
Brugerens faeligrden paring nettet eller besoslashg paring en specifik hjemmeside kan ikke tages som et udtryk for en generel anmodning om de tjenester der her tilbydes
Hvorvidt lagring af oplysninger eller adgang til allerede lagrede oplysninger er paringkraelig-vet uddybes i sect 4 stk 2 hvorefter der skal vaeligre tale om en teknisk forudsaeligtning for at kunne levere en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
For at vaeligre en teknisk noslashdvendighed skal tjenesten ikke kunne fungere uden brug af cookiersquoen eller en lignende teknologi Samtidig er det vigtigt at der er en klar sammen-haeligng mellem den rdquoparingkraeligvederdquo teknologi og brugerens udtrykkelige anmodning om tjenesten
Med hensyn til tjenestens formaringl boslashr der laeliggges vaeliggt paring det formaringl med hvilket bru-gere tilgaringr tjenesten eller hjemmesiden
Cookies eller lignende teknologier der opfylder kravene til at vaeligre omfattet af undta-gelsen maring ikke anvendes med andre formaringl for oslashje I saring fald skal brugeren informeres og give samtykke til disse andre formaringl
Vejledning 23
Det har betydning for vurderingen af om cookies kan undtages fra kravet om informe-ret samtykke om der er tale om sessionscookies eller vedvarende cookies og hvor den stammer fra Vedvarende cookies vil sjaeligldent falde under undtagelsesbestemmelsen
Eksempler paring undtagelser efter sect 4
Elektroniske indkoslashbskurve
- Brugen af elektroniske indkoslashbskurve i webshops hvor det er noslashdvendigt at kunne genkende bru-
geren paring tvaeligrs af sideskift (genindlaeligsninger af webshoppen) da indkoslashbskurven ellers vil vaeligre tom
ved visning af en ny side Lagring af fx en cookie eller lignende teknologi er dermed en teknisk for-
udsaeligtning for at kunne levere den tjeneste (e-handel) som brugeren udtrykkeligt har anmodet om
(tilgaringet webshoppen og lagt varer i indkoslashbskurven) Indkoslashbskurven fungerer desuden i overensstem-
melse med det formaringl (at koslashbe varer) med hvilket brugeren tilgaringr webshoppen
Log-in situationer
- Anvendelse af log-in (eksempelvis ved netbank offentlige selvbetjeningsloslashsninger eller ved ad-
gang til saeligrlige netvaeligrk) hvor cookies sikrer at brugeren logges ind med brug af brugernavn
passwords og forbliver logget ind uden igen at skulle indtaste saringdanne koder Det er vigtigt at
understrege at det alene er selve log-in funktionen der er undtaget men ikke noslashdvendigvis cookies
som saeligttes ved aktiviteter efter log-in funktionen
Andre undtagelser
Brugerdefinerede browserindstillinger ndash eks valg af land sprog eller skriftstoslashrrelse
- Disse cookies kan vaeligre undtaget fra kravet om informeret samtykke i det omfang at disse udtryk-
kelig aktiveres af brugeren fx ved at klikke paring en knap eller afkrydse en rubrik og ikke benyttes til
andre formaringl og ikke i laeligngere tid end en browsersession
Authentificeringscookies
Cookies der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider
Brugervalideringscookies
Cookies der anvendes til at sikre mod (gentagne) fejl ved log-in
Multimedia player cookies
Cookies der anvendes til at regulere netvaeligrkshastighed eller billedkvalitet og til at aktivere play back
video- eller lydfiler
Plug-ins til sociale medier
Cookies der giver muligheden for enten at dele indholdet af en hjemmeside eller rdquolikerdquo indholdet via
det sociale medie Cookien saeligttes alene for at dirigere brugeren over paring den sociale hjemmeside og
logge ind her Den har alene betydning for brugere af sociale netvaeligrk der allerede er logget ind her
Bruges cookien til at tracke brugeren rundt paring nettet vil den ikke vaeligre omfattet
Load balancing
Cookies der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en
service
Det er Erhvervsstyrelsens vurdering at cookies der husker at en bruger har sagt rdquonej takrdquo til cookies er undtaget kravet om informeret samtykke da der er tale om et oslashnske fra brugeren og den er noslashdvendig for at huske indstillingen
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning8
forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjemmesidens indsats ud fra de 5 processkridt som er givet i den tekniske guide jf vejledningens kapitel 6
Vejledning 9
2 REGLERNE
Baggrund
I forbindelse med revisionen af de europaeligiske teledirektiver i 20082009 indfoslashrtes aelign-dringen af e-databeskyttelsesdirektivets artikel 5 stk 3 der omhandler lagring af eller adgang til oplysninger i brugeres terminaludstyr fx computere smartphones eller tab-lets AEligndringen bestaringr saeligrligt i indfoslashrelse af et krav om indhentning af samtykke fra brugerne i forbindelse med lagring af eller adgang til oplysninger i brugerens terminal-udstyr
e-Databeskyttelsesdirektivets artikel 5 stk 3 indeholder en henvisning til persondata-beskyttelsesdirektivet6 og skal derfor laeligses sammen med de generelle regler om per-sondatabeskyttelse som er implementeret i dansk ret ved Lov om behandling af per-sonoplysninger7 Lov om behandling af personoplysninger opstiller generelle krav i forbindelse med behandling af personhenfoslashrbare oplysninger
AEligndringen af e-Databeskyttelsesdirektivet kom ind for at oslashge beskyttelsen af bruger-nes privatsfaeligre naringr de faeligrdes i en digital verden hvilket man ikke mente var opfyldt i tilstraeligkkelig grad af persondatabeskyttelsesreglerne eller den davaeligrende bestemmelse i e-databeskyttelsesdirektivet Privatlivsbeskyttelsen underbygges endvidere af Det Europaeligiske Charter for grundlaeligggende rettigheder som blev gjort juridisk bindende med Lissabontraktatens ikrafttraeligden
Cookiebekendtgoslashrelsen
AEligndringen af e-Databeskyttelsesdirektivet er implementeret i dansk ret med Bekendt-goslashrelse nr 1148 af 9 december 2011 om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr (Cookiebekendtgoslashrelsen) som er udstedt i medfoslashr af sect 9 og sect 81 stk 2 i lov nr 169 af 3 marts 2011 om elektro-niske kommunikationsnet og -tjenester
Formaringl og afgraelignsning
Hvad beskytter reglerneReglerne har til formaringl at beskytte brugernes privatsfaeligre Med reglerne anlaeliggges den betragtning at brugernes terminaludstyr udgoslashr en del af brugerens privatsfaeligre der skal beskyttes mod uretmaeligssig indtraeligngen
Terminaludstyr omfatter computere og mobile enheder som smartphones tablets mv hvori der kan lagres oplysninger eller opnarings adgang til allerede lagrede oplysninger
Den beskyttede er brugeren af et elektronisk kommunikationsnet eller ndashtjeneste som ikke paring kommercielt grundlag stiller de paringgaeligldende elektroniske kommunikationsnet eller- tjenester til raringdighed for andre dvs alle brugere af en computer eller en mobil enhed
Beskyttelsen knytter sig til terminaludstyret der som ovenfor naeligvnt anses for at vaeligre en del af ejerens privatsfaeligre
6 Direktiv 9546EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af saringdanne oplysninger
7 Lov nr 429 af 31 maj 2000 om behandling af personoplysninger
Vejledning10
Reglerne finder alene anvendelse paring offentligt tilgaeligngelige kommunikationsnet eller -tjenester og ikke paring virksomheders intranet og lignende lukkede brugergrupper At der kraeligves log-in for at faring adgang til et netvaeligrk medfoslashrer dog ikke i sig selv at der er tale om en lukket brugergruppe hvor cookiereglerne ikke finder anvendelse Det vil bero paring en konkret vurdering
Reglerne tager ikke hoslashjde for tilfaeliglde af flere brugere af det samme terminaludstyr Brugere skal vaeligre opmaeligrksomme paring at hvis de enten laringner en computer tablet mobil-telefon mv ud eller bruger en andens terminaludstyr saring accepterer de udstyrets ind-stillinger herunder accept af cookies og lignende teknologier Hvis brugeren af termi-naludstyret oslashnsker at sikre sig herimod maring det bero paring en aftale mellem ejerenlaringneren af udstyret
Det samme gaeliglder i det omfang man anvender en offentlig tilgaeligngelig computer ek-sempelvis paring biblioteket idet en bruger som udgangspunkt ikke kan gardere sig imod tidligere brugeres indstillinger Det er Erhvervsstyrelsens vurdering at denne brug ikke er omfattet af cookiereglernes beskyttelsesformaringl i forhold til brugerens privatsfaeligre Det er ikke hjemmesidernes ansvar at soslashrge for samtykke fra samtlige brugere eller indrette deres hjemmesider efter at siden kan tilgarings fra en offentlig tilgaeligngelig compu-ter
Hvilke teknologier er omfattetDer gives ikke i bekendtgoslashrelsen en naeligrmere definition af de teknologier som be-kendtgoslashrelsen regulerer udover selve beskrivelsen i bestemmelsen i sect 3 stk 1
Reglerne er teknologineutrale Bekendtgoslashrelsen raeligkker ud over lagring af eller adgang til oplysninger i brugeres terminaludstyr som finder sted i forbindelse med en opkob-ling til internettet og omfatter saringledes ogsaring lagring af eller adgang til oplysninger fra eksterne medier som fx USB-noslashgler CDrsquoer CD-ROMrsquoer eksterne harddiske eller lig-nende
For saring vidt angaringr den form det format eller den standard oplysninger lagres i omfatter bekendtgoslashrelsen ikke blot rdquoklassiskerdquo http-cookies men enhver form for lignende tek-nologier herunder ogsaring fx Flash-cookies (Local Shared Objects) Web Storage (HTML5) Javascripts eller cookies sat ved brug af Microsoft Silverlight
Cookies kan have forskellig levetid idet de kan stoppe ved udloslashbet af en browser ses-sion (dvs fra brugeren aringbner et browservindue til dette lukkes igen) eller de kan vare laeligngere tid og daeligkke flere browser-sessioner saringledes at de kan foslashlge brugeren rundt paring internettet
En cookie kan endvidere deles ind i 1 parts cookies og 3 parts cookies alt efter hvem der placerer cookiersquoen paring en hjemmeside
1 parts cookies er de cookies der placeres af ejeren af hjemmesiden der er den som brugeren umiddelbart interagerer med 3 parts cookies er dem som placeres paring en hjemmeside af 3 mand hvor denne eller andre faringr adgang til den data der indsamles
Vejledning 11
1 part 3 part
Cookies der saeligttes af hjemmesiden som brugeren besoslashger hvis adresse fremgaringr af URL vinduet
Cookies der saeligttes af andre end den hjemmeside brugeren besoslashger
Sessions cookies
Udloslashber enten i loslashbet af eller ved udgangen af en browser-session
EksbullStyring af grafikbullBesoslashgsstatistikbullBrugerindstillingbull IndkoslashbskurvbullBetalingsmodul bullSikkerheds-pro-
cedurer ved netbank
Eks bullStatistikbullHvor 3 part
leverer ydelser som beskrevet under eks paring 1 parts cookies er det afgoslashrende hvem der har adgang til brugerens data i forhold til om der er tale om 3 parts cookies
Baringde for 1 og 3 parts cookies vurderes sessions cookies ofte at vaeligre mindre indgribende i forhold til bruge-rens privatliv
Persistent cookies
Varer flere browser sessioner og kan foslashlge brugeren rundt paring nettet Kan vare fra timer til flere aringr
Eks bullHuske bruger-
indstillinger som navn og adresse sprog log-in naeligste gang brugeren besoslashger hjemme-siden udover en browser-session
bullTracking - enten genkende brugere fra tidligere besoslashg eller foslashlge brugeren til andre hjemmesi-der
EksbullTracking 1 parts cookies for
brugerindstilling Vurderes at vaeligre mindre indgribende i forhold til brugerens privatliv
Tracking cookies ndash baringde fra 1 part og 3 part anses for mere indgribende i brugerens privat-sfaeligre
Lovgivningen skelner for saring vidt angaringr informations- og samtykkekravet ikke mellem de forskellige typer af cookies men omfatter alle cookies uanset levetid og hvor de stammer fra
Som det fremgaringr nedenfor vil en cookies karakter i praksis kunne spille ind ved vurde-ringen af hvorvidt informations- og samtykkekravet er opfyldt da det her er afgoslashren-de at brugeren kender til cookiens funktion herunder ogsaring hvem der staringr bag cookien og hvem der herfra faringr adgang til indsamlet data
Hvilke handlinger er omfattetBekendtgoslashrelsen vedroslashrer alene den handling der bestaringr i lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr Handlinger der finder sted foslashr eller efter lagringen af eller adgangen til oplysninger i en brugeres terminaludstyr
Vejledning12
er ikke omfattet af reglerne i cookiebekendtgoslashrelsen Saringdanne handlinger kan i stedet vaeligre omfattet af de generelle bestemmelser om beskyttelse af persondata
Foslashlgende tabel giver en oversigt over graelignsefladerne mellem cookiebekendtgoslashrelse og persondataloven
Tabel 1 Anvendelsesomraringder for cookie-bekendtgoslashrelsen og persondataloven
Cookie-bekendtgoslashrelsen Persondataloven
Beskyttelsesobjekt Brugerens terminaludstyr forstaringet som en del af privatsfaeligren
Personoplysninger (ikke kun i terminaludstyr)
Omfattede oplysnings-typer
Alle oplysninger uden sondring
Som udgangspunkt kun personoplysninger Dog er oplysninger om virksomheder mv omfattet i saeligrlige tilfaeliglde
Omfattede behandlings-former
Lagring af eller adgang til oplysninger i en brugers terminaludstyr
Enhver behandling af personoplysninger inden for lovens anvendelsesomraringde hvor der ikke er saeligrregler i anden lovgivning der traeligder i stedet for
Kriterier for behandling(behandlingshjemmel)
HR Fyldestgoslashrende informa-tion til og samtykke fra brugerU Bekendtgoslashrelsens sect 4
Udtrykkelig samtykke er blot eacutet af flere mulige behandlingskriterier
Der er et overlap mellem cookiebekendtgoslashrelsen og persondataloven for saring vidt angaringr lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr naringr de indsamlede oplysninger er personoplysninger Kravet om informeret samtykke i cookiereglerne giver her en bedre beskyttelse af brugeren end persondatabeskyttelses-reglerne der omfatter en raeligkke situationer hvor informeret samtykke ikke er paringkraeligvet
Ved lagring af og adgang til allerede lagrede oplysninger som er personoplysninger i terminaludstyr vil cookiebekendtgoslashrelsen dermed garing forud for persondataloven jf Persondatalovens sect 2
I praksis vil det imidlertid forekomme at der udover lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr ogsaring finder andre behandlinger af op-lysninger sted
For eksempel naringr behandlingerne transmitteres til indsamles eller viderebehandles paring en server Saringdanne behandlingsformer ligger uden for brugernes terminaludstyr og er ikke omfattet af cookiereglerne Afhaeligngigt af de konkrete omstaeligndigheder kan reg-lerne i persondataloven evt finde anvendelse her
Hvilke oplysninger er omfattetBekendtgoslashrelsen vedroslashrer enhver type af oplysninger der indsamles eller lagres paring brugerens terminaludstyr
Vejledning 13
Cookiereglerne regulerer midlet til indsamling af data Der sondres ikke her mellem personhenfoslashrbare og ikke personhenfoslashrbare oplysninger
Det er ligeledes uden betydning om oplysningerne er semantisk meningsfulde ufor-staringelige tekststrenge kode eller om oplysningerne er krypterede
Eksempel Lagring af eller adgang til allerede lagrede oplysninger til brug for webstatistik
En udbyder af en hjemmeside oslashnsker at lave en analyse af hvordan hjemmesidens brugere benytter
siden med henblik paring at forbedre brugeroplevelsen Til dette formaringl oslashnsker udbyderen af hjemme-
siden at placere cookies i brugernes terminaludstyr
Tjenesteudbyderen er omfattet af bekendtgoslashrelsens krav til information og samtykke for saring vidt
angaringr lagringen af cookies og eventuel senere adgang til disse cookies i brugernes terminaludstyr
Oslashnsker tjenesteudbyderen efterfoslashlgende at analysere oplysningerne der er indsamlet ved hjaeliglp af
de placerede cookies falder denne behandling udenfor cookiebekendtgoslashrelsens anvendelsesomraring-
de Det gaeliglder eksempelvis den videre behandling af oplysningerne hos tjenesteudbyderen til brug
for udarbejdelse af statistik
Hvem gaeliglder reglerne forAlle der lagrer eller opnaringr adgang til oplysninger i brugeres terminaludstyr er omfattet af reglerne (se ogsaring det efterfoslashlgende afsnit rdquoHvor gaeliglder hvilke reglerrdquo)
Hjemmesider der henvender sig til alle eller udelukkende til virksomheder vil saringledes vaeligre omfattet af reglerne saringfremt der benyttes cookies eller lignende teknologier paring hjemmesiden idet hjemmesider som udgangspunkt kan tilgarings af alle
Ejeren af en hjemmeside er ligeledes forpligtet efter reglerne i forbindelse med 3 parts lagring af eller adgang til oplysninger i brugeres terminaludstyr hvis dette sker via udbyderens tjeneste fx ved hjaeliglp af indlejret kode i en bannerreklame software ap-plikationer eller links
Ejeren af en hjemmeside behoslashver ikke selv staring for den praktiske og tekniske efterle-velse af reglerne (informering og indhentning af et samtykke fra brugeren) men kan aftale at 3 part haringndterer dette paring vegne af tjenesteudbyderen Ansvaret for at reglerne overholdes vil dog altid ligge hos udbyderen af en tjenesteydelse uanset hvad denne maringtte have aftalt med 3 part da man ifoslashlge cookiebekendtgoslashrelsen heller ikke maring lade 3 part lagre eller faring adgang til allerede lagrede oplysninger uden information til og sam-tykke fra slutbrugeren
Der gaeliglder ikke efter cookiereglerne et krav om indgaringelse af databehandlingsaftale som der gaeliglder efter Persondataloven men det kan vaeligre hensigtsmaeligssigt hvor man giver adgang for 3 part til indsamling af data via ens hjemmeside at indgaring en skriftlig aftale med henblik paring at afdaeligkke med hvilke formaringl 3 part indsamler data om bru-gerne idet dette formaringl skal vaeligre omfattet af informationen paring hjemmesiden for at samtykke fra brugeren kan anses for at vaeligre reelt og fyldestgoslashrende jf nedenfor under afsnittet om rdquoKrav om informeret samtykkerdquo
Ved indlejring paring egen hjemmeside af andres tjenester der eksempelvis hentes via in-ternettet vil aftalen med 3 part oftest bero paring en ensidig accept af 3 partens givne forretningsbetingelser og ikke give mulighed for forhandling af kontraktvilkaringr Man skal vaeligre opmaeligrksom paring at det her kan vaeligre vanskeligt at kontrollere 3 partens brug af data som evt indsamles via cookies eller lignende teknologier og derved ogsaring van-skeligt i sidste ende at sikre et reelt informeret samtykke fra brugeren
Vejledning14
Eksempel Indlejring af et kommentarmodul paring en hjemmeside
Et stoslashrre nyhedsmedie oslashnsker at indlejre et modul der saeligtter brugerne af deres hjemmeside i stand
til at kommentere indholdet paring hjemmesiden Nyhedsmediet kontakter til dette formaringl udbyderen
af et kommentarmodul der kan indlejres paring hjemmesider Nyhedsmediet og udbyderen af modulet
aftaler at modulet indlejres nederst paring alle nyhedsmediets sider
Udbyderen af kommentarmodulet vil gerne saeligtte cookies i brugernes terminaludstyr naringr brugerne
tilgaringr en side for at kunne foslashlge med i hvor meget modulet bliver brugt Nyhedsmediet aftaler der-
for med udbyderen af kommentarmodulet at sidstnaeligvnte soslashrger for at reglerne om lagring af eller
adgang til oplysninger i brugeres terminal- udstyr efterleves ved at der gives fyldestgoslashrende infor-
mation og indhentes samtykke fra brugerne
Nyhedsmediet er dog ansvarlig for at efterlevelsen af reglerne rent faktisk finder sted og dermed for
at der ikke sker en uretmaeligssig lagring i brugernes terminaludstyr naringr brugere tilgaringr nyhedsmediets
hjemmeside uanset hvad nyhedsmediet maringtte have aftalt med udbyderen af kommentarmodulet
Dette gaeliglder altsaring ogsaring i tilfaeliglde af at udbyderen af kommentarmodulet anvender cookies til andre
formaringl end det der foslashlger af aftalen og oplyses til brugeren
Ejeren af en hjemmeside er ansvarlig for de cookies og lignende teknologier der saeligttes i forbindelse med en brugers besoslashg paring hjemmesiden
Linkes der paring hjemmesiden til andre hjemmesider eller anvendes der rdquodelebarerrdquo eller rdquolike-knapperrdquo til eksempelvis Facebook eller Twitter er det vigtigt at vaeligre opmaeligrk-som paring hvorvidt disse hjemmesider saeligtter cookies via links delebar eller like-knapper allerede inden brugeren linkes over til den nye hjemmeside da det som ovenfor naeligvnt er hjemmesideejeren der i sidste ende er ansvarlig for de cookies der saeligttes paring deres hjemmeside Naringr der foslashrst er linket over via delebaren overgaringr ansvaret til ejeren af den nye hjemmeside
Det er ikke et krav efter cookiereglerne men det anbefales at oplyse brugeren om at siden forlades og at de sider man giver adgang til evt bruger cookies
Ved oprettelse af digitale platforme hvorfra man tilgaringr andre hjemmesider som vil optraeligde i rammen af den digitale platform eksempelvis Erhvervsstyrelsens rdquoVirkdkrdquo eller Digitaliseringsstyrelsens rdquoBorgerdkrdquo vil det vaeligre ejeren af den enkelte hjemme-side der tilgarings via platformen der er ansvarlig for overholdelsen af cookiereglerne paring disse hjemmesider Ejeren af platformen har ansvaret for cookies der saeligttes af dem
Det samme vil gaeliglde ved oprettelse af hjemmesider via sociale medier som eksempel-vis Facebook Det sociale medie vil vaeligre ansvarlig for de cookies der saeligttes af mediet men ikke for de cookies der saeligttes af ejeren af hjemmesiden oprettet i det sociale medies format
Det afgoslashrende for hvem der baeligrer ansvaret for indhentelse af samtykke til anvendelse af cookies paring en hjemmeside afhaelignger af hvem der har kontrollen over indholdet paring hjemmesiden
Hvor gaeliglder hvilke reglerHjemmesideejere der er etableret i andre lande udover Danmark skal vaeligre opmaeligrk-somme paring at de maringske ikke kan noslashjes med at indrette deres loslashsninger efter den danske lovgivning De danske cookieregler er baseret paring harmoniseret EU lovgivning der dog alene fastsaeligtter minimumskrav i forbindelse med anvendelse af cookies og lignende teknologier
Der er ikke i e-Databeskyttelsesdirektivet taget stilling til reglernes geografiske anven-delsesomraringde men Europa-Kommissionen har tilkendegivet at det indenfor EU er lovgivningen i det land hvori udbyderen af en tjeneste er etableret der er gaeligldende Vi
Vejledning 15
laeliggger i Danmark umiddelbart op af Kommissionens fortolkning der foslashlger rdquoafsen-derlandsprincippetrdquo i E-handelsdirektivet8
Hvis udbyderen af en tjeneste etableret i Danmark lagrer eller opnaringr adgang til op-lysninger i en brugers terminaludstyr er tjenesteudbyderen saringledes forpligtet efter de danske regler De danske regler finder ligeledes anvendelse hvor udbyderen af en tjeneste etableret i Danmark lader en 3 part der er etableret i et andet land lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyderens tjene-ste
Ifoslashlge Kommissionen gaeliglder for udbyderen af en tjeneste etableret uden for EU lovgiv-ningen i det land hvor lagringen af eller adgangen til oplysninger i en brugers termi-naludstyr finder sted Erhvervsstyrelsen laeliggger i tilsynet med reglerne vaeliggt paring hvor-vidt hjemmesiden retter sig mod danske forbrugere i overensstemmelse med de folkeretlige jurisdiktionsprincipper om hvor en handling har virkning Der vil saringledes blive lagt vaeliggt paring en raeligkke faktorer som sprog leveringsbetingelser (feks en webshop hvor der kan leveres til Danmark) etc
Krav om informeret samtykke
Det helt centrale i aeligndringen til e-Databeskyttelsesdirektivet fra 2009 er kravet om indhentelse af informeret samtykke forud for placeringen af cookies der ogsaring er foslashrt videre til de danske regler i cookiebekendtgoslashrelsens sect 3
Cookiebekendtgoslashrelsen indeholder en definition af samtykke baseret paring samtykkede-finitionen i Persondatabeskyttelsesdirektivet som Cookiedirektivet henviser til Det samme gaeliglder indholdet af informationspligten der ogsaring er naeligrmere beskrevet i Per-sondatabeskyttelsesdirektivet
Kravene om information og samtykke boslashr ses som to komplementaeligre elementer der understoslashtter hinanden og ikke kan adskilles idet de er indfoslashrt for at sikre at brugeren kan traeligffe et reelt og oplyst valg omkring overvaringgningen af deres faeligrdsel paring internet-tet Er informationen ikke fyldestgoslashrende vil samtykket heller ikke vaeligre et reelt sam-tykke
Nedenfor er kravene til baringde information og samtykke naeligrmere uddybet Der gives en raeligkke praktiske eksempler og flere foslashlger af den tekniske guide som findes i vejlednin-gens sidste afsnit Der er alene tale om eksempler til inspiration da det fortsat vil vaeligre op til den enkelte hjemmesideejer at vurdere hvordan kravene bedst muligt efterleves paring netop deres tjeneste
Bekendtgoslashrelsens sect 3
sect 3 Fysiske eller juridiske personer maring ikke lagre oplysninger eller opnaring adgang til oplysninger der
allerede er lagret i en slutbrugers terminaludstyr eller lade tredjepart lagre oplysninger eller opnaring
adgang til oplysninger hvis slutbrugeren ikke giver samtykke hertil efter at have modtaget fyldest-
goslashrende information om lagringen af eller adgangen til oplysningerne
Stk 2 Information jf stk 1 er fyldestgoslashrende naringr den som minimum
1) fremstaringr i et klart praeligcist og letforstaringeligt sprog eller tilsvarende billedskrift
2) indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens
terminaludstyr
3) indeholder oplysninger der identificerer enhver fysisk eller juridisk person der foranstalter lagrin-
gen af eller adgangen til oplysningerne
4) indeholder en umiddelbart tilgaeligngelig adgang for slutbrugeren til at afslaring samtykke eller tilbage-
8 Europa-Parlamentets og Raringdets direktiv 200031EF om visse retlige aspekter af informationssamfundstjenester navnlig ele-ktronisk handel i det indre marked
Vejledning16
kalde samtykke til lagringen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig
vejledning om hvordan slutbrugeren anvender en saringdan adgang og
5) er umiddelbart tilgaeligngelig for slutbrugeren ved samlet og tydeligt at blive meddelt denne Des-
uden skal information naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminal-
udstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren
ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Informationskravet
Hvilke krav stilles til fyldestgoslashrende information Af bekendtgoslashrelsens sect 3 stk 2 fremgaringr de krav der som minimum skal vaeligre opfyldt foslashr informationen kan siges at vaeligre fyldestgoslashrende Der stilles krav til karakteren ind-holdet og tilgaeligngeligheden af informationen
Overordnet kan siges at informationen skal udgoslashre det videns grundlag der saeligtter brugerne i stand til at traeligffe reelle informerede valg I nogle tilfaeliglde boslashr det derfor ogsaring overvejes at medtage yderligere information end der kraeligves i bekendtgoslashrelsen hvis dette er noslashdvendigt for at brugerne kan forstaring konsekvenserne af deres valg
Loslashsninger skal opfylde cookiereglerne baringde paring hjemmesider og paring mobilsites ndash se evt teknisk guide i vejledningens kapitel 6
Krav til sprog og tekstsect 3 stk 2 nr 1 fastsaeligtter krav til at informationen fremstaringr i et klart praeligcist og letfor-staringeligt sprog eller tilsvarende billedskrift
Det indebaeligrer bla at informationen ikke boslashr formuleres i unoslashdigt teknisk eller juri-disk sprog samt at brugeren let kan danne sig et overblik
Brug af tabeller eller billedsprog fx i form af piktogrammer kan supplere eller erstatte mere traditionel tekst og goslashre informationen lettere at forstaring men maring vurderes ud fra brugerens kendskab til saringdanne alternativer
Bestemmelsen indeholder ikke krav til paring hvilket sprog informationen skal gives Valg af sprog boslashr dog ske under hensynstagen til hvilke brugere en tjeneste retter sig imod herunder isaeligr hvor disse brugere befinder sig geografisk
Krav til oplysning om formaringlsect 3 stk 2 nr 2 fastsaeligtter krav til at informationen indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens terminaludstyr
Brugeren har ret til at faring oplyst hvorfor der lagres eller tilgarings oplysninger og det er ikke tilstraeligkkeligt blot at oplyse at det sker Dette krav haelignger sammen med samtykkekra-vet der skal vaeligre en specifik viljestilkendegivelse Angivelsen af rdquovi bruger cookiesrdquo uden yderligere praeligcisering vurderes saringledes ikke at opfylde reglerne
Informationen om formaringl med lagringen af eller adgangen til oplysninger er helt cen-tral og skal understoslashtte at brugerne er bevidste om hvilke konsekvenser deres valg har Formaringlet boslashr derfor altid beskrives meget praeligcist og daeligkkende
Har lagringen af eller adgangen til oplysninger mere end eacutet formaringl skal der oplyses om samtlige formaringl Lagres eller tilgarings der flere oplysninger med samme formaringl eller af flere omgange vil det almindeligvis vaeligre tilstraeligkkeligt at beskrive formaringlet eacuten gang og ikke for hver oplysning der lagres eller opnarings adgang til
Vejledning 17
I relation til kravet om angivelse af formaringl saring er det her vigtigt at understrege at for-maringlsbeskrivelsen ligeledes skal omfatte eventuelle 3 parters formaringl med at anvende cookies
Eksempel Information om formaringl med brug af cookies
Brugen af cookies er meget udbredt og kan have en lang raeligkke formaringl herunder fx at optimere
brugeroplevelse eller design paring en tjeneste at generere webstatistik eller at maringlrette markedsfoslashring
til brugere
Den information der gives boslashr beskrive formaringlet med tjenestens brug af cookies og ikke de en-
kelte cookies i sig selv
Hvis en tjeneste eksempelvis bruger fire cookies til at optimere designet paring tjenesten mens yderli-
gere to cookies bruges til at haringndtere annoncer og en syvende cookie bruges til at genere websta-
tisk vil det almindeligvis vaeligre tilstraeligkkeligt at informere om de tre forskellige formaringl med brugen
af cookies og ikke noslashdvendigvis om de i alt syv cookies siden goslashr brug af
Oplysninger om hvem der saeligtter cookiessect 3 stk 2 nr 3 fastsaeligtter krav til at informationen indeholder oplysninger der identifi-cerer enhver fysisk eller juridisk person der foranstalter lagringen af oplysninger eller opnaringr adgang til allerede lagrede oplysninger
Brugere skal vaeligre i stand til at identificere den der foranstalter lagringen Det vil i mange tilfaeliglde vaeligre udbyderen af tjenesten men hvor udbyderen af en tjeneste lader 3 part lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyde-rens tjeneste skal 3 part ogsaring kunne identificeres af brugeren Den eksakte angivelse af hvilke 3 parter der saeligtter cookies kan ske paring en underside jf vejledningens afsnit om lagdelt information nedenfor
For saring vidt angaringr oplysninger der lagres eller tilgarings i brugeres terminaludstyr af en or-ganisation fx en virksomhed eller anden juridisk person angives oplysninger som identificerer organisationen og ikke dens medarbejdere
Hvilke konkrete informationer der skal vaeligre til stede for at brugere kan identificere de(n) der foretager lagringen vil variere fra tjeneste til tjeneste og afhaelignger af de par-ter der er involveret
Adgang til at afslaring cookiessect 3 stk 2 nr 4 fastsaeligtter krav til at informationen indeholder en umiddelbart tilgaelign-gelig adgang for slutbrugeren til at afslaring samtykke eller tilbagekalde samtykke til lagrin-gen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig vejledning om hvordan slutbrugeren anvender en saringdan adgang
Brugere skal have mulighed for at afslaring samtykke eller tilbagekalde et allerede givet samtykke Dette skal understoslashtte reel brugerkontrol og frivilligheden af brugeres sam-tykke Til dette formaringl skal der vaeligre en umiddelbart tilgaeligngelig adgang til at afslaring cookies og en klar praeligcis og letforstaringelig vejledning om hvordan brugere kan anvende en saringdan adgang Se endvidere nedenfor under afsnittet om rdquoKravet til samtykkerdquo hvor det slarings fast at der ikke gaeliglder noget krav om at en hjemmeside skal kunne tilgarings eller fungere uden cookies
Det kan i nogle tilfaeliglde vaeligre relevant at henvise til eksempelvis vejledninger og vaeligrk-toslashjer andre har udarbejdet Der stilles i bekendtgoslashrelsen ingen krav til at vejledninger eller vaeligrktoslashjer til at afslaring eller tilbagekalde et samtykke skal forefindes paring tjenesten der lagrer eller tilgaringr oplysninger Det er adgangen til vejledning og vaeligrktoslashjer som tjene-sten er forpligtet til at goslashre umiddelbart tilgaeligngelig for brugeren
Vejledning18
Krav om informationens tilgaeligngelighedsect 3 stk 2 nr 5 fastsaeligtter krav til at informationen er umiddelbart tilgaeligngelig for slut-brugeren ved samlet og tydeligt at blive meddelt denne Desuden skal informationen naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjene-ste
For at sikre reel brugerkontrol er det noslashdvendigt at informationen er umiddelbart tilgaeligngelig for brugere og kan tilgarings uden besvaeligr Dette er desuden en forudsaeligtning for at brugere ogsaring kan tilbagekalde et allerede afgivet samtykke Hvordan informatio-nen bedst goslashres tilgaeligngelig vil bla afhaelignge af tjenestens design og struktur hvorfor det vil variere fra tjeneste til tjeneste
Informationen kan vaeligre lagdeltDet kan vaeligre hensigtsmaeligssigt at benytte sig af lagdelt information saringledes at det dog sikres at brugerne med det samme faringr de vaeligsentligste informationer saringsom formaringlet med anvendelsen af cookies samtidig med at der linkes til mere detaljerede informa-tioner Brugen af piktogrammer eller andre tydeligt markerede indgange til informa-tionen kan understoslashtte dette men ikke goslashre det ud alene for umiddelbar tilgaeligngelig information
Den umiddelbare angivelse af formaringlet med anvendelsen af cookies boslashr omfatte infor-mation om 3 parts cookies idet det har betydning for brugeren hvem data tilgaringr Ek-sempelvis ved angivelse af formaringl som direkte markedsfoslashring skal det ogsaring fremgaring at direkte markedsfoslashring vil vaeligre fra 3 part Den praeligcise angivelse af 3 parter kan evt ske paring en underside
En tjeneste kan desuden vaeliglge at skelne mellem hvordan informationen praeligsenteres for brugere inden brugeren afgiver eller afslaringr samtykke og hvordan informationen praeligsenteres efter at brugere har afgivet eller afslaringet samtykke
Paring informations- og indholdstjenester herunder hjemmesider og andre online tjene-ster der lagrer eller tilgaringr oplysninger i en brugeres terminaludstyr skal informationen vaeligre vedvarende tilgaeligngelig for brugere ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Dette indebaeligrer at brugere ved anvendelse af saringdanne tjenester til enhver tid skal have adgang til informationen og en saringdan adgang boslashr vaeligre let at finde og anvende Det kan bla overvejes at opfylde dette krav ved at placere en saringdan adgang i sammenhaeligng med oslashvrige vedvarende elementer paring en tjeneste Brug af piktogrammer eller lignende kan ogsaring overvejes i denne sammenhaeligng
Nedenfor redegoslashres naeligrmere for kravet til samtykke Det kan heraf laeligses at samtykke kan gives paring forskellig maringde herunder ogsaring ved en aktiv handling Kravet til informa-tion kan variere for saring vidt angaringr tydelighed og tilgaeligngelighed alt efter hvilken form for samtykke der er tale om Krav til hvilke oplysninger der gives for at en information kan anses for fyldestgoslashrende varierer imidlertid ikke
Vaeligsentlig information der skal gives til brugeren med det samme er
- Alle formaringl med cookies og lignende teknologier
- Hvem der anvender cookies og lignende teknologier paring hjemmesiden
Vejledning 19
Eksempel Fyldestgoslashrende information ndash lagdelt med vaeligsentlige oplysninger foslashrst
En tjeneste paring nettet der giver brugeren mulighed for at sammenligne produkter og priser paring for-
skellige vareomraringder anvender cookies til at registrere antallet af brugere paring hjemmesiden og til at
registrere hvor brugeren kommer fra Paring hjemmesiden er der bannerreklamer for forskellige produ-
center relateret til de varekategorier som omtales paring hjemmesiden Bannerreklamerne leveres af 3
parter og anvender cookies til at registrere hvilke annoncer brugeren klikker paring saringledes at det er
muligt at identificere brugernes interesser og maringlrette annonceringen
Eksempel Umiddelbar information til brugeren
rdquoVi bruger cookies til statistik og til maringlrettet markedsfoslashring ogsaring fra os selv og vores an-
noncoslashrer ndash se her hvilke Laeligs her mere om vores brug af cookies herunder hvordan du
fravaeliglger brug af cookiesrdquo
Kravet til samtykke
Som ovenfor naeligvnt er den centrale aeligndring af reglerne kravet om indhentelse af in-formeret samtykke fra brugeren ved anvendelse af cookies eller lignende teknologier der foslashlger af cookiebekendtgoslashrelsens sect 3
Samtykke defineres i bekendtgoslashrelsens sect 2 stk 1 nr 8
Bekendtgoslashrelsens sect 2 stk 1 nr 8
sect 2 stk 1 nr 8) Samtykke Enhver frivillig specifik og informeret viljestilkendegivelse hvorved
slutbrugeren indvilliger i at der lagres oplysninger eller opnarings adgang til allerede lagrede oplysnin-
ger i slutbrugerens terminaludstyr
Da tjenester og deres brugere er vidt forskellige vil der vaeligre stor forskel paring hvordan et samtykke bedst indhentes
Kravet om samtykke skal sikre at brugere har reel kontrol med hvorvidt der lagres el-ler tilgarings oplysninger i deres terminaludstyr Naringr samtykket skal indhentes er det der-for vaeligsentligt at holde sig brugerens kontrolmuligheder for oslashje herunder brugerens reelle muligheder for at vurdere formaringlet med lagringen eller tilgangen til oplysnin-gerne
Reglerne giver i udgangspunktet tjenester et stort mulighedsrum til at vaeliglge hvordan samtykket bedst kan indhentes paring en maringde der fungerer i deres konkrete kontekst
At samtykket skal vaeligre frivilligt indebaeligrer bla at brugere skal have et faktisk valg
Det er ikke et krav at hjemmesider kan fungere uden brug af cookies eller lignende teknologier hvorfor afvisning af cookies kan medfoslashre at brugerens eneste mulighed er at forlade hjemmesiden Virksomheder har selvsagt et incitament for at deres hjem-meside er tilgaeligngelig men det er ikke lovstridigt at have loslashsninger der afskaeligrer bru-gere som ikke vil acceptere brugen af cookies
For offentlige hjemmesider kan der vaeligre andre overvejelser idet adgangen til offentlige tjenester gerne skulle vaeligre tilgaeligngelig for alle
I frivilligheden af samtykket ligger ogsaring at brugere skal have mulighed for at tilbage-kalde et allerede afgivet samtykke jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 4
Vejledning20
At samtykket skal vaeligre specifikt indebaeligrer bla at samtykket skal vaeligre praeligcist og vel-afgraelignset Samtykket behoslashver imidlertid ikke relatere sig til hver enkelt lagring af eller adgang til oplysninger i brugernes terminaludstyr I stedet boslashr samtykket knytte sig til det formaringl der ligger til grund for lagringen af eller adgangen til oplysningerne jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 2
Hvis lagring af eller adgang til oplysninger paring et senere tidspunkt benyttes til formaringl der raeligkker ud over hvad der tidligere er indhentet samtykke til skal der indhentes et nyt samtykke der omfatter det nye formaringl
At samtykket skal vaeligre informeret understoslashttes af kravene til information i bekendtgoslash-relsens sect 3 stk 2 hvor ikke mindst formaringlet med lagringen er vaeligsentligt Som del af et informeret samtykke boslashr brugere ogsaring oplyses om konsekvenserne af deres (fra)valg Saringdanne konsekvenser kan fx vaeligre at brugere ikke kan faring adgang til (dele af) tjenesten som ovenfor beskrevet hvis samtykket afslarings eller at et samtykke medfoslashrer at 3 parter faringr mulighed for at lagre eller tilgaring allerede lagrede oplysninger i brugeres terminalud-styr
Brugeres viljetilkendegivelse staringr helt centralt i indhentningen af et samtykke En tjene-steudbyder har pligt til at identificere en aktiv handling fra sine brugere der med rime-lighed kan tages til indtaeliggt for en tilkendegivelse af deres vilje paring et informeret grund-lag Det skal dog understreges at vilje kan tilkendegives paring en lang raeligkke forskellige maringder og at reglerne i bekendtgoslashrelsen ikke tager specifikt stilling til hvordan denne skal komme til udtryk
En viljestilkendegivelse kan vaeligre mange ting herunder eksempelvis
bull afkrydsning af en boks klik paring en knap eller udfyldelse af en formular i sammenhaeligng med rele-
vant information paring en tjeneste
bull aktiv brug af en tjeneste hvor det maring forventes at brugeren er informeret om at der vil ske lag-
ring af eller adgang til oplysninger (saringfremt dette ikke er afslaringet)
Kommissionen har tilkendegivet overfor Erhvervsstyrelsen at aktiv brug af en tjeneste som ovenfor beskrevet er i overensstemmelse med e-Databeskyttelsesdirektivet og ac-cepteres i de fleste medlemslande Det afgoslashrende er at der kan identificeres en aktiv handling eksempelvis at der klikkes videre paring siden og at brugeren har en forstaringelse af at de ved denne handling accepterer cookies dvs det er ikke nok bare generelt at informere om at hjemmesiden bruger cookies det skal praeligciseres at cookies saeligttes ved at brugeren eksempelvis klikker videre
Der vil vaeligre stor forskel paring hvordan samtykket bedst indhentes Det er den enkelte tjeneste selv der har de bedste forudsaeligtninger for at vaeliglge en loslashsning der overholder samtykkekravet og giver tjenestens brugere reel mulighed for at tilkendegive deres vilje paring et informeret grundlag
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt at defi-nere praeligcist hvordan brugere i konkrete tilfaeliglde skal tilkendegive sin vilje Bekendt-goslashrelsens samtykkekrav giver derfor tjenester et stort mulighedsrum til at udvikle nye og innovative loslashsninger der oslashger brugerkontrollen og gennemsigtigheden
Vejledning 21
Eksempel Samtykke
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Accepter cookies Afvis cookies Laeligs mere her om vores brug af cookies herunder hvordan
du fravaeliglger cookies igenrdquo
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Klikker du videre paring siden accepterer du at der saeligttes cookies til disse formaringl Laeligs mere
her om vores brug af cookies herunder hvordan du fravaeliglger brugen af cookiesrdquo
Hvis brugere vaeliglger ikke at give samtykke til lagringen af oplysninger eller vaeliglger at tilbagekalde et samtykke stilles der som ovenfor naeligvnt i bekendtgoslashrelsen ikke noget krav til at brugere fortsat skal have adgang til indhold paring en tjeneste
Erhvervsstyrelsen er opmaeligrksom paring at kravet om forudgaringende samtykke kan vaeligre teknisk udfordrende for en del hjemmesider der saeligtter cookies allerede naringr brugeren tilgaringr siden saeligrligt for at sikre statistik om hvor mange der besoslashger en hjemmeside og hvor de kommer fra
Direktivet stiller et grundlaeligggende krav om informeret samtykke Nogle lande har valgt at haringndhaeligve samtykkekravet saringledes at det undtagelsesvis i saeligrlige tilfaeliglde ac-cepteres at cookies kan lagres forud for at brugeren har givet samtykke hertil UK fastslaringr eksempelvis i deres vejledning til reglerne at samtykke saring vidt muligt skal ind-hentes foslashr der saeligttes cookies men accepterer dog at det ikke altid sker Hvor det ikke er muligt at indhente samtykke foslashr cookies lagres laeliggges der i UKrsquos vejledning imid-lertid vaeliggt paring virksomhedernes indsats for at sikre information til brugerne og deres mulighed for at give samtykkeafvise cookies hurtigst muligt ligesom der laeliggges vaeliggt paring at virksomhederne begraelignser adgangen til sessions cookies
Der er behov for en naeligrmere afklaring fra Kommissionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside eje-rens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Samtykke ved browserindstillinger er ikke anerkendt i Danmark paring nuvaeligrende tids-punkt og kun i faring af de oslashvrige EU-medlemslande Den generelle holdning er at de browserloslashsninger som findes paring markedet i dag ikke i tilstraeligkkelig grad sikrer mod brugen af cookies hvor brugeren har fravalgt det Med de eksisterende browsere er det ikke muligt at differentiere sit samtykke tilstraeligkkelig nuanceret saring det reelt bliver et rdquoja takrdquo til alle cookies eller rdquonej takrdquo til alle cookies hvorefter brugeren vil kunne op-leve betydelige begraelignsninger i forhold til indhold af forskellige tjenester paring nettet
Samtykket varer i udgangspunktet indtil forholdene aeligndres Brugeren skal hele tiden have en let adgang til at traeligkke samtykket tilbage
Undtagelser
Bekendtgoslashrelsens sect 4 indeholder to undtagelser til kravet om informeret samtykke fra brugeren forud for anvendelsen af cookies Er der tale om indsamling af data som falder under undtagelsesbestemmelserne vil der efter lovgivningen ikke stilles krav om hverken information eller samtykke Det kan imidlertid vaeligre en anbefaling ogsaring her at give information og indhente samtykke ud fra en betragtning om at fuldstaeligndig gennemsigtighed oslashger tilliden til internettet og derfor kan vaeligre gavnlig for en e-hand-ler eller udbyder af tjenesteydelser paring nettet Det skal ogsaring her vurderes hvorvidt situa-tionen kan vaeligre omfattet af reglerne om beskyttelse af persondata
Vejledning22
Bekendtgoslashrelsens sect 4
sect 4 Uanset sect 3 kan fysiske eller juridiske personer lagre oplysninger eller opnaring adgang til oplysninger
der allerede er lagret i en slutbrugers terminaludstyr hvis
1) lagringen af eller adgangen til oplysninger alene sker med det formaringl at overfoslashre kommunikation
via et elektronisk kommunikationsnet eller
2) lagringen af eller adgangen til oplysninger er paringkraeligvet for at saeligtte tjenesteyderen af en informa-
tionssamfundstjeneste som slutbrugeren udtrykkeligt har anmodet om i stand til at levere denne
tjeneste
Stk 2 Lagring af eller adgang til oplysninger i en slutbrugersterminaludstyr er paringkraeligvet jf stk 1
nr 2 hvis lagringen af eller adgangen til oplysninger er en teknisk forudsaeligtning for at kunne levere
en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
Erhvervsstyrelsen laeliggger i fortolkningen af undtagelsesbestemmelserne vaeliggt paring udta-lelser fra den saringkaldte Artikel 29 gruppe som er omtalt i forordet og som i juni 2012 offentliggjorde et dokument vedroslashrende undtagelsesbestemmelserne i e-Datadirekti-vet efter aeligndringerne i 2009 Det er vigtigt her at understrege at der ikke er tale om et juridisk bindende dokument men gruppens fortolkninger stoslashttes i vid udstraeligkning af EU Kommissionen og bredt i medlemsstaterne Et link til Artikel 29 gruppens udta-lelse foslashlger af kapitel 5 rdquoLinks til lovgivning og direktiverrdquo
1 undtagelse Cookies i forbindelse med opkobling til internettetDet er Erhvervsstyrelsens vurdering at sect 4 stk 1 nr 1 alene er moslashntet paring udbydere af internetforbindelser og den lagring af eller adgang til oplysninger i brugeres terminal-udstyr der maringtte finde sted som en del af opkoblingen til internettet og vedligehol-delse heraf
2 undtagelse Cookies der sikrer funktionaliteten af en tjeneste som brugeren har bedt omsect 4 stk 1 nr 2 har derimod et bredere anvendelsesomraringde
For at vaeligre omfattet af undtagelsesbestemmelsen i sect 4 stk 1 nr 2 skal to krav vaeligre opfyldt For det foslashrste skal brugeren udtrykkeligt have anmodet om tjenesten For det andet skal lagringen af eller adgangen til oplysninger i brugerens terminaludstyr vaeligre paringkraeligvet for leveringen af denne tjeneste Begge krav skal vaeligre opfyldt
Brugerens faeligrden paring nettet eller besoslashg paring en specifik hjemmeside kan ikke tages som et udtryk for en generel anmodning om de tjenester der her tilbydes
Hvorvidt lagring af oplysninger eller adgang til allerede lagrede oplysninger er paringkraelig-vet uddybes i sect 4 stk 2 hvorefter der skal vaeligre tale om en teknisk forudsaeligtning for at kunne levere en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
For at vaeligre en teknisk noslashdvendighed skal tjenesten ikke kunne fungere uden brug af cookiersquoen eller en lignende teknologi Samtidig er det vigtigt at der er en klar sammen-haeligng mellem den rdquoparingkraeligvederdquo teknologi og brugerens udtrykkelige anmodning om tjenesten
Med hensyn til tjenestens formaringl boslashr der laeliggges vaeliggt paring det formaringl med hvilket bru-gere tilgaringr tjenesten eller hjemmesiden
Cookies eller lignende teknologier der opfylder kravene til at vaeligre omfattet af undta-gelsen maring ikke anvendes med andre formaringl for oslashje I saring fald skal brugeren informeres og give samtykke til disse andre formaringl
Vejledning 23
Det har betydning for vurderingen af om cookies kan undtages fra kravet om informe-ret samtykke om der er tale om sessionscookies eller vedvarende cookies og hvor den stammer fra Vedvarende cookies vil sjaeligldent falde under undtagelsesbestemmelsen
Eksempler paring undtagelser efter sect 4
Elektroniske indkoslashbskurve
- Brugen af elektroniske indkoslashbskurve i webshops hvor det er noslashdvendigt at kunne genkende bru-
geren paring tvaeligrs af sideskift (genindlaeligsninger af webshoppen) da indkoslashbskurven ellers vil vaeligre tom
ved visning af en ny side Lagring af fx en cookie eller lignende teknologi er dermed en teknisk for-
udsaeligtning for at kunne levere den tjeneste (e-handel) som brugeren udtrykkeligt har anmodet om
(tilgaringet webshoppen og lagt varer i indkoslashbskurven) Indkoslashbskurven fungerer desuden i overensstem-
melse med det formaringl (at koslashbe varer) med hvilket brugeren tilgaringr webshoppen
Log-in situationer
- Anvendelse af log-in (eksempelvis ved netbank offentlige selvbetjeningsloslashsninger eller ved ad-
gang til saeligrlige netvaeligrk) hvor cookies sikrer at brugeren logges ind med brug af brugernavn
passwords og forbliver logget ind uden igen at skulle indtaste saringdanne koder Det er vigtigt at
understrege at det alene er selve log-in funktionen der er undtaget men ikke noslashdvendigvis cookies
som saeligttes ved aktiviteter efter log-in funktionen
Andre undtagelser
Brugerdefinerede browserindstillinger ndash eks valg af land sprog eller skriftstoslashrrelse
- Disse cookies kan vaeligre undtaget fra kravet om informeret samtykke i det omfang at disse udtryk-
kelig aktiveres af brugeren fx ved at klikke paring en knap eller afkrydse en rubrik og ikke benyttes til
andre formaringl og ikke i laeligngere tid end en browsersession
Authentificeringscookies
Cookies der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider
Brugervalideringscookies
Cookies der anvendes til at sikre mod (gentagne) fejl ved log-in
Multimedia player cookies
Cookies der anvendes til at regulere netvaeligrkshastighed eller billedkvalitet og til at aktivere play back
video- eller lydfiler
Plug-ins til sociale medier
Cookies der giver muligheden for enten at dele indholdet af en hjemmeside eller rdquolikerdquo indholdet via
det sociale medie Cookien saeligttes alene for at dirigere brugeren over paring den sociale hjemmeside og
logge ind her Den har alene betydning for brugere af sociale netvaeligrk der allerede er logget ind her
Bruges cookien til at tracke brugeren rundt paring nettet vil den ikke vaeligre omfattet
Load balancing
Cookies der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en
service
Det er Erhvervsstyrelsens vurdering at cookies der husker at en bruger har sagt rdquonej takrdquo til cookies er undtaget kravet om informeret samtykke da der er tale om et oslashnske fra brugeren og den er noslashdvendig for at huske indstillingen
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning 9
2 REGLERNE
Baggrund
I forbindelse med revisionen af de europaeligiske teledirektiver i 20082009 indfoslashrtes aelign-dringen af e-databeskyttelsesdirektivets artikel 5 stk 3 der omhandler lagring af eller adgang til oplysninger i brugeres terminaludstyr fx computere smartphones eller tab-lets AEligndringen bestaringr saeligrligt i indfoslashrelse af et krav om indhentning af samtykke fra brugerne i forbindelse med lagring af eller adgang til oplysninger i brugerens terminal-udstyr
e-Databeskyttelsesdirektivets artikel 5 stk 3 indeholder en henvisning til persondata-beskyttelsesdirektivet6 og skal derfor laeligses sammen med de generelle regler om per-sondatabeskyttelse som er implementeret i dansk ret ved Lov om behandling af per-sonoplysninger7 Lov om behandling af personoplysninger opstiller generelle krav i forbindelse med behandling af personhenfoslashrbare oplysninger
AEligndringen af e-Databeskyttelsesdirektivet kom ind for at oslashge beskyttelsen af bruger-nes privatsfaeligre naringr de faeligrdes i en digital verden hvilket man ikke mente var opfyldt i tilstraeligkkelig grad af persondatabeskyttelsesreglerne eller den davaeligrende bestemmelse i e-databeskyttelsesdirektivet Privatlivsbeskyttelsen underbygges endvidere af Det Europaeligiske Charter for grundlaeligggende rettigheder som blev gjort juridisk bindende med Lissabontraktatens ikrafttraeligden
Cookiebekendtgoslashrelsen
AEligndringen af e-Databeskyttelsesdirektivet er implementeret i dansk ret med Bekendt-goslashrelse nr 1148 af 9 december 2011 om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr (Cookiebekendtgoslashrelsen) som er udstedt i medfoslashr af sect 9 og sect 81 stk 2 i lov nr 169 af 3 marts 2011 om elektro-niske kommunikationsnet og -tjenester
Formaringl og afgraelignsning
Hvad beskytter reglerneReglerne har til formaringl at beskytte brugernes privatsfaeligre Med reglerne anlaeliggges den betragtning at brugernes terminaludstyr udgoslashr en del af brugerens privatsfaeligre der skal beskyttes mod uretmaeligssig indtraeligngen
Terminaludstyr omfatter computere og mobile enheder som smartphones tablets mv hvori der kan lagres oplysninger eller opnarings adgang til allerede lagrede oplysninger
Den beskyttede er brugeren af et elektronisk kommunikationsnet eller ndashtjeneste som ikke paring kommercielt grundlag stiller de paringgaeligldende elektroniske kommunikationsnet eller- tjenester til raringdighed for andre dvs alle brugere af en computer eller en mobil enhed
Beskyttelsen knytter sig til terminaludstyret der som ovenfor naeligvnt anses for at vaeligre en del af ejerens privatsfaeligre
6 Direktiv 9546EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af saringdanne oplysninger
7 Lov nr 429 af 31 maj 2000 om behandling af personoplysninger
Vejledning10
Reglerne finder alene anvendelse paring offentligt tilgaeligngelige kommunikationsnet eller -tjenester og ikke paring virksomheders intranet og lignende lukkede brugergrupper At der kraeligves log-in for at faring adgang til et netvaeligrk medfoslashrer dog ikke i sig selv at der er tale om en lukket brugergruppe hvor cookiereglerne ikke finder anvendelse Det vil bero paring en konkret vurdering
Reglerne tager ikke hoslashjde for tilfaeliglde af flere brugere af det samme terminaludstyr Brugere skal vaeligre opmaeligrksomme paring at hvis de enten laringner en computer tablet mobil-telefon mv ud eller bruger en andens terminaludstyr saring accepterer de udstyrets ind-stillinger herunder accept af cookies og lignende teknologier Hvis brugeren af termi-naludstyret oslashnsker at sikre sig herimod maring det bero paring en aftale mellem ejerenlaringneren af udstyret
Det samme gaeliglder i det omfang man anvender en offentlig tilgaeligngelig computer ek-sempelvis paring biblioteket idet en bruger som udgangspunkt ikke kan gardere sig imod tidligere brugeres indstillinger Det er Erhvervsstyrelsens vurdering at denne brug ikke er omfattet af cookiereglernes beskyttelsesformaringl i forhold til brugerens privatsfaeligre Det er ikke hjemmesidernes ansvar at soslashrge for samtykke fra samtlige brugere eller indrette deres hjemmesider efter at siden kan tilgarings fra en offentlig tilgaeligngelig compu-ter
Hvilke teknologier er omfattetDer gives ikke i bekendtgoslashrelsen en naeligrmere definition af de teknologier som be-kendtgoslashrelsen regulerer udover selve beskrivelsen i bestemmelsen i sect 3 stk 1
Reglerne er teknologineutrale Bekendtgoslashrelsen raeligkker ud over lagring af eller adgang til oplysninger i brugeres terminaludstyr som finder sted i forbindelse med en opkob-ling til internettet og omfatter saringledes ogsaring lagring af eller adgang til oplysninger fra eksterne medier som fx USB-noslashgler CDrsquoer CD-ROMrsquoer eksterne harddiske eller lig-nende
For saring vidt angaringr den form det format eller den standard oplysninger lagres i omfatter bekendtgoslashrelsen ikke blot rdquoklassiskerdquo http-cookies men enhver form for lignende tek-nologier herunder ogsaring fx Flash-cookies (Local Shared Objects) Web Storage (HTML5) Javascripts eller cookies sat ved brug af Microsoft Silverlight
Cookies kan have forskellig levetid idet de kan stoppe ved udloslashbet af en browser ses-sion (dvs fra brugeren aringbner et browservindue til dette lukkes igen) eller de kan vare laeligngere tid og daeligkke flere browser-sessioner saringledes at de kan foslashlge brugeren rundt paring internettet
En cookie kan endvidere deles ind i 1 parts cookies og 3 parts cookies alt efter hvem der placerer cookiersquoen paring en hjemmeside
1 parts cookies er de cookies der placeres af ejeren af hjemmesiden der er den som brugeren umiddelbart interagerer med 3 parts cookies er dem som placeres paring en hjemmeside af 3 mand hvor denne eller andre faringr adgang til den data der indsamles
Vejledning 11
1 part 3 part
Cookies der saeligttes af hjemmesiden som brugeren besoslashger hvis adresse fremgaringr af URL vinduet
Cookies der saeligttes af andre end den hjemmeside brugeren besoslashger
Sessions cookies
Udloslashber enten i loslashbet af eller ved udgangen af en browser-session
EksbullStyring af grafikbullBesoslashgsstatistikbullBrugerindstillingbull IndkoslashbskurvbullBetalingsmodul bullSikkerheds-pro-
cedurer ved netbank
Eks bullStatistikbullHvor 3 part
leverer ydelser som beskrevet under eks paring 1 parts cookies er det afgoslashrende hvem der har adgang til brugerens data i forhold til om der er tale om 3 parts cookies
Baringde for 1 og 3 parts cookies vurderes sessions cookies ofte at vaeligre mindre indgribende i forhold til bruge-rens privatliv
Persistent cookies
Varer flere browser sessioner og kan foslashlge brugeren rundt paring nettet Kan vare fra timer til flere aringr
Eks bullHuske bruger-
indstillinger som navn og adresse sprog log-in naeligste gang brugeren besoslashger hjemme-siden udover en browser-session
bullTracking - enten genkende brugere fra tidligere besoslashg eller foslashlge brugeren til andre hjemmesi-der
EksbullTracking 1 parts cookies for
brugerindstilling Vurderes at vaeligre mindre indgribende i forhold til brugerens privatliv
Tracking cookies ndash baringde fra 1 part og 3 part anses for mere indgribende i brugerens privat-sfaeligre
Lovgivningen skelner for saring vidt angaringr informations- og samtykkekravet ikke mellem de forskellige typer af cookies men omfatter alle cookies uanset levetid og hvor de stammer fra
Som det fremgaringr nedenfor vil en cookies karakter i praksis kunne spille ind ved vurde-ringen af hvorvidt informations- og samtykkekravet er opfyldt da det her er afgoslashren-de at brugeren kender til cookiens funktion herunder ogsaring hvem der staringr bag cookien og hvem der herfra faringr adgang til indsamlet data
Hvilke handlinger er omfattetBekendtgoslashrelsen vedroslashrer alene den handling der bestaringr i lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr Handlinger der finder sted foslashr eller efter lagringen af eller adgangen til oplysninger i en brugeres terminaludstyr
Vejledning12
er ikke omfattet af reglerne i cookiebekendtgoslashrelsen Saringdanne handlinger kan i stedet vaeligre omfattet af de generelle bestemmelser om beskyttelse af persondata
Foslashlgende tabel giver en oversigt over graelignsefladerne mellem cookiebekendtgoslashrelse og persondataloven
Tabel 1 Anvendelsesomraringder for cookie-bekendtgoslashrelsen og persondataloven
Cookie-bekendtgoslashrelsen Persondataloven
Beskyttelsesobjekt Brugerens terminaludstyr forstaringet som en del af privatsfaeligren
Personoplysninger (ikke kun i terminaludstyr)
Omfattede oplysnings-typer
Alle oplysninger uden sondring
Som udgangspunkt kun personoplysninger Dog er oplysninger om virksomheder mv omfattet i saeligrlige tilfaeliglde
Omfattede behandlings-former
Lagring af eller adgang til oplysninger i en brugers terminaludstyr
Enhver behandling af personoplysninger inden for lovens anvendelsesomraringde hvor der ikke er saeligrregler i anden lovgivning der traeligder i stedet for
Kriterier for behandling(behandlingshjemmel)
HR Fyldestgoslashrende informa-tion til og samtykke fra brugerU Bekendtgoslashrelsens sect 4
Udtrykkelig samtykke er blot eacutet af flere mulige behandlingskriterier
Der er et overlap mellem cookiebekendtgoslashrelsen og persondataloven for saring vidt angaringr lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr naringr de indsamlede oplysninger er personoplysninger Kravet om informeret samtykke i cookiereglerne giver her en bedre beskyttelse af brugeren end persondatabeskyttelses-reglerne der omfatter en raeligkke situationer hvor informeret samtykke ikke er paringkraeligvet
Ved lagring af og adgang til allerede lagrede oplysninger som er personoplysninger i terminaludstyr vil cookiebekendtgoslashrelsen dermed garing forud for persondataloven jf Persondatalovens sect 2
I praksis vil det imidlertid forekomme at der udover lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr ogsaring finder andre behandlinger af op-lysninger sted
For eksempel naringr behandlingerne transmitteres til indsamles eller viderebehandles paring en server Saringdanne behandlingsformer ligger uden for brugernes terminaludstyr og er ikke omfattet af cookiereglerne Afhaeligngigt af de konkrete omstaeligndigheder kan reg-lerne i persondataloven evt finde anvendelse her
Hvilke oplysninger er omfattetBekendtgoslashrelsen vedroslashrer enhver type af oplysninger der indsamles eller lagres paring brugerens terminaludstyr
Vejledning 13
Cookiereglerne regulerer midlet til indsamling af data Der sondres ikke her mellem personhenfoslashrbare og ikke personhenfoslashrbare oplysninger
Det er ligeledes uden betydning om oplysningerne er semantisk meningsfulde ufor-staringelige tekststrenge kode eller om oplysningerne er krypterede
Eksempel Lagring af eller adgang til allerede lagrede oplysninger til brug for webstatistik
En udbyder af en hjemmeside oslashnsker at lave en analyse af hvordan hjemmesidens brugere benytter
siden med henblik paring at forbedre brugeroplevelsen Til dette formaringl oslashnsker udbyderen af hjemme-
siden at placere cookies i brugernes terminaludstyr
Tjenesteudbyderen er omfattet af bekendtgoslashrelsens krav til information og samtykke for saring vidt
angaringr lagringen af cookies og eventuel senere adgang til disse cookies i brugernes terminaludstyr
Oslashnsker tjenesteudbyderen efterfoslashlgende at analysere oplysningerne der er indsamlet ved hjaeliglp af
de placerede cookies falder denne behandling udenfor cookiebekendtgoslashrelsens anvendelsesomraring-
de Det gaeliglder eksempelvis den videre behandling af oplysningerne hos tjenesteudbyderen til brug
for udarbejdelse af statistik
Hvem gaeliglder reglerne forAlle der lagrer eller opnaringr adgang til oplysninger i brugeres terminaludstyr er omfattet af reglerne (se ogsaring det efterfoslashlgende afsnit rdquoHvor gaeliglder hvilke reglerrdquo)
Hjemmesider der henvender sig til alle eller udelukkende til virksomheder vil saringledes vaeligre omfattet af reglerne saringfremt der benyttes cookies eller lignende teknologier paring hjemmesiden idet hjemmesider som udgangspunkt kan tilgarings af alle
Ejeren af en hjemmeside er ligeledes forpligtet efter reglerne i forbindelse med 3 parts lagring af eller adgang til oplysninger i brugeres terminaludstyr hvis dette sker via udbyderens tjeneste fx ved hjaeliglp af indlejret kode i en bannerreklame software ap-plikationer eller links
Ejeren af en hjemmeside behoslashver ikke selv staring for den praktiske og tekniske efterle-velse af reglerne (informering og indhentning af et samtykke fra brugeren) men kan aftale at 3 part haringndterer dette paring vegne af tjenesteudbyderen Ansvaret for at reglerne overholdes vil dog altid ligge hos udbyderen af en tjenesteydelse uanset hvad denne maringtte have aftalt med 3 part da man ifoslashlge cookiebekendtgoslashrelsen heller ikke maring lade 3 part lagre eller faring adgang til allerede lagrede oplysninger uden information til og sam-tykke fra slutbrugeren
Der gaeliglder ikke efter cookiereglerne et krav om indgaringelse af databehandlingsaftale som der gaeliglder efter Persondataloven men det kan vaeligre hensigtsmaeligssigt hvor man giver adgang for 3 part til indsamling af data via ens hjemmeside at indgaring en skriftlig aftale med henblik paring at afdaeligkke med hvilke formaringl 3 part indsamler data om bru-gerne idet dette formaringl skal vaeligre omfattet af informationen paring hjemmesiden for at samtykke fra brugeren kan anses for at vaeligre reelt og fyldestgoslashrende jf nedenfor under afsnittet om rdquoKrav om informeret samtykkerdquo
Ved indlejring paring egen hjemmeside af andres tjenester der eksempelvis hentes via in-ternettet vil aftalen med 3 part oftest bero paring en ensidig accept af 3 partens givne forretningsbetingelser og ikke give mulighed for forhandling af kontraktvilkaringr Man skal vaeligre opmaeligrksom paring at det her kan vaeligre vanskeligt at kontrollere 3 partens brug af data som evt indsamles via cookies eller lignende teknologier og derved ogsaring van-skeligt i sidste ende at sikre et reelt informeret samtykke fra brugeren
Vejledning14
Eksempel Indlejring af et kommentarmodul paring en hjemmeside
Et stoslashrre nyhedsmedie oslashnsker at indlejre et modul der saeligtter brugerne af deres hjemmeside i stand
til at kommentere indholdet paring hjemmesiden Nyhedsmediet kontakter til dette formaringl udbyderen
af et kommentarmodul der kan indlejres paring hjemmesider Nyhedsmediet og udbyderen af modulet
aftaler at modulet indlejres nederst paring alle nyhedsmediets sider
Udbyderen af kommentarmodulet vil gerne saeligtte cookies i brugernes terminaludstyr naringr brugerne
tilgaringr en side for at kunne foslashlge med i hvor meget modulet bliver brugt Nyhedsmediet aftaler der-
for med udbyderen af kommentarmodulet at sidstnaeligvnte soslashrger for at reglerne om lagring af eller
adgang til oplysninger i brugeres terminal- udstyr efterleves ved at der gives fyldestgoslashrende infor-
mation og indhentes samtykke fra brugerne
Nyhedsmediet er dog ansvarlig for at efterlevelsen af reglerne rent faktisk finder sted og dermed for
at der ikke sker en uretmaeligssig lagring i brugernes terminaludstyr naringr brugere tilgaringr nyhedsmediets
hjemmeside uanset hvad nyhedsmediet maringtte have aftalt med udbyderen af kommentarmodulet
Dette gaeliglder altsaring ogsaring i tilfaeliglde af at udbyderen af kommentarmodulet anvender cookies til andre
formaringl end det der foslashlger af aftalen og oplyses til brugeren
Ejeren af en hjemmeside er ansvarlig for de cookies og lignende teknologier der saeligttes i forbindelse med en brugers besoslashg paring hjemmesiden
Linkes der paring hjemmesiden til andre hjemmesider eller anvendes der rdquodelebarerrdquo eller rdquolike-knapperrdquo til eksempelvis Facebook eller Twitter er det vigtigt at vaeligre opmaeligrk-som paring hvorvidt disse hjemmesider saeligtter cookies via links delebar eller like-knapper allerede inden brugeren linkes over til den nye hjemmeside da det som ovenfor naeligvnt er hjemmesideejeren der i sidste ende er ansvarlig for de cookies der saeligttes paring deres hjemmeside Naringr der foslashrst er linket over via delebaren overgaringr ansvaret til ejeren af den nye hjemmeside
Det er ikke et krav efter cookiereglerne men det anbefales at oplyse brugeren om at siden forlades og at de sider man giver adgang til evt bruger cookies
Ved oprettelse af digitale platforme hvorfra man tilgaringr andre hjemmesider som vil optraeligde i rammen af den digitale platform eksempelvis Erhvervsstyrelsens rdquoVirkdkrdquo eller Digitaliseringsstyrelsens rdquoBorgerdkrdquo vil det vaeligre ejeren af den enkelte hjemme-side der tilgarings via platformen der er ansvarlig for overholdelsen af cookiereglerne paring disse hjemmesider Ejeren af platformen har ansvaret for cookies der saeligttes af dem
Det samme vil gaeliglde ved oprettelse af hjemmesider via sociale medier som eksempel-vis Facebook Det sociale medie vil vaeligre ansvarlig for de cookies der saeligttes af mediet men ikke for de cookies der saeligttes af ejeren af hjemmesiden oprettet i det sociale medies format
Det afgoslashrende for hvem der baeligrer ansvaret for indhentelse af samtykke til anvendelse af cookies paring en hjemmeside afhaelignger af hvem der har kontrollen over indholdet paring hjemmesiden
Hvor gaeliglder hvilke reglerHjemmesideejere der er etableret i andre lande udover Danmark skal vaeligre opmaeligrk-somme paring at de maringske ikke kan noslashjes med at indrette deres loslashsninger efter den danske lovgivning De danske cookieregler er baseret paring harmoniseret EU lovgivning der dog alene fastsaeligtter minimumskrav i forbindelse med anvendelse af cookies og lignende teknologier
Der er ikke i e-Databeskyttelsesdirektivet taget stilling til reglernes geografiske anven-delsesomraringde men Europa-Kommissionen har tilkendegivet at det indenfor EU er lovgivningen i det land hvori udbyderen af en tjeneste er etableret der er gaeligldende Vi
Vejledning 15
laeliggger i Danmark umiddelbart op af Kommissionens fortolkning der foslashlger rdquoafsen-derlandsprincippetrdquo i E-handelsdirektivet8
Hvis udbyderen af en tjeneste etableret i Danmark lagrer eller opnaringr adgang til op-lysninger i en brugers terminaludstyr er tjenesteudbyderen saringledes forpligtet efter de danske regler De danske regler finder ligeledes anvendelse hvor udbyderen af en tjeneste etableret i Danmark lader en 3 part der er etableret i et andet land lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyderens tjene-ste
Ifoslashlge Kommissionen gaeliglder for udbyderen af en tjeneste etableret uden for EU lovgiv-ningen i det land hvor lagringen af eller adgangen til oplysninger i en brugers termi-naludstyr finder sted Erhvervsstyrelsen laeliggger i tilsynet med reglerne vaeliggt paring hvor-vidt hjemmesiden retter sig mod danske forbrugere i overensstemmelse med de folkeretlige jurisdiktionsprincipper om hvor en handling har virkning Der vil saringledes blive lagt vaeliggt paring en raeligkke faktorer som sprog leveringsbetingelser (feks en webshop hvor der kan leveres til Danmark) etc
Krav om informeret samtykke
Det helt centrale i aeligndringen til e-Databeskyttelsesdirektivet fra 2009 er kravet om indhentelse af informeret samtykke forud for placeringen af cookies der ogsaring er foslashrt videre til de danske regler i cookiebekendtgoslashrelsens sect 3
Cookiebekendtgoslashrelsen indeholder en definition af samtykke baseret paring samtykkede-finitionen i Persondatabeskyttelsesdirektivet som Cookiedirektivet henviser til Det samme gaeliglder indholdet af informationspligten der ogsaring er naeligrmere beskrevet i Per-sondatabeskyttelsesdirektivet
Kravene om information og samtykke boslashr ses som to komplementaeligre elementer der understoslashtter hinanden og ikke kan adskilles idet de er indfoslashrt for at sikre at brugeren kan traeligffe et reelt og oplyst valg omkring overvaringgningen af deres faeligrdsel paring internet-tet Er informationen ikke fyldestgoslashrende vil samtykket heller ikke vaeligre et reelt sam-tykke
Nedenfor er kravene til baringde information og samtykke naeligrmere uddybet Der gives en raeligkke praktiske eksempler og flere foslashlger af den tekniske guide som findes i vejlednin-gens sidste afsnit Der er alene tale om eksempler til inspiration da det fortsat vil vaeligre op til den enkelte hjemmesideejer at vurdere hvordan kravene bedst muligt efterleves paring netop deres tjeneste
Bekendtgoslashrelsens sect 3
sect 3 Fysiske eller juridiske personer maring ikke lagre oplysninger eller opnaring adgang til oplysninger der
allerede er lagret i en slutbrugers terminaludstyr eller lade tredjepart lagre oplysninger eller opnaring
adgang til oplysninger hvis slutbrugeren ikke giver samtykke hertil efter at have modtaget fyldest-
goslashrende information om lagringen af eller adgangen til oplysningerne
Stk 2 Information jf stk 1 er fyldestgoslashrende naringr den som minimum
1) fremstaringr i et klart praeligcist og letforstaringeligt sprog eller tilsvarende billedskrift
2) indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens
terminaludstyr
3) indeholder oplysninger der identificerer enhver fysisk eller juridisk person der foranstalter lagrin-
gen af eller adgangen til oplysningerne
4) indeholder en umiddelbart tilgaeligngelig adgang for slutbrugeren til at afslaring samtykke eller tilbage-
8 Europa-Parlamentets og Raringdets direktiv 200031EF om visse retlige aspekter af informationssamfundstjenester navnlig ele-ktronisk handel i det indre marked
Vejledning16
kalde samtykke til lagringen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig
vejledning om hvordan slutbrugeren anvender en saringdan adgang og
5) er umiddelbart tilgaeligngelig for slutbrugeren ved samlet og tydeligt at blive meddelt denne Des-
uden skal information naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminal-
udstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren
ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Informationskravet
Hvilke krav stilles til fyldestgoslashrende information Af bekendtgoslashrelsens sect 3 stk 2 fremgaringr de krav der som minimum skal vaeligre opfyldt foslashr informationen kan siges at vaeligre fyldestgoslashrende Der stilles krav til karakteren ind-holdet og tilgaeligngeligheden af informationen
Overordnet kan siges at informationen skal udgoslashre det videns grundlag der saeligtter brugerne i stand til at traeligffe reelle informerede valg I nogle tilfaeliglde boslashr det derfor ogsaring overvejes at medtage yderligere information end der kraeligves i bekendtgoslashrelsen hvis dette er noslashdvendigt for at brugerne kan forstaring konsekvenserne af deres valg
Loslashsninger skal opfylde cookiereglerne baringde paring hjemmesider og paring mobilsites ndash se evt teknisk guide i vejledningens kapitel 6
Krav til sprog og tekstsect 3 stk 2 nr 1 fastsaeligtter krav til at informationen fremstaringr i et klart praeligcist og letfor-staringeligt sprog eller tilsvarende billedskrift
Det indebaeligrer bla at informationen ikke boslashr formuleres i unoslashdigt teknisk eller juri-disk sprog samt at brugeren let kan danne sig et overblik
Brug af tabeller eller billedsprog fx i form af piktogrammer kan supplere eller erstatte mere traditionel tekst og goslashre informationen lettere at forstaring men maring vurderes ud fra brugerens kendskab til saringdanne alternativer
Bestemmelsen indeholder ikke krav til paring hvilket sprog informationen skal gives Valg af sprog boslashr dog ske under hensynstagen til hvilke brugere en tjeneste retter sig imod herunder isaeligr hvor disse brugere befinder sig geografisk
Krav til oplysning om formaringlsect 3 stk 2 nr 2 fastsaeligtter krav til at informationen indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens terminaludstyr
Brugeren har ret til at faring oplyst hvorfor der lagres eller tilgarings oplysninger og det er ikke tilstraeligkkeligt blot at oplyse at det sker Dette krav haelignger sammen med samtykkekra-vet der skal vaeligre en specifik viljestilkendegivelse Angivelsen af rdquovi bruger cookiesrdquo uden yderligere praeligcisering vurderes saringledes ikke at opfylde reglerne
Informationen om formaringl med lagringen af eller adgangen til oplysninger er helt cen-tral og skal understoslashtte at brugerne er bevidste om hvilke konsekvenser deres valg har Formaringlet boslashr derfor altid beskrives meget praeligcist og daeligkkende
Har lagringen af eller adgangen til oplysninger mere end eacutet formaringl skal der oplyses om samtlige formaringl Lagres eller tilgarings der flere oplysninger med samme formaringl eller af flere omgange vil det almindeligvis vaeligre tilstraeligkkeligt at beskrive formaringlet eacuten gang og ikke for hver oplysning der lagres eller opnarings adgang til
Vejledning 17
I relation til kravet om angivelse af formaringl saring er det her vigtigt at understrege at for-maringlsbeskrivelsen ligeledes skal omfatte eventuelle 3 parters formaringl med at anvende cookies
Eksempel Information om formaringl med brug af cookies
Brugen af cookies er meget udbredt og kan have en lang raeligkke formaringl herunder fx at optimere
brugeroplevelse eller design paring en tjeneste at generere webstatistik eller at maringlrette markedsfoslashring
til brugere
Den information der gives boslashr beskrive formaringlet med tjenestens brug af cookies og ikke de en-
kelte cookies i sig selv
Hvis en tjeneste eksempelvis bruger fire cookies til at optimere designet paring tjenesten mens yderli-
gere to cookies bruges til at haringndtere annoncer og en syvende cookie bruges til at genere websta-
tisk vil det almindeligvis vaeligre tilstraeligkkeligt at informere om de tre forskellige formaringl med brugen
af cookies og ikke noslashdvendigvis om de i alt syv cookies siden goslashr brug af
Oplysninger om hvem der saeligtter cookiessect 3 stk 2 nr 3 fastsaeligtter krav til at informationen indeholder oplysninger der identifi-cerer enhver fysisk eller juridisk person der foranstalter lagringen af oplysninger eller opnaringr adgang til allerede lagrede oplysninger
Brugere skal vaeligre i stand til at identificere den der foranstalter lagringen Det vil i mange tilfaeliglde vaeligre udbyderen af tjenesten men hvor udbyderen af en tjeneste lader 3 part lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyde-rens tjeneste skal 3 part ogsaring kunne identificeres af brugeren Den eksakte angivelse af hvilke 3 parter der saeligtter cookies kan ske paring en underside jf vejledningens afsnit om lagdelt information nedenfor
For saring vidt angaringr oplysninger der lagres eller tilgarings i brugeres terminaludstyr af en or-ganisation fx en virksomhed eller anden juridisk person angives oplysninger som identificerer organisationen og ikke dens medarbejdere
Hvilke konkrete informationer der skal vaeligre til stede for at brugere kan identificere de(n) der foretager lagringen vil variere fra tjeneste til tjeneste og afhaelignger af de par-ter der er involveret
Adgang til at afslaring cookiessect 3 stk 2 nr 4 fastsaeligtter krav til at informationen indeholder en umiddelbart tilgaelign-gelig adgang for slutbrugeren til at afslaring samtykke eller tilbagekalde samtykke til lagrin-gen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig vejledning om hvordan slutbrugeren anvender en saringdan adgang
Brugere skal have mulighed for at afslaring samtykke eller tilbagekalde et allerede givet samtykke Dette skal understoslashtte reel brugerkontrol og frivilligheden af brugeres sam-tykke Til dette formaringl skal der vaeligre en umiddelbart tilgaeligngelig adgang til at afslaring cookies og en klar praeligcis og letforstaringelig vejledning om hvordan brugere kan anvende en saringdan adgang Se endvidere nedenfor under afsnittet om rdquoKravet til samtykkerdquo hvor det slarings fast at der ikke gaeliglder noget krav om at en hjemmeside skal kunne tilgarings eller fungere uden cookies
Det kan i nogle tilfaeliglde vaeligre relevant at henvise til eksempelvis vejledninger og vaeligrk-toslashjer andre har udarbejdet Der stilles i bekendtgoslashrelsen ingen krav til at vejledninger eller vaeligrktoslashjer til at afslaring eller tilbagekalde et samtykke skal forefindes paring tjenesten der lagrer eller tilgaringr oplysninger Det er adgangen til vejledning og vaeligrktoslashjer som tjene-sten er forpligtet til at goslashre umiddelbart tilgaeligngelig for brugeren
Vejledning18
Krav om informationens tilgaeligngelighedsect 3 stk 2 nr 5 fastsaeligtter krav til at informationen er umiddelbart tilgaeligngelig for slut-brugeren ved samlet og tydeligt at blive meddelt denne Desuden skal informationen naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjene-ste
For at sikre reel brugerkontrol er det noslashdvendigt at informationen er umiddelbart tilgaeligngelig for brugere og kan tilgarings uden besvaeligr Dette er desuden en forudsaeligtning for at brugere ogsaring kan tilbagekalde et allerede afgivet samtykke Hvordan informatio-nen bedst goslashres tilgaeligngelig vil bla afhaelignge af tjenestens design og struktur hvorfor det vil variere fra tjeneste til tjeneste
Informationen kan vaeligre lagdeltDet kan vaeligre hensigtsmaeligssigt at benytte sig af lagdelt information saringledes at det dog sikres at brugerne med det samme faringr de vaeligsentligste informationer saringsom formaringlet med anvendelsen af cookies samtidig med at der linkes til mere detaljerede informa-tioner Brugen af piktogrammer eller andre tydeligt markerede indgange til informa-tionen kan understoslashtte dette men ikke goslashre det ud alene for umiddelbar tilgaeligngelig information
Den umiddelbare angivelse af formaringlet med anvendelsen af cookies boslashr omfatte infor-mation om 3 parts cookies idet det har betydning for brugeren hvem data tilgaringr Ek-sempelvis ved angivelse af formaringl som direkte markedsfoslashring skal det ogsaring fremgaring at direkte markedsfoslashring vil vaeligre fra 3 part Den praeligcise angivelse af 3 parter kan evt ske paring en underside
En tjeneste kan desuden vaeliglge at skelne mellem hvordan informationen praeligsenteres for brugere inden brugeren afgiver eller afslaringr samtykke og hvordan informationen praeligsenteres efter at brugere har afgivet eller afslaringet samtykke
Paring informations- og indholdstjenester herunder hjemmesider og andre online tjene-ster der lagrer eller tilgaringr oplysninger i en brugeres terminaludstyr skal informationen vaeligre vedvarende tilgaeligngelig for brugere ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Dette indebaeligrer at brugere ved anvendelse af saringdanne tjenester til enhver tid skal have adgang til informationen og en saringdan adgang boslashr vaeligre let at finde og anvende Det kan bla overvejes at opfylde dette krav ved at placere en saringdan adgang i sammenhaeligng med oslashvrige vedvarende elementer paring en tjeneste Brug af piktogrammer eller lignende kan ogsaring overvejes i denne sammenhaeligng
Nedenfor redegoslashres naeligrmere for kravet til samtykke Det kan heraf laeligses at samtykke kan gives paring forskellig maringde herunder ogsaring ved en aktiv handling Kravet til informa-tion kan variere for saring vidt angaringr tydelighed og tilgaeligngelighed alt efter hvilken form for samtykke der er tale om Krav til hvilke oplysninger der gives for at en information kan anses for fyldestgoslashrende varierer imidlertid ikke
Vaeligsentlig information der skal gives til brugeren med det samme er
- Alle formaringl med cookies og lignende teknologier
- Hvem der anvender cookies og lignende teknologier paring hjemmesiden
Vejledning 19
Eksempel Fyldestgoslashrende information ndash lagdelt med vaeligsentlige oplysninger foslashrst
En tjeneste paring nettet der giver brugeren mulighed for at sammenligne produkter og priser paring for-
skellige vareomraringder anvender cookies til at registrere antallet af brugere paring hjemmesiden og til at
registrere hvor brugeren kommer fra Paring hjemmesiden er der bannerreklamer for forskellige produ-
center relateret til de varekategorier som omtales paring hjemmesiden Bannerreklamerne leveres af 3
parter og anvender cookies til at registrere hvilke annoncer brugeren klikker paring saringledes at det er
muligt at identificere brugernes interesser og maringlrette annonceringen
Eksempel Umiddelbar information til brugeren
rdquoVi bruger cookies til statistik og til maringlrettet markedsfoslashring ogsaring fra os selv og vores an-
noncoslashrer ndash se her hvilke Laeligs her mere om vores brug af cookies herunder hvordan du
fravaeliglger brug af cookiesrdquo
Kravet til samtykke
Som ovenfor naeligvnt er den centrale aeligndring af reglerne kravet om indhentelse af in-formeret samtykke fra brugeren ved anvendelse af cookies eller lignende teknologier der foslashlger af cookiebekendtgoslashrelsens sect 3
Samtykke defineres i bekendtgoslashrelsens sect 2 stk 1 nr 8
Bekendtgoslashrelsens sect 2 stk 1 nr 8
sect 2 stk 1 nr 8) Samtykke Enhver frivillig specifik og informeret viljestilkendegivelse hvorved
slutbrugeren indvilliger i at der lagres oplysninger eller opnarings adgang til allerede lagrede oplysnin-
ger i slutbrugerens terminaludstyr
Da tjenester og deres brugere er vidt forskellige vil der vaeligre stor forskel paring hvordan et samtykke bedst indhentes
Kravet om samtykke skal sikre at brugere har reel kontrol med hvorvidt der lagres el-ler tilgarings oplysninger i deres terminaludstyr Naringr samtykket skal indhentes er det der-for vaeligsentligt at holde sig brugerens kontrolmuligheder for oslashje herunder brugerens reelle muligheder for at vurdere formaringlet med lagringen eller tilgangen til oplysnin-gerne
Reglerne giver i udgangspunktet tjenester et stort mulighedsrum til at vaeliglge hvordan samtykket bedst kan indhentes paring en maringde der fungerer i deres konkrete kontekst
At samtykket skal vaeligre frivilligt indebaeligrer bla at brugere skal have et faktisk valg
Det er ikke et krav at hjemmesider kan fungere uden brug af cookies eller lignende teknologier hvorfor afvisning af cookies kan medfoslashre at brugerens eneste mulighed er at forlade hjemmesiden Virksomheder har selvsagt et incitament for at deres hjem-meside er tilgaeligngelig men det er ikke lovstridigt at have loslashsninger der afskaeligrer bru-gere som ikke vil acceptere brugen af cookies
For offentlige hjemmesider kan der vaeligre andre overvejelser idet adgangen til offentlige tjenester gerne skulle vaeligre tilgaeligngelig for alle
I frivilligheden af samtykket ligger ogsaring at brugere skal have mulighed for at tilbage-kalde et allerede afgivet samtykke jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 4
Vejledning20
At samtykket skal vaeligre specifikt indebaeligrer bla at samtykket skal vaeligre praeligcist og vel-afgraelignset Samtykket behoslashver imidlertid ikke relatere sig til hver enkelt lagring af eller adgang til oplysninger i brugernes terminaludstyr I stedet boslashr samtykket knytte sig til det formaringl der ligger til grund for lagringen af eller adgangen til oplysningerne jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 2
Hvis lagring af eller adgang til oplysninger paring et senere tidspunkt benyttes til formaringl der raeligkker ud over hvad der tidligere er indhentet samtykke til skal der indhentes et nyt samtykke der omfatter det nye formaringl
At samtykket skal vaeligre informeret understoslashttes af kravene til information i bekendtgoslash-relsens sect 3 stk 2 hvor ikke mindst formaringlet med lagringen er vaeligsentligt Som del af et informeret samtykke boslashr brugere ogsaring oplyses om konsekvenserne af deres (fra)valg Saringdanne konsekvenser kan fx vaeligre at brugere ikke kan faring adgang til (dele af) tjenesten som ovenfor beskrevet hvis samtykket afslarings eller at et samtykke medfoslashrer at 3 parter faringr mulighed for at lagre eller tilgaring allerede lagrede oplysninger i brugeres terminalud-styr
Brugeres viljetilkendegivelse staringr helt centralt i indhentningen af et samtykke En tjene-steudbyder har pligt til at identificere en aktiv handling fra sine brugere der med rime-lighed kan tages til indtaeliggt for en tilkendegivelse af deres vilje paring et informeret grund-lag Det skal dog understreges at vilje kan tilkendegives paring en lang raeligkke forskellige maringder og at reglerne i bekendtgoslashrelsen ikke tager specifikt stilling til hvordan denne skal komme til udtryk
En viljestilkendegivelse kan vaeligre mange ting herunder eksempelvis
bull afkrydsning af en boks klik paring en knap eller udfyldelse af en formular i sammenhaeligng med rele-
vant information paring en tjeneste
bull aktiv brug af en tjeneste hvor det maring forventes at brugeren er informeret om at der vil ske lag-
ring af eller adgang til oplysninger (saringfremt dette ikke er afslaringet)
Kommissionen har tilkendegivet overfor Erhvervsstyrelsen at aktiv brug af en tjeneste som ovenfor beskrevet er i overensstemmelse med e-Databeskyttelsesdirektivet og ac-cepteres i de fleste medlemslande Det afgoslashrende er at der kan identificeres en aktiv handling eksempelvis at der klikkes videre paring siden og at brugeren har en forstaringelse af at de ved denne handling accepterer cookies dvs det er ikke nok bare generelt at informere om at hjemmesiden bruger cookies det skal praeligciseres at cookies saeligttes ved at brugeren eksempelvis klikker videre
Der vil vaeligre stor forskel paring hvordan samtykket bedst indhentes Det er den enkelte tjeneste selv der har de bedste forudsaeligtninger for at vaeliglge en loslashsning der overholder samtykkekravet og giver tjenestens brugere reel mulighed for at tilkendegive deres vilje paring et informeret grundlag
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt at defi-nere praeligcist hvordan brugere i konkrete tilfaeliglde skal tilkendegive sin vilje Bekendt-goslashrelsens samtykkekrav giver derfor tjenester et stort mulighedsrum til at udvikle nye og innovative loslashsninger der oslashger brugerkontrollen og gennemsigtigheden
Vejledning 21
Eksempel Samtykke
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Accepter cookies Afvis cookies Laeligs mere her om vores brug af cookies herunder hvordan
du fravaeliglger cookies igenrdquo
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Klikker du videre paring siden accepterer du at der saeligttes cookies til disse formaringl Laeligs mere
her om vores brug af cookies herunder hvordan du fravaeliglger brugen af cookiesrdquo
Hvis brugere vaeliglger ikke at give samtykke til lagringen af oplysninger eller vaeliglger at tilbagekalde et samtykke stilles der som ovenfor naeligvnt i bekendtgoslashrelsen ikke noget krav til at brugere fortsat skal have adgang til indhold paring en tjeneste
Erhvervsstyrelsen er opmaeligrksom paring at kravet om forudgaringende samtykke kan vaeligre teknisk udfordrende for en del hjemmesider der saeligtter cookies allerede naringr brugeren tilgaringr siden saeligrligt for at sikre statistik om hvor mange der besoslashger en hjemmeside og hvor de kommer fra
Direktivet stiller et grundlaeligggende krav om informeret samtykke Nogle lande har valgt at haringndhaeligve samtykkekravet saringledes at det undtagelsesvis i saeligrlige tilfaeliglde ac-cepteres at cookies kan lagres forud for at brugeren har givet samtykke hertil UK fastslaringr eksempelvis i deres vejledning til reglerne at samtykke saring vidt muligt skal ind-hentes foslashr der saeligttes cookies men accepterer dog at det ikke altid sker Hvor det ikke er muligt at indhente samtykke foslashr cookies lagres laeliggges der i UKrsquos vejledning imid-lertid vaeliggt paring virksomhedernes indsats for at sikre information til brugerne og deres mulighed for at give samtykkeafvise cookies hurtigst muligt ligesom der laeliggges vaeliggt paring at virksomhederne begraelignser adgangen til sessions cookies
Der er behov for en naeligrmere afklaring fra Kommissionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside eje-rens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Samtykke ved browserindstillinger er ikke anerkendt i Danmark paring nuvaeligrende tids-punkt og kun i faring af de oslashvrige EU-medlemslande Den generelle holdning er at de browserloslashsninger som findes paring markedet i dag ikke i tilstraeligkkelig grad sikrer mod brugen af cookies hvor brugeren har fravalgt det Med de eksisterende browsere er det ikke muligt at differentiere sit samtykke tilstraeligkkelig nuanceret saring det reelt bliver et rdquoja takrdquo til alle cookies eller rdquonej takrdquo til alle cookies hvorefter brugeren vil kunne op-leve betydelige begraelignsninger i forhold til indhold af forskellige tjenester paring nettet
Samtykket varer i udgangspunktet indtil forholdene aeligndres Brugeren skal hele tiden have en let adgang til at traeligkke samtykket tilbage
Undtagelser
Bekendtgoslashrelsens sect 4 indeholder to undtagelser til kravet om informeret samtykke fra brugeren forud for anvendelsen af cookies Er der tale om indsamling af data som falder under undtagelsesbestemmelserne vil der efter lovgivningen ikke stilles krav om hverken information eller samtykke Det kan imidlertid vaeligre en anbefaling ogsaring her at give information og indhente samtykke ud fra en betragtning om at fuldstaeligndig gennemsigtighed oslashger tilliden til internettet og derfor kan vaeligre gavnlig for en e-hand-ler eller udbyder af tjenesteydelser paring nettet Det skal ogsaring her vurderes hvorvidt situa-tionen kan vaeligre omfattet af reglerne om beskyttelse af persondata
Vejledning22
Bekendtgoslashrelsens sect 4
sect 4 Uanset sect 3 kan fysiske eller juridiske personer lagre oplysninger eller opnaring adgang til oplysninger
der allerede er lagret i en slutbrugers terminaludstyr hvis
1) lagringen af eller adgangen til oplysninger alene sker med det formaringl at overfoslashre kommunikation
via et elektronisk kommunikationsnet eller
2) lagringen af eller adgangen til oplysninger er paringkraeligvet for at saeligtte tjenesteyderen af en informa-
tionssamfundstjeneste som slutbrugeren udtrykkeligt har anmodet om i stand til at levere denne
tjeneste
Stk 2 Lagring af eller adgang til oplysninger i en slutbrugersterminaludstyr er paringkraeligvet jf stk 1
nr 2 hvis lagringen af eller adgangen til oplysninger er en teknisk forudsaeligtning for at kunne levere
en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
Erhvervsstyrelsen laeliggger i fortolkningen af undtagelsesbestemmelserne vaeliggt paring udta-lelser fra den saringkaldte Artikel 29 gruppe som er omtalt i forordet og som i juni 2012 offentliggjorde et dokument vedroslashrende undtagelsesbestemmelserne i e-Datadirekti-vet efter aeligndringerne i 2009 Det er vigtigt her at understrege at der ikke er tale om et juridisk bindende dokument men gruppens fortolkninger stoslashttes i vid udstraeligkning af EU Kommissionen og bredt i medlemsstaterne Et link til Artikel 29 gruppens udta-lelse foslashlger af kapitel 5 rdquoLinks til lovgivning og direktiverrdquo
1 undtagelse Cookies i forbindelse med opkobling til internettetDet er Erhvervsstyrelsens vurdering at sect 4 stk 1 nr 1 alene er moslashntet paring udbydere af internetforbindelser og den lagring af eller adgang til oplysninger i brugeres terminal-udstyr der maringtte finde sted som en del af opkoblingen til internettet og vedligehol-delse heraf
2 undtagelse Cookies der sikrer funktionaliteten af en tjeneste som brugeren har bedt omsect 4 stk 1 nr 2 har derimod et bredere anvendelsesomraringde
For at vaeligre omfattet af undtagelsesbestemmelsen i sect 4 stk 1 nr 2 skal to krav vaeligre opfyldt For det foslashrste skal brugeren udtrykkeligt have anmodet om tjenesten For det andet skal lagringen af eller adgangen til oplysninger i brugerens terminaludstyr vaeligre paringkraeligvet for leveringen af denne tjeneste Begge krav skal vaeligre opfyldt
Brugerens faeligrden paring nettet eller besoslashg paring en specifik hjemmeside kan ikke tages som et udtryk for en generel anmodning om de tjenester der her tilbydes
Hvorvidt lagring af oplysninger eller adgang til allerede lagrede oplysninger er paringkraelig-vet uddybes i sect 4 stk 2 hvorefter der skal vaeligre tale om en teknisk forudsaeligtning for at kunne levere en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
For at vaeligre en teknisk noslashdvendighed skal tjenesten ikke kunne fungere uden brug af cookiersquoen eller en lignende teknologi Samtidig er det vigtigt at der er en klar sammen-haeligng mellem den rdquoparingkraeligvederdquo teknologi og brugerens udtrykkelige anmodning om tjenesten
Med hensyn til tjenestens formaringl boslashr der laeliggges vaeliggt paring det formaringl med hvilket bru-gere tilgaringr tjenesten eller hjemmesiden
Cookies eller lignende teknologier der opfylder kravene til at vaeligre omfattet af undta-gelsen maring ikke anvendes med andre formaringl for oslashje I saring fald skal brugeren informeres og give samtykke til disse andre formaringl
Vejledning 23
Det har betydning for vurderingen af om cookies kan undtages fra kravet om informe-ret samtykke om der er tale om sessionscookies eller vedvarende cookies og hvor den stammer fra Vedvarende cookies vil sjaeligldent falde under undtagelsesbestemmelsen
Eksempler paring undtagelser efter sect 4
Elektroniske indkoslashbskurve
- Brugen af elektroniske indkoslashbskurve i webshops hvor det er noslashdvendigt at kunne genkende bru-
geren paring tvaeligrs af sideskift (genindlaeligsninger af webshoppen) da indkoslashbskurven ellers vil vaeligre tom
ved visning af en ny side Lagring af fx en cookie eller lignende teknologi er dermed en teknisk for-
udsaeligtning for at kunne levere den tjeneste (e-handel) som brugeren udtrykkeligt har anmodet om
(tilgaringet webshoppen og lagt varer i indkoslashbskurven) Indkoslashbskurven fungerer desuden i overensstem-
melse med det formaringl (at koslashbe varer) med hvilket brugeren tilgaringr webshoppen
Log-in situationer
- Anvendelse af log-in (eksempelvis ved netbank offentlige selvbetjeningsloslashsninger eller ved ad-
gang til saeligrlige netvaeligrk) hvor cookies sikrer at brugeren logges ind med brug af brugernavn
passwords og forbliver logget ind uden igen at skulle indtaste saringdanne koder Det er vigtigt at
understrege at det alene er selve log-in funktionen der er undtaget men ikke noslashdvendigvis cookies
som saeligttes ved aktiviteter efter log-in funktionen
Andre undtagelser
Brugerdefinerede browserindstillinger ndash eks valg af land sprog eller skriftstoslashrrelse
- Disse cookies kan vaeligre undtaget fra kravet om informeret samtykke i det omfang at disse udtryk-
kelig aktiveres af brugeren fx ved at klikke paring en knap eller afkrydse en rubrik og ikke benyttes til
andre formaringl og ikke i laeligngere tid end en browsersession
Authentificeringscookies
Cookies der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider
Brugervalideringscookies
Cookies der anvendes til at sikre mod (gentagne) fejl ved log-in
Multimedia player cookies
Cookies der anvendes til at regulere netvaeligrkshastighed eller billedkvalitet og til at aktivere play back
video- eller lydfiler
Plug-ins til sociale medier
Cookies der giver muligheden for enten at dele indholdet af en hjemmeside eller rdquolikerdquo indholdet via
det sociale medie Cookien saeligttes alene for at dirigere brugeren over paring den sociale hjemmeside og
logge ind her Den har alene betydning for brugere af sociale netvaeligrk der allerede er logget ind her
Bruges cookien til at tracke brugeren rundt paring nettet vil den ikke vaeligre omfattet
Load balancing
Cookies der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en
service
Det er Erhvervsstyrelsens vurdering at cookies der husker at en bruger har sagt rdquonej takrdquo til cookies er undtaget kravet om informeret samtykke da der er tale om et oslashnske fra brugeren og den er noslashdvendig for at huske indstillingen
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning10
Reglerne finder alene anvendelse paring offentligt tilgaeligngelige kommunikationsnet eller -tjenester og ikke paring virksomheders intranet og lignende lukkede brugergrupper At der kraeligves log-in for at faring adgang til et netvaeligrk medfoslashrer dog ikke i sig selv at der er tale om en lukket brugergruppe hvor cookiereglerne ikke finder anvendelse Det vil bero paring en konkret vurdering
Reglerne tager ikke hoslashjde for tilfaeliglde af flere brugere af det samme terminaludstyr Brugere skal vaeligre opmaeligrksomme paring at hvis de enten laringner en computer tablet mobil-telefon mv ud eller bruger en andens terminaludstyr saring accepterer de udstyrets ind-stillinger herunder accept af cookies og lignende teknologier Hvis brugeren af termi-naludstyret oslashnsker at sikre sig herimod maring det bero paring en aftale mellem ejerenlaringneren af udstyret
Det samme gaeliglder i det omfang man anvender en offentlig tilgaeligngelig computer ek-sempelvis paring biblioteket idet en bruger som udgangspunkt ikke kan gardere sig imod tidligere brugeres indstillinger Det er Erhvervsstyrelsens vurdering at denne brug ikke er omfattet af cookiereglernes beskyttelsesformaringl i forhold til brugerens privatsfaeligre Det er ikke hjemmesidernes ansvar at soslashrge for samtykke fra samtlige brugere eller indrette deres hjemmesider efter at siden kan tilgarings fra en offentlig tilgaeligngelig compu-ter
Hvilke teknologier er omfattetDer gives ikke i bekendtgoslashrelsen en naeligrmere definition af de teknologier som be-kendtgoslashrelsen regulerer udover selve beskrivelsen i bestemmelsen i sect 3 stk 1
Reglerne er teknologineutrale Bekendtgoslashrelsen raeligkker ud over lagring af eller adgang til oplysninger i brugeres terminaludstyr som finder sted i forbindelse med en opkob-ling til internettet og omfatter saringledes ogsaring lagring af eller adgang til oplysninger fra eksterne medier som fx USB-noslashgler CDrsquoer CD-ROMrsquoer eksterne harddiske eller lig-nende
For saring vidt angaringr den form det format eller den standard oplysninger lagres i omfatter bekendtgoslashrelsen ikke blot rdquoklassiskerdquo http-cookies men enhver form for lignende tek-nologier herunder ogsaring fx Flash-cookies (Local Shared Objects) Web Storage (HTML5) Javascripts eller cookies sat ved brug af Microsoft Silverlight
Cookies kan have forskellig levetid idet de kan stoppe ved udloslashbet af en browser ses-sion (dvs fra brugeren aringbner et browservindue til dette lukkes igen) eller de kan vare laeligngere tid og daeligkke flere browser-sessioner saringledes at de kan foslashlge brugeren rundt paring internettet
En cookie kan endvidere deles ind i 1 parts cookies og 3 parts cookies alt efter hvem der placerer cookiersquoen paring en hjemmeside
1 parts cookies er de cookies der placeres af ejeren af hjemmesiden der er den som brugeren umiddelbart interagerer med 3 parts cookies er dem som placeres paring en hjemmeside af 3 mand hvor denne eller andre faringr adgang til den data der indsamles
Vejledning 11
1 part 3 part
Cookies der saeligttes af hjemmesiden som brugeren besoslashger hvis adresse fremgaringr af URL vinduet
Cookies der saeligttes af andre end den hjemmeside brugeren besoslashger
Sessions cookies
Udloslashber enten i loslashbet af eller ved udgangen af en browser-session
EksbullStyring af grafikbullBesoslashgsstatistikbullBrugerindstillingbull IndkoslashbskurvbullBetalingsmodul bullSikkerheds-pro-
cedurer ved netbank
Eks bullStatistikbullHvor 3 part
leverer ydelser som beskrevet under eks paring 1 parts cookies er det afgoslashrende hvem der har adgang til brugerens data i forhold til om der er tale om 3 parts cookies
Baringde for 1 og 3 parts cookies vurderes sessions cookies ofte at vaeligre mindre indgribende i forhold til bruge-rens privatliv
Persistent cookies
Varer flere browser sessioner og kan foslashlge brugeren rundt paring nettet Kan vare fra timer til flere aringr
Eks bullHuske bruger-
indstillinger som navn og adresse sprog log-in naeligste gang brugeren besoslashger hjemme-siden udover en browser-session
bullTracking - enten genkende brugere fra tidligere besoslashg eller foslashlge brugeren til andre hjemmesi-der
EksbullTracking 1 parts cookies for
brugerindstilling Vurderes at vaeligre mindre indgribende i forhold til brugerens privatliv
Tracking cookies ndash baringde fra 1 part og 3 part anses for mere indgribende i brugerens privat-sfaeligre
Lovgivningen skelner for saring vidt angaringr informations- og samtykkekravet ikke mellem de forskellige typer af cookies men omfatter alle cookies uanset levetid og hvor de stammer fra
Som det fremgaringr nedenfor vil en cookies karakter i praksis kunne spille ind ved vurde-ringen af hvorvidt informations- og samtykkekravet er opfyldt da det her er afgoslashren-de at brugeren kender til cookiens funktion herunder ogsaring hvem der staringr bag cookien og hvem der herfra faringr adgang til indsamlet data
Hvilke handlinger er omfattetBekendtgoslashrelsen vedroslashrer alene den handling der bestaringr i lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr Handlinger der finder sted foslashr eller efter lagringen af eller adgangen til oplysninger i en brugeres terminaludstyr
Vejledning12
er ikke omfattet af reglerne i cookiebekendtgoslashrelsen Saringdanne handlinger kan i stedet vaeligre omfattet af de generelle bestemmelser om beskyttelse af persondata
Foslashlgende tabel giver en oversigt over graelignsefladerne mellem cookiebekendtgoslashrelse og persondataloven
Tabel 1 Anvendelsesomraringder for cookie-bekendtgoslashrelsen og persondataloven
Cookie-bekendtgoslashrelsen Persondataloven
Beskyttelsesobjekt Brugerens terminaludstyr forstaringet som en del af privatsfaeligren
Personoplysninger (ikke kun i terminaludstyr)
Omfattede oplysnings-typer
Alle oplysninger uden sondring
Som udgangspunkt kun personoplysninger Dog er oplysninger om virksomheder mv omfattet i saeligrlige tilfaeliglde
Omfattede behandlings-former
Lagring af eller adgang til oplysninger i en brugers terminaludstyr
Enhver behandling af personoplysninger inden for lovens anvendelsesomraringde hvor der ikke er saeligrregler i anden lovgivning der traeligder i stedet for
Kriterier for behandling(behandlingshjemmel)
HR Fyldestgoslashrende informa-tion til og samtykke fra brugerU Bekendtgoslashrelsens sect 4
Udtrykkelig samtykke er blot eacutet af flere mulige behandlingskriterier
Der er et overlap mellem cookiebekendtgoslashrelsen og persondataloven for saring vidt angaringr lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr naringr de indsamlede oplysninger er personoplysninger Kravet om informeret samtykke i cookiereglerne giver her en bedre beskyttelse af brugeren end persondatabeskyttelses-reglerne der omfatter en raeligkke situationer hvor informeret samtykke ikke er paringkraeligvet
Ved lagring af og adgang til allerede lagrede oplysninger som er personoplysninger i terminaludstyr vil cookiebekendtgoslashrelsen dermed garing forud for persondataloven jf Persondatalovens sect 2
I praksis vil det imidlertid forekomme at der udover lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr ogsaring finder andre behandlinger af op-lysninger sted
For eksempel naringr behandlingerne transmitteres til indsamles eller viderebehandles paring en server Saringdanne behandlingsformer ligger uden for brugernes terminaludstyr og er ikke omfattet af cookiereglerne Afhaeligngigt af de konkrete omstaeligndigheder kan reg-lerne i persondataloven evt finde anvendelse her
Hvilke oplysninger er omfattetBekendtgoslashrelsen vedroslashrer enhver type af oplysninger der indsamles eller lagres paring brugerens terminaludstyr
Vejledning 13
Cookiereglerne regulerer midlet til indsamling af data Der sondres ikke her mellem personhenfoslashrbare og ikke personhenfoslashrbare oplysninger
Det er ligeledes uden betydning om oplysningerne er semantisk meningsfulde ufor-staringelige tekststrenge kode eller om oplysningerne er krypterede
Eksempel Lagring af eller adgang til allerede lagrede oplysninger til brug for webstatistik
En udbyder af en hjemmeside oslashnsker at lave en analyse af hvordan hjemmesidens brugere benytter
siden med henblik paring at forbedre brugeroplevelsen Til dette formaringl oslashnsker udbyderen af hjemme-
siden at placere cookies i brugernes terminaludstyr
Tjenesteudbyderen er omfattet af bekendtgoslashrelsens krav til information og samtykke for saring vidt
angaringr lagringen af cookies og eventuel senere adgang til disse cookies i brugernes terminaludstyr
Oslashnsker tjenesteudbyderen efterfoslashlgende at analysere oplysningerne der er indsamlet ved hjaeliglp af
de placerede cookies falder denne behandling udenfor cookiebekendtgoslashrelsens anvendelsesomraring-
de Det gaeliglder eksempelvis den videre behandling af oplysningerne hos tjenesteudbyderen til brug
for udarbejdelse af statistik
Hvem gaeliglder reglerne forAlle der lagrer eller opnaringr adgang til oplysninger i brugeres terminaludstyr er omfattet af reglerne (se ogsaring det efterfoslashlgende afsnit rdquoHvor gaeliglder hvilke reglerrdquo)
Hjemmesider der henvender sig til alle eller udelukkende til virksomheder vil saringledes vaeligre omfattet af reglerne saringfremt der benyttes cookies eller lignende teknologier paring hjemmesiden idet hjemmesider som udgangspunkt kan tilgarings af alle
Ejeren af en hjemmeside er ligeledes forpligtet efter reglerne i forbindelse med 3 parts lagring af eller adgang til oplysninger i brugeres terminaludstyr hvis dette sker via udbyderens tjeneste fx ved hjaeliglp af indlejret kode i en bannerreklame software ap-plikationer eller links
Ejeren af en hjemmeside behoslashver ikke selv staring for den praktiske og tekniske efterle-velse af reglerne (informering og indhentning af et samtykke fra brugeren) men kan aftale at 3 part haringndterer dette paring vegne af tjenesteudbyderen Ansvaret for at reglerne overholdes vil dog altid ligge hos udbyderen af en tjenesteydelse uanset hvad denne maringtte have aftalt med 3 part da man ifoslashlge cookiebekendtgoslashrelsen heller ikke maring lade 3 part lagre eller faring adgang til allerede lagrede oplysninger uden information til og sam-tykke fra slutbrugeren
Der gaeliglder ikke efter cookiereglerne et krav om indgaringelse af databehandlingsaftale som der gaeliglder efter Persondataloven men det kan vaeligre hensigtsmaeligssigt hvor man giver adgang for 3 part til indsamling af data via ens hjemmeside at indgaring en skriftlig aftale med henblik paring at afdaeligkke med hvilke formaringl 3 part indsamler data om bru-gerne idet dette formaringl skal vaeligre omfattet af informationen paring hjemmesiden for at samtykke fra brugeren kan anses for at vaeligre reelt og fyldestgoslashrende jf nedenfor under afsnittet om rdquoKrav om informeret samtykkerdquo
Ved indlejring paring egen hjemmeside af andres tjenester der eksempelvis hentes via in-ternettet vil aftalen med 3 part oftest bero paring en ensidig accept af 3 partens givne forretningsbetingelser og ikke give mulighed for forhandling af kontraktvilkaringr Man skal vaeligre opmaeligrksom paring at det her kan vaeligre vanskeligt at kontrollere 3 partens brug af data som evt indsamles via cookies eller lignende teknologier og derved ogsaring van-skeligt i sidste ende at sikre et reelt informeret samtykke fra brugeren
Vejledning14
Eksempel Indlejring af et kommentarmodul paring en hjemmeside
Et stoslashrre nyhedsmedie oslashnsker at indlejre et modul der saeligtter brugerne af deres hjemmeside i stand
til at kommentere indholdet paring hjemmesiden Nyhedsmediet kontakter til dette formaringl udbyderen
af et kommentarmodul der kan indlejres paring hjemmesider Nyhedsmediet og udbyderen af modulet
aftaler at modulet indlejres nederst paring alle nyhedsmediets sider
Udbyderen af kommentarmodulet vil gerne saeligtte cookies i brugernes terminaludstyr naringr brugerne
tilgaringr en side for at kunne foslashlge med i hvor meget modulet bliver brugt Nyhedsmediet aftaler der-
for med udbyderen af kommentarmodulet at sidstnaeligvnte soslashrger for at reglerne om lagring af eller
adgang til oplysninger i brugeres terminal- udstyr efterleves ved at der gives fyldestgoslashrende infor-
mation og indhentes samtykke fra brugerne
Nyhedsmediet er dog ansvarlig for at efterlevelsen af reglerne rent faktisk finder sted og dermed for
at der ikke sker en uretmaeligssig lagring i brugernes terminaludstyr naringr brugere tilgaringr nyhedsmediets
hjemmeside uanset hvad nyhedsmediet maringtte have aftalt med udbyderen af kommentarmodulet
Dette gaeliglder altsaring ogsaring i tilfaeliglde af at udbyderen af kommentarmodulet anvender cookies til andre
formaringl end det der foslashlger af aftalen og oplyses til brugeren
Ejeren af en hjemmeside er ansvarlig for de cookies og lignende teknologier der saeligttes i forbindelse med en brugers besoslashg paring hjemmesiden
Linkes der paring hjemmesiden til andre hjemmesider eller anvendes der rdquodelebarerrdquo eller rdquolike-knapperrdquo til eksempelvis Facebook eller Twitter er det vigtigt at vaeligre opmaeligrk-som paring hvorvidt disse hjemmesider saeligtter cookies via links delebar eller like-knapper allerede inden brugeren linkes over til den nye hjemmeside da det som ovenfor naeligvnt er hjemmesideejeren der i sidste ende er ansvarlig for de cookies der saeligttes paring deres hjemmeside Naringr der foslashrst er linket over via delebaren overgaringr ansvaret til ejeren af den nye hjemmeside
Det er ikke et krav efter cookiereglerne men det anbefales at oplyse brugeren om at siden forlades og at de sider man giver adgang til evt bruger cookies
Ved oprettelse af digitale platforme hvorfra man tilgaringr andre hjemmesider som vil optraeligde i rammen af den digitale platform eksempelvis Erhvervsstyrelsens rdquoVirkdkrdquo eller Digitaliseringsstyrelsens rdquoBorgerdkrdquo vil det vaeligre ejeren af den enkelte hjemme-side der tilgarings via platformen der er ansvarlig for overholdelsen af cookiereglerne paring disse hjemmesider Ejeren af platformen har ansvaret for cookies der saeligttes af dem
Det samme vil gaeliglde ved oprettelse af hjemmesider via sociale medier som eksempel-vis Facebook Det sociale medie vil vaeligre ansvarlig for de cookies der saeligttes af mediet men ikke for de cookies der saeligttes af ejeren af hjemmesiden oprettet i det sociale medies format
Det afgoslashrende for hvem der baeligrer ansvaret for indhentelse af samtykke til anvendelse af cookies paring en hjemmeside afhaelignger af hvem der har kontrollen over indholdet paring hjemmesiden
Hvor gaeliglder hvilke reglerHjemmesideejere der er etableret i andre lande udover Danmark skal vaeligre opmaeligrk-somme paring at de maringske ikke kan noslashjes med at indrette deres loslashsninger efter den danske lovgivning De danske cookieregler er baseret paring harmoniseret EU lovgivning der dog alene fastsaeligtter minimumskrav i forbindelse med anvendelse af cookies og lignende teknologier
Der er ikke i e-Databeskyttelsesdirektivet taget stilling til reglernes geografiske anven-delsesomraringde men Europa-Kommissionen har tilkendegivet at det indenfor EU er lovgivningen i det land hvori udbyderen af en tjeneste er etableret der er gaeligldende Vi
Vejledning 15
laeliggger i Danmark umiddelbart op af Kommissionens fortolkning der foslashlger rdquoafsen-derlandsprincippetrdquo i E-handelsdirektivet8
Hvis udbyderen af en tjeneste etableret i Danmark lagrer eller opnaringr adgang til op-lysninger i en brugers terminaludstyr er tjenesteudbyderen saringledes forpligtet efter de danske regler De danske regler finder ligeledes anvendelse hvor udbyderen af en tjeneste etableret i Danmark lader en 3 part der er etableret i et andet land lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyderens tjene-ste
Ifoslashlge Kommissionen gaeliglder for udbyderen af en tjeneste etableret uden for EU lovgiv-ningen i det land hvor lagringen af eller adgangen til oplysninger i en brugers termi-naludstyr finder sted Erhvervsstyrelsen laeliggger i tilsynet med reglerne vaeliggt paring hvor-vidt hjemmesiden retter sig mod danske forbrugere i overensstemmelse med de folkeretlige jurisdiktionsprincipper om hvor en handling har virkning Der vil saringledes blive lagt vaeliggt paring en raeligkke faktorer som sprog leveringsbetingelser (feks en webshop hvor der kan leveres til Danmark) etc
Krav om informeret samtykke
Det helt centrale i aeligndringen til e-Databeskyttelsesdirektivet fra 2009 er kravet om indhentelse af informeret samtykke forud for placeringen af cookies der ogsaring er foslashrt videre til de danske regler i cookiebekendtgoslashrelsens sect 3
Cookiebekendtgoslashrelsen indeholder en definition af samtykke baseret paring samtykkede-finitionen i Persondatabeskyttelsesdirektivet som Cookiedirektivet henviser til Det samme gaeliglder indholdet af informationspligten der ogsaring er naeligrmere beskrevet i Per-sondatabeskyttelsesdirektivet
Kravene om information og samtykke boslashr ses som to komplementaeligre elementer der understoslashtter hinanden og ikke kan adskilles idet de er indfoslashrt for at sikre at brugeren kan traeligffe et reelt og oplyst valg omkring overvaringgningen af deres faeligrdsel paring internet-tet Er informationen ikke fyldestgoslashrende vil samtykket heller ikke vaeligre et reelt sam-tykke
Nedenfor er kravene til baringde information og samtykke naeligrmere uddybet Der gives en raeligkke praktiske eksempler og flere foslashlger af den tekniske guide som findes i vejlednin-gens sidste afsnit Der er alene tale om eksempler til inspiration da det fortsat vil vaeligre op til den enkelte hjemmesideejer at vurdere hvordan kravene bedst muligt efterleves paring netop deres tjeneste
Bekendtgoslashrelsens sect 3
sect 3 Fysiske eller juridiske personer maring ikke lagre oplysninger eller opnaring adgang til oplysninger der
allerede er lagret i en slutbrugers terminaludstyr eller lade tredjepart lagre oplysninger eller opnaring
adgang til oplysninger hvis slutbrugeren ikke giver samtykke hertil efter at have modtaget fyldest-
goslashrende information om lagringen af eller adgangen til oplysningerne
Stk 2 Information jf stk 1 er fyldestgoslashrende naringr den som minimum
1) fremstaringr i et klart praeligcist og letforstaringeligt sprog eller tilsvarende billedskrift
2) indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens
terminaludstyr
3) indeholder oplysninger der identificerer enhver fysisk eller juridisk person der foranstalter lagrin-
gen af eller adgangen til oplysningerne
4) indeholder en umiddelbart tilgaeligngelig adgang for slutbrugeren til at afslaring samtykke eller tilbage-
8 Europa-Parlamentets og Raringdets direktiv 200031EF om visse retlige aspekter af informationssamfundstjenester navnlig ele-ktronisk handel i det indre marked
Vejledning16
kalde samtykke til lagringen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig
vejledning om hvordan slutbrugeren anvender en saringdan adgang og
5) er umiddelbart tilgaeligngelig for slutbrugeren ved samlet og tydeligt at blive meddelt denne Des-
uden skal information naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminal-
udstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren
ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Informationskravet
Hvilke krav stilles til fyldestgoslashrende information Af bekendtgoslashrelsens sect 3 stk 2 fremgaringr de krav der som minimum skal vaeligre opfyldt foslashr informationen kan siges at vaeligre fyldestgoslashrende Der stilles krav til karakteren ind-holdet og tilgaeligngeligheden af informationen
Overordnet kan siges at informationen skal udgoslashre det videns grundlag der saeligtter brugerne i stand til at traeligffe reelle informerede valg I nogle tilfaeliglde boslashr det derfor ogsaring overvejes at medtage yderligere information end der kraeligves i bekendtgoslashrelsen hvis dette er noslashdvendigt for at brugerne kan forstaring konsekvenserne af deres valg
Loslashsninger skal opfylde cookiereglerne baringde paring hjemmesider og paring mobilsites ndash se evt teknisk guide i vejledningens kapitel 6
Krav til sprog og tekstsect 3 stk 2 nr 1 fastsaeligtter krav til at informationen fremstaringr i et klart praeligcist og letfor-staringeligt sprog eller tilsvarende billedskrift
Det indebaeligrer bla at informationen ikke boslashr formuleres i unoslashdigt teknisk eller juri-disk sprog samt at brugeren let kan danne sig et overblik
Brug af tabeller eller billedsprog fx i form af piktogrammer kan supplere eller erstatte mere traditionel tekst og goslashre informationen lettere at forstaring men maring vurderes ud fra brugerens kendskab til saringdanne alternativer
Bestemmelsen indeholder ikke krav til paring hvilket sprog informationen skal gives Valg af sprog boslashr dog ske under hensynstagen til hvilke brugere en tjeneste retter sig imod herunder isaeligr hvor disse brugere befinder sig geografisk
Krav til oplysning om formaringlsect 3 stk 2 nr 2 fastsaeligtter krav til at informationen indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens terminaludstyr
Brugeren har ret til at faring oplyst hvorfor der lagres eller tilgarings oplysninger og det er ikke tilstraeligkkeligt blot at oplyse at det sker Dette krav haelignger sammen med samtykkekra-vet der skal vaeligre en specifik viljestilkendegivelse Angivelsen af rdquovi bruger cookiesrdquo uden yderligere praeligcisering vurderes saringledes ikke at opfylde reglerne
Informationen om formaringl med lagringen af eller adgangen til oplysninger er helt cen-tral og skal understoslashtte at brugerne er bevidste om hvilke konsekvenser deres valg har Formaringlet boslashr derfor altid beskrives meget praeligcist og daeligkkende
Har lagringen af eller adgangen til oplysninger mere end eacutet formaringl skal der oplyses om samtlige formaringl Lagres eller tilgarings der flere oplysninger med samme formaringl eller af flere omgange vil det almindeligvis vaeligre tilstraeligkkeligt at beskrive formaringlet eacuten gang og ikke for hver oplysning der lagres eller opnarings adgang til
Vejledning 17
I relation til kravet om angivelse af formaringl saring er det her vigtigt at understrege at for-maringlsbeskrivelsen ligeledes skal omfatte eventuelle 3 parters formaringl med at anvende cookies
Eksempel Information om formaringl med brug af cookies
Brugen af cookies er meget udbredt og kan have en lang raeligkke formaringl herunder fx at optimere
brugeroplevelse eller design paring en tjeneste at generere webstatistik eller at maringlrette markedsfoslashring
til brugere
Den information der gives boslashr beskrive formaringlet med tjenestens brug af cookies og ikke de en-
kelte cookies i sig selv
Hvis en tjeneste eksempelvis bruger fire cookies til at optimere designet paring tjenesten mens yderli-
gere to cookies bruges til at haringndtere annoncer og en syvende cookie bruges til at genere websta-
tisk vil det almindeligvis vaeligre tilstraeligkkeligt at informere om de tre forskellige formaringl med brugen
af cookies og ikke noslashdvendigvis om de i alt syv cookies siden goslashr brug af
Oplysninger om hvem der saeligtter cookiessect 3 stk 2 nr 3 fastsaeligtter krav til at informationen indeholder oplysninger der identifi-cerer enhver fysisk eller juridisk person der foranstalter lagringen af oplysninger eller opnaringr adgang til allerede lagrede oplysninger
Brugere skal vaeligre i stand til at identificere den der foranstalter lagringen Det vil i mange tilfaeliglde vaeligre udbyderen af tjenesten men hvor udbyderen af en tjeneste lader 3 part lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyde-rens tjeneste skal 3 part ogsaring kunne identificeres af brugeren Den eksakte angivelse af hvilke 3 parter der saeligtter cookies kan ske paring en underside jf vejledningens afsnit om lagdelt information nedenfor
For saring vidt angaringr oplysninger der lagres eller tilgarings i brugeres terminaludstyr af en or-ganisation fx en virksomhed eller anden juridisk person angives oplysninger som identificerer organisationen og ikke dens medarbejdere
Hvilke konkrete informationer der skal vaeligre til stede for at brugere kan identificere de(n) der foretager lagringen vil variere fra tjeneste til tjeneste og afhaelignger af de par-ter der er involveret
Adgang til at afslaring cookiessect 3 stk 2 nr 4 fastsaeligtter krav til at informationen indeholder en umiddelbart tilgaelign-gelig adgang for slutbrugeren til at afslaring samtykke eller tilbagekalde samtykke til lagrin-gen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig vejledning om hvordan slutbrugeren anvender en saringdan adgang
Brugere skal have mulighed for at afslaring samtykke eller tilbagekalde et allerede givet samtykke Dette skal understoslashtte reel brugerkontrol og frivilligheden af brugeres sam-tykke Til dette formaringl skal der vaeligre en umiddelbart tilgaeligngelig adgang til at afslaring cookies og en klar praeligcis og letforstaringelig vejledning om hvordan brugere kan anvende en saringdan adgang Se endvidere nedenfor under afsnittet om rdquoKravet til samtykkerdquo hvor det slarings fast at der ikke gaeliglder noget krav om at en hjemmeside skal kunne tilgarings eller fungere uden cookies
Det kan i nogle tilfaeliglde vaeligre relevant at henvise til eksempelvis vejledninger og vaeligrk-toslashjer andre har udarbejdet Der stilles i bekendtgoslashrelsen ingen krav til at vejledninger eller vaeligrktoslashjer til at afslaring eller tilbagekalde et samtykke skal forefindes paring tjenesten der lagrer eller tilgaringr oplysninger Det er adgangen til vejledning og vaeligrktoslashjer som tjene-sten er forpligtet til at goslashre umiddelbart tilgaeligngelig for brugeren
Vejledning18
Krav om informationens tilgaeligngelighedsect 3 stk 2 nr 5 fastsaeligtter krav til at informationen er umiddelbart tilgaeligngelig for slut-brugeren ved samlet og tydeligt at blive meddelt denne Desuden skal informationen naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjene-ste
For at sikre reel brugerkontrol er det noslashdvendigt at informationen er umiddelbart tilgaeligngelig for brugere og kan tilgarings uden besvaeligr Dette er desuden en forudsaeligtning for at brugere ogsaring kan tilbagekalde et allerede afgivet samtykke Hvordan informatio-nen bedst goslashres tilgaeligngelig vil bla afhaelignge af tjenestens design og struktur hvorfor det vil variere fra tjeneste til tjeneste
Informationen kan vaeligre lagdeltDet kan vaeligre hensigtsmaeligssigt at benytte sig af lagdelt information saringledes at det dog sikres at brugerne med det samme faringr de vaeligsentligste informationer saringsom formaringlet med anvendelsen af cookies samtidig med at der linkes til mere detaljerede informa-tioner Brugen af piktogrammer eller andre tydeligt markerede indgange til informa-tionen kan understoslashtte dette men ikke goslashre det ud alene for umiddelbar tilgaeligngelig information
Den umiddelbare angivelse af formaringlet med anvendelsen af cookies boslashr omfatte infor-mation om 3 parts cookies idet det har betydning for brugeren hvem data tilgaringr Ek-sempelvis ved angivelse af formaringl som direkte markedsfoslashring skal det ogsaring fremgaring at direkte markedsfoslashring vil vaeligre fra 3 part Den praeligcise angivelse af 3 parter kan evt ske paring en underside
En tjeneste kan desuden vaeliglge at skelne mellem hvordan informationen praeligsenteres for brugere inden brugeren afgiver eller afslaringr samtykke og hvordan informationen praeligsenteres efter at brugere har afgivet eller afslaringet samtykke
Paring informations- og indholdstjenester herunder hjemmesider og andre online tjene-ster der lagrer eller tilgaringr oplysninger i en brugeres terminaludstyr skal informationen vaeligre vedvarende tilgaeligngelig for brugere ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Dette indebaeligrer at brugere ved anvendelse af saringdanne tjenester til enhver tid skal have adgang til informationen og en saringdan adgang boslashr vaeligre let at finde og anvende Det kan bla overvejes at opfylde dette krav ved at placere en saringdan adgang i sammenhaeligng med oslashvrige vedvarende elementer paring en tjeneste Brug af piktogrammer eller lignende kan ogsaring overvejes i denne sammenhaeligng
Nedenfor redegoslashres naeligrmere for kravet til samtykke Det kan heraf laeligses at samtykke kan gives paring forskellig maringde herunder ogsaring ved en aktiv handling Kravet til informa-tion kan variere for saring vidt angaringr tydelighed og tilgaeligngelighed alt efter hvilken form for samtykke der er tale om Krav til hvilke oplysninger der gives for at en information kan anses for fyldestgoslashrende varierer imidlertid ikke
Vaeligsentlig information der skal gives til brugeren med det samme er
- Alle formaringl med cookies og lignende teknologier
- Hvem der anvender cookies og lignende teknologier paring hjemmesiden
Vejledning 19
Eksempel Fyldestgoslashrende information ndash lagdelt med vaeligsentlige oplysninger foslashrst
En tjeneste paring nettet der giver brugeren mulighed for at sammenligne produkter og priser paring for-
skellige vareomraringder anvender cookies til at registrere antallet af brugere paring hjemmesiden og til at
registrere hvor brugeren kommer fra Paring hjemmesiden er der bannerreklamer for forskellige produ-
center relateret til de varekategorier som omtales paring hjemmesiden Bannerreklamerne leveres af 3
parter og anvender cookies til at registrere hvilke annoncer brugeren klikker paring saringledes at det er
muligt at identificere brugernes interesser og maringlrette annonceringen
Eksempel Umiddelbar information til brugeren
rdquoVi bruger cookies til statistik og til maringlrettet markedsfoslashring ogsaring fra os selv og vores an-
noncoslashrer ndash se her hvilke Laeligs her mere om vores brug af cookies herunder hvordan du
fravaeliglger brug af cookiesrdquo
Kravet til samtykke
Som ovenfor naeligvnt er den centrale aeligndring af reglerne kravet om indhentelse af in-formeret samtykke fra brugeren ved anvendelse af cookies eller lignende teknologier der foslashlger af cookiebekendtgoslashrelsens sect 3
Samtykke defineres i bekendtgoslashrelsens sect 2 stk 1 nr 8
Bekendtgoslashrelsens sect 2 stk 1 nr 8
sect 2 stk 1 nr 8) Samtykke Enhver frivillig specifik og informeret viljestilkendegivelse hvorved
slutbrugeren indvilliger i at der lagres oplysninger eller opnarings adgang til allerede lagrede oplysnin-
ger i slutbrugerens terminaludstyr
Da tjenester og deres brugere er vidt forskellige vil der vaeligre stor forskel paring hvordan et samtykke bedst indhentes
Kravet om samtykke skal sikre at brugere har reel kontrol med hvorvidt der lagres el-ler tilgarings oplysninger i deres terminaludstyr Naringr samtykket skal indhentes er det der-for vaeligsentligt at holde sig brugerens kontrolmuligheder for oslashje herunder brugerens reelle muligheder for at vurdere formaringlet med lagringen eller tilgangen til oplysnin-gerne
Reglerne giver i udgangspunktet tjenester et stort mulighedsrum til at vaeliglge hvordan samtykket bedst kan indhentes paring en maringde der fungerer i deres konkrete kontekst
At samtykket skal vaeligre frivilligt indebaeligrer bla at brugere skal have et faktisk valg
Det er ikke et krav at hjemmesider kan fungere uden brug af cookies eller lignende teknologier hvorfor afvisning af cookies kan medfoslashre at brugerens eneste mulighed er at forlade hjemmesiden Virksomheder har selvsagt et incitament for at deres hjem-meside er tilgaeligngelig men det er ikke lovstridigt at have loslashsninger der afskaeligrer bru-gere som ikke vil acceptere brugen af cookies
For offentlige hjemmesider kan der vaeligre andre overvejelser idet adgangen til offentlige tjenester gerne skulle vaeligre tilgaeligngelig for alle
I frivilligheden af samtykket ligger ogsaring at brugere skal have mulighed for at tilbage-kalde et allerede afgivet samtykke jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 4
Vejledning20
At samtykket skal vaeligre specifikt indebaeligrer bla at samtykket skal vaeligre praeligcist og vel-afgraelignset Samtykket behoslashver imidlertid ikke relatere sig til hver enkelt lagring af eller adgang til oplysninger i brugernes terminaludstyr I stedet boslashr samtykket knytte sig til det formaringl der ligger til grund for lagringen af eller adgangen til oplysningerne jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 2
Hvis lagring af eller adgang til oplysninger paring et senere tidspunkt benyttes til formaringl der raeligkker ud over hvad der tidligere er indhentet samtykke til skal der indhentes et nyt samtykke der omfatter det nye formaringl
At samtykket skal vaeligre informeret understoslashttes af kravene til information i bekendtgoslash-relsens sect 3 stk 2 hvor ikke mindst formaringlet med lagringen er vaeligsentligt Som del af et informeret samtykke boslashr brugere ogsaring oplyses om konsekvenserne af deres (fra)valg Saringdanne konsekvenser kan fx vaeligre at brugere ikke kan faring adgang til (dele af) tjenesten som ovenfor beskrevet hvis samtykket afslarings eller at et samtykke medfoslashrer at 3 parter faringr mulighed for at lagre eller tilgaring allerede lagrede oplysninger i brugeres terminalud-styr
Brugeres viljetilkendegivelse staringr helt centralt i indhentningen af et samtykke En tjene-steudbyder har pligt til at identificere en aktiv handling fra sine brugere der med rime-lighed kan tages til indtaeliggt for en tilkendegivelse af deres vilje paring et informeret grund-lag Det skal dog understreges at vilje kan tilkendegives paring en lang raeligkke forskellige maringder og at reglerne i bekendtgoslashrelsen ikke tager specifikt stilling til hvordan denne skal komme til udtryk
En viljestilkendegivelse kan vaeligre mange ting herunder eksempelvis
bull afkrydsning af en boks klik paring en knap eller udfyldelse af en formular i sammenhaeligng med rele-
vant information paring en tjeneste
bull aktiv brug af en tjeneste hvor det maring forventes at brugeren er informeret om at der vil ske lag-
ring af eller adgang til oplysninger (saringfremt dette ikke er afslaringet)
Kommissionen har tilkendegivet overfor Erhvervsstyrelsen at aktiv brug af en tjeneste som ovenfor beskrevet er i overensstemmelse med e-Databeskyttelsesdirektivet og ac-cepteres i de fleste medlemslande Det afgoslashrende er at der kan identificeres en aktiv handling eksempelvis at der klikkes videre paring siden og at brugeren har en forstaringelse af at de ved denne handling accepterer cookies dvs det er ikke nok bare generelt at informere om at hjemmesiden bruger cookies det skal praeligciseres at cookies saeligttes ved at brugeren eksempelvis klikker videre
Der vil vaeligre stor forskel paring hvordan samtykket bedst indhentes Det er den enkelte tjeneste selv der har de bedste forudsaeligtninger for at vaeliglge en loslashsning der overholder samtykkekravet og giver tjenestens brugere reel mulighed for at tilkendegive deres vilje paring et informeret grundlag
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt at defi-nere praeligcist hvordan brugere i konkrete tilfaeliglde skal tilkendegive sin vilje Bekendt-goslashrelsens samtykkekrav giver derfor tjenester et stort mulighedsrum til at udvikle nye og innovative loslashsninger der oslashger brugerkontrollen og gennemsigtigheden
Vejledning 21
Eksempel Samtykke
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Accepter cookies Afvis cookies Laeligs mere her om vores brug af cookies herunder hvordan
du fravaeliglger cookies igenrdquo
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Klikker du videre paring siden accepterer du at der saeligttes cookies til disse formaringl Laeligs mere
her om vores brug af cookies herunder hvordan du fravaeliglger brugen af cookiesrdquo
Hvis brugere vaeliglger ikke at give samtykke til lagringen af oplysninger eller vaeliglger at tilbagekalde et samtykke stilles der som ovenfor naeligvnt i bekendtgoslashrelsen ikke noget krav til at brugere fortsat skal have adgang til indhold paring en tjeneste
Erhvervsstyrelsen er opmaeligrksom paring at kravet om forudgaringende samtykke kan vaeligre teknisk udfordrende for en del hjemmesider der saeligtter cookies allerede naringr brugeren tilgaringr siden saeligrligt for at sikre statistik om hvor mange der besoslashger en hjemmeside og hvor de kommer fra
Direktivet stiller et grundlaeligggende krav om informeret samtykke Nogle lande har valgt at haringndhaeligve samtykkekravet saringledes at det undtagelsesvis i saeligrlige tilfaeliglde ac-cepteres at cookies kan lagres forud for at brugeren har givet samtykke hertil UK fastslaringr eksempelvis i deres vejledning til reglerne at samtykke saring vidt muligt skal ind-hentes foslashr der saeligttes cookies men accepterer dog at det ikke altid sker Hvor det ikke er muligt at indhente samtykke foslashr cookies lagres laeliggges der i UKrsquos vejledning imid-lertid vaeliggt paring virksomhedernes indsats for at sikre information til brugerne og deres mulighed for at give samtykkeafvise cookies hurtigst muligt ligesom der laeliggges vaeliggt paring at virksomhederne begraelignser adgangen til sessions cookies
Der er behov for en naeligrmere afklaring fra Kommissionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside eje-rens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Samtykke ved browserindstillinger er ikke anerkendt i Danmark paring nuvaeligrende tids-punkt og kun i faring af de oslashvrige EU-medlemslande Den generelle holdning er at de browserloslashsninger som findes paring markedet i dag ikke i tilstraeligkkelig grad sikrer mod brugen af cookies hvor brugeren har fravalgt det Med de eksisterende browsere er det ikke muligt at differentiere sit samtykke tilstraeligkkelig nuanceret saring det reelt bliver et rdquoja takrdquo til alle cookies eller rdquonej takrdquo til alle cookies hvorefter brugeren vil kunne op-leve betydelige begraelignsninger i forhold til indhold af forskellige tjenester paring nettet
Samtykket varer i udgangspunktet indtil forholdene aeligndres Brugeren skal hele tiden have en let adgang til at traeligkke samtykket tilbage
Undtagelser
Bekendtgoslashrelsens sect 4 indeholder to undtagelser til kravet om informeret samtykke fra brugeren forud for anvendelsen af cookies Er der tale om indsamling af data som falder under undtagelsesbestemmelserne vil der efter lovgivningen ikke stilles krav om hverken information eller samtykke Det kan imidlertid vaeligre en anbefaling ogsaring her at give information og indhente samtykke ud fra en betragtning om at fuldstaeligndig gennemsigtighed oslashger tilliden til internettet og derfor kan vaeligre gavnlig for en e-hand-ler eller udbyder af tjenesteydelser paring nettet Det skal ogsaring her vurderes hvorvidt situa-tionen kan vaeligre omfattet af reglerne om beskyttelse af persondata
Vejledning22
Bekendtgoslashrelsens sect 4
sect 4 Uanset sect 3 kan fysiske eller juridiske personer lagre oplysninger eller opnaring adgang til oplysninger
der allerede er lagret i en slutbrugers terminaludstyr hvis
1) lagringen af eller adgangen til oplysninger alene sker med det formaringl at overfoslashre kommunikation
via et elektronisk kommunikationsnet eller
2) lagringen af eller adgangen til oplysninger er paringkraeligvet for at saeligtte tjenesteyderen af en informa-
tionssamfundstjeneste som slutbrugeren udtrykkeligt har anmodet om i stand til at levere denne
tjeneste
Stk 2 Lagring af eller adgang til oplysninger i en slutbrugersterminaludstyr er paringkraeligvet jf stk 1
nr 2 hvis lagringen af eller adgangen til oplysninger er en teknisk forudsaeligtning for at kunne levere
en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
Erhvervsstyrelsen laeliggger i fortolkningen af undtagelsesbestemmelserne vaeliggt paring udta-lelser fra den saringkaldte Artikel 29 gruppe som er omtalt i forordet og som i juni 2012 offentliggjorde et dokument vedroslashrende undtagelsesbestemmelserne i e-Datadirekti-vet efter aeligndringerne i 2009 Det er vigtigt her at understrege at der ikke er tale om et juridisk bindende dokument men gruppens fortolkninger stoslashttes i vid udstraeligkning af EU Kommissionen og bredt i medlemsstaterne Et link til Artikel 29 gruppens udta-lelse foslashlger af kapitel 5 rdquoLinks til lovgivning og direktiverrdquo
1 undtagelse Cookies i forbindelse med opkobling til internettetDet er Erhvervsstyrelsens vurdering at sect 4 stk 1 nr 1 alene er moslashntet paring udbydere af internetforbindelser og den lagring af eller adgang til oplysninger i brugeres terminal-udstyr der maringtte finde sted som en del af opkoblingen til internettet og vedligehol-delse heraf
2 undtagelse Cookies der sikrer funktionaliteten af en tjeneste som brugeren har bedt omsect 4 stk 1 nr 2 har derimod et bredere anvendelsesomraringde
For at vaeligre omfattet af undtagelsesbestemmelsen i sect 4 stk 1 nr 2 skal to krav vaeligre opfyldt For det foslashrste skal brugeren udtrykkeligt have anmodet om tjenesten For det andet skal lagringen af eller adgangen til oplysninger i brugerens terminaludstyr vaeligre paringkraeligvet for leveringen af denne tjeneste Begge krav skal vaeligre opfyldt
Brugerens faeligrden paring nettet eller besoslashg paring en specifik hjemmeside kan ikke tages som et udtryk for en generel anmodning om de tjenester der her tilbydes
Hvorvidt lagring af oplysninger eller adgang til allerede lagrede oplysninger er paringkraelig-vet uddybes i sect 4 stk 2 hvorefter der skal vaeligre tale om en teknisk forudsaeligtning for at kunne levere en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
For at vaeligre en teknisk noslashdvendighed skal tjenesten ikke kunne fungere uden brug af cookiersquoen eller en lignende teknologi Samtidig er det vigtigt at der er en klar sammen-haeligng mellem den rdquoparingkraeligvederdquo teknologi og brugerens udtrykkelige anmodning om tjenesten
Med hensyn til tjenestens formaringl boslashr der laeliggges vaeliggt paring det formaringl med hvilket bru-gere tilgaringr tjenesten eller hjemmesiden
Cookies eller lignende teknologier der opfylder kravene til at vaeligre omfattet af undta-gelsen maring ikke anvendes med andre formaringl for oslashje I saring fald skal brugeren informeres og give samtykke til disse andre formaringl
Vejledning 23
Det har betydning for vurderingen af om cookies kan undtages fra kravet om informe-ret samtykke om der er tale om sessionscookies eller vedvarende cookies og hvor den stammer fra Vedvarende cookies vil sjaeligldent falde under undtagelsesbestemmelsen
Eksempler paring undtagelser efter sect 4
Elektroniske indkoslashbskurve
- Brugen af elektroniske indkoslashbskurve i webshops hvor det er noslashdvendigt at kunne genkende bru-
geren paring tvaeligrs af sideskift (genindlaeligsninger af webshoppen) da indkoslashbskurven ellers vil vaeligre tom
ved visning af en ny side Lagring af fx en cookie eller lignende teknologi er dermed en teknisk for-
udsaeligtning for at kunne levere den tjeneste (e-handel) som brugeren udtrykkeligt har anmodet om
(tilgaringet webshoppen og lagt varer i indkoslashbskurven) Indkoslashbskurven fungerer desuden i overensstem-
melse med det formaringl (at koslashbe varer) med hvilket brugeren tilgaringr webshoppen
Log-in situationer
- Anvendelse af log-in (eksempelvis ved netbank offentlige selvbetjeningsloslashsninger eller ved ad-
gang til saeligrlige netvaeligrk) hvor cookies sikrer at brugeren logges ind med brug af brugernavn
passwords og forbliver logget ind uden igen at skulle indtaste saringdanne koder Det er vigtigt at
understrege at det alene er selve log-in funktionen der er undtaget men ikke noslashdvendigvis cookies
som saeligttes ved aktiviteter efter log-in funktionen
Andre undtagelser
Brugerdefinerede browserindstillinger ndash eks valg af land sprog eller skriftstoslashrrelse
- Disse cookies kan vaeligre undtaget fra kravet om informeret samtykke i det omfang at disse udtryk-
kelig aktiveres af brugeren fx ved at klikke paring en knap eller afkrydse en rubrik og ikke benyttes til
andre formaringl og ikke i laeligngere tid end en browsersession
Authentificeringscookies
Cookies der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider
Brugervalideringscookies
Cookies der anvendes til at sikre mod (gentagne) fejl ved log-in
Multimedia player cookies
Cookies der anvendes til at regulere netvaeligrkshastighed eller billedkvalitet og til at aktivere play back
video- eller lydfiler
Plug-ins til sociale medier
Cookies der giver muligheden for enten at dele indholdet af en hjemmeside eller rdquolikerdquo indholdet via
det sociale medie Cookien saeligttes alene for at dirigere brugeren over paring den sociale hjemmeside og
logge ind her Den har alene betydning for brugere af sociale netvaeligrk der allerede er logget ind her
Bruges cookien til at tracke brugeren rundt paring nettet vil den ikke vaeligre omfattet
Load balancing
Cookies der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en
service
Det er Erhvervsstyrelsens vurdering at cookies der husker at en bruger har sagt rdquonej takrdquo til cookies er undtaget kravet om informeret samtykke da der er tale om et oslashnske fra brugeren og den er noslashdvendig for at huske indstillingen
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning 11
1 part 3 part
Cookies der saeligttes af hjemmesiden som brugeren besoslashger hvis adresse fremgaringr af URL vinduet
Cookies der saeligttes af andre end den hjemmeside brugeren besoslashger
Sessions cookies
Udloslashber enten i loslashbet af eller ved udgangen af en browser-session
EksbullStyring af grafikbullBesoslashgsstatistikbullBrugerindstillingbull IndkoslashbskurvbullBetalingsmodul bullSikkerheds-pro-
cedurer ved netbank
Eks bullStatistikbullHvor 3 part
leverer ydelser som beskrevet under eks paring 1 parts cookies er det afgoslashrende hvem der har adgang til brugerens data i forhold til om der er tale om 3 parts cookies
Baringde for 1 og 3 parts cookies vurderes sessions cookies ofte at vaeligre mindre indgribende i forhold til bruge-rens privatliv
Persistent cookies
Varer flere browser sessioner og kan foslashlge brugeren rundt paring nettet Kan vare fra timer til flere aringr
Eks bullHuske bruger-
indstillinger som navn og adresse sprog log-in naeligste gang brugeren besoslashger hjemme-siden udover en browser-session
bullTracking - enten genkende brugere fra tidligere besoslashg eller foslashlge brugeren til andre hjemmesi-der
EksbullTracking 1 parts cookies for
brugerindstilling Vurderes at vaeligre mindre indgribende i forhold til brugerens privatliv
Tracking cookies ndash baringde fra 1 part og 3 part anses for mere indgribende i brugerens privat-sfaeligre
Lovgivningen skelner for saring vidt angaringr informations- og samtykkekravet ikke mellem de forskellige typer af cookies men omfatter alle cookies uanset levetid og hvor de stammer fra
Som det fremgaringr nedenfor vil en cookies karakter i praksis kunne spille ind ved vurde-ringen af hvorvidt informations- og samtykkekravet er opfyldt da det her er afgoslashren-de at brugeren kender til cookiens funktion herunder ogsaring hvem der staringr bag cookien og hvem der herfra faringr adgang til indsamlet data
Hvilke handlinger er omfattetBekendtgoslashrelsen vedroslashrer alene den handling der bestaringr i lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr Handlinger der finder sted foslashr eller efter lagringen af eller adgangen til oplysninger i en brugeres terminaludstyr
Vejledning12
er ikke omfattet af reglerne i cookiebekendtgoslashrelsen Saringdanne handlinger kan i stedet vaeligre omfattet af de generelle bestemmelser om beskyttelse af persondata
Foslashlgende tabel giver en oversigt over graelignsefladerne mellem cookiebekendtgoslashrelse og persondataloven
Tabel 1 Anvendelsesomraringder for cookie-bekendtgoslashrelsen og persondataloven
Cookie-bekendtgoslashrelsen Persondataloven
Beskyttelsesobjekt Brugerens terminaludstyr forstaringet som en del af privatsfaeligren
Personoplysninger (ikke kun i terminaludstyr)
Omfattede oplysnings-typer
Alle oplysninger uden sondring
Som udgangspunkt kun personoplysninger Dog er oplysninger om virksomheder mv omfattet i saeligrlige tilfaeliglde
Omfattede behandlings-former
Lagring af eller adgang til oplysninger i en brugers terminaludstyr
Enhver behandling af personoplysninger inden for lovens anvendelsesomraringde hvor der ikke er saeligrregler i anden lovgivning der traeligder i stedet for
Kriterier for behandling(behandlingshjemmel)
HR Fyldestgoslashrende informa-tion til og samtykke fra brugerU Bekendtgoslashrelsens sect 4
Udtrykkelig samtykke er blot eacutet af flere mulige behandlingskriterier
Der er et overlap mellem cookiebekendtgoslashrelsen og persondataloven for saring vidt angaringr lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr naringr de indsamlede oplysninger er personoplysninger Kravet om informeret samtykke i cookiereglerne giver her en bedre beskyttelse af brugeren end persondatabeskyttelses-reglerne der omfatter en raeligkke situationer hvor informeret samtykke ikke er paringkraeligvet
Ved lagring af og adgang til allerede lagrede oplysninger som er personoplysninger i terminaludstyr vil cookiebekendtgoslashrelsen dermed garing forud for persondataloven jf Persondatalovens sect 2
I praksis vil det imidlertid forekomme at der udover lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr ogsaring finder andre behandlinger af op-lysninger sted
For eksempel naringr behandlingerne transmitteres til indsamles eller viderebehandles paring en server Saringdanne behandlingsformer ligger uden for brugernes terminaludstyr og er ikke omfattet af cookiereglerne Afhaeligngigt af de konkrete omstaeligndigheder kan reg-lerne i persondataloven evt finde anvendelse her
Hvilke oplysninger er omfattetBekendtgoslashrelsen vedroslashrer enhver type af oplysninger der indsamles eller lagres paring brugerens terminaludstyr
Vejledning 13
Cookiereglerne regulerer midlet til indsamling af data Der sondres ikke her mellem personhenfoslashrbare og ikke personhenfoslashrbare oplysninger
Det er ligeledes uden betydning om oplysningerne er semantisk meningsfulde ufor-staringelige tekststrenge kode eller om oplysningerne er krypterede
Eksempel Lagring af eller adgang til allerede lagrede oplysninger til brug for webstatistik
En udbyder af en hjemmeside oslashnsker at lave en analyse af hvordan hjemmesidens brugere benytter
siden med henblik paring at forbedre brugeroplevelsen Til dette formaringl oslashnsker udbyderen af hjemme-
siden at placere cookies i brugernes terminaludstyr
Tjenesteudbyderen er omfattet af bekendtgoslashrelsens krav til information og samtykke for saring vidt
angaringr lagringen af cookies og eventuel senere adgang til disse cookies i brugernes terminaludstyr
Oslashnsker tjenesteudbyderen efterfoslashlgende at analysere oplysningerne der er indsamlet ved hjaeliglp af
de placerede cookies falder denne behandling udenfor cookiebekendtgoslashrelsens anvendelsesomraring-
de Det gaeliglder eksempelvis den videre behandling af oplysningerne hos tjenesteudbyderen til brug
for udarbejdelse af statistik
Hvem gaeliglder reglerne forAlle der lagrer eller opnaringr adgang til oplysninger i brugeres terminaludstyr er omfattet af reglerne (se ogsaring det efterfoslashlgende afsnit rdquoHvor gaeliglder hvilke reglerrdquo)
Hjemmesider der henvender sig til alle eller udelukkende til virksomheder vil saringledes vaeligre omfattet af reglerne saringfremt der benyttes cookies eller lignende teknologier paring hjemmesiden idet hjemmesider som udgangspunkt kan tilgarings af alle
Ejeren af en hjemmeside er ligeledes forpligtet efter reglerne i forbindelse med 3 parts lagring af eller adgang til oplysninger i brugeres terminaludstyr hvis dette sker via udbyderens tjeneste fx ved hjaeliglp af indlejret kode i en bannerreklame software ap-plikationer eller links
Ejeren af en hjemmeside behoslashver ikke selv staring for den praktiske og tekniske efterle-velse af reglerne (informering og indhentning af et samtykke fra brugeren) men kan aftale at 3 part haringndterer dette paring vegne af tjenesteudbyderen Ansvaret for at reglerne overholdes vil dog altid ligge hos udbyderen af en tjenesteydelse uanset hvad denne maringtte have aftalt med 3 part da man ifoslashlge cookiebekendtgoslashrelsen heller ikke maring lade 3 part lagre eller faring adgang til allerede lagrede oplysninger uden information til og sam-tykke fra slutbrugeren
Der gaeliglder ikke efter cookiereglerne et krav om indgaringelse af databehandlingsaftale som der gaeliglder efter Persondataloven men det kan vaeligre hensigtsmaeligssigt hvor man giver adgang for 3 part til indsamling af data via ens hjemmeside at indgaring en skriftlig aftale med henblik paring at afdaeligkke med hvilke formaringl 3 part indsamler data om bru-gerne idet dette formaringl skal vaeligre omfattet af informationen paring hjemmesiden for at samtykke fra brugeren kan anses for at vaeligre reelt og fyldestgoslashrende jf nedenfor under afsnittet om rdquoKrav om informeret samtykkerdquo
Ved indlejring paring egen hjemmeside af andres tjenester der eksempelvis hentes via in-ternettet vil aftalen med 3 part oftest bero paring en ensidig accept af 3 partens givne forretningsbetingelser og ikke give mulighed for forhandling af kontraktvilkaringr Man skal vaeligre opmaeligrksom paring at det her kan vaeligre vanskeligt at kontrollere 3 partens brug af data som evt indsamles via cookies eller lignende teknologier og derved ogsaring van-skeligt i sidste ende at sikre et reelt informeret samtykke fra brugeren
Vejledning14
Eksempel Indlejring af et kommentarmodul paring en hjemmeside
Et stoslashrre nyhedsmedie oslashnsker at indlejre et modul der saeligtter brugerne af deres hjemmeside i stand
til at kommentere indholdet paring hjemmesiden Nyhedsmediet kontakter til dette formaringl udbyderen
af et kommentarmodul der kan indlejres paring hjemmesider Nyhedsmediet og udbyderen af modulet
aftaler at modulet indlejres nederst paring alle nyhedsmediets sider
Udbyderen af kommentarmodulet vil gerne saeligtte cookies i brugernes terminaludstyr naringr brugerne
tilgaringr en side for at kunne foslashlge med i hvor meget modulet bliver brugt Nyhedsmediet aftaler der-
for med udbyderen af kommentarmodulet at sidstnaeligvnte soslashrger for at reglerne om lagring af eller
adgang til oplysninger i brugeres terminal- udstyr efterleves ved at der gives fyldestgoslashrende infor-
mation og indhentes samtykke fra brugerne
Nyhedsmediet er dog ansvarlig for at efterlevelsen af reglerne rent faktisk finder sted og dermed for
at der ikke sker en uretmaeligssig lagring i brugernes terminaludstyr naringr brugere tilgaringr nyhedsmediets
hjemmeside uanset hvad nyhedsmediet maringtte have aftalt med udbyderen af kommentarmodulet
Dette gaeliglder altsaring ogsaring i tilfaeliglde af at udbyderen af kommentarmodulet anvender cookies til andre
formaringl end det der foslashlger af aftalen og oplyses til brugeren
Ejeren af en hjemmeside er ansvarlig for de cookies og lignende teknologier der saeligttes i forbindelse med en brugers besoslashg paring hjemmesiden
Linkes der paring hjemmesiden til andre hjemmesider eller anvendes der rdquodelebarerrdquo eller rdquolike-knapperrdquo til eksempelvis Facebook eller Twitter er det vigtigt at vaeligre opmaeligrk-som paring hvorvidt disse hjemmesider saeligtter cookies via links delebar eller like-knapper allerede inden brugeren linkes over til den nye hjemmeside da det som ovenfor naeligvnt er hjemmesideejeren der i sidste ende er ansvarlig for de cookies der saeligttes paring deres hjemmeside Naringr der foslashrst er linket over via delebaren overgaringr ansvaret til ejeren af den nye hjemmeside
Det er ikke et krav efter cookiereglerne men det anbefales at oplyse brugeren om at siden forlades og at de sider man giver adgang til evt bruger cookies
Ved oprettelse af digitale platforme hvorfra man tilgaringr andre hjemmesider som vil optraeligde i rammen af den digitale platform eksempelvis Erhvervsstyrelsens rdquoVirkdkrdquo eller Digitaliseringsstyrelsens rdquoBorgerdkrdquo vil det vaeligre ejeren af den enkelte hjemme-side der tilgarings via platformen der er ansvarlig for overholdelsen af cookiereglerne paring disse hjemmesider Ejeren af platformen har ansvaret for cookies der saeligttes af dem
Det samme vil gaeliglde ved oprettelse af hjemmesider via sociale medier som eksempel-vis Facebook Det sociale medie vil vaeligre ansvarlig for de cookies der saeligttes af mediet men ikke for de cookies der saeligttes af ejeren af hjemmesiden oprettet i det sociale medies format
Det afgoslashrende for hvem der baeligrer ansvaret for indhentelse af samtykke til anvendelse af cookies paring en hjemmeside afhaelignger af hvem der har kontrollen over indholdet paring hjemmesiden
Hvor gaeliglder hvilke reglerHjemmesideejere der er etableret i andre lande udover Danmark skal vaeligre opmaeligrk-somme paring at de maringske ikke kan noslashjes med at indrette deres loslashsninger efter den danske lovgivning De danske cookieregler er baseret paring harmoniseret EU lovgivning der dog alene fastsaeligtter minimumskrav i forbindelse med anvendelse af cookies og lignende teknologier
Der er ikke i e-Databeskyttelsesdirektivet taget stilling til reglernes geografiske anven-delsesomraringde men Europa-Kommissionen har tilkendegivet at det indenfor EU er lovgivningen i det land hvori udbyderen af en tjeneste er etableret der er gaeligldende Vi
Vejledning 15
laeliggger i Danmark umiddelbart op af Kommissionens fortolkning der foslashlger rdquoafsen-derlandsprincippetrdquo i E-handelsdirektivet8
Hvis udbyderen af en tjeneste etableret i Danmark lagrer eller opnaringr adgang til op-lysninger i en brugers terminaludstyr er tjenesteudbyderen saringledes forpligtet efter de danske regler De danske regler finder ligeledes anvendelse hvor udbyderen af en tjeneste etableret i Danmark lader en 3 part der er etableret i et andet land lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyderens tjene-ste
Ifoslashlge Kommissionen gaeliglder for udbyderen af en tjeneste etableret uden for EU lovgiv-ningen i det land hvor lagringen af eller adgangen til oplysninger i en brugers termi-naludstyr finder sted Erhvervsstyrelsen laeliggger i tilsynet med reglerne vaeliggt paring hvor-vidt hjemmesiden retter sig mod danske forbrugere i overensstemmelse med de folkeretlige jurisdiktionsprincipper om hvor en handling har virkning Der vil saringledes blive lagt vaeliggt paring en raeligkke faktorer som sprog leveringsbetingelser (feks en webshop hvor der kan leveres til Danmark) etc
Krav om informeret samtykke
Det helt centrale i aeligndringen til e-Databeskyttelsesdirektivet fra 2009 er kravet om indhentelse af informeret samtykke forud for placeringen af cookies der ogsaring er foslashrt videre til de danske regler i cookiebekendtgoslashrelsens sect 3
Cookiebekendtgoslashrelsen indeholder en definition af samtykke baseret paring samtykkede-finitionen i Persondatabeskyttelsesdirektivet som Cookiedirektivet henviser til Det samme gaeliglder indholdet af informationspligten der ogsaring er naeligrmere beskrevet i Per-sondatabeskyttelsesdirektivet
Kravene om information og samtykke boslashr ses som to komplementaeligre elementer der understoslashtter hinanden og ikke kan adskilles idet de er indfoslashrt for at sikre at brugeren kan traeligffe et reelt og oplyst valg omkring overvaringgningen af deres faeligrdsel paring internet-tet Er informationen ikke fyldestgoslashrende vil samtykket heller ikke vaeligre et reelt sam-tykke
Nedenfor er kravene til baringde information og samtykke naeligrmere uddybet Der gives en raeligkke praktiske eksempler og flere foslashlger af den tekniske guide som findes i vejlednin-gens sidste afsnit Der er alene tale om eksempler til inspiration da det fortsat vil vaeligre op til den enkelte hjemmesideejer at vurdere hvordan kravene bedst muligt efterleves paring netop deres tjeneste
Bekendtgoslashrelsens sect 3
sect 3 Fysiske eller juridiske personer maring ikke lagre oplysninger eller opnaring adgang til oplysninger der
allerede er lagret i en slutbrugers terminaludstyr eller lade tredjepart lagre oplysninger eller opnaring
adgang til oplysninger hvis slutbrugeren ikke giver samtykke hertil efter at have modtaget fyldest-
goslashrende information om lagringen af eller adgangen til oplysningerne
Stk 2 Information jf stk 1 er fyldestgoslashrende naringr den som minimum
1) fremstaringr i et klart praeligcist og letforstaringeligt sprog eller tilsvarende billedskrift
2) indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens
terminaludstyr
3) indeholder oplysninger der identificerer enhver fysisk eller juridisk person der foranstalter lagrin-
gen af eller adgangen til oplysningerne
4) indeholder en umiddelbart tilgaeligngelig adgang for slutbrugeren til at afslaring samtykke eller tilbage-
8 Europa-Parlamentets og Raringdets direktiv 200031EF om visse retlige aspekter af informationssamfundstjenester navnlig ele-ktronisk handel i det indre marked
Vejledning16
kalde samtykke til lagringen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig
vejledning om hvordan slutbrugeren anvender en saringdan adgang og
5) er umiddelbart tilgaeligngelig for slutbrugeren ved samlet og tydeligt at blive meddelt denne Des-
uden skal information naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminal-
udstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren
ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Informationskravet
Hvilke krav stilles til fyldestgoslashrende information Af bekendtgoslashrelsens sect 3 stk 2 fremgaringr de krav der som minimum skal vaeligre opfyldt foslashr informationen kan siges at vaeligre fyldestgoslashrende Der stilles krav til karakteren ind-holdet og tilgaeligngeligheden af informationen
Overordnet kan siges at informationen skal udgoslashre det videns grundlag der saeligtter brugerne i stand til at traeligffe reelle informerede valg I nogle tilfaeliglde boslashr det derfor ogsaring overvejes at medtage yderligere information end der kraeligves i bekendtgoslashrelsen hvis dette er noslashdvendigt for at brugerne kan forstaring konsekvenserne af deres valg
Loslashsninger skal opfylde cookiereglerne baringde paring hjemmesider og paring mobilsites ndash se evt teknisk guide i vejledningens kapitel 6
Krav til sprog og tekstsect 3 stk 2 nr 1 fastsaeligtter krav til at informationen fremstaringr i et klart praeligcist og letfor-staringeligt sprog eller tilsvarende billedskrift
Det indebaeligrer bla at informationen ikke boslashr formuleres i unoslashdigt teknisk eller juri-disk sprog samt at brugeren let kan danne sig et overblik
Brug af tabeller eller billedsprog fx i form af piktogrammer kan supplere eller erstatte mere traditionel tekst og goslashre informationen lettere at forstaring men maring vurderes ud fra brugerens kendskab til saringdanne alternativer
Bestemmelsen indeholder ikke krav til paring hvilket sprog informationen skal gives Valg af sprog boslashr dog ske under hensynstagen til hvilke brugere en tjeneste retter sig imod herunder isaeligr hvor disse brugere befinder sig geografisk
Krav til oplysning om formaringlsect 3 stk 2 nr 2 fastsaeligtter krav til at informationen indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens terminaludstyr
Brugeren har ret til at faring oplyst hvorfor der lagres eller tilgarings oplysninger og det er ikke tilstraeligkkeligt blot at oplyse at det sker Dette krav haelignger sammen med samtykkekra-vet der skal vaeligre en specifik viljestilkendegivelse Angivelsen af rdquovi bruger cookiesrdquo uden yderligere praeligcisering vurderes saringledes ikke at opfylde reglerne
Informationen om formaringl med lagringen af eller adgangen til oplysninger er helt cen-tral og skal understoslashtte at brugerne er bevidste om hvilke konsekvenser deres valg har Formaringlet boslashr derfor altid beskrives meget praeligcist og daeligkkende
Har lagringen af eller adgangen til oplysninger mere end eacutet formaringl skal der oplyses om samtlige formaringl Lagres eller tilgarings der flere oplysninger med samme formaringl eller af flere omgange vil det almindeligvis vaeligre tilstraeligkkeligt at beskrive formaringlet eacuten gang og ikke for hver oplysning der lagres eller opnarings adgang til
Vejledning 17
I relation til kravet om angivelse af formaringl saring er det her vigtigt at understrege at for-maringlsbeskrivelsen ligeledes skal omfatte eventuelle 3 parters formaringl med at anvende cookies
Eksempel Information om formaringl med brug af cookies
Brugen af cookies er meget udbredt og kan have en lang raeligkke formaringl herunder fx at optimere
brugeroplevelse eller design paring en tjeneste at generere webstatistik eller at maringlrette markedsfoslashring
til brugere
Den information der gives boslashr beskrive formaringlet med tjenestens brug af cookies og ikke de en-
kelte cookies i sig selv
Hvis en tjeneste eksempelvis bruger fire cookies til at optimere designet paring tjenesten mens yderli-
gere to cookies bruges til at haringndtere annoncer og en syvende cookie bruges til at genere websta-
tisk vil det almindeligvis vaeligre tilstraeligkkeligt at informere om de tre forskellige formaringl med brugen
af cookies og ikke noslashdvendigvis om de i alt syv cookies siden goslashr brug af
Oplysninger om hvem der saeligtter cookiessect 3 stk 2 nr 3 fastsaeligtter krav til at informationen indeholder oplysninger der identifi-cerer enhver fysisk eller juridisk person der foranstalter lagringen af oplysninger eller opnaringr adgang til allerede lagrede oplysninger
Brugere skal vaeligre i stand til at identificere den der foranstalter lagringen Det vil i mange tilfaeliglde vaeligre udbyderen af tjenesten men hvor udbyderen af en tjeneste lader 3 part lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyde-rens tjeneste skal 3 part ogsaring kunne identificeres af brugeren Den eksakte angivelse af hvilke 3 parter der saeligtter cookies kan ske paring en underside jf vejledningens afsnit om lagdelt information nedenfor
For saring vidt angaringr oplysninger der lagres eller tilgarings i brugeres terminaludstyr af en or-ganisation fx en virksomhed eller anden juridisk person angives oplysninger som identificerer organisationen og ikke dens medarbejdere
Hvilke konkrete informationer der skal vaeligre til stede for at brugere kan identificere de(n) der foretager lagringen vil variere fra tjeneste til tjeneste og afhaelignger af de par-ter der er involveret
Adgang til at afslaring cookiessect 3 stk 2 nr 4 fastsaeligtter krav til at informationen indeholder en umiddelbart tilgaelign-gelig adgang for slutbrugeren til at afslaring samtykke eller tilbagekalde samtykke til lagrin-gen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig vejledning om hvordan slutbrugeren anvender en saringdan adgang
Brugere skal have mulighed for at afslaring samtykke eller tilbagekalde et allerede givet samtykke Dette skal understoslashtte reel brugerkontrol og frivilligheden af brugeres sam-tykke Til dette formaringl skal der vaeligre en umiddelbart tilgaeligngelig adgang til at afslaring cookies og en klar praeligcis og letforstaringelig vejledning om hvordan brugere kan anvende en saringdan adgang Se endvidere nedenfor under afsnittet om rdquoKravet til samtykkerdquo hvor det slarings fast at der ikke gaeliglder noget krav om at en hjemmeside skal kunne tilgarings eller fungere uden cookies
Det kan i nogle tilfaeliglde vaeligre relevant at henvise til eksempelvis vejledninger og vaeligrk-toslashjer andre har udarbejdet Der stilles i bekendtgoslashrelsen ingen krav til at vejledninger eller vaeligrktoslashjer til at afslaring eller tilbagekalde et samtykke skal forefindes paring tjenesten der lagrer eller tilgaringr oplysninger Det er adgangen til vejledning og vaeligrktoslashjer som tjene-sten er forpligtet til at goslashre umiddelbart tilgaeligngelig for brugeren
Vejledning18
Krav om informationens tilgaeligngelighedsect 3 stk 2 nr 5 fastsaeligtter krav til at informationen er umiddelbart tilgaeligngelig for slut-brugeren ved samlet og tydeligt at blive meddelt denne Desuden skal informationen naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjene-ste
For at sikre reel brugerkontrol er det noslashdvendigt at informationen er umiddelbart tilgaeligngelig for brugere og kan tilgarings uden besvaeligr Dette er desuden en forudsaeligtning for at brugere ogsaring kan tilbagekalde et allerede afgivet samtykke Hvordan informatio-nen bedst goslashres tilgaeligngelig vil bla afhaelignge af tjenestens design og struktur hvorfor det vil variere fra tjeneste til tjeneste
Informationen kan vaeligre lagdeltDet kan vaeligre hensigtsmaeligssigt at benytte sig af lagdelt information saringledes at det dog sikres at brugerne med det samme faringr de vaeligsentligste informationer saringsom formaringlet med anvendelsen af cookies samtidig med at der linkes til mere detaljerede informa-tioner Brugen af piktogrammer eller andre tydeligt markerede indgange til informa-tionen kan understoslashtte dette men ikke goslashre det ud alene for umiddelbar tilgaeligngelig information
Den umiddelbare angivelse af formaringlet med anvendelsen af cookies boslashr omfatte infor-mation om 3 parts cookies idet det har betydning for brugeren hvem data tilgaringr Ek-sempelvis ved angivelse af formaringl som direkte markedsfoslashring skal det ogsaring fremgaring at direkte markedsfoslashring vil vaeligre fra 3 part Den praeligcise angivelse af 3 parter kan evt ske paring en underside
En tjeneste kan desuden vaeliglge at skelne mellem hvordan informationen praeligsenteres for brugere inden brugeren afgiver eller afslaringr samtykke og hvordan informationen praeligsenteres efter at brugere har afgivet eller afslaringet samtykke
Paring informations- og indholdstjenester herunder hjemmesider og andre online tjene-ster der lagrer eller tilgaringr oplysninger i en brugeres terminaludstyr skal informationen vaeligre vedvarende tilgaeligngelig for brugere ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Dette indebaeligrer at brugere ved anvendelse af saringdanne tjenester til enhver tid skal have adgang til informationen og en saringdan adgang boslashr vaeligre let at finde og anvende Det kan bla overvejes at opfylde dette krav ved at placere en saringdan adgang i sammenhaeligng med oslashvrige vedvarende elementer paring en tjeneste Brug af piktogrammer eller lignende kan ogsaring overvejes i denne sammenhaeligng
Nedenfor redegoslashres naeligrmere for kravet til samtykke Det kan heraf laeligses at samtykke kan gives paring forskellig maringde herunder ogsaring ved en aktiv handling Kravet til informa-tion kan variere for saring vidt angaringr tydelighed og tilgaeligngelighed alt efter hvilken form for samtykke der er tale om Krav til hvilke oplysninger der gives for at en information kan anses for fyldestgoslashrende varierer imidlertid ikke
Vaeligsentlig information der skal gives til brugeren med det samme er
- Alle formaringl med cookies og lignende teknologier
- Hvem der anvender cookies og lignende teknologier paring hjemmesiden
Vejledning 19
Eksempel Fyldestgoslashrende information ndash lagdelt med vaeligsentlige oplysninger foslashrst
En tjeneste paring nettet der giver brugeren mulighed for at sammenligne produkter og priser paring for-
skellige vareomraringder anvender cookies til at registrere antallet af brugere paring hjemmesiden og til at
registrere hvor brugeren kommer fra Paring hjemmesiden er der bannerreklamer for forskellige produ-
center relateret til de varekategorier som omtales paring hjemmesiden Bannerreklamerne leveres af 3
parter og anvender cookies til at registrere hvilke annoncer brugeren klikker paring saringledes at det er
muligt at identificere brugernes interesser og maringlrette annonceringen
Eksempel Umiddelbar information til brugeren
rdquoVi bruger cookies til statistik og til maringlrettet markedsfoslashring ogsaring fra os selv og vores an-
noncoslashrer ndash se her hvilke Laeligs her mere om vores brug af cookies herunder hvordan du
fravaeliglger brug af cookiesrdquo
Kravet til samtykke
Som ovenfor naeligvnt er den centrale aeligndring af reglerne kravet om indhentelse af in-formeret samtykke fra brugeren ved anvendelse af cookies eller lignende teknologier der foslashlger af cookiebekendtgoslashrelsens sect 3
Samtykke defineres i bekendtgoslashrelsens sect 2 stk 1 nr 8
Bekendtgoslashrelsens sect 2 stk 1 nr 8
sect 2 stk 1 nr 8) Samtykke Enhver frivillig specifik og informeret viljestilkendegivelse hvorved
slutbrugeren indvilliger i at der lagres oplysninger eller opnarings adgang til allerede lagrede oplysnin-
ger i slutbrugerens terminaludstyr
Da tjenester og deres brugere er vidt forskellige vil der vaeligre stor forskel paring hvordan et samtykke bedst indhentes
Kravet om samtykke skal sikre at brugere har reel kontrol med hvorvidt der lagres el-ler tilgarings oplysninger i deres terminaludstyr Naringr samtykket skal indhentes er det der-for vaeligsentligt at holde sig brugerens kontrolmuligheder for oslashje herunder brugerens reelle muligheder for at vurdere formaringlet med lagringen eller tilgangen til oplysnin-gerne
Reglerne giver i udgangspunktet tjenester et stort mulighedsrum til at vaeliglge hvordan samtykket bedst kan indhentes paring en maringde der fungerer i deres konkrete kontekst
At samtykket skal vaeligre frivilligt indebaeligrer bla at brugere skal have et faktisk valg
Det er ikke et krav at hjemmesider kan fungere uden brug af cookies eller lignende teknologier hvorfor afvisning af cookies kan medfoslashre at brugerens eneste mulighed er at forlade hjemmesiden Virksomheder har selvsagt et incitament for at deres hjem-meside er tilgaeligngelig men det er ikke lovstridigt at have loslashsninger der afskaeligrer bru-gere som ikke vil acceptere brugen af cookies
For offentlige hjemmesider kan der vaeligre andre overvejelser idet adgangen til offentlige tjenester gerne skulle vaeligre tilgaeligngelig for alle
I frivilligheden af samtykket ligger ogsaring at brugere skal have mulighed for at tilbage-kalde et allerede afgivet samtykke jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 4
Vejledning20
At samtykket skal vaeligre specifikt indebaeligrer bla at samtykket skal vaeligre praeligcist og vel-afgraelignset Samtykket behoslashver imidlertid ikke relatere sig til hver enkelt lagring af eller adgang til oplysninger i brugernes terminaludstyr I stedet boslashr samtykket knytte sig til det formaringl der ligger til grund for lagringen af eller adgangen til oplysningerne jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 2
Hvis lagring af eller adgang til oplysninger paring et senere tidspunkt benyttes til formaringl der raeligkker ud over hvad der tidligere er indhentet samtykke til skal der indhentes et nyt samtykke der omfatter det nye formaringl
At samtykket skal vaeligre informeret understoslashttes af kravene til information i bekendtgoslash-relsens sect 3 stk 2 hvor ikke mindst formaringlet med lagringen er vaeligsentligt Som del af et informeret samtykke boslashr brugere ogsaring oplyses om konsekvenserne af deres (fra)valg Saringdanne konsekvenser kan fx vaeligre at brugere ikke kan faring adgang til (dele af) tjenesten som ovenfor beskrevet hvis samtykket afslarings eller at et samtykke medfoslashrer at 3 parter faringr mulighed for at lagre eller tilgaring allerede lagrede oplysninger i brugeres terminalud-styr
Brugeres viljetilkendegivelse staringr helt centralt i indhentningen af et samtykke En tjene-steudbyder har pligt til at identificere en aktiv handling fra sine brugere der med rime-lighed kan tages til indtaeliggt for en tilkendegivelse af deres vilje paring et informeret grund-lag Det skal dog understreges at vilje kan tilkendegives paring en lang raeligkke forskellige maringder og at reglerne i bekendtgoslashrelsen ikke tager specifikt stilling til hvordan denne skal komme til udtryk
En viljestilkendegivelse kan vaeligre mange ting herunder eksempelvis
bull afkrydsning af en boks klik paring en knap eller udfyldelse af en formular i sammenhaeligng med rele-
vant information paring en tjeneste
bull aktiv brug af en tjeneste hvor det maring forventes at brugeren er informeret om at der vil ske lag-
ring af eller adgang til oplysninger (saringfremt dette ikke er afslaringet)
Kommissionen har tilkendegivet overfor Erhvervsstyrelsen at aktiv brug af en tjeneste som ovenfor beskrevet er i overensstemmelse med e-Databeskyttelsesdirektivet og ac-cepteres i de fleste medlemslande Det afgoslashrende er at der kan identificeres en aktiv handling eksempelvis at der klikkes videre paring siden og at brugeren har en forstaringelse af at de ved denne handling accepterer cookies dvs det er ikke nok bare generelt at informere om at hjemmesiden bruger cookies det skal praeligciseres at cookies saeligttes ved at brugeren eksempelvis klikker videre
Der vil vaeligre stor forskel paring hvordan samtykket bedst indhentes Det er den enkelte tjeneste selv der har de bedste forudsaeligtninger for at vaeliglge en loslashsning der overholder samtykkekravet og giver tjenestens brugere reel mulighed for at tilkendegive deres vilje paring et informeret grundlag
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt at defi-nere praeligcist hvordan brugere i konkrete tilfaeliglde skal tilkendegive sin vilje Bekendt-goslashrelsens samtykkekrav giver derfor tjenester et stort mulighedsrum til at udvikle nye og innovative loslashsninger der oslashger brugerkontrollen og gennemsigtigheden
Vejledning 21
Eksempel Samtykke
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Accepter cookies Afvis cookies Laeligs mere her om vores brug af cookies herunder hvordan
du fravaeliglger cookies igenrdquo
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Klikker du videre paring siden accepterer du at der saeligttes cookies til disse formaringl Laeligs mere
her om vores brug af cookies herunder hvordan du fravaeliglger brugen af cookiesrdquo
Hvis brugere vaeliglger ikke at give samtykke til lagringen af oplysninger eller vaeliglger at tilbagekalde et samtykke stilles der som ovenfor naeligvnt i bekendtgoslashrelsen ikke noget krav til at brugere fortsat skal have adgang til indhold paring en tjeneste
Erhvervsstyrelsen er opmaeligrksom paring at kravet om forudgaringende samtykke kan vaeligre teknisk udfordrende for en del hjemmesider der saeligtter cookies allerede naringr brugeren tilgaringr siden saeligrligt for at sikre statistik om hvor mange der besoslashger en hjemmeside og hvor de kommer fra
Direktivet stiller et grundlaeligggende krav om informeret samtykke Nogle lande har valgt at haringndhaeligve samtykkekravet saringledes at det undtagelsesvis i saeligrlige tilfaeliglde ac-cepteres at cookies kan lagres forud for at brugeren har givet samtykke hertil UK fastslaringr eksempelvis i deres vejledning til reglerne at samtykke saring vidt muligt skal ind-hentes foslashr der saeligttes cookies men accepterer dog at det ikke altid sker Hvor det ikke er muligt at indhente samtykke foslashr cookies lagres laeliggges der i UKrsquos vejledning imid-lertid vaeliggt paring virksomhedernes indsats for at sikre information til brugerne og deres mulighed for at give samtykkeafvise cookies hurtigst muligt ligesom der laeliggges vaeliggt paring at virksomhederne begraelignser adgangen til sessions cookies
Der er behov for en naeligrmere afklaring fra Kommissionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside eje-rens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Samtykke ved browserindstillinger er ikke anerkendt i Danmark paring nuvaeligrende tids-punkt og kun i faring af de oslashvrige EU-medlemslande Den generelle holdning er at de browserloslashsninger som findes paring markedet i dag ikke i tilstraeligkkelig grad sikrer mod brugen af cookies hvor brugeren har fravalgt det Med de eksisterende browsere er det ikke muligt at differentiere sit samtykke tilstraeligkkelig nuanceret saring det reelt bliver et rdquoja takrdquo til alle cookies eller rdquonej takrdquo til alle cookies hvorefter brugeren vil kunne op-leve betydelige begraelignsninger i forhold til indhold af forskellige tjenester paring nettet
Samtykket varer i udgangspunktet indtil forholdene aeligndres Brugeren skal hele tiden have en let adgang til at traeligkke samtykket tilbage
Undtagelser
Bekendtgoslashrelsens sect 4 indeholder to undtagelser til kravet om informeret samtykke fra brugeren forud for anvendelsen af cookies Er der tale om indsamling af data som falder under undtagelsesbestemmelserne vil der efter lovgivningen ikke stilles krav om hverken information eller samtykke Det kan imidlertid vaeligre en anbefaling ogsaring her at give information og indhente samtykke ud fra en betragtning om at fuldstaeligndig gennemsigtighed oslashger tilliden til internettet og derfor kan vaeligre gavnlig for en e-hand-ler eller udbyder af tjenesteydelser paring nettet Det skal ogsaring her vurderes hvorvidt situa-tionen kan vaeligre omfattet af reglerne om beskyttelse af persondata
Vejledning22
Bekendtgoslashrelsens sect 4
sect 4 Uanset sect 3 kan fysiske eller juridiske personer lagre oplysninger eller opnaring adgang til oplysninger
der allerede er lagret i en slutbrugers terminaludstyr hvis
1) lagringen af eller adgangen til oplysninger alene sker med det formaringl at overfoslashre kommunikation
via et elektronisk kommunikationsnet eller
2) lagringen af eller adgangen til oplysninger er paringkraeligvet for at saeligtte tjenesteyderen af en informa-
tionssamfundstjeneste som slutbrugeren udtrykkeligt har anmodet om i stand til at levere denne
tjeneste
Stk 2 Lagring af eller adgang til oplysninger i en slutbrugersterminaludstyr er paringkraeligvet jf stk 1
nr 2 hvis lagringen af eller adgangen til oplysninger er en teknisk forudsaeligtning for at kunne levere
en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
Erhvervsstyrelsen laeliggger i fortolkningen af undtagelsesbestemmelserne vaeliggt paring udta-lelser fra den saringkaldte Artikel 29 gruppe som er omtalt i forordet og som i juni 2012 offentliggjorde et dokument vedroslashrende undtagelsesbestemmelserne i e-Datadirekti-vet efter aeligndringerne i 2009 Det er vigtigt her at understrege at der ikke er tale om et juridisk bindende dokument men gruppens fortolkninger stoslashttes i vid udstraeligkning af EU Kommissionen og bredt i medlemsstaterne Et link til Artikel 29 gruppens udta-lelse foslashlger af kapitel 5 rdquoLinks til lovgivning og direktiverrdquo
1 undtagelse Cookies i forbindelse med opkobling til internettetDet er Erhvervsstyrelsens vurdering at sect 4 stk 1 nr 1 alene er moslashntet paring udbydere af internetforbindelser og den lagring af eller adgang til oplysninger i brugeres terminal-udstyr der maringtte finde sted som en del af opkoblingen til internettet og vedligehol-delse heraf
2 undtagelse Cookies der sikrer funktionaliteten af en tjeneste som brugeren har bedt omsect 4 stk 1 nr 2 har derimod et bredere anvendelsesomraringde
For at vaeligre omfattet af undtagelsesbestemmelsen i sect 4 stk 1 nr 2 skal to krav vaeligre opfyldt For det foslashrste skal brugeren udtrykkeligt have anmodet om tjenesten For det andet skal lagringen af eller adgangen til oplysninger i brugerens terminaludstyr vaeligre paringkraeligvet for leveringen af denne tjeneste Begge krav skal vaeligre opfyldt
Brugerens faeligrden paring nettet eller besoslashg paring en specifik hjemmeside kan ikke tages som et udtryk for en generel anmodning om de tjenester der her tilbydes
Hvorvidt lagring af oplysninger eller adgang til allerede lagrede oplysninger er paringkraelig-vet uddybes i sect 4 stk 2 hvorefter der skal vaeligre tale om en teknisk forudsaeligtning for at kunne levere en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
For at vaeligre en teknisk noslashdvendighed skal tjenesten ikke kunne fungere uden brug af cookiersquoen eller en lignende teknologi Samtidig er det vigtigt at der er en klar sammen-haeligng mellem den rdquoparingkraeligvederdquo teknologi og brugerens udtrykkelige anmodning om tjenesten
Med hensyn til tjenestens formaringl boslashr der laeliggges vaeliggt paring det formaringl med hvilket bru-gere tilgaringr tjenesten eller hjemmesiden
Cookies eller lignende teknologier der opfylder kravene til at vaeligre omfattet af undta-gelsen maring ikke anvendes med andre formaringl for oslashje I saring fald skal brugeren informeres og give samtykke til disse andre formaringl
Vejledning 23
Det har betydning for vurderingen af om cookies kan undtages fra kravet om informe-ret samtykke om der er tale om sessionscookies eller vedvarende cookies og hvor den stammer fra Vedvarende cookies vil sjaeligldent falde under undtagelsesbestemmelsen
Eksempler paring undtagelser efter sect 4
Elektroniske indkoslashbskurve
- Brugen af elektroniske indkoslashbskurve i webshops hvor det er noslashdvendigt at kunne genkende bru-
geren paring tvaeligrs af sideskift (genindlaeligsninger af webshoppen) da indkoslashbskurven ellers vil vaeligre tom
ved visning af en ny side Lagring af fx en cookie eller lignende teknologi er dermed en teknisk for-
udsaeligtning for at kunne levere den tjeneste (e-handel) som brugeren udtrykkeligt har anmodet om
(tilgaringet webshoppen og lagt varer i indkoslashbskurven) Indkoslashbskurven fungerer desuden i overensstem-
melse med det formaringl (at koslashbe varer) med hvilket brugeren tilgaringr webshoppen
Log-in situationer
- Anvendelse af log-in (eksempelvis ved netbank offentlige selvbetjeningsloslashsninger eller ved ad-
gang til saeligrlige netvaeligrk) hvor cookies sikrer at brugeren logges ind med brug af brugernavn
passwords og forbliver logget ind uden igen at skulle indtaste saringdanne koder Det er vigtigt at
understrege at det alene er selve log-in funktionen der er undtaget men ikke noslashdvendigvis cookies
som saeligttes ved aktiviteter efter log-in funktionen
Andre undtagelser
Brugerdefinerede browserindstillinger ndash eks valg af land sprog eller skriftstoslashrrelse
- Disse cookies kan vaeligre undtaget fra kravet om informeret samtykke i det omfang at disse udtryk-
kelig aktiveres af brugeren fx ved at klikke paring en knap eller afkrydse en rubrik og ikke benyttes til
andre formaringl og ikke i laeligngere tid end en browsersession
Authentificeringscookies
Cookies der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider
Brugervalideringscookies
Cookies der anvendes til at sikre mod (gentagne) fejl ved log-in
Multimedia player cookies
Cookies der anvendes til at regulere netvaeligrkshastighed eller billedkvalitet og til at aktivere play back
video- eller lydfiler
Plug-ins til sociale medier
Cookies der giver muligheden for enten at dele indholdet af en hjemmeside eller rdquolikerdquo indholdet via
det sociale medie Cookien saeligttes alene for at dirigere brugeren over paring den sociale hjemmeside og
logge ind her Den har alene betydning for brugere af sociale netvaeligrk der allerede er logget ind her
Bruges cookien til at tracke brugeren rundt paring nettet vil den ikke vaeligre omfattet
Load balancing
Cookies der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en
service
Det er Erhvervsstyrelsens vurdering at cookies der husker at en bruger har sagt rdquonej takrdquo til cookies er undtaget kravet om informeret samtykke da der er tale om et oslashnske fra brugeren og den er noslashdvendig for at huske indstillingen
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning12
er ikke omfattet af reglerne i cookiebekendtgoslashrelsen Saringdanne handlinger kan i stedet vaeligre omfattet af de generelle bestemmelser om beskyttelse af persondata
Foslashlgende tabel giver en oversigt over graelignsefladerne mellem cookiebekendtgoslashrelse og persondataloven
Tabel 1 Anvendelsesomraringder for cookie-bekendtgoslashrelsen og persondataloven
Cookie-bekendtgoslashrelsen Persondataloven
Beskyttelsesobjekt Brugerens terminaludstyr forstaringet som en del af privatsfaeligren
Personoplysninger (ikke kun i terminaludstyr)
Omfattede oplysnings-typer
Alle oplysninger uden sondring
Som udgangspunkt kun personoplysninger Dog er oplysninger om virksomheder mv omfattet i saeligrlige tilfaeliglde
Omfattede behandlings-former
Lagring af eller adgang til oplysninger i en brugers terminaludstyr
Enhver behandling af personoplysninger inden for lovens anvendelsesomraringde hvor der ikke er saeligrregler i anden lovgivning der traeligder i stedet for
Kriterier for behandling(behandlingshjemmel)
HR Fyldestgoslashrende informa-tion til og samtykke fra brugerU Bekendtgoslashrelsens sect 4
Udtrykkelig samtykke er blot eacutet af flere mulige behandlingskriterier
Der er et overlap mellem cookiebekendtgoslashrelsen og persondataloven for saring vidt angaringr lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr naringr de indsamlede oplysninger er personoplysninger Kravet om informeret samtykke i cookiereglerne giver her en bedre beskyttelse af brugeren end persondatabeskyttelses-reglerne der omfatter en raeligkke situationer hvor informeret samtykke ikke er paringkraeligvet
Ved lagring af og adgang til allerede lagrede oplysninger som er personoplysninger i terminaludstyr vil cookiebekendtgoslashrelsen dermed garing forud for persondataloven jf Persondatalovens sect 2
I praksis vil det imidlertid forekomme at der udover lagring af eller adgang til allerede lagrede oplysninger i en brugers terminaludstyr ogsaring finder andre behandlinger af op-lysninger sted
For eksempel naringr behandlingerne transmitteres til indsamles eller viderebehandles paring en server Saringdanne behandlingsformer ligger uden for brugernes terminaludstyr og er ikke omfattet af cookiereglerne Afhaeligngigt af de konkrete omstaeligndigheder kan reg-lerne i persondataloven evt finde anvendelse her
Hvilke oplysninger er omfattetBekendtgoslashrelsen vedroslashrer enhver type af oplysninger der indsamles eller lagres paring brugerens terminaludstyr
Vejledning 13
Cookiereglerne regulerer midlet til indsamling af data Der sondres ikke her mellem personhenfoslashrbare og ikke personhenfoslashrbare oplysninger
Det er ligeledes uden betydning om oplysningerne er semantisk meningsfulde ufor-staringelige tekststrenge kode eller om oplysningerne er krypterede
Eksempel Lagring af eller adgang til allerede lagrede oplysninger til brug for webstatistik
En udbyder af en hjemmeside oslashnsker at lave en analyse af hvordan hjemmesidens brugere benytter
siden med henblik paring at forbedre brugeroplevelsen Til dette formaringl oslashnsker udbyderen af hjemme-
siden at placere cookies i brugernes terminaludstyr
Tjenesteudbyderen er omfattet af bekendtgoslashrelsens krav til information og samtykke for saring vidt
angaringr lagringen af cookies og eventuel senere adgang til disse cookies i brugernes terminaludstyr
Oslashnsker tjenesteudbyderen efterfoslashlgende at analysere oplysningerne der er indsamlet ved hjaeliglp af
de placerede cookies falder denne behandling udenfor cookiebekendtgoslashrelsens anvendelsesomraring-
de Det gaeliglder eksempelvis den videre behandling af oplysningerne hos tjenesteudbyderen til brug
for udarbejdelse af statistik
Hvem gaeliglder reglerne forAlle der lagrer eller opnaringr adgang til oplysninger i brugeres terminaludstyr er omfattet af reglerne (se ogsaring det efterfoslashlgende afsnit rdquoHvor gaeliglder hvilke reglerrdquo)
Hjemmesider der henvender sig til alle eller udelukkende til virksomheder vil saringledes vaeligre omfattet af reglerne saringfremt der benyttes cookies eller lignende teknologier paring hjemmesiden idet hjemmesider som udgangspunkt kan tilgarings af alle
Ejeren af en hjemmeside er ligeledes forpligtet efter reglerne i forbindelse med 3 parts lagring af eller adgang til oplysninger i brugeres terminaludstyr hvis dette sker via udbyderens tjeneste fx ved hjaeliglp af indlejret kode i en bannerreklame software ap-plikationer eller links
Ejeren af en hjemmeside behoslashver ikke selv staring for den praktiske og tekniske efterle-velse af reglerne (informering og indhentning af et samtykke fra brugeren) men kan aftale at 3 part haringndterer dette paring vegne af tjenesteudbyderen Ansvaret for at reglerne overholdes vil dog altid ligge hos udbyderen af en tjenesteydelse uanset hvad denne maringtte have aftalt med 3 part da man ifoslashlge cookiebekendtgoslashrelsen heller ikke maring lade 3 part lagre eller faring adgang til allerede lagrede oplysninger uden information til og sam-tykke fra slutbrugeren
Der gaeliglder ikke efter cookiereglerne et krav om indgaringelse af databehandlingsaftale som der gaeliglder efter Persondataloven men det kan vaeligre hensigtsmaeligssigt hvor man giver adgang for 3 part til indsamling af data via ens hjemmeside at indgaring en skriftlig aftale med henblik paring at afdaeligkke med hvilke formaringl 3 part indsamler data om bru-gerne idet dette formaringl skal vaeligre omfattet af informationen paring hjemmesiden for at samtykke fra brugeren kan anses for at vaeligre reelt og fyldestgoslashrende jf nedenfor under afsnittet om rdquoKrav om informeret samtykkerdquo
Ved indlejring paring egen hjemmeside af andres tjenester der eksempelvis hentes via in-ternettet vil aftalen med 3 part oftest bero paring en ensidig accept af 3 partens givne forretningsbetingelser og ikke give mulighed for forhandling af kontraktvilkaringr Man skal vaeligre opmaeligrksom paring at det her kan vaeligre vanskeligt at kontrollere 3 partens brug af data som evt indsamles via cookies eller lignende teknologier og derved ogsaring van-skeligt i sidste ende at sikre et reelt informeret samtykke fra brugeren
Vejledning14
Eksempel Indlejring af et kommentarmodul paring en hjemmeside
Et stoslashrre nyhedsmedie oslashnsker at indlejre et modul der saeligtter brugerne af deres hjemmeside i stand
til at kommentere indholdet paring hjemmesiden Nyhedsmediet kontakter til dette formaringl udbyderen
af et kommentarmodul der kan indlejres paring hjemmesider Nyhedsmediet og udbyderen af modulet
aftaler at modulet indlejres nederst paring alle nyhedsmediets sider
Udbyderen af kommentarmodulet vil gerne saeligtte cookies i brugernes terminaludstyr naringr brugerne
tilgaringr en side for at kunne foslashlge med i hvor meget modulet bliver brugt Nyhedsmediet aftaler der-
for med udbyderen af kommentarmodulet at sidstnaeligvnte soslashrger for at reglerne om lagring af eller
adgang til oplysninger i brugeres terminal- udstyr efterleves ved at der gives fyldestgoslashrende infor-
mation og indhentes samtykke fra brugerne
Nyhedsmediet er dog ansvarlig for at efterlevelsen af reglerne rent faktisk finder sted og dermed for
at der ikke sker en uretmaeligssig lagring i brugernes terminaludstyr naringr brugere tilgaringr nyhedsmediets
hjemmeside uanset hvad nyhedsmediet maringtte have aftalt med udbyderen af kommentarmodulet
Dette gaeliglder altsaring ogsaring i tilfaeliglde af at udbyderen af kommentarmodulet anvender cookies til andre
formaringl end det der foslashlger af aftalen og oplyses til brugeren
Ejeren af en hjemmeside er ansvarlig for de cookies og lignende teknologier der saeligttes i forbindelse med en brugers besoslashg paring hjemmesiden
Linkes der paring hjemmesiden til andre hjemmesider eller anvendes der rdquodelebarerrdquo eller rdquolike-knapperrdquo til eksempelvis Facebook eller Twitter er det vigtigt at vaeligre opmaeligrk-som paring hvorvidt disse hjemmesider saeligtter cookies via links delebar eller like-knapper allerede inden brugeren linkes over til den nye hjemmeside da det som ovenfor naeligvnt er hjemmesideejeren der i sidste ende er ansvarlig for de cookies der saeligttes paring deres hjemmeside Naringr der foslashrst er linket over via delebaren overgaringr ansvaret til ejeren af den nye hjemmeside
Det er ikke et krav efter cookiereglerne men det anbefales at oplyse brugeren om at siden forlades og at de sider man giver adgang til evt bruger cookies
Ved oprettelse af digitale platforme hvorfra man tilgaringr andre hjemmesider som vil optraeligde i rammen af den digitale platform eksempelvis Erhvervsstyrelsens rdquoVirkdkrdquo eller Digitaliseringsstyrelsens rdquoBorgerdkrdquo vil det vaeligre ejeren af den enkelte hjemme-side der tilgarings via platformen der er ansvarlig for overholdelsen af cookiereglerne paring disse hjemmesider Ejeren af platformen har ansvaret for cookies der saeligttes af dem
Det samme vil gaeliglde ved oprettelse af hjemmesider via sociale medier som eksempel-vis Facebook Det sociale medie vil vaeligre ansvarlig for de cookies der saeligttes af mediet men ikke for de cookies der saeligttes af ejeren af hjemmesiden oprettet i det sociale medies format
Det afgoslashrende for hvem der baeligrer ansvaret for indhentelse af samtykke til anvendelse af cookies paring en hjemmeside afhaelignger af hvem der har kontrollen over indholdet paring hjemmesiden
Hvor gaeliglder hvilke reglerHjemmesideejere der er etableret i andre lande udover Danmark skal vaeligre opmaeligrk-somme paring at de maringske ikke kan noslashjes med at indrette deres loslashsninger efter den danske lovgivning De danske cookieregler er baseret paring harmoniseret EU lovgivning der dog alene fastsaeligtter minimumskrav i forbindelse med anvendelse af cookies og lignende teknologier
Der er ikke i e-Databeskyttelsesdirektivet taget stilling til reglernes geografiske anven-delsesomraringde men Europa-Kommissionen har tilkendegivet at det indenfor EU er lovgivningen i det land hvori udbyderen af en tjeneste er etableret der er gaeligldende Vi
Vejledning 15
laeliggger i Danmark umiddelbart op af Kommissionens fortolkning der foslashlger rdquoafsen-derlandsprincippetrdquo i E-handelsdirektivet8
Hvis udbyderen af en tjeneste etableret i Danmark lagrer eller opnaringr adgang til op-lysninger i en brugers terminaludstyr er tjenesteudbyderen saringledes forpligtet efter de danske regler De danske regler finder ligeledes anvendelse hvor udbyderen af en tjeneste etableret i Danmark lader en 3 part der er etableret i et andet land lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyderens tjene-ste
Ifoslashlge Kommissionen gaeliglder for udbyderen af en tjeneste etableret uden for EU lovgiv-ningen i det land hvor lagringen af eller adgangen til oplysninger i en brugers termi-naludstyr finder sted Erhvervsstyrelsen laeliggger i tilsynet med reglerne vaeliggt paring hvor-vidt hjemmesiden retter sig mod danske forbrugere i overensstemmelse med de folkeretlige jurisdiktionsprincipper om hvor en handling har virkning Der vil saringledes blive lagt vaeliggt paring en raeligkke faktorer som sprog leveringsbetingelser (feks en webshop hvor der kan leveres til Danmark) etc
Krav om informeret samtykke
Det helt centrale i aeligndringen til e-Databeskyttelsesdirektivet fra 2009 er kravet om indhentelse af informeret samtykke forud for placeringen af cookies der ogsaring er foslashrt videre til de danske regler i cookiebekendtgoslashrelsens sect 3
Cookiebekendtgoslashrelsen indeholder en definition af samtykke baseret paring samtykkede-finitionen i Persondatabeskyttelsesdirektivet som Cookiedirektivet henviser til Det samme gaeliglder indholdet af informationspligten der ogsaring er naeligrmere beskrevet i Per-sondatabeskyttelsesdirektivet
Kravene om information og samtykke boslashr ses som to komplementaeligre elementer der understoslashtter hinanden og ikke kan adskilles idet de er indfoslashrt for at sikre at brugeren kan traeligffe et reelt og oplyst valg omkring overvaringgningen af deres faeligrdsel paring internet-tet Er informationen ikke fyldestgoslashrende vil samtykket heller ikke vaeligre et reelt sam-tykke
Nedenfor er kravene til baringde information og samtykke naeligrmere uddybet Der gives en raeligkke praktiske eksempler og flere foslashlger af den tekniske guide som findes i vejlednin-gens sidste afsnit Der er alene tale om eksempler til inspiration da det fortsat vil vaeligre op til den enkelte hjemmesideejer at vurdere hvordan kravene bedst muligt efterleves paring netop deres tjeneste
Bekendtgoslashrelsens sect 3
sect 3 Fysiske eller juridiske personer maring ikke lagre oplysninger eller opnaring adgang til oplysninger der
allerede er lagret i en slutbrugers terminaludstyr eller lade tredjepart lagre oplysninger eller opnaring
adgang til oplysninger hvis slutbrugeren ikke giver samtykke hertil efter at have modtaget fyldest-
goslashrende information om lagringen af eller adgangen til oplysningerne
Stk 2 Information jf stk 1 er fyldestgoslashrende naringr den som minimum
1) fremstaringr i et klart praeligcist og letforstaringeligt sprog eller tilsvarende billedskrift
2) indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens
terminaludstyr
3) indeholder oplysninger der identificerer enhver fysisk eller juridisk person der foranstalter lagrin-
gen af eller adgangen til oplysningerne
4) indeholder en umiddelbart tilgaeligngelig adgang for slutbrugeren til at afslaring samtykke eller tilbage-
8 Europa-Parlamentets og Raringdets direktiv 200031EF om visse retlige aspekter af informationssamfundstjenester navnlig ele-ktronisk handel i det indre marked
Vejledning16
kalde samtykke til lagringen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig
vejledning om hvordan slutbrugeren anvender en saringdan adgang og
5) er umiddelbart tilgaeligngelig for slutbrugeren ved samlet og tydeligt at blive meddelt denne Des-
uden skal information naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminal-
udstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren
ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Informationskravet
Hvilke krav stilles til fyldestgoslashrende information Af bekendtgoslashrelsens sect 3 stk 2 fremgaringr de krav der som minimum skal vaeligre opfyldt foslashr informationen kan siges at vaeligre fyldestgoslashrende Der stilles krav til karakteren ind-holdet og tilgaeligngeligheden af informationen
Overordnet kan siges at informationen skal udgoslashre det videns grundlag der saeligtter brugerne i stand til at traeligffe reelle informerede valg I nogle tilfaeliglde boslashr det derfor ogsaring overvejes at medtage yderligere information end der kraeligves i bekendtgoslashrelsen hvis dette er noslashdvendigt for at brugerne kan forstaring konsekvenserne af deres valg
Loslashsninger skal opfylde cookiereglerne baringde paring hjemmesider og paring mobilsites ndash se evt teknisk guide i vejledningens kapitel 6
Krav til sprog og tekstsect 3 stk 2 nr 1 fastsaeligtter krav til at informationen fremstaringr i et klart praeligcist og letfor-staringeligt sprog eller tilsvarende billedskrift
Det indebaeligrer bla at informationen ikke boslashr formuleres i unoslashdigt teknisk eller juri-disk sprog samt at brugeren let kan danne sig et overblik
Brug af tabeller eller billedsprog fx i form af piktogrammer kan supplere eller erstatte mere traditionel tekst og goslashre informationen lettere at forstaring men maring vurderes ud fra brugerens kendskab til saringdanne alternativer
Bestemmelsen indeholder ikke krav til paring hvilket sprog informationen skal gives Valg af sprog boslashr dog ske under hensynstagen til hvilke brugere en tjeneste retter sig imod herunder isaeligr hvor disse brugere befinder sig geografisk
Krav til oplysning om formaringlsect 3 stk 2 nr 2 fastsaeligtter krav til at informationen indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens terminaludstyr
Brugeren har ret til at faring oplyst hvorfor der lagres eller tilgarings oplysninger og det er ikke tilstraeligkkeligt blot at oplyse at det sker Dette krav haelignger sammen med samtykkekra-vet der skal vaeligre en specifik viljestilkendegivelse Angivelsen af rdquovi bruger cookiesrdquo uden yderligere praeligcisering vurderes saringledes ikke at opfylde reglerne
Informationen om formaringl med lagringen af eller adgangen til oplysninger er helt cen-tral og skal understoslashtte at brugerne er bevidste om hvilke konsekvenser deres valg har Formaringlet boslashr derfor altid beskrives meget praeligcist og daeligkkende
Har lagringen af eller adgangen til oplysninger mere end eacutet formaringl skal der oplyses om samtlige formaringl Lagres eller tilgarings der flere oplysninger med samme formaringl eller af flere omgange vil det almindeligvis vaeligre tilstraeligkkeligt at beskrive formaringlet eacuten gang og ikke for hver oplysning der lagres eller opnarings adgang til
Vejledning 17
I relation til kravet om angivelse af formaringl saring er det her vigtigt at understrege at for-maringlsbeskrivelsen ligeledes skal omfatte eventuelle 3 parters formaringl med at anvende cookies
Eksempel Information om formaringl med brug af cookies
Brugen af cookies er meget udbredt og kan have en lang raeligkke formaringl herunder fx at optimere
brugeroplevelse eller design paring en tjeneste at generere webstatistik eller at maringlrette markedsfoslashring
til brugere
Den information der gives boslashr beskrive formaringlet med tjenestens brug af cookies og ikke de en-
kelte cookies i sig selv
Hvis en tjeneste eksempelvis bruger fire cookies til at optimere designet paring tjenesten mens yderli-
gere to cookies bruges til at haringndtere annoncer og en syvende cookie bruges til at genere websta-
tisk vil det almindeligvis vaeligre tilstraeligkkeligt at informere om de tre forskellige formaringl med brugen
af cookies og ikke noslashdvendigvis om de i alt syv cookies siden goslashr brug af
Oplysninger om hvem der saeligtter cookiessect 3 stk 2 nr 3 fastsaeligtter krav til at informationen indeholder oplysninger der identifi-cerer enhver fysisk eller juridisk person der foranstalter lagringen af oplysninger eller opnaringr adgang til allerede lagrede oplysninger
Brugere skal vaeligre i stand til at identificere den der foranstalter lagringen Det vil i mange tilfaeliglde vaeligre udbyderen af tjenesten men hvor udbyderen af en tjeneste lader 3 part lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyde-rens tjeneste skal 3 part ogsaring kunne identificeres af brugeren Den eksakte angivelse af hvilke 3 parter der saeligtter cookies kan ske paring en underside jf vejledningens afsnit om lagdelt information nedenfor
For saring vidt angaringr oplysninger der lagres eller tilgarings i brugeres terminaludstyr af en or-ganisation fx en virksomhed eller anden juridisk person angives oplysninger som identificerer organisationen og ikke dens medarbejdere
Hvilke konkrete informationer der skal vaeligre til stede for at brugere kan identificere de(n) der foretager lagringen vil variere fra tjeneste til tjeneste og afhaelignger af de par-ter der er involveret
Adgang til at afslaring cookiessect 3 stk 2 nr 4 fastsaeligtter krav til at informationen indeholder en umiddelbart tilgaelign-gelig adgang for slutbrugeren til at afslaring samtykke eller tilbagekalde samtykke til lagrin-gen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig vejledning om hvordan slutbrugeren anvender en saringdan adgang
Brugere skal have mulighed for at afslaring samtykke eller tilbagekalde et allerede givet samtykke Dette skal understoslashtte reel brugerkontrol og frivilligheden af brugeres sam-tykke Til dette formaringl skal der vaeligre en umiddelbart tilgaeligngelig adgang til at afslaring cookies og en klar praeligcis og letforstaringelig vejledning om hvordan brugere kan anvende en saringdan adgang Se endvidere nedenfor under afsnittet om rdquoKravet til samtykkerdquo hvor det slarings fast at der ikke gaeliglder noget krav om at en hjemmeside skal kunne tilgarings eller fungere uden cookies
Det kan i nogle tilfaeliglde vaeligre relevant at henvise til eksempelvis vejledninger og vaeligrk-toslashjer andre har udarbejdet Der stilles i bekendtgoslashrelsen ingen krav til at vejledninger eller vaeligrktoslashjer til at afslaring eller tilbagekalde et samtykke skal forefindes paring tjenesten der lagrer eller tilgaringr oplysninger Det er adgangen til vejledning og vaeligrktoslashjer som tjene-sten er forpligtet til at goslashre umiddelbart tilgaeligngelig for brugeren
Vejledning18
Krav om informationens tilgaeligngelighedsect 3 stk 2 nr 5 fastsaeligtter krav til at informationen er umiddelbart tilgaeligngelig for slut-brugeren ved samlet og tydeligt at blive meddelt denne Desuden skal informationen naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjene-ste
For at sikre reel brugerkontrol er det noslashdvendigt at informationen er umiddelbart tilgaeligngelig for brugere og kan tilgarings uden besvaeligr Dette er desuden en forudsaeligtning for at brugere ogsaring kan tilbagekalde et allerede afgivet samtykke Hvordan informatio-nen bedst goslashres tilgaeligngelig vil bla afhaelignge af tjenestens design og struktur hvorfor det vil variere fra tjeneste til tjeneste
Informationen kan vaeligre lagdeltDet kan vaeligre hensigtsmaeligssigt at benytte sig af lagdelt information saringledes at det dog sikres at brugerne med det samme faringr de vaeligsentligste informationer saringsom formaringlet med anvendelsen af cookies samtidig med at der linkes til mere detaljerede informa-tioner Brugen af piktogrammer eller andre tydeligt markerede indgange til informa-tionen kan understoslashtte dette men ikke goslashre det ud alene for umiddelbar tilgaeligngelig information
Den umiddelbare angivelse af formaringlet med anvendelsen af cookies boslashr omfatte infor-mation om 3 parts cookies idet det har betydning for brugeren hvem data tilgaringr Ek-sempelvis ved angivelse af formaringl som direkte markedsfoslashring skal det ogsaring fremgaring at direkte markedsfoslashring vil vaeligre fra 3 part Den praeligcise angivelse af 3 parter kan evt ske paring en underside
En tjeneste kan desuden vaeliglge at skelne mellem hvordan informationen praeligsenteres for brugere inden brugeren afgiver eller afslaringr samtykke og hvordan informationen praeligsenteres efter at brugere har afgivet eller afslaringet samtykke
Paring informations- og indholdstjenester herunder hjemmesider og andre online tjene-ster der lagrer eller tilgaringr oplysninger i en brugeres terminaludstyr skal informationen vaeligre vedvarende tilgaeligngelig for brugere ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Dette indebaeligrer at brugere ved anvendelse af saringdanne tjenester til enhver tid skal have adgang til informationen og en saringdan adgang boslashr vaeligre let at finde og anvende Det kan bla overvejes at opfylde dette krav ved at placere en saringdan adgang i sammenhaeligng med oslashvrige vedvarende elementer paring en tjeneste Brug af piktogrammer eller lignende kan ogsaring overvejes i denne sammenhaeligng
Nedenfor redegoslashres naeligrmere for kravet til samtykke Det kan heraf laeligses at samtykke kan gives paring forskellig maringde herunder ogsaring ved en aktiv handling Kravet til informa-tion kan variere for saring vidt angaringr tydelighed og tilgaeligngelighed alt efter hvilken form for samtykke der er tale om Krav til hvilke oplysninger der gives for at en information kan anses for fyldestgoslashrende varierer imidlertid ikke
Vaeligsentlig information der skal gives til brugeren med det samme er
- Alle formaringl med cookies og lignende teknologier
- Hvem der anvender cookies og lignende teknologier paring hjemmesiden
Vejledning 19
Eksempel Fyldestgoslashrende information ndash lagdelt med vaeligsentlige oplysninger foslashrst
En tjeneste paring nettet der giver brugeren mulighed for at sammenligne produkter og priser paring for-
skellige vareomraringder anvender cookies til at registrere antallet af brugere paring hjemmesiden og til at
registrere hvor brugeren kommer fra Paring hjemmesiden er der bannerreklamer for forskellige produ-
center relateret til de varekategorier som omtales paring hjemmesiden Bannerreklamerne leveres af 3
parter og anvender cookies til at registrere hvilke annoncer brugeren klikker paring saringledes at det er
muligt at identificere brugernes interesser og maringlrette annonceringen
Eksempel Umiddelbar information til brugeren
rdquoVi bruger cookies til statistik og til maringlrettet markedsfoslashring ogsaring fra os selv og vores an-
noncoslashrer ndash se her hvilke Laeligs her mere om vores brug af cookies herunder hvordan du
fravaeliglger brug af cookiesrdquo
Kravet til samtykke
Som ovenfor naeligvnt er den centrale aeligndring af reglerne kravet om indhentelse af in-formeret samtykke fra brugeren ved anvendelse af cookies eller lignende teknologier der foslashlger af cookiebekendtgoslashrelsens sect 3
Samtykke defineres i bekendtgoslashrelsens sect 2 stk 1 nr 8
Bekendtgoslashrelsens sect 2 stk 1 nr 8
sect 2 stk 1 nr 8) Samtykke Enhver frivillig specifik og informeret viljestilkendegivelse hvorved
slutbrugeren indvilliger i at der lagres oplysninger eller opnarings adgang til allerede lagrede oplysnin-
ger i slutbrugerens terminaludstyr
Da tjenester og deres brugere er vidt forskellige vil der vaeligre stor forskel paring hvordan et samtykke bedst indhentes
Kravet om samtykke skal sikre at brugere har reel kontrol med hvorvidt der lagres el-ler tilgarings oplysninger i deres terminaludstyr Naringr samtykket skal indhentes er det der-for vaeligsentligt at holde sig brugerens kontrolmuligheder for oslashje herunder brugerens reelle muligheder for at vurdere formaringlet med lagringen eller tilgangen til oplysnin-gerne
Reglerne giver i udgangspunktet tjenester et stort mulighedsrum til at vaeliglge hvordan samtykket bedst kan indhentes paring en maringde der fungerer i deres konkrete kontekst
At samtykket skal vaeligre frivilligt indebaeligrer bla at brugere skal have et faktisk valg
Det er ikke et krav at hjemmesider kan fungere uden brug af cookies eller lignende teknologier hvorfor afvisning af cookies kan medfoslashre at brugerens eneste mulighed er at forlade hjemmesiden Virksomheder har selvsagt et incitament for at deres hjem-meside er tilgaeligngelig men det er ikke lovstridigt at have loslashsninger der afskaeligrer bru-gere som ikke vil acceptere brugen af cookies
For offentlige hjemmesider kan der vaeligre andre overvejelser idet adgangen til offentlige tjenester gerne skulle vaeligre tilgaeligngelig for alle
I frivilligheden af samtykket ligger ogsaring at brugere skal have mulighed for at tilbage-kalde et allerede afgivet samtykke jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 4
Vejledning20
At samtykket skal vaeligre specifikt indebaeligrer bla at samtykket skal vaeligre praeligcist og vel-afgraelignset Samtykket behoslashver imidlertid ikke relatere sig til hver enkelt lagring af eller adgang til oplysninger i brugernes terminaludstyr I stedet boslashr samtykket knytte sig til det formaringl der ligger til grund for lagringen af eller adgangen til oplysningerne jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 2
Hvis lagring af eller adgang til oplysninger paring et senere tidspunkt benyttes til formaringl der raeligkker ud over hvad der tidligere er indhentet samtykke til skal der indhentes et nyt samtykke der omfatter det nye formaringl
At samtykket skal vaeligre informeret understoslashttes af kravene til information i bekendtgoslash-relsens sect 3 stk 2 hvor ikke mindst formaringlet med lagringen er vaeligsentligt Som del af et informeret samtykke boslashr brugere ogsaring oplyses om konsekvenserne af deres (fra)valg Saringdanne konsekvenser kan fx vaeligre at brugere ikke kan faring adgang til (dele af) tjenesten som ovenfor beskrevet hvis samtykket afslarings eller at et samtykke medfoslashrer at 3 parter faringr mulighed for at lagre eller tilgaring allerede lagrede oplysninger i brugeres terminalud-styr
Brugeres viljetilkendegivelse staringr helt centralt i indhentningen af et samtykke En tjene-steudbyder har pligt til at identificere en aktiv handling fra sine brugere der med rime-lighed kan tages til indtaeliggt for en tilkendegivelse af deres vilje paring et informeret grund-lag Det skal dog understreges at vilje kan tilkendegives paring en lang raeligkke forskellige maringder og at reglerne i bekendtgoslashrelsen ikke tager specifikt stilling til hvordan denne skal komme til udtryk
En viljestilkendegivelse kan vaeligre mange ting herunder eksempelvis
bull afkrydsning af en boks klik paring en knap eller udfyldelse af en formular i sammenhaeligng med rele-
vant information paring en tjeneste
bull aktiv brug af en tjeneste hvor det maring forventes at brugeren er informeret om at der vil ske lag-
ring af eller adgang til oplysninger (saringfremt dette ikke er afslaringet)
Kommissionen har tilkendegivet overfor Erhvervsstyrelsen at aktiv brug af en tjeneste som ovenfor beskrevet er i overensstemmelse med e-Databeskyttelsesdirektivet og ac-cepteres i de fleste medlemslande Det afgoslashrende er at der kan identificeres en aktiv handling eksempelvis at der klikkes videre paring siden og at brugeren har en forstaringelse af at de ved denne handling accepterer cookies dvs det er ikke nok bare generelt at informere om at hjemmesiden bruger cookies det skal praeligciseres at cookies saeligttes ved at brugeren eksempelvis klikker videre
Der vil vaeligre stor forskel paring hvordan samtykket bedst indhentes Det er den enkelte tjeneste selv der har de bedste forudsaeligtninger for at vaeliglge en loslashsning der overholder samtykkekravet og giver tjenestens brugere reel mulighed for at tilkendegive deres vilje paring et informeret grundlag
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt at defi-nere praeligcist hvordan brugere i konkrete tilfaeliglde skal tilkendegive sin vilje Bekendt-goslashrelsens samtykkekrav giver derfor tjenester et stort mulighedsrum til at udvikle nye og innovative loslashsninger der oslashger brugerkontrollen og gennemsigtigheden
Vejledning 21
Eksempel Samtykke
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Accepter cookies Afvis cookies Laeligs mere her om vores brug af cookies herunder hvordan
du fravaeliglger cookies igenrdquo
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Klikker du videre paring siden accepterer du at der saeligttes cookies til disse formaringl Laeligs mere
her om vores brug af cookies herunder hvordan du fravaeliglger brugen af cookiesrdquo
Hvis brugere vaeliglger ikke at give samtykke til lagringen af oplysninger eller vaeliglger at tilbagekalde et samtykke stilles der som ovenfor naeligvnt i bekendtgoslashrelsen ikke noget krav til at brugere fortsat skal have adgang til indhold paring en tjeneste
Erhvervsstyrelsen er opmaeligrksom paring at kravet om forudgaringende samtykke kan vaeligre teknisk udfordrende for en del hjemmesider der saeligtter cookies allerede naringr brugeren tilgaringr siden saeligrligt for at sikre statistik om hvor mange der besoslashger en hjemmeside og hvor de kommer fra
Direktivet stiller et grundlaeligggende krav om informeret samtykke Nogle lande har valgt at haringndhaeligve samtykkekravet saringledes at det undtagelsesvis i saeligrlige tilfaeliglde ac-cepteres at cookies kan lagres forud for at brugeren har givet samtykke hertil UK fastslaringr eksempelvis i deres vejledning til reglerne at samtykke saring vidt muligt skal ind-hentes foslashr der saeligttes cookies men accepterer dog at det ikke altid sker Hvor det ikke er muligt at indhente samtykke foslashr cookies lagres laeliggges der i UKrsquos vejledning imid-lertid vaeliggt paring virksomhedernes indsats for at sikre information til brugerne og deres mulighed for at give samtykkeafvise cookies hurtigst muligt ligesom der laeliggges vaeliggt paring at virksomhederne begraelignser adgangen til sessions cookies
Der er behov for en naeligrmere afklaring fra Kommissionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside eje-rens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Samtykke ved browserindstillinger er ikke anerkendt i Danmark paring nuvaeligrende tids-punkt og kun i faring af de oslashvrige EU-medlemslande Den generelle holdning er at de browserloslashsninger som findes paring markedet i dag ikke i tilstraeligkkelig grad sikrer mod brugen af cookies hvor brugeren har fravalgt det Med de eksisterende browsere er det ikke muligt at differentiere sit samtykke tilstraeligkkelig nuanceret saring det reelt bliver et rdquoja takrdquo til alle cookies eller rdquonej takrdquo til alle cookies hvorefter brugeren vil kunne op-leve betydelige begraelignsninger i forhold til indhold af forskellige tjenester paring nettet
Samtykket varer i udgangspunktet indtil forholdene aeligndres Brugeren skal hele tiden have en let adgang til at traeligkke samtykket tilbage
Undtagelser
Bekendtgoslashrelsens sect 4 indeholder to undtagelser til kravet om informeret samtykke fra brugeren forud for anvendelsen af cookies Er der tale om indsamling af data som falder under undtagelsesbestemmelserne vil der efter lovgivningen ikke stilles krav om hverken information eller samtykke Det kan imidlertid vaeligre en anbefaling ogsaring her at give information og indhente samtykke ud fra en betragtning om at fuldstaeligndig gennemsigtighed oslashger tilliden til internettet og derfor kan vaeligre gavnlig for en e-hand-ler eller udbyder af tjenesteydelser paring nettet Det skal ogsaring her vurderes hvorvidt situa-tionen kan vaeligre omfattet af reglerne om beskyttelse af persondata
Vejledning22
Bekendtgoslashrelsens sect 4
sect 4 Uanset sect 3 kan fysiske eller juridiske personer lagre oplysninger eller opnaring adgang til oplysninger
der allerede er lagret i en slutbrugers terminaludstyr hvis
1) lagringen af eller adgangen til oplysninger alene sker med det formaringl at overfoslashre kommunikation
via et elektronisk kommunikationsnet eller
2) lagringen af eller adgangen til oplysninger er paringkraeligvet for at saeligtte tjenesteyderen af en informa-
tionssamfundstjeneste som slutbrugeren udtrykkeligt har anmodet om i stand til at levere denne
tjeneste
Stk 2 Lagring af eller adgang til oplysninger i en slutbrugersterminaludstyr er paringkraeligvet jf stk 1
nr 2 hvis lagringen af eller adgangen til oplysninger er en teknisk forudsaeligtning for at kunne levere
en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
Erhvervsstyrelsen laeliggger i fortolkningen af undtagelsesbestemmelserne vaeliggt paring udta-lelser fra den saringkaldte Artikel 29 gruppe som er omtalt i forordet og som i juni 2012 offentliggjorde et dokument vedroslashrende undtagelsesbestemmelserne i e-Datadirekti-vet efter aeligndringerne i 2009 Det er vigtigt her at understrege at der ikke er tale om et juridisk bindende dokument men gruppens fortolkninger stoslashttes i vid udstraeligkning af EU Kommissionen og bredt i medlemsstaterne Et link til Artikel 29 gruppens udta-lelse foslashlger af kapitel 5 rdquoLinks til lovgivning og direktiverrdquo
1 undtagelse Cookies i forbindelse med opkobling til internettetDet er Erhvervsstyrelsens vurdering at sect 4 stk 1 nr 1 alene er moslashntet paring udbydere af internetforbindelser og den lagring af eller adgang til oplysninger i brugeres terminal-udstyr der maringtte finde sted som en del af opkoblingen til internettet og vedligehol-delse heraf
2 undtagelse Cookies der sikrer funktionaliteten af en tjeneste som brugeren har bedt omsect 4 stk 1 nr 2 har derimod et bredere anvendelsesomraringde
For at vaeligre omfattet af undtagelsesbestemmelsen i sect 4 stk 1 nr 2 skal to krav vaeligre opfyldt For det foslashrste skal brugeren udtrykkeligt have anmodet om tjenesten For det andet skal lagringen af eller adgangen til oplysninger i brugerens terminaludstyr vaeligre paringkraeligvet for leveringen af denne tjeneste Begge krav skal vaeligre opfyldt
Brugerens faeligrden paring nettet eller besoslashg paring en specifik hjemmeside kan ikke tages som et udtryk for en generel anmodning om de tjenester der her tilbydes
Hvorvidt lagring af oplysninger eller adgang til allerede lagrede oplysninger er paringkraelig-vet uddybes i sect 4 stk 2 hvorefter der skal vaeligre tale om en teknisk forudsaeligtning for at kunne levere en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
For at vaeligre en teknisk noslashdvendighed skal tjenesten ikke kunne fungere uden brug af cookiersquoen eller en lignende teknologi Samtidig er det vigtigt at der er en klar sammen-haeligng mellem den rdquoparingkraeligvederdquo teknologi og brugerens udtrykkelige anmodning om tjenesten
Med hensyn til tjenestens formaringl boslashr der laeliggges vaeliggt paring det formaringl med hvilket bru-gere tilgaringr tjenesten eller hjemmesiden
Cookies eller lignende teknologier der opfylder kravene til at vaeligre omfattet af undta-gelsen maring ikke anvendes med andre formaringl for oslashje I saring fald skal brugeren informeres og give samtykke til disse andre formaringl
Vejledning 23
Det har betydning for vurderingen af om cookies kan undtages fra kravet om informe-ret samtykke om der er tale om sessionscookies eller vedvarende cookies og hvor den stammer fra Vedvarende cookies vil sjaeligldent falde under undtagelsesbestemmelsen
Eksempler paring undtagelser efter sect 4
Elektroniske indkoslashbskurve
- Brugen af elektroniske indkoslashbskurve i webshops hvor det er noslashdvendigt at kunne genkende bru-
geren paring tvaeligrs af sideskift (genindlaeligsninger af webshoppen) da indkoslashbskurven ellers vil vaeligre tom
ved visning af en ny side Lagring af fx en cookie eller lignende teknologi er dermed en teknisk for-
udsaeligtning for at kunne levere den tjeneste (e-handel) som brugeren udtrykkeligt har anmodet om
(tilgaringet webshoppen og lagt varer i indkoslashbskurven) Indkoslashbskurven fungerer desuden i overensstem-
melse med det formaringl (at koslashbe varer) med hvilket brugeren tilgaringr webshoppen
Log-in situationer
- Anvendelse af log-in (eksempelvis ved netbank offentlige selvbetjeningsloslashsninger eller ved ad-
gang til saeligrlige netvaeligrk) hvor cookies sikrer at brugeren logges ind med brug af brugernavn
passwords og forbliver logget ind uden igen at skulle indtaste saringdanne koder Det er vigtigt at
understrege at det alene er selve log-in funktionen der er undtaget men ikke noslashdvendigvis cookies
som saeligttes ved aktiviteter efter log-in funktionen
Andre undtagelser
Brugerdefinerede browserindstillinger ndash eks valg af land sprog eller skriftstoslashrrelse
- Disse cookies kan vaeligre undtaget fra kravet om informeret samtykke i det omfang at disse udtryk-
kelig aktiveres af brugeren fx ved at klikke paring en knap eller afkrydse en rubrik og ikke benyttes til
andre formaringl og ikke i laeligngere tid end en browsersession
Authentificeringscookies
Cookies der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider
Brugervalideringscookies
Cookies der anvendes til at sikre mod (gentagne) fejl ved log-in
Multimedia player cookies
Cookies der anvendes til at regulere netvaeligrkshastighed eller billedkvalitet og til at aktivere play back
video- eller lydfiler
Plug-ins til sociale medier
Cookies der giver muligheden for enten at dele indholdet af en hjemmeside eller rdquolikerdquo indholdet via
det sociale medie Cookien saeligttes alene for at dirigere brugeren over paring den sociale hjemmeside og
logge ind her Den har alene betydning for brugere af sociale netvaeligrk der allerede er logget ind her
Bruges cookien til at tracke brugeren rundt paring nettet vil den ikke vaeligre omfattet
Load balancing
Cookies der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en
service
Det er Erhvervsstyrelsens vurdering at cookies der husker at en bruger har sagt rdquonej takrdquo til cookies er undtaget kravet om informeret samtykke da der er tale om et oslashnske fra brugeren og den er noslashdvendig for at huske indstillingen
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning 13
Cookiereglerne regulerer midlet til indsamling af data Der sondres ikke her mellem personhenfoslashrbare og ikke personhenfoslashrbare oplysninger
Det er ligeledes uden betydning om oplysningerne er semantisk meningsfulde ufor-staringelige tekststrenge kode eller om oplysningerne er krypterede
Eksempel Lagring af eller adgang til allerede lagrede oplysninger til brug for webstatistik
En udbyder af en hjemmeside oslashnsker at lave en analyse af hvordan hjemmesidens brugere benytter
siden med henblik paring at forbedre brugeroplevelsen Til dette formaringl oslashnsker udbyderen af hjemme-
siden at placere cookies i brugernes terminaludstyr
Tjenesteudbyderen er omfattet af bekendtgoslashrelsens krav til information og samtykke for saring vidt
angaringr lagringen af cookies og eventuel senere adgang til disse cookies i brugernes terminaludstyr
Oslashnsker tjenesteudbyderen efterfoslashlgende at analysere oplysningerne der er indsamlet ved hjaeliglp af
de placerede cookies falder denne behandling udenfor cookiebekendtgoslashrelsens anvendelsesomraring-
de Det gaeliglder eksempelvis den videre behandling af oplysningerne hos tjenesteudbyderen til brug
for udarbejdelse af statistik
Hvem gaeliglder reglerne forAlle der lagrer eller opnaringr adgang til oplysninger i brugeres terminaludstyr er omfattet af reglerne (se ogsaring det efterfoslashlgende afsnit rdquoHvor gaeliglder hvilke reglerrdquo)
Hjemmesider der henvender sig til alle eller udelukkende til virksomheder vil saringledes vaeligre omfattet af reglerne saringfremt der benyttes cookies eller lignende teknologier paring hjemmesiden idet hjemmesider som udgangspunkt kan tilgarings af alle
Ejeren af en hjemmeside er ligeledes forpligtet efter reglerne i forbindelse med 3 parts lagring af eller adgang til oplysninger i brugeres terminaludstyr hvis dette sker via udbyderens tjeneste fx ved hjaeliglp af indlejret kode i en bannerreklame software ap-plikationer eller links
Ejeren af en hjemmeside behoslashver ikke selv staring for den praktiske og tekniske efterle-velse af reglerne (informering og indhentning af et samtykke fra brugeren) men kan aftale at 3 part haringndterer dette paring vegne af tjenesteudbyderen Ansvaret for at reglerne overholdes vil dog altid ligge hos udbyderen af en tjenesteydelse uanset hvad denne maringtte have aftalt med 3 part da man ifoslashlge cookiebekendtgoslashrelsen heller ikke maring lade 3 part lagre eller faring adgang til allerede lagrede oplysninger uden information til og sam-tykke fra slutbrugeren
Der gaeliglder ikke efter cookiereglerne et krav om indgaringelse af databehandlingsaftale som der gaeliglder efter Persondataloven men det kan vaeligre hensigtsmaeligssigt hvor man giver adgang for 3 part til indsamling af data via ens hjemmeside at indgaring en skriftlig aftale med henblik paring at afdaeligkke med hvilke formaringl 3 part indsamler data om bru-gerne idet dette formaringl skal vaeligre omfattet af informationen paring hjemmesiden for at samtykke fra brugeren kan anses for at vaeligre reelt og fyldestgoslashrende jf nedenfor under afsnittet om rdquoKrav om informeret samtykkerdquo
Ved indlejring paring egen hjemmeside af andres tjenester der eksempelvis hentes via in-ternettet vil aftalen med 3 part oftest bero paring en ensidig accept af 3 partens givne forretningsbetingelser og ikke give mulighed for forhandling af kontraktvilkaringr Man skal vaeligre opmaeligrksom paring at det her kan vaeligre vanskeligt at kontrollere 3 partens brug af data som evt indsamles via cookies eller lignende teknologier og derved ogsaring van-skeligt i sidste ende at sikre et reelt informeret samtykke fra brugeren
Vejledning14
Eksempel Indlejring af et kommentarmodul paring en hjemmeside
Et stoslashrre nyhedsmedie oslashnsker at indlejre et modul der saeligtter brugerne af deres hjemmeside i stand
til at kommentere indholdet paring hjemmesiden Nyhedsmediet kontakter til dette formaringl udbyderen
af et kommentarmodul der kan indlejres paring hjemmesider Nyhedsmediet og udbyderen af modulet
aftaler at modulet indlejres nederst paring alle nyhedsmediets sider
Udbyderen af kommentarmodulet vil gerne saeligtte cookies i brugernes terminaludstyr naringr brugerne
tilgaringr en side for at kunne foslashlge med i hvor meget modulet bliver brugt Nyhedsmediet aftaler der-
for med udbyderen af kommentarmodulet at sidstnaeligvnte soslashrger for at reglerne om lagring af eller
adgang til oplysninger i brugeres terminal- udstyr efterleves ved at der gives fyldestgoslashrende infor-
mation og indhentes samtykke fra brugerne
Nyhedsmediet er dog ansvarlig for at efterlevelsen af reglerne rent faktisk finder sted og dermed for
at der ikke sker en uretmaeligssig lagring i brugernes terminaludstyr naringr brugere tilgaringr nyhedsmediets
hjemmeside uanset hvad nyhedsmediet maringtte have aftalt med udbyderen af kommentarmodulet
Dette gaeliglder altsaring ogsaring i tilfaeliglde af at udbyderen af kommentarmodulet anvender cookies til andre
formaringl end det der foslashlger af aftalen og oplyses til brugeren
Ejeren af en hjemmeside er ansvarlig for de cookies og lignende teknologier der saeligttes i forbindelse med en brugers besoslashg paring hjemmesiden
Linkes der paring hjemmesiden til andre hjemmesider eller anvendes der rdquodelebarerrdquo eller rdquolike-knapperrdquo til eksempelvis Facebook eller Twitter er det vigtigt at vaeligre opmaeligrk-som paring hvorvidt disse hjemmesider saeligtter cookies via links delebar eller like-knapper allerede inden brugeren linkes over til den nye hjemmeside da det som ovenfor naeligvnt er hjemmesideejeren der i sidste ende er ansvarlig for de cookies der saeligttes paring deres hjemmeside Naringr der foslashrst er linket over via delebaren overgaringr ansvaret til ejeren af den nye hjemmeside
Det er ikke et krav efter cookiereglerne men det anbefales at oplyse brugeren om at siden forlades og at de sider man giver adgang til evt bruger cookies
Ved oprettelse af digitale platforme hvorfra man tilgaringr andre hjemmesider som vil optraeligde i rammen af den digitale platform eksempelvis Erhvervsstyrelsens rdquoVirkdkrdquo eller Digitaliseringsstyrelsens rdquoBorgerdkrdquo vil det vaeligre ejeren af den enkelte hjemme-side der tilgarings via platformen der er ansvarlig for overholdelsen af cookiereglerne paring disse hjemmesider Ejeren af platformen har ansvaret for cookies der saeligttes af dem
Det samme vil gaeliglde ved oprettelse af hjemmesider via sociale medier som eksempel-vis Facebook Det sociale medie vil vaeligre ansvarlig for de cookies der saeligttes af mediet men ikke for de cookies der saeligttes af ejeren af hjemmesiden oprettet i det sociale medies format
Det afgoslashrende for hvem der baeligrer ansvaret for indhentelse af samtykke til anvendelse af cookies paring en hjemmeside afhaelignger af hvem der har kontrollen over indholdet paring hjemmesiden
Hvor gaeliglder hvilke reglerHjemmesideejere der er etableret i andre lande udover Danmark skal vaeligre opmaeligrk-somme paring at de maringske ikke kan noslashjes med at indrette deres loslashsninger efter den danske lovgivning De danske cookieregler er baseret paring harmoniseret EU lovgivning der dog alene fastsaeligtter minimumskrav i forbindelse med anvendelse af cookies og lignende teknologier
Der er ikke i e-Databeskyttelsesdirektivet taget stilling til reglernes geografiske anven-delsesomraringde men Europa-Kommissionen har tilkendegivet at det indenfor EU er lovgivningen i det land hvori udbyderen af en tjeneste er etableret der er gaeligldende Vi
Vejledning 15
laeliggger i Danmark umiddelbart op af Kommissionens fortolkning der foslashlger rdquoafsen-derlandsprincippetrdquo i E-handelsdirektivet8
Hvis udbyderen af en tjeneste etableret i Danmark lagrer eller opnaringr adgang til op-lysninger i en brugers terminaludstyr er tjenesteudbyderen saringledes forpligtet efter de danske regler De danske regler finder ligeledes anvendelse hvor udbyderen af en tjeneste etableret i Danmark lader en 3 part der er etableret i et andet land lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyderens tjene-ste
Ifoslashlge Kommissionen gaeliglder for udbyderen af en tjeneste etableret uden for EU lovgiv-ningen i det land hvor lagringen af eller adgangen til oplysninger i en brugers termi-naludstyr finder sted Erhvervsstyrelsen laeliggger i tilsynet med reglerne vaeliggt paring hvor-vidt hjemmesiden retter sig mod danske forbrugere i overensstemmelse med de folkeretlige jurisdiktionsprincipper om hvor en handling har virkning Der vil saringledes blive lagt vaeliggt paring en raeligkke faktorer som sprog leveringsbetingelser (feks en webshop hvor der kan leveres til Danmark) etc
Krav om informeret samtykke
Det helt centrale i aeligndringen til e-Databeskyttelsesdirektivet fra 2009 er kravet om indhentelse af informeret samtykke forud for placeringen af cookies der ogsaring er foslashrt videre til de danske regler i cookiebekendtgoslashrelsens sect 3
Cookiebekendtgoslashrelsen indeholder en definition af samtykke baseret paring samtykkede-finitionen i Persondatabeskyttelsesdirektivet som Cookiedirektivet henviser til Det samme gaeliglder indholdet af informationspligten der ogsaring er naeligrmere beskrevet i Per-sondatabeskyttelsesdirektivet
Kravene om information og samtykke boslashr ses som to komplementaeligre elementer der understoslashtter hinanden og ikke kan adskilles idet de er indfoslashrt for at sikre at brugeren kan traeligffe et reelt og oplyst valg omkring overvaringgningen af deres faeligrdsel paring internet-tet Er informationen ikke fyldestgoslashrende vil samtykket heller ikke vaeligre et reelt sam-tykke
Nedenfor er kravene til baringde information og samtykke naeligrmere uddybet Der gives en raeligkke praktiske eksempler og flere foslashlger af den tekniske guide som findes i vejlednin-gens sidste afsnit Der er alene tale om eksempler til inspiration da det fortsat vil vaeligre op til den enkelte hjemmesideejer at vurdere hvordan kravene bedst muligt efterleves paring netop deres tjeneste
Bekendtgoslashrelsens sect 3
sect 3 Fysiske eller juridiske personer maring ikke lagre oplysninger eller opnaring adgang til oplysninger der
allerede er lagret i en slutbrugers terminaludstyr eller lade tredjepart lagre oplysninger eller opnaring
adgang til oplysninger hvis slutbrugeren ikke giver samtykke hertil efter at have modtaget fyldest-
goslashrende information om lagringen af eller adgangen til oplysningerne
Stk 2 Information jf stk 1 er fyldestgoslashrende naringr den som minimum
1) fremstaringr i et klart praeligcist og letforstaringeligt sprog eller tilsvarende billedskrift
2) indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens
terminaludstyr
3) indeholder oplysninger der identificerer enhver fysisk eller juridisk person der foranstalter lagrin-
gen af eller adgangen til oplysningerne
4) indeholder en umiddelbart tilgaeligngelig adgang for slutbrugeren til at afslaring samtykke eller tilbage-
8 Europa-Parlamentets og Raringdets direktiv 200031EF om visse retlige aspekter af informationssamfundstjenester navnlig ele-ktronisk handel i det indre marked
Vejledning16
kalde samtykke til lagringen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig
vejledning om hvordan slutbrugeren anvender en saringdan adgang og
5) er umiddelbart tilgaeligngelig for slutbrugeren ved samlet og tydeligt at blive meddelt denne Des-
uden skal information naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminal-
udstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren
ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Informationskravet
Hvilke krav stilles til fyldestgoslashrende information Af bekendtgoslashrelsens sect 3 stk 2 fremgaringr de krav der som minimum skal vaeligre opfyldt foslashr informationen kan siges at vaeligre fyldestgoslashrende Der stilles krav til karakteren ind-holdet og tilgaeligngeligheden af informationen
Overordnet kan siges at informationen skal udgoslashre det videns grundlag der saeligtter brugerne i stand til at traeligffe reelle informerede valg I nogle tilfaeliglde boslashr det derfor ogsaring overvejes at medtage yderligere information end der kraeligves i bekendtgoslashrelsen hvis dette er noslashdvendigt for at brugerne kan forstaring konsekvenserne af deres valg
Loslashsninger skal opfylde cookiereglerne baringde paring hjemmesider og paring mobilsites ndash se evt teknisk guide i vejledningens kapitel 6
Krav til sprog og tekstsect 3 stk 2 nr 1 fastsaeligtter krav til at informationen fremstaringr i et klart praeligcist og letfor-staringeligt sprog eller tilsvarende billedskrift
Det indebaeligrer bla at informationen ikke boslashr formuleres i unoslashdigt teknisk eller juri-disk sprog samt at brugeren let kan danne sig et overblik
Brug af tabeller eller billedsprog fx i form af piktogrammer kan supplere eller erstatte mere traditionel tekst og goslashre informationen lettere at forstaring men maring vurderes ud fra brugerens kendskab til saringdanne alternativer
Bestemmelsen indeholder ikke krav til paring hvilket sprog informationen skal gives Valg af sprog boslashr dog ske under hensynstagen til hvilke brugere en tjeneste retter sig imod herunder isaeligr hvor disse brugere befinder sig geografisk
Krav til oplysning om formaringlsect 3 stk 2 nr 2 fastsaeligtter krav til at informationen indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens terminaludstyr
Brugeren har ret til at faring oplyst hvorfor der lagres eller tilgarings oplysninger og det er ikke tilstraeligkkeligt blot at oplyse at det sker Dette krav haelignger sammen med samtykkekra-vet der skal vaeligre en specifik viljestilkendegivelse Angivelsen af rdquovi bruger cookiesrdquo uden yderligere praeligcisering vurderes saringledes ikke at opfylde reglerne
Informationen om formaringl med lagringen af eller adgangen til oplysninger er helt cen-tral og skal understoslashtte at brugerne er bevidste om hvilke konsekvenser deres valg har Formaringlet boslashr derfor altid beskrives meget praeligcist og daeligkkende
Har lagringen af eller adgangen til oplysninger mere end eacutet formaringl skal der oplyses om samtlige formaringl Lagres eller tilgarings der flere oplysninger med samme formaringl eller af flere omgange vil det almindeligvis vaeligre tilstraeligkkeligt at beskrive formaringlet eacuten gang og ikke for hver oplysning der lagres eller opnarings adgang til
Vejledning 17
I relation til kravet om angivelse af formaringl saring er det her vigtigt at understrege at for-maringlsbeskrivelsen ligeledes skal omfatte eventuelle 3 parters formaringl med at anvende cookies
Eksempel Information om formaringl med brug af cookies
Brugen af cookies er meget udbredt og kan have en lang raeligkke formaringl herunder fx at optimere
brugeroplevelse eller design paring en tjeneste at generere webstatistik eller at maringlrette markedsfoslashring
til brugere
Den information der gives boslashr beskrive formaringlet med tjenestens brug af cookies og ikke de en-
kelte cookies i sig selv
Hvis en tjeneste eksempelvis bruger fire cookies til at optimere designet paring tjenesten mens yderli-
gere to cookies bruges til at haringndtere annoncer og en syvende cookie bruges til at genere websta-
tisk vil det almindeligvis vaeligre tilstraeligkkeligt at informere om de tre forskellige formaringl med brugen
af cookies og ikke noslashdvendigvis om de i alt syv cookies siden goslashr brug af
Oplysninger om hvem der saeligtter cookiessect 3 stk 2 nr 3 fastsaeligtter krav til at informationen indeholder oplysninger der identifi-cerer enhver fysisk eller juridisk person der foranstalter lagringen af oplysninger eller opnaringr adgang til allerede lagrede oplysninger
Brugere skal vaeligre i stand til at identificere den der foranstalter lagringen Det vil i mange tilfaeliglde vaeligre udbyderen af tjenesten men hvor udbyderen af en tjeneste lader 3 part lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyde-rens tjeneste skal 3 part ogsaring kunne identificeres af brugeren Den eksakte angivelse af hvilke 3 parter der saeligtter cookies kan ske paring en underside jf vejledningens afsnit om lagdelt information nedenfor
For saring vidt angaringr oplysninger der lagres eller tilgarings i brugeres terminaludstyr af en or-ganisation fx en virksomhed eller anden juridisk person angives oplysninger som identificerer organisationen og ikke dens medarbejdere
Hvilke konkrete informationer der skal vaeligre til stede for at brugere kan identificere de(n) der foretager lagringen vil variere fra tjeneste til tjeneste og afhaelignger af de par-ter der er involveret
Adgang til at afslaring cookiessect 3 stk 2 nr 4 fastsaeligtter krav til at informationen indeholder en umiddelbart tilgaelign-gelig adgang for slutbrugeren til at afslaring samtykke eller tilbagekalde samtykke til lagrin-gen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig vejledning om hvordan slutbrugeren anvender en saringdan adgang
Brugere skal have mulighed for at afslaring samtykke eller tilbagekalde et allerede givet samtykke Dette skal understoslashtte reel brugerkontrol og frivilligheden af brugeres sam-tykke Til dette formaringl skal der vaeligre en umiddelbart tilgaeligngelig adgang til at afslaring cookies og en klar praeligcis og letforstaringelig vejledning om hvordan brugere kan anvende en saringdan adgang Se endvidere nedenfor under afsnittet om rdquoKravet til samtykkerdquo hvor det slarings fast at der ikke gaeliglder noget krav om at en hjemmeside skal kunne tilgarings eller fungere uden cookies
Det kan i nogle tilfaeliglde vaeligre relevant at henvise til eksempelvis vejledninger og vaeligrk-toslashjer andre har udarbejdet Der stilles i bekendtgoslashrelsen ingen krav til at vejledninger eller vaeligrktoslashjer til at afslaring eller tilbagekalde et samtykke skal forefindes paring tjenesten der lagrer eller tilgaringr oplysninger Det er adgangen til vejledning og vaeligrktoslashjer som tjene-sten er forpligtet til at goslashre umiddelbart tilgaeligngelig for brugeren
Vejledning18
Krav om informationens tilgaeligngelighedsect 3 stk 2 nr 5 fastsaeligtter krav til at informationen er umiddelbart tilgaeligngelig for slut-brugeren ved samlet og tydeligt at blive meddelt denne Desuden skal informationen naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjene-ste
For at sikre reel brugerkontrol er det noslashdvendigt at informationen er umiddelbart tilgaeligngelig for brugere og kan tilgarings uden besvaeligr Dette er desuden en forudsaeligtning for at brugere ogsaring kan tilbagekalde et allerede afgivet samtykke Hvordan informatio-nen bedst goslashres tilgaeligngelig vil bla afhaelignge af tjenestens design og struktur hvorfor det vil variere fra tjeneste til tjeneste
Informationen kan vaeligre lagdeltDet kan vaeligre hensigtsmaeligssigt at benytte sig af lagdelt information saringledes at det dog sikres at brugerne med det samme faringr de vaeligsentligste informationer saringsom formaringlet med anvendelsen af cookies samtidig med at der linkes til mere detaljerede informa-tioner Brugen af piktogrammer eller andre tydeligt markerede indgange til informa-tionen kan understoslashtte dette men ikke goslashre det ud alene for umiddelbar tilgaeligngelig information
Den umiddelbare angivelse af formaringlet med anvendelsen af cookies boslashr omfatte infor-mation om 3 parts cookies idet det har betydning for brugeren hvem data tilgaringr Ek-sempelvis ved angivelse af formaringl som direkte markedsfoslashring skal det ogsaring fremgaring at direkte markedsfoslashring vil vaeligre fra 3 part Den praeligcise angivelse af 3 parter kan evt ske paring en underside
En tjeneste kan desuden vaeliglge at skelne mellem hvordan informationen praeligsenteres for brugere inden brugeren afgiver eller afslaringr samtykke og hvordan informationen praeligsenteres efter at brugere har afgivet eller afslaringet samtykke
Paring informations- og indholdstjenester herunder hjemmesider og andre online tjene-ster der lagrer eller tilgaringr oplysninger i en brugeres terminaludstyr skal informationen vaeligre vedvarende tilgaeligngelig for brugere ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Dette indebaeligrer at brugere ved anvendelse af saringdanne tjenester til enhver tid skal have adgang til informationen og en saringdan adgang boslashr vaeligre let at finde og anvende Det kan bla overvejes at opfylde dette krav ved at placere en saringdan adgang i sammenhaeligng med oslashvrige vedvarende elementer paring en tjeneste Brug af piktogrammer eller lignende kan ogsaring overvejes i denne sammenhaeligng
Nedenfor redegoslashres naeligrmere for kravet til samtykke Det kan heraf laeligses at samtykke kan gives paring forskellig maringde herunder ogsaring ved en aktiv handling Kravet til informa-tion kan variere for saring vidt angaringr tydelighed og tilgaeligngelighed alt efter hvilken form for samtykke der er tale om Krav til hvilke oplysninger der gives for at en information kan anses for fyldestgoslashrende varierer imidlertid ikke
Vaeligsentlig information der skal gives til brugeren med det samme er
- Alle formaringl med cookies og lignende teknologier
- Hvem der anvender cookies og lignende teknologier paring hjemmesiden
Vejledning 19
Eksempel Fyldestgoslashrende information ndash lagdelt med vaeligsentlige oplysninger foslashrst
En tjeneste paring nettet der giver brugeren mulighed for at sammenligne produkter og priser paring for-
skellige vareomraringder anvender cookies til at registrere antallet af brugere paring hjemmesiden og til at
registrere hvor brugeren kommer fra Paring hjemmesiden er der bannerreklamer for forskellige produ-
center relateret til de varekategorier som omtales paring hjemmesiden Bannerreklamerne leveres af 3
parter og anvender cookies til at registrere hvilke annoncer brugeren klikker paring saringledes at det er
muligt at identificere brugernes interesser og maringlrette annonceringen
Eksempel Umiddelbar information til brugeren
rdquoVi bruger cookies til statistik og til maringlrettet markedsfoslashring ogsaring fra os selv og vores an-
noncoslashrer ndash se her hvilke Laeligs her mere om vores brug af cookies herunder hvordan du
fravaeliglger brug af cookiesrdquo
Kravet til samtykke
Som ovenfor naeligvnt er den centrale aeligndring af reglerne kravet om indhentelse af in-formeret samtykke fra brugeren ved anvendelse af cookies eller lignende teknologier der foslashlger af cookiebekendtgoslashrelsens sect 3
Samtykke defineres i bekendtgoslashrelsens sect 2 stk 1 nr 8
Bekendtgoslashrelsens sect 2 stk 1 nr 8
sect 2 stk 1 nr 8) Samtykke Enhver frivillig specifik og informeret viljestilkendegivelse hvorved
slutbrugeren indvilliger i at der lagres oplysninger eller opnarings adgang til allerede lagrede oplysnin-
ger i slutbrugerens terminaludstyr
Da tjenester og deres brugere er vidt forskellige vil der vaeligre stor forskel paring hvordan et samtykke bedst indhentes
Kravet om samtykke skal sikre at brugere har reel kontrol med hvorvidt der lagres el-ler tilgarings oplysninger i deres terminaludstyr Naringr samtykket skal indhentes er det der-for vaeligsentligt at holde sig brugerens kontrolmuligheder for oslashje herunder brugerens reelle muligheder for at vurdere formaringlet med lagringen eller tilgangen til oplysnin-gerne
Reglerne giver i udgangspunktet tjenester et stort mulighedsrum til at vaeliglge hvordan samtykket bedst kan indhentes paring en maringde der fungerer i deres konkrete kontekst
At samtykket skal vaeligre frivilligt indebaeligrer bla at brugere skal have et faktisk valg
Det er ikke et krav at hjemmesider kan fungere uden brug af cookies eller lignende teknologier hvorfor afvisning af cookies kan medfoslashre at brugerens eneste mulighed er at forlade hjemmesiden Virksomheder har selvsagt et incitament for at deres hjem-meside er tilgaeligngelig men det er ikke lovstridigt at have loslashsninger der afskaeligrer bru-gere som ikke vil acceptere brugen af cookies
For offentlige hjemmesider kan der vaeligre andre overvejelser idet adgangen til offentlige tjenester gerne skulle vaeligre tilgaeligngelig for alle
I frivilligheden af samtykket ligger ogsaring at brugere skal have mulighed for at tilbage-kalde et allerede afgivet samtykke jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 4
Vejledning20
At samtykket skal vaeligre specifikt indebaeligrer bla at samtykket skal vaeligre praeligcist og vel-afgraelignset Samtykket behoslashver imidlertid ikke relatere sig til hver enkelt lagring af eller adgang til oplysninger i brugernes terminaludstyr I stedet boslashr samtykket knytte sig til det formaringl der ligger til grund for lagringen af eller adgangen til oplysningerne jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 2
Hvis lagring af eller adgang til oplysninger paring et senere tidspunkt benyttes til formaringl der raeligkker ud over hvad der tidligere er indhentet samtykke til skal der indhentes et nyt samtykke der omfatter det nye formaringl
At samtykket skal vaeligre informeret understoslashttes af kravene til information i bekendtgoslash-relsens sect 3 stk 2 hvor ikke mindst formaringlet med lagringen er vaeligsentligt Som del af et informeret samtykke boslashr brugere ogsaring oplyses om konsekvenserne af deres (fra)valg Saringdanne konsekvenser kan fx vaeligre at brugere ikke kan faring adgang til (dele af) tjenesten som ovenfor beskrevet hvis samtykket afslarings eller at et samtykke medfoslashrer at 3 parter faringr mulighed for at lagre eller tilgaring allerede lagrede oplysninger i brugeres terminalud-styr
Brugeres viljetilkendegivelse staringr helt centralt i indhentningen af et samtykke En tjene-steudbyder har pligt til at identificere en aktiv handling fra sine brugere der med rime-lighed kan tages til indtaeliggt for en tilkendegivelse af deres vilje paring et informeret grund-lag Det skal dog understreges at vilje kan tilkendegives paring en lang raeligkke forskellige maringder og at reglerne i bekendtgoslashrelsen ikke tager specifikt stilling til hvordan denne skal komme til udtryk
En viljestilkendegivelse kan vaeligre mange ting herunder eksempelvis
bull afkrydsning af en boks klik paring en knap eller udfyldelse af en formular i sammenhaeligng med rele-
vant information paring en tjeneste
bull aktiv brug af en tjeneste hvor det maring forventes at brugeren er informeret om at der vil ske lag-
ring af eller adgang til oplysninger (saringfremt dette ikke er afslaringet)
Kommissionen har tilkendegivet overfor Erhvervsstyrelsen at aktiv brug af en tjeneste som ovenfor beskrevet er i overensstemmelse med e-Databeskyttelsesdirektivet og ac-cepteres i de fleste medlemslande Det afgoslashrende er at der kan identificeres en aktiv handling eksempelvis at der klikkes videre paring siden og at brugeren har en forstaringelse af at de ved denne handling accepterer cookies dvs det er ikke nok bare generelt at informere om at hjemmesiden bruger cookies det skal praeligciseres at cookies saeligttes ved at brugeren eksempelvis klikker videre
Der vil vaeligre stor forskel paring hvordan samtykket bedst indhentes Det er den enkelte tjeneste selv der har de bedste forudsaeligtninger for at vaeliglge en loslashsning der overholder samtykkekravet og giver tjenestens brugere reel mulighed for at tilkendegive deres vilje paring et informeret grundlag
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt at defi-nere praeligcist hvordan brugere i konkrete tilfaeliglde skal tilkendegive sin vilje Bekendt-goslashrelsens samtykkekrav giver derfor tjenester et stort mulighedsrum til at udvikle nye og innovative loslashsninger der oslashger brugerkontrollen og gennemsigtigheden
Vejledning 21
Eksempel Samtykke
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Accepter cookies Afvis cookies Laeligs mere her om vores brug af cookies herunder hvordan
du fravaeliglger cookies igenrdquo
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Klikker du videre paring siden accepterer du at der saeligttes cookies til disse formaringl Laeligs mere
her om vores brug af cookies herunder hvordan du fravaeliglger brugen af cookiesrdquo
Hvis brugere vaeliglger ikke at give samtykke til lagringen af oplysninger eller vaeliglger at tilbagekalde et samtykke stilles der som ovenfor naeligvnt i bekendtgoslashrelsen ikke noget krav til at brugere fortsat skal have adgang til indhold paring en tjeneste
Erhvervsstyrelsen er opmaeligrksom paring at kravet om forudgaringende samtykke kan vaeligre teknisk udfordrende for en del hjemmesider der saeligtter cookies allerede naringr brugeren tilgaringr siden saeligrligt for at sikre statistik om hvor mange der besoslashger en hjemmeside og hvor de kommer fra
Direktivet stiller et grundlaeligggende krav om informeret samtykke Nogle lande har valgt at haringndhaeligve samtykkekravet saringledes at det undtagelsesvis i saeligrlige tilfaeliglde ac-cepteres at cookies kan lagres forud for at brugeren har givet samtykke hertil UK fastslaringr eksempelvis i deres vejledning til reglerne at samtykke saring vidt muligt skal ind-hentes foslashr der saeligttes cookies men accepterer dog at det ikke altid sker Hvor det ikke er muligt at indhente samtykke foslashr cookies lagres laeliggges der i UKrsquos vejledning imid-lertid vaeliggt paring virksomhedernes indsats for at sikre information til brugerne og deres mulighed for at give samtykkeafvise cookies hurtigst muligt ligesom der laeliggges vaeliggt paring at virksomhederne begraelignser adgangen til sessions cookies
Der er behov for en naeligrmere afklaring fra Kommissionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside eje-rens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Samtykke ved browserindstillinger er ikke anerkendt i Danmark paring nuvaeligrende tids-punkt og kun i faring af de oslashvrige EU-medlemslande Den generelle holdning er at de browserloslashsninger som findes paring markedet i dag ikke i tilstraeligkkelig grad sikrer mod brugen af cookies hvor brugeren har fravalgt det Med de eksisterende browsere er det ikke muligt at differentiere sit samtykke tilstraeligkkelig nuanceret saring det reelt bliver et rdquoja takrdquo til alle cookies eller rdquonej takrdquo til alle cookies hvorefter brugeren vil kunne op-leve betydelige begraelignsninger i forhold til indhold af forskellige tjenester paring nettet
Samtykket varer i udgangspunktet indtil forholdene aeligndres Brugeren skal hele tiden have en let adgang til at traeligkke samtykket tilbage
Undtagelser
Bekendtgoslashrelsens sect 4 indeholder to undtagelser til kravet om informeret samtykke fra brugeren forud for anvendelsen af cookies Er der tale om indsamling af data som falder under undtagelsesbestemmelserne vil der efter lovgivningen ikke stilles krav om hverken information eller samtykke Det kan imidlertid vaeligre en anbefaling ogsaring her at give information og indhente samtykke ud fra en betragtning om at fuldstaeligndig gennemsigtighed oslashger tilliden til internettet og derfor kan vaeligre gavnlig for en e-hand-ler eller udbyder af tjenesteydelser paring nettet Det skal ogsaring her vurderes hvorvidt situa-tionen kan vaeligre omfattet af reglerne om beskyttelse af persondata
Vejledning22
Bekendtgoslashrelsens sect 4
sect 4 Uanset sect 3 kan fysiske eller juridiske personer lagre oplysninger eller opnaring adgang til oplysninger
der allerede er lagret i en slutbrugers terminaludstyr hvis
1) lagringen af eller adgangen til oplysninger alene sker med det formaringl at overfoslashre kommunikation
via et elektronisk kommunikationsnet eller
2) lagringen af eller adgangen til oplysninger er paringkraeligvet for at saeligtte tjenesteyderen af en informa-
tionssamfundstjeneste som slutbrugeren udtrykkeligt har anmodet om i stand til at levere denne
tjeneste
Stk 2 Lagring af eller adgang til oplysninger i en slutbrugersterminaludstyr er paringkraeligvet jf stk 1
nr 2 hvis lagringen af eller adgangen til oplysninger er en teknisk forudsaeligtning for at kunne levere
en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
Erhvervsstyrelsen laeliggger i fortolkningen af undtagelsesbestemmelserne vaeliggt paring udta-lelser fra den saringkaldte Artikel 29 gruppe som er omtalt i forordet og som i juni 2012 offentliggjorde et dokument vedroslashrende undtagelsesbestemmelserne i e-Datadirekti-vet efter aeligndringerne i 2009 Det er vigtigt her at understrege at der ikke er tale om et juridisk bindende dokument men gruppens fortolkninger stoslashttes i vid udstraeligkning af EU Kommissionen og bredt i medlemsstaterne Et link til Artikel 29 gruppens udta-lelse foslashlger af kapitel 5 rdquoLinks til lovgivning og direktiverrdquo
1 undtagelse Cookies i forbindelse med opkobling til internettetDet er Erhvervsstyrelsens vurdering at sect 4 stk 1 nr 1 alene er moslashntet paring udbydere af internetforbindelser og den lagring af eller adgang til oplysninger i brugeres terminal-udstyr der maringtte finde sted som en del af opkoblingen til internettet og vedligehol-delse heraf
2 undtagelse Cookies der sikrer funktionaliteten af en tjeneste som brugeren har bedt omsect 4 stk 1 nr 2 har derimod et bredere anvendelsesomraringde
For at vaeligre omfattet af undtagelsesbestemmelsen i sect 4 stk 1 nr 2 skal to krav vaeligre opfyldt For det foslashrste skal brugeren udtrykkeligt have anmodet om tjenesten For det andet skal lagringen af eller adgangen til oplysninger i brugerens terminaludstyr vaeligre paringkraeligvet for leveringen af denne tjeneste Begge krav skal vaeligre opfyldt
Brugerens faeligrden paring nettet eller besoslashg paring en specifik hjemmeside kan ikke tages som et udtryk for en generel anmodning om de tjenester der her tilbydes
Hvorvidt lagring af oplysninger eller adgang til allerede lagrede oplysninger er paringkraelig-vet uddybes i sect 4 stk 2 hvorefter der skal vaeligre tale om en teknisk forudsaeligtning for at kunne levere en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
For at vaeligre en teknisk noslashdvendighed skal tjenesten ikke kunne fungere uden brug af cookiersquoen eller en lignende teknologi Samtidig er det vigtigt at der er en klar sammen-haeligng mellem den rdquoparingkraeligvederdquo teknologi og brugerens udtrykkelige anmodning om tjenesten
Med hensyn til tjenestens formaringl boslashr der laeliggges vaeliggt paring det formaringl med hvilket bru-gere tilgaringr tjenesten eller hjemmesiden
Cookies eller lignende teknologier der opfylder kravene til at vaeligre omfattet af undta-gelsen maring ikke anvendes med andre formaringl for oslashje I saring fald skal brugeren informeres og give samtykke til disse andre formaringl
Vejledning 23
Det har betydning for vurderingen af om cookies kan undtages fra kravet om informe-ret samtykke om der er tale om sessionscookies eller vedvarende cookies og hvor den stammer fra Vedvarende cookies vil sjaeligldent falde under undtagelsesbestemmelsen
Eksempler paring undtagelser efter sect 4
Elektroniske indkoslashbskurve
- Brugen af elektroniske indkoslashbskurve i webshops hvor det er noslashdvendigt at kunne genkende bru-
geren paring tvaeligrs af sideskift (genindlaeligsninger af webshoppen) da indkoslashbskurven ellers vil vaeligre tom
ved visning af en ny side Lagring af fx en cookie eller lignende teknologi er dermed en teknisk for-
udsaeligtning for at kunne levere den tjeneste (e-handel) som brugeren udtrykkeligt har anmodet om
(tilgaringet webshoppen og lagt varer i indkoslashbskurven) Indkoslashbskurven fungerer desuden i overensstem-
melse med det formaringl (at koslashbe varer) med hvilket brugeren tilgaringr webshoppen
Log-in situationer
- Anvendelse af log-in (eksempelvis ved netbank offentlige selvbetjeningsloslashsninger eller ved ad-
gang til saeligrlige netvaeligrk) hvor cookies sikrer at brugeren logges ind med brug af brugernavn
passwords og forbliver logget ind uden igen at skulle indtaste saringdanne koder Det er vigtigt at
understrege at det alene er selve log-in funktionen der er undtaget men ikke noslashdvendigvis cookies
som saeligttes ved aktiviteter efter log-in funktionen
Andre undtagelser
Brugerdefinerede browserindstillinger ndash eks valg af land sprog eller skriftstoslashrrelse
- Disse cookies kan vaeligre undtaget fra kravet om informeret samtykke i det omfang at disse udtryk-
kelig aktiveres af brugeren fx ved at klikke paring en knap eller afkrydse en rubrik og ikke benyttes til
andre formaringl og ikke i laeligngere tid end en browsersession
Authentificeringscookies
Cookies der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider
Brugervalideringscookies
Cookies der anvendes til at sikre mod (gentagne) fejl ved log-in
Multimedia player cookies
Cookies der anvendes til at regulere netvaeligrkshastighed eller billedkvalitet og til at aktivere play back
video- eller lydfiler
Plug-ins til sociale medier
Cookies der giver muligheden for enten at dele indholdet af en hjemmeside eller rdquolikerdquo indholdet via
det sociale medie Cookien saeligttes alene for at dirigere brugeren over paring den sociale hjemmeside og
logge ind her Den har alene betydning for brugere af sociale netvaeligrk der allerede er logget ind her
Bruges cookien til at tracke brugeren rundt paring nettet vil den ikke vaeligre omfattet
Load balancing
Cookies der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en
service
Det er Erhvervsstyrelsens vurdering at cookies der husker at en bruger har sagt rdquonej takrdquo til cookies er undtaget kravet om informeret samtykke da der er tale om et oslashnske fra brugeren og den er noslashdvendig for at huske indstillingen
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning14
Eksempel Indlejring af et kommentarmodul paring en hjemmeside
Et stoslashrre nyhedsmedie oslashnsker at indlejre et modul der saeligtter brugerne af deres hjemmeside i stand
til at kommentere indholdet paring hjemmesiden Nyhedsmediet kontakter til dette formaringl udbyderen
af et kommentarmodul der kan indlejres paring hjemmesider Nyhedsmediet og udbyderen af modulet
aftaler at modulet indlejres nederst paring alle nyhedsmediets sider
Udbyderen af kommentarmodulet vil gerne saeligtte cookies i brugernes terminaludstyr naringr brugerne
tilgaringr en side for at kunne foslashlge med i hvor meget modulet bliver brugt Nyhedsmediet aftaler der-
for med udbyderen af kommentarmodulet at sidstnaeligvnte soslashrger for at reglerne om lagring af eller
adgang til oplysninger i brugeres terminal- udstyr efterleves ved at der gives fyldestgoslashrende infor-
mation og indhentes samtykke fra brugerne
Nyhedsmediet er dog ansvarlig for at efterlevelsen af reglerne rent faktisk finder sted og dermed for
at der ikke sker en uretmaeligssig lagring i brugernes terminaludstyr naringr brugere tilgaringr nyhedsmediets
hjemmeside uanset hvad nyhedsmediet maringtte have aftalt med udbyderen af kommentarmodulet
Dette gaeliglder altsaring ogsaring i tilfaeliglde af at udbyderen af kommentarmodulet anvender cookies til andre
formaringl end det der foslashlger af aftalen og oplyses til brugeren
Ejeren af en hjemmeside er ansvarlig for de cookies og lignende teknologier der saeligttes i forbindelse med en brugers besoslashg paring hjemmesiden
Linkes der paring hjemmesiden til andre hjemmesider eller anvendes der rdquodelebarerrdquo eller rdquolike-knapperrdquo til eksempelvis Facebook eller Twitter er det vigtigt at vaeligre opmaeligrk-som paring hvorvidt disse hjemmesider saeligtter cookies via links delebar eller like-knapper allerede inden brugeren linkes over til den nye hjemmeside da det som ovenfor naeligvnt er hjemmesideejeren der i sidste ende er ansvarlig for de cookies der saeligttes paring deres hjemmeside Naringr der foslashrst er linket over via delebaren overgaringr ansvaret til ejeren af den nye hjemmeside
Det er ikke et krav efter cookiereglerne men det anbefales at oplyse brugeren om at siden forlades og at de sider man giver adgang til evt bruger cookies
Ved oprettelse af digitale platforme hvorfra man tilgaringr andre hjemmesider som vil optraeligde i rammen af den digitale platform eksempelvis Erhvervsstyrelsens rdquoVirkdkrdquo eller Digitaliseringsstyrelsens rdquoBorgerdkrdquo vil det vaeligre ejeren af den enkelte hjemme-side der tilgarings via platformen der er ansvarlig for overholdelsen af cookiereglerne paring disse hjemmesider Ejeren af platformen har ansvaret for cookies der saeligttes af dem
Det samme vil gaeliglde ved oprettelse af hjemmesider via sociale medier som eksempel-vis Facebook Det sociale medie vil vaeligre ansvarlig for de cookies der saeligttes af mediet men ikke for de cookies der saeligttes af ejeren af hjemmesiden oprettet i det sociale medies format
Det afgoslashrende for hvem der baeligrer ansvaret for indhentelse af samtykke til anvendelse af cookies paring en hjemmeside afhaelignger af hvem der har kontrollen over indholdet paring hjemmesiden
Hvor gaeliglder hvilke reglerHjemmesideejere der er etableret i andre lande udover Danmark skal vaeligre opmaeligrk-somme paring at de maringske ikke kan noslashjes med at indrette deres loslashsninger efter den danske lovgivning De danske cookieregler er baseret paring harmoniseret EU lovgivning der dog alene fastsaeligtter minimumskrav i forbindelse med anvendelse af cookies og lignende teknologier
Der er ikke i e-Databeskyttelsesdirektivet taget stilling til reglernes geografiske anven-delsesomraringde men Europa-Kommissionen har tilkendegivet at det indenfor EU er lovgivningen i det land hvori udbyderen af en tjeneste er etableret der er gaeligldende Vi
Vejledning 15
laeliggger i Danmark umiddelbart op af Kommissionens fortolkning der foslashlger rdquoafsen-derlandsprincippetrdquo i E-handelsdirektivet8
Hvis udbyderen af en tjeneste etableret i Danmark lagrer eller opnaringr adgang til op-lysninger i en brugers terminaludstyr er tjenesteudbyderen saringledes forpligtet efter de danske regler De danske regler finder ligeledes anvendelse hvor udbyderen af en tjeneste etableret i Danmark lader en 3 part der er etableret i et andet land lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyderens tjene-ste
Ifoslashlge Kommissionen gaeliglder for udbyderen af en tjeneste etableret uden for EU lovgiv-ningen i det land hvor lagringen af eller adgangen til oplysninger i en brugers termi-naludstyr finder sted Erhvervsstyrelsen laeliggger i tilsynet med reglerne vaeliggt paring hvor-vidt hjemmesiden retter sig mod danske forbrugere i overensstemmelse med de folkeretlige jurisdiktionsprincipper om hvor en handling har virkning Der vil saringledes blive lagt vaeliggt paring en raeligkke faktorer som sprog leveringsbetingelser (feks en webshop hvor der kan leveres til Danmark) etc
Krav om informeret samtykke
Det helt centrale i aeligndringen til e-Databeskyttelsesdirektivet fra 2009 er kravet om indhentelse af informeret samtykke forud for placeringen af cookies der ogsaring er foslashrt videre til de danske regler i cookiebekendtgoslashrelsens sect 3
Cookiebekendtgoslashrelsen indeholder en definition af samtykke baseret paring samtykkede-finitionen i Persondatabeskyttelsesdirektivet som Cookiedirektivet henviser til Det samme gaeliglder indholdet af informationspligten der ogsaring er naeligrmere beskrevet i Per-sondatabeskyttelsesdirektivet
Kravene om information og samtykke boslashr ses som to komplementaeligre elementer der understoslashtter hinanden og ikke kan adskilles idet de er indfoslashrt for at sikre at brugeren kan traeligffe et reelt og oplyst valg omkring overvaringgningen af deres faeligrdsel paring internet-tet Er informationen ikke fyldestgoslashrende vil samtykket heller ikke vaeligre et reelt sam-tykke
Nedenfor er kravene til baringde information og samtykke naeligrmere uddybet Der gives en raeligkke praktiske eksempler og flere foslashlger af den tekniske guide som findes i vejlednin-gens sidste afsnit Der er alene tale om eksempler til inspiration da det fortsat vil vaeligre op til den enkelte hjemmesideejer at vurdere hvordan kravene bedst muligt efterleves paring netop deres tjeneste
Bekendtgoslashrelsens sect 3
sect 3 Fysiske eller juridiske personer maring ikke lagre oplysninger eller opnaring adgang til oplysninger der
allerede er lagret i en slutbrugers terminaludstyr eller lade tredjepart lagre oplysninger eller opnaring
adgang til oplysninger hvis slutbrugeren ikke giver samtykke hertil efter at have modtaget fyldest-
goslashrende information om lagringen af eller adgangen til oplysningerne
Stk 2 Information jf stk 1 er fyldestgoslashrende naringr den som minimum
1) fremstaringr i et klart praeligcist og letforstaringeligt sprog eller tilsvarende billedskrift
2) indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens
terminaludstyr
3) indeholder oplysninger der identificerer enhver fysisk eller juridisk person der foranstalter lagrin-
gen af eller adgangen til oplysningerne
4) indeholder en umiddelbart tilgaeligngelig adgang for slutbrugeren til at afslaring samtykke eller tilbage-
8 Europa-Parlamentets og Raringdets direktiv 200031EF om visse retlige aspekter af informationssamfundstjenester navnlig ele-ktronisk handel i det indre marked
Vejledning16
kalde samtykke til lagringen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig
vejledning om hvordan slutbrugeren anvender en saringdan adgang og
5) er umiddelbart tilgaeligngelig for slutbrugeren ved samlet og tydeligt at blive meddelt denne Des-
uden skal information naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminal-
udstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren
ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Informationskravet
Hvilke krav stilles til fyldestgoslashrende information Af bekendtgoslashrelsens sect 3 stk 2 fremgaringr de krav der som minimum skal vaeligre opfyldt foslashr informationen kan siges at vaeligre fyldestgoslashrende Der stilles krav til karakteren ind-holdet og tilgaeligngeligheden af informationen
Overordnet kan siges at informationen skal udgoslashre det videns grundlag der saeligtter brugerne i stand til at traeligffe reelle informerede valg I nogle tilfaeliglde boslashr det derfor ogsaring overvejes at medtage yderligere information end der kraeligves i bekendtgoslashrelsen hvis dette er noslashdvendigt for at brugerne kan forstaring konsekvenserne af deres valg
Loslashsninger skal opfylde cookiereglerne baringde paring hjemmesider og paring mobilsites ndash se evt teknisk guide i vejledningens kapitel 6
Krav til sprog og tekstsect 3 stk 2 nr 1 fastsaeligtter krav til at informationen fremstaringr i et klart praeligcist og letfor-staringeligt sprog eller tilsvarende billedskrift
Det indebaeligrer bla at informationen ikke boslashr formuleres i unoslashdigt teknisk eller juri-disk sprog samt at brugeren let kan danne sig et overblik
Brug af tabeller eller billedsprog fx i form af piktogrammer kan supplere eller erstatte mere traditionel tekst og goslashre informationen lettere at forstaring men maring vurderes ud fra brugerens kendskab til saringdanne alternativer
Bestemmelsen indeholder ikke krav til paring hvilket sprog informationen skal gives Valg af sprog boslashr dog ske under hensynstagen til hvilke brugere en tjeneste retter sig imod herunder isaeligr hvor disse brugere befinder sig geografisk
Krav til oplysning om formaringlsect 3 stk 2 nr 2 fastsaeligtter krav til at informationen indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens terminaludstyr
Brugeren har ret til at faring oplyst hvorfor der lagres eller tilgarings oplysninger og det er ikke tilstraeligkkeligt blot at oplyse at det sker Dette krav haelignger sammen med samtykkekra-vet der skal vaeligre en specifik viljestilkendegivelse Angivelsen af rdquovi bruger cookiesrdquo uden yderligere praeligcisering vurderes saringledes ikke at opfylde reglerne
Informationen om formaringl med lagringen af eller adgangen til oplysninger er helt cen-tral og skal understoslashtte at brugerne er bevidste om hvilke konsekvenser deres valg har Formaringlet boslashr derfor altid beskrives meget praeligcist og daeligkkende
Har lagringen af eller adgangen til oplysninger mere end eacutet formaringl skal der oplyses om samtlige formaringl Lagres eller tilgarings der flere oplysninger med samme formaringl eller af flere omgange vil det almindeligvis vaeligre tilstraeligkkeligt at beskrive formaringlet eacuten gang og ikke for hver oplysning der lagres eller opnarings adgang til
Vejledning 17
I relation til kravet om angivelse af formaringl saring er det her vigtigt at understrege at for-maringlsbeskrivelsen ligeledes skal omfatte eventuelle 3 parters formaringl med at anvende cookies
Eksempel Information om formaringl med brug af cookies
Brugen af cookies er meget udbredt og kan have en lang raeligkke formaringl herunder fx at optimere
brugeroplevelse eller design paring en tjeneste at generere webstatistik eller at maringlrette markedsfoslashring
til brugere
Den information der gives boslashr beskrive formaringlet med tjenestens brug af cookies og ikke de en-
kelte cookies i sig selv
Hvis en tjeneste eksempelvis bruger fire cookies til at optimere designet paring tjenesten mens yderli-
gere to cookies bruges til at haringndtere annoncer og en syvende cookie bruges til at genere websta-
tisk vil det almindeligvis vaeligre tilstraeligkkeligt at informere om de tre forskellige formaringl med brugen
af cookies og ikke noslashdvendigvis om de i alt syv cookies siden goslashr brug af
Oplysninger om hvem der saeligtter cookiessect 3 stk 2 nr 3 fastsaeligtter krav til at informationen indeholder oplysninger der identifi-cerer enhver fysisk eller juridisk person der foranstalter lagringen af oplysninger eller opnaringr adgang til allerede lagrede oplysninger
Brugere skal vaeligre i stand til at identificere den der foranstalter lagringen Det vil i mange tilfaeliglde vaeligre udbyderen af tjenesten men hvor udbyderen af en tjeneste lader 3 part lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyde-rens tjeneste skal 3 part ogsaring kunne identificeres af brugeren Den eksakte angivelse af hvilke 3 parter der saeligtter cookies kan ske paring en underside jf vejledningens afsnit om lagdelt information nedenfor
For saring vidt angaringr oplysninger der lagres eller tilgarings i brugeres terminaludstyr af en or-ganisation fx en virksomhed eller anden juridisk person angives oplysninger som identificerer organisationen og ikke dens medarbejdere
Hvilke konkrete informationer der skal vaeligre til stede for at brugere kan identificere de(n) der foretager lagringen vil variere fra tjeneste til tjeneste og afhaelignger af de par-ter der er involveret
Adgang til at afslaring cookiessect 3 stk 2 nr 4 fastsaeligtter krav til at informationen indeholder en umiddelbart tilgaelign-gelig adgang for slutbrugeren til at afslaring samtykke eller tilbagekalde samtykke til lagrin-gen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig vejledning om hvordan slutbrugeren anvender en saringdan adgang
Brugere skal have mulighed for at afslaring samtykke eller tilbagekalde et allerede givet samtykke Dette skal understoslashtte reel brugerkontrol og frivilligheden af brugeres sam-tykke Til dette formaringl skal der vaeligre en umiddelbart tilgaeligngelig adgang til at afslaring cookies og en klar praeligcis og letforstaringelig vejledning om hvordan brugere kan anvende en saringdan adgang Se endvidere nedenfor under afsnittet om rdquoKravet til samtykkerdquo hvor det slarings fast at der ikke gaeliglder noget krav om at en hjemmeside skal kunne tilgarings eller fungere uden cookies
Det kan i nogle tilfaeliglde vaeligre relevant at henvise til eksempelvis vejledninger og vaeligrk-toslashjer andre har udarbejdet Der stilles i bekendtgoslashrelsen ingen krav til at vejledninger eller vaeligrktoslashjer til at afslaring eller tilbagekalde et samtykke skal forefindes paring tjenesten der lagrer eller tilgaringr oplysninger Det er adgangen til vejledning og vaeligrktoslashjer som tjene-sten er forpligtet til at goslashre umiddelbart tilgaeligngelig for brugeren
Vejledning18
Krav om informationens tilgaeligngelighedsect 3 stk 2 nr 5 fastsaeligtter krav til at informationen er umiddelbart tilgaeligngelig for slut-brugeren ved samlet og tydeligt at blive meddelt denne Desuden skal informationen naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjene-ste
For at sikre reel brugerkontrol er det noslashdvendigt at informationen er umiddelbart tilgaeligngelig for brugere og kan tilgarings uden besvaeligr Dette er desuden en forudsaeligtning for at brugere ogsaring kan tilbagekalde et allerede afgivet samtykke Hvordan informatio-nen bedst goslashres tilgaeligngelig vil bla afhaelignge af tjenestens design og struktur hvorfor det vil variere fra tjeneste til tjeneste
Informationen kan vaeligre lagdeltDet kan vaeligre hensigtsmaeligssigt at benytte sig af lagdelt information saringledes at det dog sikres at brugerne med det samme faringr de vaeligsentligste informationer saringsom formaringlet med anvendelsen af cookies samtidig med at der linkes til mere detaljerede informa-tioner Brugen af piktogrammer eller andre tydeligt markerede indgange til informa-tionen kan understoslashtte dette men ikke goslashre det ud alene for umiddelbar tilgaeligngelig information
Den umiddelbare angivelse af formaringlet med anvendelsen af cookies boslashr omfatte infor-mation om 3 parts cookies idet det har betydning for brugeren hvem data tilgaringr Ek-sempelvis ved angivelse af formaringl som direkte markedsfoslashring skal det ogsaring fremgaring at direkte markedsfoslashring vil vaeligre fra 3 part Den praeligcise angivelse af 3 parter kan evt ske paring en underside
En tjeneste kan desuden vaeliglge at skelne mellem hvordan informationen praeligsenteres for brugere inden brugeren afgiver eller afslaringr samtykke og hvordan informationen praeligsenteres efter at brugere har afgivet eller afslaringet samtykke
Paring informations- og indholdstjenester herunder hjemmesider og andre online tjene-ster der lagrer eller tilgaringr oplysninger i en brugeres terminaludstyr skal informationen vaeligre vedvarende tilgaeligngelig for brugere ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Dette indebaeligrer at brugere ved anvendelse af saringdanne tjenester til enhver tid skal have adgang til informationen og en saringdan adgang boslashr vaeligre let at finde og anvende Det kan bla overvejes at opfylde dette krav ved at placere en saringdan adgang i sammenhaeligng med oslashvrige vedvarende elementer paring en tjeneste Brug af piktogrammer eller lignende kan ogsaring overvejes i denne sammenhaeligng
Nedenfor redegoslashres naeligrmere for kravet til samtykke Det kan heraf laeligses at samtykke kan gives paring forskellig maringde herunder ogsaring ved en aktiv handling Kravet til informa-tion kan variere for saring vidt angaringr tydelighed og tilgaeligngelighed alt efter hvilken form for samtykke der er tale om Krav til hvilke oplysninger der gives for at en information kan anses for fyldestgoslashrende varierer imidlertid ikke
Vaeligsentlig information der skal gives til brugeren med det samme er
- Alle formaringl med cookies og lignende teknologier
- Hvem der anvender cookies og lignende teknologier paring hjemmesiden
Vejledning 19
Eksempel Fyldestgoslashrende information ndash lagdelt med vaeligsentlige oplysninger foslashrst
En tjeneste paring nettet der giver brugeren mulighed for at sammenligne produkter og priser paring for-
skellige vareomraringder anvender cookies til at registrere antallet af brugere paring hjemmesiden og til at
registrere hvor brugeren kommer fra Paring hjemmesiden er der bannerreklamer for forskellige produ-
center relateret til de varekategorier som omtales paring hjemmesiden Bannerreklamerne leveres af 3
parter og anvender cookies til at registrere hvilke annoncer brugeren klikker paring saringledes at det er
muligt at identificere brugernes interesser og maringlrette annonceringen
Eksempel Umiddelbar information til brugeren
rdquoVi bruger cookies til statistik og til maringlrettet markedsfoslashring ogsaring fra os selv og vores an-
noncoslashrer ndash se her hvilke Laeligs her mere om vores brug af cookies herunder hvordan du
fravaeliglger brug af cookiesrdquo
Kravet til samtykke
Som ovenfor naeligvnt er den centrale aeligndring af reglerne kravet om indhentelse af in-formeret samtykke fra brugeren ved anvendelse af cookies eller lignende teknologier der foslashlger af cookiebekendtgoslashrelsens sect 3
Samtykke defineres i bekendtgoslashrelsens sect 2 stk 1 nr 8
Bekendtgoslashrelsens sect 2 stk 1 nr 8
sect 2 stk 1 nr 8) Samtykke Enhver frivillig specifik og informeret viljestilkendegivelse hvorved
slutbrugeren indvilliger i at der lagres oplysninger eller opnarings adgang til allerede lagrede oplysnin-
ger i slutbrugerens terminaludstyr
Da tjenester og deres brugere er vidt forskellige vil der vaeligre stor forskel paring hvordan et samtykke bedst indhentes
Kravet om samtykke skal sikre at brugere har reel kontrol med hvorvidt der lagres el-ler tilgarings oplysninger i deres terminaludstyr Naringr samtykket skal indhentes er det der-for vaeligsentligt at holde sig brugerens kontrolmuligheder for oslashje herunder brugerens reelle muligheder for at vurdere formaringlet med lagringen eller tilgangen til oplysnin-gerne
Reglerne giver i udgangspunktet tjenester et stort mulighedsrum til at vaeliglge hvordan samtykket bedst kan indhentes paring en maringde der fungerer i deres konkrete kontekst
At samtykket skal vaeligre frivilligt indebaeligrer bla at brugere skal have et faktisk valg
Det er ikke et krav at hjemmesider kan fungere uden brug af cookies eller lignende teknologier hvorfor afvisning af cookies kan medfoslashre at brugerens eneste mulighed er at forlade hjemmesiden Virksomheder har selvsagt et incitament for at deres hjem-meside er tilgaeligngelig men det er ikke lovstridigt at have loslashsninger der afskaeligrer bru-gere som ikke vil acceptere brugen af cookies
For offentlige hjemmesider kan der vaeligre andre overvejelser idet adgangen til offentlige tjenester gerne skulle vaeligre tilgaeligngelig for alle
I frivilligheden af samtykket ligger ogsaring at brugere skal have mulighed for at tilbage-kalde et allerede afgivet samtykke jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 4
Vejledning20
At samtykket skal vaeligre specifikt indebaeligrer bla at samtykket skal vaeligre praeligcist og vel-afgraelignset Samtykket behoslashver imidlertid ikke relatere sig til hver enkelt lagring af eller adgang til oplysninger i brugernes terminaludstyr I stedet boslashr samtykket knytte sig til det formaringl der ligger til grund for lagringen af eller adgangen til oplysningerne jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 2
Hvis lagring af eller adgang til oplysninger paring et senere tidspunkt benyttes til formaringl der raeligkker ud over hvad der tidligere er indhentet samtykke til skal der indhentes et nyt samtykke der omfatter det nye formaringl
At samtykket skal vaeligre informeret understoslashttes af kravene til information i bekendtgoslash-relsens sect 3 stk 2 hvor ikke mindst formaringlet med lagringen er vaeligsentligt Som del af et informeret samtykke boslashr brugere ogsaring oplyses om konsekvenserne af deres (fra)valg Saringdanne konsekvenser kan fx vaeligre at brugere ikke kan faring adgang til (dele af) tjenesten som ovenfor beskrevet hvis samtykket afslarings eller at et samtykke medfoslashrer at 3 parter faringr mulighed for at lagre eller tilgaring allerede lagrede oplysninger i brugeres terminalud-styr
Brugeres viljetilkendegivelse staringr helt centralt i indhentningen af et samtykke En tjene-steudbyder har pligt til at identificere en aktiv handling fra sine brugere der med rime-lighed kan tages til indtaeliggt for en tilkendegivelse af deres vilje paring et informeret grund-lag Det skal dog understreges at vilje kan tilkendegives paring en lang raeligkke forskellige maringder og at reglerne i bekendtgoslashrelsen ikke tager specifikt stilling til hvordan denne skal komme til udtryk
En viljestilkendegivelse kan vaeligre mange ting herunder eksempelvis
bull afkrydsning af en boks klik paring en knap eller udfyldelse af en formular i sammenhaeligng med rele-
vant information paring en tjeneste
bull aktiv brug af en tjeneste hvor det maring forventes at brugeren er informeret om at der vil ske lag-
ring af eller adgang til oplysninger (saringfremt dette ikke er afslaringet)
Kommissionen har tilkendegivet overfor Erhvervsstyrelsen at aktiv brug af en tjeneste som ovenfor beskrevet er i overensstemmelse med e-Databeskyttelsesdirektivet og ac-cepteres i de fleste medlemslande Det afgoslashrende er at der kan identificeres en aktiv handling eksempelvis at der klikkes videre paring siden og at brugeren har en forstaringelse af at de ved denne handling accepterer cookies dvs det er ikke nok bare generelt at informere om at hjemmesiden bruger cookies det skal praeligciseres at cookies saeligttes ved at brugeren eksempelvis klikker videre
Der vil vaeligre stor forskel paring hvordan samtykket bedst indhentes Det er den enkelte tjeneste selv der har de bedste forudsaeligtninger for at vaeliglge en loslashsning der overholder samtykkekravet og giver tjenestens brugere reel mulighed for at tilkendegive deres vilje paring et informeret grundlag
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt at defi-nere praeligcist hvordan brugere i konkrete tilfaeliglde skal tilkendegive sin vilje Bekendt-goslashrelsens samtykkekrav giver derfor tjenester et stort mulighedsrum til at udvikle nye og innovative loslashsninger der oslashger brugerkontrollen og gennemsigtigheden
Vejledning 21
Eksempel Samtykke
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Accepter cookies Afvis cookies Laeligs mere her om vores brug af cookies herunder hvordan
du fravaeliglger cookies igenrdquo
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Klikker du videre paring siden accepterer du at der saeligttes cookies til disse formaringl Laeligs mere
her om vores brug af cookies herunder hvordan du fravaeliglger brugen af cookiesrdquo
Hvis brugere vaeliglger ikke at give samtykke til lagringen af oplysninger eller vaeliglger at tilbagekalde et samtykke stilles der som ovenfor naeligvnt i bekendtgoslashrelsen ikke noget krav til at brugere fortsat skal have adgang til indhold paring en tjeneste
Erhvervsstyrelsen er opmaeligrksom paring at kravet om forudgaringende samtykke kan vaeligre teknisk udfordrende for en del hjemmesider der saeligtter cookies allerede naringr brugeren tilgaringr siden saeligrligt for at sikre statistik om hvor mange der besoslashger en hjemmeside og hvor de kommer fra
Direktivet stiller et grundlaeligggende krav om informeret samtykke Nogle lande har valgt at haringndhaeligve samtykkekravet saringledes at det undtagelsesvis i saeligrlige tilfaeliglde ac-cepteres at cookies kan lagres forud for at brugeren har givet samtykke hertil UK fastslaringr eksempelvis i deres vejledning til reglerne at samtykke saring vidt muligt skal ind-hentes foslashr der saeligttes cookies men accepterer dog at det ikke altid sker Hvor det ikke er muligt at indhente samtykke foslashr cookies lagres laeliggges der i UKrsquos vejledning imid-lertid vaeliggt paring virksomhedernes indsats for at sikre information til brugerne og deres mulighed for at give samtykkeafvise cookies hurtigst muligt ligesom der laeliggges vaeliggt paring at virksomhederne begraelignser adgangen til sessions cookies
Der er behov for en naeligrmere afklaring fra Kommissionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside eje-rens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Samtykke ved browserindstillinger er ikke anerkendt i Danmark paring nuvaeligrende tids-punkt og kun i faring af de oslashvrige EU-medlemslande Den generelle holdning er at de browserloslashsninger som findes paring markedet i dag ikke i tilstraeligkkelig grad sikrer mod brugen af cookies hvor brugeren har fravalgt det Med de eksisterende browsere er det ikke muligt at differentiere sit samtykke tilstraeligkkelig nuanceret saring det reelt bliver et rdquoja takrdquo til alle cookies eller rdquonej takrdquo til alle cookies hvorefter brugeren vil kunne op-leve betydelige begraelignsninger i forhold til indhold af forskellige tjenester paring nettet
Samtykket varer i udgangspunktet indtil forholdene aeligndres Brugeren skal hele tiden have en let adgang til at traeligkke samtykket tilbage
Undtagelser
Bekendtgoslashrelsens sect 4 indeholder to undtagelser til kravet om informeret samtykke fra brugeren forud for anvendelsen af cookies Er der tale om indsamling af data som falder under undtagelsesbestemmelserne vil der efter lovgivningen ikke stilles krav om hverken information eller samtykke Det kan imidlertid vaeligre en anbefaling ogsaring her at give information og indhente samtykke ud fra en betragtning om at fuldstaeligndig gennemsigtighed oslashger tilliden til internettet og derfor kan vaeligre gavnlig for en e-hand-ler eller udbyder af tjenesteydelser paring nettet Det skal ogsaring her vurderes hvorvidt situa-tionen kan vaeligre omfattet af reglerne om beskyttelse af persondata
Vejledning22
Bekendtgoslashrelsens sect 4
sect 4 Uanset sect 3 kan fysiske eller juridiske personer lagre oplysninger eller opnaring adgang til oplysninger
der allerede er lagret i en slutbrugers terminaludstyr hvis
1) lagringen af eller adgangen til oplysninger alene sker med det formaringl at overfoslashre kommunikation
via et elektronisk kommunikationsnet eller
2) lagringen af eller adgangen til oplysninger er paringkraeligvet for at saeligtte tjenesteyderen af en informa-
tionssamfundstjeneste som slutbrugeren udtrykkeligt har anmodet om i stand til at levere denne
tjeneste
Stk 2 Lagring af eller adgang til oplysninger i en slutbrugersterminaludstyr er paringkraeligvet jf stk 1
nr 2 hvis lagringen af eller adgangen til oplysninger er en teknisk forudsaeligtning for at kunne levere
en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
Erhvervsstyrelsen laeliggger i fortolkningen af undtagelsesbestemmelserne vaeliggt paring udta-lelser fra den saringkaldte Artikel 29 gruppe som er omtalt i forordet og som i juni 2012 offentliggjorde et dokument vedroslashrende undtagelsesbestemmelserne i e-Datadirekti-vet efter aeligndringerne i 2009 Det er vigtigt her at understrege at der ikke er tale om et juridisk bindende dokument men gruppens fortolkninger stoslashttes i vid udstraeligkning af EU Kommissionen og bredt i medlemsstaterne Et link til Artikel 29 gruppens udta-lelse foslashlger af kapitel 5 rdquoLinks til lovgivning og direktiverrdquo
1 undtagelse Cookies i forbindelse med opkobling til internettetDet er Erhvervsstyrelsens vurdering at sect 4 stk 1 nr 1 alene er moslashntet paring udbydere af internetforbindelser og den lagring af eller adgang til oplysninger i brugeres terminal-udstyr der maringtte finde sted som en del af opkoblingen til internettet og vedligehol-delse heraf
2 undtagelse Cookies der sikrer funktionaliteten af en tjeneste som brugeren har bedt omsect 4 stk 1 nr 2 har derimod et bredere anvendelsesomraringde
For at vaeligre omfattet af undtagelsesbestemmelsen i sect 4 stk 1 nr 2 skal to krav vaeligre opfyldt For det foslashrste skal brugeren udtrykkeligt have anmodet om tjenesten For det andet skal lagringen af eller adgangen til oplysninger i brugerens terminaludstyr vaeligre paringkraeligvet for leveringen af denne tjeneste Begge krav skal vaeligre opfyldt
Brugerens faeligrden paring nettet eller besoslashg paring en specifik hjemmeside kan ikke tages som et udtryk for en generel anmodning om de tjenester der her tilbydes
Hvorvidt lagring af oplysninger eller adgang til allerede lagrede oplysninger er paringkraelig-vet uddybes i sect 4 stk 2 hvorefter der skal vaeligre tale om en teknisk forudsaeligtning for at kunne levere en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
For at vaeligre en teknisk noslashdvendighed skal tjenesten ikke kunne fungere uden brug af cookiersquoen eller en lignende teknologi Samtidig er det vigtigt at der er en klar sammen-haeligng mellem den rdquoparingkraeligvederdquo teknologi og brugerens udtrykkelige anmodning om tjenesten
Med hensyn til tjenestens formaringl boslashr der laeliggges vaeliggt paring det formaringl med hvilket bru-gere tilgaringr tjenesten eller hjemmesiden
Cookies eller lignende teknologier der opfylder kravene til at vaeligre omfattet af undta-gelsen maring ikke anvendes med andre formaringl for oslashje I saring fald skal brugeren informeres og give samtykke til disse andre formaringl
Vejledning 23
Det har betydning for vurderingen af om cookies kan undtages fra kravet om informe-ret samtykke om der er tale om sessionscookies eller vedvarende cookies og hvor den stammer fra Vedvarende cookies vil sjaeligldent falde under undtagelsesbestemmelsen
Eksempler paring undtagelser efter sect 4
Elektroniske indkoslashbskurve
- Brugen af elektroniske indkoslashbskurve i webshops hvor det er noslashdvendigt at kunne genkende bru-
geren paring tvaeligrs af sideskift (genindlaeligsninger af webshoppen) da indkoslashbskurven ellers vil vaeligre tom
ved visning af en ny side Lagring af fx en cookie eller lignende teknologi er dermed en teknisk for-
udsaeligtning for at kunne levere den tjeneste (e-handel) som brugeren udtrykkeligt har anmodet om
(tilgaringet webshoppen og lagt varer i indkoslashbskurven) Indkoslashbskurven fungerer desuden i overensstem-
melse med det formaringl (at koslashbe varer) med hvilket brugeren tilgaringr webshoppen
Log-in situationer
- Anvendelse af log-in (eksempelvis ved netbank offentlige selvbetjeningsloslashsninger eller ved ad-
gang til saeligrlige netvaeligrk) hvor cookies sikrer at brugeren logges ind med brug af brugernavn
passwords og forbliver logget ind uden igen at skulle indtaste saringdanne koder Det er vigtigt at
understrege at det alene er selve log-in funktionen der er undtaget men ikke noslashdvendigvis cookies
som saeligttes ved aktiviteter efter log-in funktionen
Andre undtagelser
Brugerdefinerede browserindstillinger ndash eks valg af land sprog eller skriftstoslashrrelse
- Disse cookies kan vaeligre undtaget fra kravet om informeret samtykke i det omfang at disse udtryk-
kelig aktiveres af brugeren fx ved at klikke paring en knap eller afkrydse en rubrik og ikke benyttes til
andre formaringl og ikke i laeligngere tid end en browsersession
Authentificeringscookies
Cookies der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider
Brugervalideringscookies
Cookies der anvendes til at sikre mod (gentagne) fejl ved log-in
Multimedia player cookies
Cookies der anvendes til at regulere netvaeligrkshastighed eller billedkvalitet og til at aktivere play back
video- eller lydfiler
Plug-ins til sociale medier
Cookies der giver muligheden for enten at dele indholdet af en hjemmeside eller rdquolikerdquo indholdet via
det sociale medie Cookien saeligttes alene for at dirigere brugeren over paring den sociale hjemmeside og
logge ind her Den har alene betydning for brugere af sociale netvaeligrk der allerede er logget ind her
Bruges cookien til at tracke brugeren rundt paring nettet vil den ikke vaeligre omfattet
Load balancing
Cookies der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en
service
Det er Erhvervsstyrelsens vurdering at cookies der husker at en bruger har sagt rdquonej takrdquo til cookies er undtaget kravet om informeret samtykke da der er tale om et oslashnske fra brugeren og den er noslashdvendig for at huske indstillingen
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning 15
laeliggger i Danmark umiddelbart op af Kommissionens fortolkning der foslashlger rdquoafsen-derlandsprincippetrdquo i E-handelsdirektivet8
Hvis udbyderen af en tjeneste etableret i Danmark lagrer eller opnaringr adgang til op-lysninger i en brugers terminaludstyr er tjenesteudbyderen saringledes forpligtet efter de danske regler De danske regler finder ligeledes anvendelse hvor udbyderen af en tjeneste etableret i Danmark lader en 3 part der er etableret i et andet land lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyderens tjene-ste
Ifoslashlge Kommissionen gaeliglder for udbyderen af en tjeneste etableret uden for EU lovgiv-ningen i det land hvor lagringen af eller adgangen til oplysninger i en brugers termi-naludstyr finder sted Erhvervsstyrelsen laeliggger i tilsynet med reglerne vaeliggt paring hvor-vidt hjemmesiden retter sig mod danske forbrugere i overensstemmelse med de folkeretlige jurisdiktionsprincipper om hvor en handling har virkning Der vil saringledes blive lagt vaeliggt paring en raeligkke faktorer som sprog leveringsbetingelser (feks en webshop hvor der kan leveres til Danmark) etc
Krav om informeret samtykke
Det helt centrale i aeligndringen til e-Databeskyttelsesdirektivet fra 2009 er kravet om indhentelse af informeret samtykke forud for placeringen af cookies der ogsaring er foslashrt videre til de danske regler i cookiebekendtgoslashrelsens sect 3
Cookiebekendtgoslashrelsen indeholder en definition af samtykke baseret paring samtykkede-finitionen i Persondatabeskyttelsesdirektivet som Cookiedirektivet henviser til Det samme gaeliglder indholdet af informationspligten der ogsaring er naeligrmere beskrevet i Per-sondatabeskyttelsesdirektivet
Kravene om information og samtykke boslashr ses som to komplementaeligre elementer der understoslashtter hinanden og ikke kan adskilles idet de er indfoslashrt for at sikre at brugeren kan traeligffe et reelt og oplyst valg omkring overvaringgningen af deres faeligrdsel paring internet-tet Er informationen ikke fyldestgoslashrende vil samtykket heller ikke vaeligre et reelt sam-tykke
Nedenfor er kravene til baringde information og samtykke naeligrmere uddybet Der gives en raeligkke praktiske eksempler og flere foslashlger af den tekniske guide som findes i vejlednin-gens sidste afsnit Der er alene tale om eksempler til inspiration da det fortsat vil vaeligre op til den enkelte hjemmesideejer at vurdere hvordan kravene bedst muligt efterleves paring netop deres tjeneste
Bekendtgoslashrelsens sect 3
sect 3 Fysiske eller juridiske personer maring ikke lagre oplysninger eller opnaring adgang til oplysninger der
allerede er lagret i en slutbrugers terminaludstyr eller lade tredjepart lagre oplysninger eller opnaring
adgang til oplysninger hvis slutbrugeren ikke giver samtykke hertil efter at have modtaget fyldest-
goslashrende information om lagringen af eller adgangen til oplysningerne
Stk 2 Information jf stk 1 er fyldestgoslashrende naringr den som minimum
1) fremstaringr i et klart praeligcist og letforstaringeligt sprog eller tilsvarende billedskrift
2) indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens
terminaludstyr
3) indeholder oplysninger der identificerer enhver fysisk eller juridisk person der foranstalter lagrin-
gen af eller adgangen til oplysningerne
4) indeholder en umiddelbart tilgaeligngelig adgang for slutbrugeren til at afslaring samtykke eller tilbage-
8 Europa-Parlamentets og Raringdets direktiv 200031EF om visse retlige aspekter af informationssamfundstjenester navnlig ele-ktronisk handel i det indre marked
Vejledning16
kalde samtykke til lagringen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig
vejledning om hvordan slutbrugeren anvender en saringdan adgang og
5) er umiddelbart tilgaeligngelig for slutbrugeren ved samlet og tydeligt at blive meddelt denne Des-
uden skal information naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminal-
udstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren
ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Informationskravet
Hvilke krav stilles til fyldestgoslashrende information Af bekendtgoslashrelsens sect 3 stk 2 fremgaringr de krav der som minimum skal vaeligre opfyldt foslashr informationen kan siges at vaeligre fyldestgoslashrende Der stilles krav til karakteren ind-holdet og tilgaeligngeligheden af informationen
Overordnet kan siges at informationen skal udgoslashre det videns grundlag der saeligtter brugerne i stand til at traeligffe reelle informerede valg I nogle tilfaeliglde boslashr det derfor ogsaring overvejes at medtage yderligere information end der kraeligves i bekendtgoslashrelsen hvis dette er noslashdvendigt for at brugerne kan forstaring konsekvenserne af deres valg
Loslashsninger skal opfylde cookiereglerne baringde paring hjemmesider og paring mobilsites ndash se evt teknisk guide i vejledningens kapitel 6
Krav til sprog og tekstsect 3 stk 2 nr 1 fastsaeligtter krav til at informationen fremstaringr i et klart praeligcist og letfor-staringeligt sprog eller tilsvarende billedskrift
Det indebaeligrer bla at informationen ikke boslashr formuleres i unoslashdigt teknisk eller juri-disk sprog samt at brugeren let kan danne sig et overblik
Brug af tabeller eller billedsprog fx i form af piktogrammer kan supplere eller erstatte mere traditionel tekst og goslashre informationen lettere at forstaring men maring vurderes ud fra brugerens kendskab til saringdanne alternativer
Bestemmelsen indeholder ikke krav til paring hvilket sprog informationen skal gives Valg af sprog boslashr dog ske under hensynstagen til hvilke brugere en tjeneste retter sig imod herunder isaeligr hvor disse brugere befinder sig geografisk
Krav til oplysning om formaringlsect 3 stk 2 nr 2 fastsaeligtter krav til at informationen indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens terminaludstyr
Brugeren har ret til at faring oplyst hvorfor der lagres eller tilgarings oplysninger og det er ikke tilstraeligkkeligt blot at oplyse at det sker Dette krav haelignger sammen med samtykkekra-vet der skal vaeligre en specifik viljestilkendegivelse Angivelsen af rdquovi bruger cookiesrdquo uden yderligere praeligcisering vurderes saringledes ikke at opfylde reglerne
Informationen om formaringl med lagringen af eller adgangen til oplysninger er helt cen-tral og skal understoslashtte at brugerne er bevidste om hvilke konsekvenser deres valg har Formaringlet boslashr derfor altid beskrives meget praeligcist og daeligkkende
Har lagringen af eller adgangen til oplysninger mere end eacutet formaringl skal der oplyses om samtlige formaringl Lagres eller tilgarings der flere oplysninger med samme formaringl eller af flere omgange vil det almindeligvis vaeligre tilstraeligkkeligt at beskrive formaringlet eacuten gang og ikke for hver oplysning der lagres eller opnarings adgang til
Vejledning 17
I relation til kravet om angivelse af formaringl saring er det her vigtigt at understrege at for-maringlsbeskrivelsen ligeledes skal omfatte eventuelle 3 parters formaringl med at anvende cookies
Eksempel Information om formaringl med brug af cookies
Brugen af cookies er meget udbredt og kan have en lang raeligkke formaringl herunder fx at optimere
brugeroplevelse eller design paring en tjeneste at generere webstatistik eller at maringlrette markedsfoslashring
til brugere
Den information der gives boslashr beskrive formaringlet med tjenestens brug af cookies og ikke de en-
kelte cookies i sig selv
Hvis en tjeneste eksempelvis bruger fire cookies til at optimere designet paring tjenesten mens yderli-
gere to cookies bruges til at haringndtere annoncer og en syvende cookie bruges til at genere websta-
tisk vil det almindeligvis vaeligre tilstraeligkkeligt at informere om de tre forskellige formaringl med brugen
af cookies og ikke noslashdvendigvis om de i alt syv cookies siden goslashr brug af
Oplysninger om hvem der saeligtter cookiessect 3 stk 2 nr 3 fastsaeligtter krav til at informationen indeholder oplysninger der identifi-cerer enhver fysisk eller juridisk person der foranstalter lagringen af oplysninger eller opnaringr adgang til allerede lagrede oplysninger
Brugere skal vaeligre i stand til at identificere den der foranstalter lagringen Det vil i mange tilfaeliglde vaeligre udbyderen af tjenesten men hvor udbyderen af en tjeneste lader 3 part lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyde-rens tjeneste skal 3 part ogsaring kunne identificeres af brugeren Den eksakte angivelse af hvilke 3 parter der saeligtter cookies kan ske paring en underside jf vejledningens afsnit om lagdelt information nedenfor
For saring vidt angaringr oplysninger der lagres eller tilgarings i brugeres terminaludstyr af en or-ganisation fx en virksomhed eller anden juridisk person angives oplysninger som identificerer organisationen og ikke dens medarbejdere
Hvilke konkrete informationer der skal vaeligre til stede for at brugere kan identificere de(n) der foretager lagringen vil variere fra tjeneste til tjeneste og afhaelignger af de par-ter der er involveret
Adgang til at afslaring cookiessect 3 stk 2 nr 4 fastsaeligtter krav til at informationen indeholder en umiddelbart tilgaelign-gelig adgang for slutbrugeren til at afslaring samtykke eller tilbagekalde samtykke til lagrin-gen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig vejledning om hvordan slutbrugeren anvender en saringdan adgang
Brugere skal have mulighed for at afslaring samtykke eller tilbagekalde et allerede givet samtykke Dette skal understoslashtte reel brugerkontrol og frivilligheden af brugeres sam-tykke Til dette formaringl skal der vaeligre en umiddelbart tilgaeligngelig adgang til at afslaring cookies og en klar praeligcis og letforstaringelig vejledning om hvordan brugere kan anvende en saringdan adgang Se endvidere nedenfor under afsnittet om rdquoKravet til samtykkerdquo hvor det slarings fast at der ikke gaeliglder noget krav om at en hjemmeside skal kunne tilgarings eller fungere uden cookies
Det kan i nogle tilfaeliglde vaeligre relevant at henvise til eksempelvis vejledninger og vaeligrk-toslashjer andre har udarbejdet Der stilles i bekendtgoslashrelsen ingen krav til at vejledninger eller vaeligrktoslashjer til at afslaring eller tilbagekalde et samtykke skal forefindes paring tjenesten der lagrer eller tilgaringr oplysninger Det er adgangen til vejledning og vaeligrktoslashjer som tjene-sten er forpligtet til at goslashre umiddelbart tilgaeligngelig for brugeren
Vejledning18
Krav om informationens tilgaeligngelighedsect 3 stk 2 nr 5 fastsaeligtter krav til at informationen er umiddelbart tilgaeligngelig for slut-brugeren ved samlet og tydeligt at blive meddelt denne Desuden skal informationen naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjene-ste
For at sikre reel brugerkontrol er det noslashdvendigt at informationen er umiddelbart tilgaeligngelig for brugere og kan tilgarings uden besvaeligr Dette er desuden en forudsaeligtning for at brugere ogsaring kan tilbagekalde et allerede afgivet samtykke Hvordan informatio-nen bedst goslashres tilgaeligngelig vil bla afhaelignge af tjenestens design og struktur hvorfor det vil variere fra tjeneste til tjeneste
Informationen kan vaeligre lagdeltDet kan vaeligre hensigtsmaeligssigt at benytte sig af lagdelt information saringledes at det dog sikres at brugerne med det samme faringr de vaeligsentligste informationer saringsom formaringlet med anvendelsen af cookies samtidig med at der linkes til mere detaljerede informa-tioner Brugen af piktogrammer eller andre tydeligt markerede indgange til informa-tionen kan understoslashtte dette men ikke goslashre det ud alene for umiddelbar tilgaeligngelig information
Den umiddelbare angivelse af formaringlet med anvendelsen af cookies boslashr omfatte infor-mation om 3 parts cookies idet det har betydning for brugeren hvem data tilgaringr Ek-sempelvis ved angivelse af formaringl som direkte markedsfoslashring skal det ogsaring fremgaring at direkte markedsfoslashring vil vaeligre fra 3 part Den praeligcise angivelse af 3 parter kan evt ske paring en underside
En tjeneste kan desuden vaeliglge at skelne mellem hvordan informationen praeligsenteres for brugere inden brugeren afgiver eller afslaringr samtykke og hvordan informationen praeligsenteres efter at brugere har afgivet eller afslaringet samtykke
Paring informations- og indholdstjenester herunder hjemmesider og andre online tjene-ster der lagrer eller tilgaringr oplysninger i en brugeres terminaludstyr skal informationen vaeligre vedvarende tilgaeligngelig for brugere ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Dette indebaeligrer at brugere ved anvendelse af saringdanne tjenester til enhver tid skal have adgang til informationen og en saringdan adgang boslashr vaeligre let at finde og anvende Det kan bla overvejes at opfylde dette krav ved at placere en saringdan adgang i sammenhaeligng med oslashvrige vedvarende elementer paring en tjeneste Brug af piktogrammer eller lignende kan ogsaring overvejes i denne sammenhaeligng
Nedenfor redegoslashres naeligrmere for kravet til samtykke Det kan heraf laeligses at samtykke kan gives paring forskellig maringde herunder ogsaring ved en aktiv handling Kravet til informa-tion kan variere for saring vidt angaringr tydelighed og tilgaeligngelighed alt efter hvilken form for samtykke der er tale om Krav til hvilke oplysninger der gives for at en information kan anses for fyldestgoslashrende varierer imidlertid ikke
Vaeligsentlig information der skal gives til brugeren med det samme er
- Alle formaringl med cookies og lignende teknologier
- Hvem der anvender cookies og lignende teknologier paring hjemmesiden
Vejledning 19
Eksempel Fyldestgoslashrende information ndash lagdelt med vaeligsentlige oplysninger foslashrst
En tjeneste paring nettet der giver brugeren mulighed for at sammenligne produkter og priser paring for-
skellige vareomraringder anvender cookies til at registrere antallet af brugere paring hjemmesiden og til at
registrere hvor brugeren kommer fra Paring hjemmesiden er der bannerreklamer for forskellige produ-
center relateret til de varekategorier som omtales paring hjemmesiden Bannerreklamerne leveres af 3
parter og anvender cookies til at registrere hvilke annoncer brugeren klikker paring saringledes at det er
muligt at identificere brugernes interesser og maringlrette annonceringen
Eksempel Umiddelbar information til brugeren
rdquoVi bruger cookies til statistik og til maringlrettet markedsfoslashring ogsaring fra os selv og vores an-
noncoslashrer ndash se her hvilke Laeligs her mere om vores brug af cookies herunder hvordan du
fravaeliglger brug af cookiesrdquo
Kravet til samtykke
Som ovenfor naeligvnt er den centrale aeligndring af reglerne kravet om indhentelse af in-formeret samtykke fra brugeren ved anvendelse af cookies eller lignende teknologier der foslashlger af cookiebekendtgoslashrelsens sect 3
Samtykke defineres i bekendtgoslashrelsens sect 2 stk 1 nr 8
Bekendtgoslashrelsens sect 2 stk 1 nr 8
sect 2 stk 1 nr 8) Samtykke Enhver frivillig specifik og informeret viljestilkendegivelse hvorved
slutbrugeren indvilliger i at der lagres oplysninger eller opnarings adgang til allerede lagrede oplysnin-
ger i slutbrugerens terminaludstyr
Da tjenester og deres brugere er vidt forskellige vil der vaeligre stor forskel paring hvordan et samtykke bedst indhentes
Kravet om samtykke skal sikre at brugere har reel kontrol med hvorvidt der lagres el-ler tilgarings oplysninger i deres terminaludstyr Naringr samtykket skal indhentes er det der-for vaeligsentligt at holde sig brugerens kontrolmuligheder for oslashje herunder brugerens reelle muligheder for at vurdere formaringlet med lagringen eller tilgangen til oplysnin-gerne
Reglerne giver i udgangspunktet tjenester et stort mulighedsrum til at vaeliglge hvordan samtykket bedst kan indhentes paring en maringde der fungerer i deres konkrete kontekst
At samtykket skal vaeligre frivilligt indebaeligrer bla at brugere skal have et faktisk valg
Det er ikke et krav at hjemmesider kan fungere uden brug af cookies eller lignende teknologier hvorfor afvisning af cookies kan medfoslashre at brugerens eneste mulighed er at forlade hjemmesiden Virksomheder har selvsagt et incitament for at deres hjem-meside er tilgaeligngelig men det er ikke lovstridigt at have loslashsninger der afskaeligrer bru-gere som ikke vil acceptere brugen af cookies
For offentlige hjemmesider kan der vaeligre andre overvejelser idet adgangen til offentlige tjenester gerne skulle vaeligre tilgaeligngelig for alle
I frivilligheden af samtykket ligger ogsaring at brugere skal have mulighed for at tilbage-kalde et allerede afgivet samtykke jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 4
Vejledning20
At samtykket skal vaeligre specifikt indebaeligrer bla at samtykket skal vaeligre praeligcist og vel-afgraelignset Samtykket behoslashver imidlertid ikke relatere sig til hver enkelt lagring af eller adgang til oplysninger i brugernes terminaludstyr I stedet boslashr samtykket knytte sig til det formaringl der ligger til grund for lagringen af eller adgangen til oplysningerne jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 2
Hvis lagring af eller adgang til oplysninger paring et senere tidspunkt benyttes til formaringl der raeligkker ud over hvad der tidligere er indhentet samtykke til skal der indhentes et nyt samtykke der omfatter det nye formaringl
At samtykket skal vaeligre informeret understoslashttes af kravene til information i bekendtgoslash-relsens sect 3 stk 2 hvor ikke mindst formaringlet med lagringen er vaeligsentligt Som del af et informeret samtykke boslashr brugere ogsaring oplyses om konsekvenserne af deres (fra)valg Saringdanne konsekvenser kan fx vaeligre at brugere ikke kan faring adgang til (dele af) tjenesten som ovenfor beskrevet hvis samtykket afslarings eller at et samtykke medfoslashrer at 3 parter faringr mulighed for at lagre eller tilgaring allerede lagrede oplysninger i brugeres terminalud-styr
Brugeres viljetilkendegivelse staringr helt centralt i indhentningen af et samtykke En tjene-steudbyder har pligt til at identificere en aktiv handling fra sine brugere der med rime-lighed kan tages til indtaeliggt for en tilkendegivelse af deres vilje paring et informeret grund-lag Det skal dog understreges at vilje kan tilkendegives paring en lang raeligkke forskellige maringder og at reglerne i bekendtgoslashrelsen ikke tager specifikt stilling til hvordan denne skal komme til udtryk
En viljestilkendegivelse kan vaeligre mange ting herunder eksempelvis
bull afkrydsning af en boks klik paring en knap eller udfyldelse af en formular i sammenhaeligng med rele-
vant information paring en tjeneste
bull aktiv brug af en tjeneste hvor det maring forventes at brugeren er informeret om at der vil ske lag-
ring af eller adgang til oplysninger (saringfremt dette ikke er afslaringet)
Kommissionen har tilkendegivet overfor Erhvervsstyrelsen at aktiv brug af en tjeneste som ovenfor beskrevet er i overensstemmelse med e-Databeskyttelsesdirektivet og ac-cepteres i de fleste medlemslande Det afgoslashrende er at der kan identificeres en aktiv handling eksempelvis at der klikkes videre paring siden og at brugeren har en forstaringelse af at de ved denne handling accepterer cookies dvs det er ikke nok bare generelt at informere om at hjemmesiden bruger cookies det skal praeligciseres at cookies saeligttes ved at brugeren eksempelvis klikker videre
Der vil vaeligre stor forskel paring hvordan samtykket bedst indhentes Det er den enkelte tjeneste selv der har de bedste forudsaeligtninger for at vaeliglge en loslashsning der overholder samtykkekravet og giver tjenestens brugere reel mulighed for at tilkendegive deres vilje paring et informeret grundlag
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt at defi-nere praeligcist hvordan brugere i konkrete tilfaeliglde skal tilkendegive sin vilje Bekendt-goslashrelsens samtykkekrav giver derfor tjenester et stort mulighedsrum til at udvikle nye og innovative loslashsninger der oslashger brugerkontrollen og gennemsigtigheden
Vejledning 21
Eksempel Samtykke
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Accepter cookies Afvis cookies Laeligs mere her om vores brug af cookies herunder hvordan
du fravaeliglger cookies igenrdquo
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Klikker du videre paring siden accepterer du at der saeligttes cookies til disse formaringl Laeligs mere
her om vores brug af cookies herunder hvordan du fravaeliglger brugen af cookiesrdquo
Hvis brugere vaeliglger ikke at give samtykke til lagringen af oplysninger eller vaeliglger at tilbagekalde et samtykke stilles der som ovenfor naeligvnt i bekendtgoslashrelsen ikke noget krav til at brugere fortsat skal have adgang til indhold paring en tjeneste
Erhvervsstyrelsen er opmaeligrksom paring at kravet om forudgaringende samtykke kan vaeligre teknisk udfordrende for en del hjemmesider der saeligtter cookies allerede naringr brugeren tilgaringr siden saeligrligt for at sikre statistik om hvor mange der besoslashger en hjemmeside og hvor de kommer fra
Direktivet stiller et grundlaeligggende krav om informeret samtykke Nogle lande har valgt at haringndhaeligve samtykkekravet saringledes at det undtagelsesvis i saeligrlige tilfaeliglde ac-cepteres at cookies kan lagres forud for at brugeren har givet samtykke hertil UK fastslaringr eksempelvis i deres vejledning til reglerne at samtykke saring vidt muligt skal ind-hentes foslashr der saeligttes cookies men accepterer dog at det ikke altid sker Hvor det ikke er muligt at indhente samtykke foslashr cookies lagres laeliggges der i UKrsquos vejledning imid-lertid vaeliggt paring virksomhedernes indsats for at sikre information til brugerne og deres mulighed for at give samtykkeafvise cookies hurtigst muligt ligesom der laeliggges vaeliggt paring at virksomhederne begraelignser adgangen til sessions cookies
Der er behov for en naeligrmere afklaring fra Kommissionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside eje-rens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Samtykke ved browserindstillinger er ikke anerkendt i Danmark paring nuvaeligrende tids-punkt og kun i faring af de oslashvrige EU-medlemslande Den generelle holdning er at de browserloslashsninger som findes paring markedet i dag ikke i tilstraeligkkelig grad sikrer mod brugen af cookies hvor brugeren har fravalgt det Med de eksisterende browsere er det ikke muligt at differentiere sit samtykke tilstraeligkkelig nuanceret saring det reelt bliver et rdquoja takrdquo til alle cookies eller rdquonej takrdquo til alle cookies hvorefter brugeren vil kunne op-leve betydelige begraelignsninger i forhold til indhold af forskellige tjenester paring nettet
Samtykket varer i udgangspunktet indtil forholdene aeligndres Brugeren skal hele tiden have en let adgang til at traeligkke samtykket tilbage
Undtagelser
Bekendtgoslashrelsens sect 4 indeholder to undtagelser til kravet om informeret samtykke fra brugeren forud for anvendelsen af cookies Er der tale om indsamling af data som falder under undtagelsesbestemmelserne vil der efter lovgivningen ikke stilles krav om hverken information eller samtykke Det kan imidlertid vaeligre en anbefaling ogsaring her at give information og indhente samtykke ud fra en betragtning om at fuldstaeligndig gennemsigtighed oslashger tilliden til internettet og derfor kan vaeligre gavnlig for en e-hand-ler eller udbyder af tjenesteydelser paring nettet Det skal ogsaring her vurderes hvorvidt situa-tionen kan vaeligre omfattet af reglerne om beskyttelse af persondata
Vejledning22
Bekendtgoslashrelsens sect 4
sect 4 Uanset sect 3 kan fysiske eller juridiske personer lagre oplysninger eller opnaring adgang til oplysninger
der allerede er lagret i en slutbrugers terminaludstyr hvis
1) lagringen af eller adgangen til oplysninger alene sker med det formaringl at overfoslashre kommunikation
via et elektronisk kommunikationsnet eller
2) lagringen af eller adgangen til oplysninger er paringkraeligvet for at saeligtte tjenesteyderen af en informa-
tionssamfundstjeneste som slutbrugeren udtrykkeligt har anmodet om i stand til at levere denne
tjeneste
Stk 2 Lagring af eller adgang til oplysninger i en slutbrugersterminaludstyr er paringkraeligvet jf stk 1
nr 2 hvis lagringen af eller adgangen til oplysninger er en teknisk forudsaeligtning for at kunne levere
en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
Erhvervsstyrelsen laeliggger i fortolkningen af undtagelsesbestemmelserne vaeliggt paring udta-lelser fra den saringkaldte Artikel 29 gruppe som er omtalt i forordet og som i juni 2012 offentliggjorde et dokument vedroslashrende undtagelsesbestemmelserne i e-Datadirekti-vet efter aeligndringerne i 2009 Det er vigtigt her at understrege at der ikke er tale om et juridisk bindende dokument men gruppens fortolkninger stoslashttes i vid udstraeligkning af EU Kommissionen og bredt i medlemsstaterne Et link til Artikel 29 gruppens udta-lelse foslashlger af kapitel 5 rdquoLinks til lovgivning og direktiverrdquo
1 undtagelse Cookies i forbindelse med opkobling til internettetDet er Erhvervsstyrelsens vurdering at sect 4 stk 1 nr 1 alene er moslashntet paring udbydere af internetforbindelser og den lagring af eller adgang til oplysninger i brugeres terminal-udstyr der maringtte finde sted som en del af opkoblingen til internettet og vedligehol-delse heraf
2 undtagelse Cookies der sikrer funktionaliteten af en tjeneste som brugeren har bedt omsect 4 stk 1 nr 2 har derimod et bredere anvendelsesomraringde
For at vaeligre omfattet af undtagelsesbestemmelsen i sect 4 stk 1 nr 2 skal to krav vaeligre opfyldt For det foslashrste skal brugeren udtrykkeligt have anmodet om tjenesten For det andet skal lagringen af eller adgangen til oplysninger i brugerens terminaludstyr vaeligre paringkraeligvet for leveringen af denne tjeneste Begge krav skal vaeligre opfyldt
Brugerens faeligrden paring nettet eller besoslashg paring en specifik hjemmeside kan ikke tages som et udtryk for en generel anmodning om de tjenester der her tilbydes
Hvorvidt lagring af oplysninger eller adgang til allerede lagrede oplysninger er paringkraelig-vet uddybes i sect 4 stk 2 hvorefter der skal vaeligre tale om en teknisk forudsaeligtning for at kunne levere en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
For at vaeligre en teknisk noslashdvendighed skal tjenesten ikke kunne fungere uden brug af cookiersquoen eller en lignende teknologi Samtidig er det vigtigt at der er en klar sammen-haeligng mellem den rdquoparingkraeligvederdquo teknologi og brugerens udtrykkelige anmodning om tjenesten
Med hensyn til tjenestens formaringl boslashr der laeliggges vaeliggt paring det formaringl med hvilket bru-gere tilgaringr tjenesten eller hjemmesiden
Cookies eller lignende teknologier der opfylder kravene til at vaeligre omfattet af undta-gelsen maring ikke anvendes med andre formaringl for oslashje I saring fald skal brugeren informeres og give samtykke til disse andre formaringl
Vejledning 23
Det har betydning for vurderingen af om cookies kan undtages fra kravet om informe-ret samtykke om der er tale om sessionscookies eller vedvarende cookies og hvor den stammer fra Vedvarende cookies vil sjaeligldent falde under undtagelsesbestemmelsen
Eksempler paring undtagelser efter sect 4
Elektroniske indkoslashbskurve
- Brugen af elektroniske indkoslashbskurve i webshops hvor det er noslashdvendigt at kunne genkende bru-
geren paring tvaeligrs af sideskift (genindlaeligsninger af webshoppen) da indkoslashbskurven ellers vil vaeligre tom
ved visning af en ny side Lagring af fx en cookie eller lignende teknologi er dermed en teknisk for-
udsaeligtning for at kunne levere den tjeneste (e-handel) som brugeren udtrykkeligt har anmodet om
(tilgaringet webshoppen og lagt varer i indkoslashbskurven) Indkoslashbskurven fungerer desuden i overensstem-
melse med det formaringl (at koslashbe varer) med hvilket brugeren tilgaringr webshoppen
Log-in situationer
- Anvendelse af log-in (eksempelvis ved netbank offentlige selvbetjeningsloslashsninger eller ved ad-
gang til saeligrlige netvaeligrk) hvor cookies sikrer at brugeren logges ind med brug af brugernavn
passwords og forbliver logget ind uden igen at skulle indtaste saringdanne koder Det er vigtigt at
understrege at det alene er selve log-in funktionen der er undtaget men ikke noslashdvendigvis cookies
som saeligttes ved aktiviteter efter log-in funktionen
Andre undtagelser
Brugerdefinerede browserindstillinger ndash eks valg af land sprog eller skriftstoslashrrelse
- Disse cookies kan vaeligre undtaget fra kravet om informeret samtykke i det omfang at disse udtryk-
kelig aktiveres af brugeren fx ved at klikke paring en knap eller afkrydse en rubrik og ikke benyttes til
andre formaringl og ikke i laeligngere tid end en browsersession
Authentificeringscookies
Cookies der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider
Brugervalideringscookies
Cookies der anvendes til at sikre mod (gentagne) fejl ved log-in
Multimedia player cookies
Cookies der anvendes til at regulere netvaeligrkshastighed eller billedkvalitet og til at aktivere play back
video- eller lydfiler
Plug-ins til sociale medier
Cookies der giver muligheden for enten at dele indholdet af en hjemmeside eller rdquolikerdquo indholdet via
det sociale medie Cookien saeligttes alene for at dirigere brugeren over paring den sociale hjemmeside og
logge ind her Den har alene betydning for brugere af sociale netvaeligrk der allerede er logget ind her
Bruges cookien til at tracke brugeren rundt paring nettet vil den ikke vaeligre omfattet
Load balancing
Cookies der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en
service
Det er Erhvervsstyrelsens vurdering at cookies der husker at en bruger har sagt rdquonej takrdquo til cookies er undtaget kravet om informeret samtykke da der er tale om et oslashnske fra brugeren og den er noslashdvendig for at huske indstillingen
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning16
kalde samtykke til lagringen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig
vejledning om hvordan slutbrugeren anvender en saringdan adgang og
5) er umiddelbart tilgaeligngelig for slutbrugeren ved samlet og tydeligt at blive meddelt denne Des-
uden skal information naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminal-
udstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren
ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Informationskravet
Hvilke krav stilles til fyldestgoslashrende information Af bekendtgoslashrelsens sect 3 stk 2 fremgaringr de krav der som minimum skal vaeligre opfyldt foslashr informationen kan siges at vaeligre fyldestgoslashrende Der stilles krav til karakteren ind-holdet og tilgaeligngeligheden af informationen
Overordnet kan siges at informationen skal udgoslashre det videns grundlag der saeligtter brugerne i stand til at traeligffe reelle informerede valg I nogle tilfaeliglde boslashr det derfor ogsaring overvejes at medtage yderligere information end der kraeligves i bekendtgoslashrelsen hvis dette er noslashdvendigt for at brugerne kan forstaring konsekvenserne af deres valg
Loslashsninger skal opfylde cookiereglerne baringde paring hjemmesider og paring mobilsites ndash se evt teknisk guide i vejledningens kapitel 6
Krav til sprog og tekstsect 3 stk 2 nr 1 fastsaeligtter krav til at informationen fremstaringr i et klart praeligcist og letfor-staringeligt sprog eller tilsvarende billedskrift
Det indebaeligrer bla at informationen ikke boslashr formuleres i unoslashdigt teknisk eller juri-disk sprog samt at brugeren let kan danne sig et overblik
Brug af tabeller eller billedsprog fx i form af piktogrammer kan supplere eller erstatte mere traditionel tekst og goslashre informationen lettere at forstaring men maring vurderes ud fra brugerens kendskab til saringdanne alternativer
Bestemmelsen indeholder ikke krav til paring hvilket sprog informationen skal gives Valg af sprog boslashr dog ske under hensynstagen til hvilke brugere en tjeneste retter sig imod herunder isaeligr hvor disse brugere befinder sig geografisk
Krav til oplysning om formaringlsect 3 stk 2 nr 2 fastsaeligtter krav til at informationen indeholder oplysning om formaringl med lagringen af eller adgangen til oplysninger i slutbrugerens terminaludstyr
Brugeren har ret til at faring oplyst hvorfor der lagres eller tilgarings oplysninger og det er ikke tilstraeligkkeligt blot at oplyse at det sker Dette krav haelignger sammen med samtykkekra-vet der skal vaeligre en specifik viljestilkendegivelse Angivelsen af rdquovi bruger cookiesrdquo uden yderligere praeligcisering vurderes saringledes ikke at opfylde reglerne
Informationen om formaringl med lagringen af eller adgangen til oplysninger er helt cen-tral og skal understoslashtte at brugerne er bevidste om hvilke konsekvenser deres valg har Formaringlet boslashr derfor altid beskrives meget praeligcist og daeligkkende
Har lagringen af eller adgangen til oplysninger mere end eacutet formaringl skal der oplyses om samtlige formaringl Lagres eller tilgarings der flere oplysninger med samme formaringl eller af flere omgange vil det almindeligvis vaeligre tilstraeligkkeligt at beskrive formaringlet eacuten gang og ikke for hver oplysning der lagres eller opnarings adgang til
Vejledning 17
I relation til kravet om angivelse af formaringl saring er det her vigtigt at understrege at for-maringlsbeskrivelsen ligeledes skal omfatte eventuelle 3 parters formaringl med at anvende cookies
Eksempel Information om formaringl med brug af cookies
Brugen af cookies er meget udbredt og kan have en lang raeligkke formaringl herunder fx at optimere
brugeroplevelse eller design paring en tjeneste at generere webstatistik eller at maringlrette markedsfoslashring
til brugere
Den information der gives boslashr beskrive formaringlet med tjenestens brug af cookies og ikke de en-
kelte cookies i sig selv
Hvis en tjeneste eksempelvis bruger fire cookies til at optimere designet paring tjenesten mens yderli-
gere to cookies bruges til at haringndtere annoncer og en syvende cookie bruges til at genere websta-
tisk vil det almindeligvis vaeligre tilstraeligkkeligt at informere om de tre forskellige formaringl med brugen
af cookies og ikke noslashdvendigvis om de i alt syv cookies siden goslashr brug af
Oplysninger om hvem der saeligtter cookiessect 3 stk 2 nr 3 fastsaeligtter krav til at informationen indeholder oplysninger der identifi-cerer enhver fysisk eller juridisk person der foranstalter lagringen af oplysninger eller opnaringr adgang til allerede lagrede oplysninger
Brugere skal vaeligre i stand til at identificere den der foranstalter lagringen Det vil i mange tilfaeliglde vaeligre udbyderen af tjenesten men hvor udbyderen af en tjeneste lader 3 part lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyde-rens tjeneste skal 3 part ogsaring kunne identificeres af brugeren Den eksakte angivelse af hvilke 3 parter der saeligtter cookies kan ske paring en underside jf vejledningens afsnit om lagdelt information nedenfor
For saring vidt angaringr oplysninger der lagres eller tilgarings i brugeres terminaludstyr af en or-ganisation fx en virksomhed eller anden juridisk person angives oplysninger som identificerer organisationen og ikke dens medarbejdere
Hvilke konkrete informationer der skal vaeligre til stede for at brugere kan identificere de(n) der foretager lagringen vil variere fra tjeneste til tjeneste og afhaelignger af de par-ter der er involveret
Adgang til at afslaring cookiessect 3 stk 2 nr 4 fastsaeligtter krav til at informationen indeholder en umiddelbart tilgaelign-gelig adgang for slutbrugeren til at afslaring samtykke eller tilbagekalde samtykke til lagrin-gen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig vejledning om hvordan slutbrugeren anvender en saringdan adgang
Brugere skal have mulighed for at afslaring samtykke eller tilbagekalde et allerede givet samtykke Dette skal understoslashtte reel brugerkontrol og frivilligheden af brugeres sam-tykke Til dette formaringl skal der vaeligre en umiddelbart tilgaeligngelig adgang til at afslaring cookies og en klar praeligcis og letforstaringelig vejledning om hvordan brugere kan anvende en saringdan adgang Se endvidere nedenfor under afsnittet om rdquoKravet til samtykkerdquo hvor det slarings fast at der ikke gaeliglder noget krav om at en hjemmeside skal kunne tilgarings eller fungere uden cookies
Det kan i nogle tilfaeliglde vaeligre relevant at henvise til eksempelvis vejledninger og vaeligrk-toslashjer andre har udarbejdet Der stilles i bekendtgoslashrelsen ingen krav til at vejledninger eller vaeligrktoslashjer til at afslaring eller tilbagekalde et samtykke skal forefindes paring tjenesten der lagrer eller tilgaringr oplysninger Det er adgangen til vejledning og vaeligrktoslashjer som tjene-sten er forpligtet til at goslashre umiddelbart tilgaeligngelig for brugeren
Vejledning18
Krav om informationens tilgaeligngelighedsect 3 stk 2 nr 5 fastsaeligtter krav til at informationen er umiddelbart tilgaeligngelig for slut-brugeren ved samlet og tydeligt at blive meddelt denne Desuden skal informationen naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjene-ste
For at sikre reel brugerkontrol er det noslashdvendigt at informationen er umiddelbart tilgaeligngelig for brugere og kan tilgarings uden besvaeligr Dette er desuden en forudsaeligtning for at brugere ogsaring kan tilbagekalde et allerede afgivet samtykke Hvordan informatio-nen bedst goslashres tilgaeligngelig vil bla afhaelignge af tjenestens design og struktur hvorfor det vil variere fra tjeneste til tjeneste
Informationen kan vaeligre lagdeltDet kan vaeligre hensigtsmaeligssigt at benytte sig af lagdelt information saringledes at det dog sikres at brugerne med det samme faringr de vaeligsentligste informationer saringsom formaringlet med anvendelsen af cookies samtidig med at der linkes til mere detaljerede informa-tioner Brugen af piktogrammer eller andre tydeligt markerede indgange til informa-tionen kan understoslashtte dette men ikke goslashre det ud alene for umiddelbar tilgaeligngelig information
Den umiddelbare angivelse af formaringlet med anvendelsen af cookies boslashr omfatte infor-mation om 3 parts cookies idet det har betydning for brugeren hvem data tilgaringr Ek-sempelvis ved angivelse af formaringl som direkte markedsfoslashring skal det ogsaring fremgaring at direkte markedsfoslashring vil vaeligre fra 3 part Den praeligcise angivelse af 3 parter kan evt ske paring en underside
En tjeneste kan desuden vaeliglge at skelne mellem hvordan informationen praeligsenteres for brugere inden brugeren afgiver eller afslaringr samtykke og hvordan informationen praeligsenteres efter at brugere har afgivet eller afslaringet samtykke
Paring informations- og indholdstjenester herunder hjemmesider og andre online tjene-ster der lagrer eller tilgaringr oplysninger i en brugeres terminaludstyr skal informationen vaeligre vedvarende tilgaeligngelig for brugere ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Dette indebaeligrer at brugere ved anvendelse af saringdanne tjenester til enhver tid skal have adgang til informationen og en saringdan adgang boslashr vaeligre let at finde og anvende Det kan bla overvejes at opfylde dette krav ved at placere en saringdan adgang i sammenhaeligng med oslashvrige vedvarende elementer paring en tjeneste Brug af piktogrammer eller lignende kan ogsaring overvejes i denne sammenhaeligng
Nedenfor redegoslashres naeligrmere for kravet til samtykke Det kan heraf laeligses at samtykke kan gives paring forskellig maringde herunder ogsaring ved en aktiv handling Kravet til informa-tion kan variere for saring vidt angaringr tydelighed og tilgaeligngelighed alt efter hvilken form for samtykke der er tale om Krav til hvilke oplysninger der gives for at en information kan anses for fyldestgoslashrende varierer imidlertid ikke
Vaeligsentlig information der skal gives til brugeren med det samme er
- Alle formaringl med cookies og lignende teknologier
- Hvem der anvender cookies og lignende teknologier paring hjemmesiden
Vejledning 19
Eksempel Fyldestgoslashrende information ndash lagdelt med vaeligsentlige oplysninger foslashrst
En tjeneste paring nettet der giver brugeren mulighed for at sammenligne produkter og priser paring for-
skellige vareomraringder anvender cookies til at registrere antallet af brugere paring hjemmesiden og til at
registrere hvor brugeren kommer fra Paring hjemmesiden er der bannerreklamer for forskellige produ-
center relateret til de varekategorier som omtales paring hjemmesiden Bannerreklamerne leveres af 3
parter og anvender cookies til at registrere hvilke annoncer brugeren klikker paring saringledes at det er
muligt at identificere brugernes interesser og maringlrette annonceringen
Eksempel Umiddelbar information til brugeren
rdquoVi bruger cookies til statistik og til maringlrettet markedsfoslashring ogsaring fra os selv og vores an-
noncoslashrer ndash se her hvilke Laeligs her mere om vores brug af cookies herunder hvordan du
fravaeliglger brug af cookiesrdquo
Kravet til samtykke
Som ovenfor naeligvnt er den centrale aeligndring af reglerne kravet om indhentelse af in-formeret samtykke fra brugeren ved anvendelse af cookies eller lignende teknologier der foslashlger af cookiebekendtgoslashrelsens sect 3
Samtykke defineres i bekendtgoslashrelsens sect 2 stk 1 nr 8
Bekendtgoslashrelsens sect 2 stk 1 nr 8
sect 2 stk 1 nr 8) Samtykke Enhver frivillig specifik og informeret viljestilkendegivelse hvorved
slutbrugeren indvilliger i at der lagres oplysninger eller opnarings adgang til allerede lagrede oplysnin-
ger i slutbrugerens terminaludstyr
Da tjenester og deres brugere er vidt forskellige vil der vaeligre stor forskel paring hvordan et samtykke bedst indhentes
Kravet om samtykke skal sikre at brugere har reel kontrol med hvorvidt der lagres el-ler tilgarings oplysninger i deres terminaludstyr Naringr samtykket skal indhentes er det der-for vaeligsentligt at holde sig brugerens kontrolmuligheder for oslashje herunder brugerens reelle muligheder for at vurdere formaringlet med lagringen eller tilgangen til oplysnin-gerne
Reglerne giver i udgangspunktet tjenester et stort mulighedsrum til at vaeliglge hvordan samtykket bedst kan indhentes paring en maringde der fungerer i deres konkrete kontekst
At samtykket skal vaeligre frivilligt indebaeligrer bla at brugere skal have et faktisk valg
Det er ikke et krav at hjemmesider kan fungere uden brug af cookies eller lignende teknologier hvorfor afvisning af cookies kan medfoslashre at brugerens eneste mulighed er at forlade hjemmesiden Virksomheder har selvsagt et incitament for at deres hjem-meside er tilgaeligngelig men det er ikke lovstridigt at have loslashsninger der afskaeligrer bru-gere som ikke vil acceptere brugen af cookies
For offentlige hjemmesider kan der vaeligre andre overvejelser idet adgangen til offentlige tjenester gerne skulle vaeligre tilgaeligngelig for alle
I frivilligheden af samtykket ligger ogsaring at brugere skal have mulighed for at tilbage-kalde et allerede afgivet samtykke jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 4
Vejledning20
At samtykket skal vaeligre specifikt indebaeligrer bla at samtykket skal vaeligre praeligcist og vel-afgraelignset Samtykket behoslashver imidlertid ikke relatere sig til hver enkelt lagring af eller adgang til oplysninger i brugernes terminaludstyr I stedet boslashr samtykket knytte sig til det formaringl der ligger til grund for lagringen af eller adgangen til oplysningerne jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 2
Hvis lagring af eller adgang til oplysninger paring et senere tidspunkt benyttes til formaringl der raeligkker ud over hvad der tidligere er indhentet samtykke til skal der indhentes et nyt samtykke der omfatter det nye formaringl
At samtykket skal vaeligre informeret understoslashttes af kravene til information i bekendtgoslash-relsens sect 3 stk 2 hvor ikke mindst formaringlet med lagringen er vaeligsentligt Som del af et informeret samtykke boslashr brugere ogsaring oplyses om konsekvenserne af deres (fra)valg Saringdanne konsekvenser kan fx vaeligre at brugere ikke kan faring adgang til (dele af) tjenesten som ovenfor beskrevet hvis samtykket afslarings eller at et samtykke medfoslashrer at 3 parter faringr mulighed for at lagre eller tilgaring allerede lagrede oplysninger i brugeres terminalud-styr
Brugeres viljetilkendegivelse staringr helt centralt i indhentningen af et samtykke En tjene-steudbyder har pligt til at identificere en aktiv handling fra sine brugere der med rime-lighed kan tages til indtaeliggt for en tilkendegivelse af deres vilje paring et informeret grund-lag Det skal dog understreges at vilje kan tilkendegives paring en lang raeligkke forskellige maringder og at reglerne i bekendtgoslashrelsen ikke tager specifikt stilling til hvordan denne skal komme til udtryk
En viljestilkendegivelse kan vaeligre mange ting herunder eksempelvis
bull afkrydsning af en boks klik paring en knap eller udfyldelse af en formular i sammenhaeligng med rele-
vant information paring en tjeneste
bull aktiv brug af en tjeneste hvor det maring forventes at brugeren er informeret om at der vil ske lag-
ring af eller adgang til oplysninger (saringfremt dette ikke er afslaringet)
Kommissionen har tilkendegivet overfor Erhvervsstyrelsen at aktiv brug af en tjeneste som ovenfor beskrevet er i overensstemmelse med e-Databeskyttelsesdirektivet og ac-cepteres i de fleste medlemslande Det afgoslashrende er at der kan identificeres en aktiv handling eksempelvis at der klikkes videre paring siden og at brugeren har en forstaringelse af at de ved denne handling accepterer cookies dvs det er ikke nok bare generelt at informere om at hjemmesiden bruger cookies det skal praeligciseres at cookies saeligttes ved at brugeren eksempelvis klikker videre
Der vil vaeligre stor forskel paring hvordan samtykket bedst indhentes Det er den enkelte tjeneste selv der har de bedste forudsaeligtninger for at vaeliglge en loslashsning der overholder samtykkekravet og giver tjenestens brugere reel mulighed for at tilkendegive deres vilje paring et informeret grundlag
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt at defi-nere praeligcist hvordan brugere i konkrete tilfaeliglde skal tilkendegive sin vilje Bekendt-goslashrelsens samtykkekrav giver derfor tjenester et stort mulighedsrum til at udvikle nye og innovative loslashsninger der oslashger brugerkontrollen og gennemsigtigheden
Vejledning 21
Eksempel Samtykke
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Accepter cookies Afvis cookies Laeligs mere her om vores brug af cookies herunder hvordan
du fravaeliglger cookies igenrdquo
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Klikker du videre paring siden accepterer du at der saeligttes cookies til disse formaringl Laeligs mere
her om vores brug af cookies herunder hvordan du fravaeliglger brugen af cookiesrdquo
Hvis brugere vaeliglger ikke at give samtykke til lagringen af oplysninger eller vaeliglger at tilbagekalde et samtykke stilles der som ovenfor naeligvnt i bekendtgoslashrelsen ikke noget krav til at brugere fortsat skal have adgang til indhold paring en tjeneste
Erhvervsstyrelsen er opmaeligrksom paring at kravet om forudgaringende samtykke kan vaeligre teknisk udfordrende for en del hjemmesider der saeligtter cookies allerede naringr brugeren tilgaringr siden saeligrligt for at sikre statistik om hvor mange der besoslashger en hjemmeside og hvor de kommer fra
Direktivet stiller et grundlaeligggende krav om informeret samtykke Nogle lande har valgt at haringndhaeligve samtykkekravet saringledes at det undtagelsesvis i saeligrlige tilfaeliglde ac-cepteres at cookies kan lagres forud for at brugeren har givet samtykke hertil UK fastslaringr eksempelvis i deres vejledning til reglerne at samtykke saring vidt muligt skal ind-hentes foslashr der saeligttes cookies men accepterer dog at det ikke altid sker Hvor det ikke er muligt at indhente samtykke foslashr cookies lagres laeliggges der i UKrsquos vejledning imid-lertid vaeliggt paring virksomhedernes indsats for at sikre information til brugerne og deres mulighed for at give samtykkeafvise cookies hurtigst muligt ligesom der laeliggges vaeliggt paring at virksomhederne begraelignser adgangen til sessions cookies
Der er behov for en naeligrmere afklaring fra Kommissionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside eje-rens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Samtykke ved browserindstillinger er ikke anerkendt i Danmark paring nuvaeligrende tids-punkt og kun i faring af de oslashvrige EU-medlemslande Den generelle holdning er at de browserloslashsninger som findes paring markedet i dag ikke i tilstraeligkkelig grad sikrer mod brugen af cookies hvor brugeren har fravalgt det Med de eksisterende browsere er det ikke muligt at differentiere sit samtykke tilstraeligkkelig nuanceret saring det reelt bliver et rdquoja takrdquo til alle cookies eller rdquonej takrdquo til alle cookies hvorefter brugeren vil kunne op-leve betydelige begraelignsninger i forhold til indhold af forskellige tjenester paring nettet
Samtykket varer i udgangspunktet indtil forholdene aeligndres Brugeren skal hele tiden have en let adgang til at traeligkke samtykket tilbage
Undtagelser
Bekendtgoslashrelsens sect 4 indeholder to undtagelser til kravet om informeret samtykke fra brugeren forud for anvendelsen af cookies Er der tale om indsamling af data som falder under undtagelsesbestemmelserne vil der efter lovgivningen ikke stilles krav om hverken information eller samtykke Det kan imidlertid vaeligre en anbefaling ogsaring her at give information og indhente samtykke ud fra en betragtning om at fuldstaeligndig gennemsigtighed oslashger tilliden til internettet og derfor kan vaeligre gavnlig for en e-hand-ler eller udbyder af tjenesteydelser paring nettet Det skal ogsaring her vurderes hvorvidt situa-tionen kan vaeligre omfattet af reglerne om beskyttelse af persondata
Vejledning22
Bekendtgoslashrelsens sect 4
sect 4 Uanset sect 3 kan fysiske eller juridiske personer lagre oplysninger eller opnaring adgang til oplysninger
der allerede er lagret i en slutbrugers terminaludstyr hvis
1) lagringen af eller adgangen til oplysninger alene sker med det formaringl at overfoslashre kommunikation
via et elektronisk kommunikationsnet eller
2) lagringen af eller adgangen til oplysninger er paringkraeligvet for at saeligtte tjenesteyderen af en informa-
tionssamfundstjeneste som slutbrugeren udtrykkeligt har anmodet om i stand til at levere denne
tjeneste
Stk 2 Lagring af eller adgang til oplysninger i en slutbrugersterminaludstyr er paringkraeligvet jf stk 1
nr 2 hvis lagringen af eller adgangen til oplysninger er en teknisk forudsaeligtning for at kunne levere
en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
Erhvervsstyrelsen laeliggger i fortolkningen af undtagelsesbestemmelserne vaeliggt paring udta-lelser fra den saringkaldte Artikel 29 gruppe som er omtalt i forordet og som i juni 2012 offentliggjorde et dokument vedroslashrende undtagelsesbestemmelserne i e-Datadirekti-vet efter aeligndringerne i 2009 Det er vigtigt her at understrege at der ikke er tale om et juridisk bindende dokument men gruppens fortolkninger stoslashttes i vid udstraeligkning af EU Kommissionen og bredt i medlemsstaterne Et link til Artikel 29 gruppens udta-lelse foslashlger af kapitel 5 rdquoLinks til lovgivning og direktiverrdquo
1 undtagelse Cookies i forbindelse med opkobling til internettetDet er Erhvervsstyrelsens vurdering at sect 4 stk 1 nr 1 alene er moslashntet paring udbydere af internetforbindelser og den lagring af eller adgang til oplysninger i brugeres terminal-udstyr der maringtte finde sted som en del af opkoblingen til internettet og vedligehol-delse heraf
2 undtagelse Cookies der sikrer funktionaliteten af en tjeneste som brugeren har bedt omsect 4 stk 1 nr 2 har derimod et bredere anvendelsesomraringde
For at vaeligre omfattet af undtagelsesbestemmelsen i sect 4 stk 1 nr 2 skal to krav vaeligre opfyldt For det foslashrste skal brugeren udtrykkeligt have anmodet om tjenesten For det andet skal lagringen af eller adgangen til oplysninger i brugerens terminaludstyr vaeligre paringkraeligvet for leveringen af denne tjeneste Begge krav skal vaeligre opfyldt
Brugerens faeligrden paring nettet eller besoslashg paring en specifik hjemmeside kan ikke tages som et udtryk for en generel anmodning om de tjenester der her tilbydes
Hvorvidt lagring af oplysninger eller adgang til allerede lagrede oplysninger er paringkraelig-vet uddybes i sect 4 stk 2 hvorefter der skal vaeligre tale om en teknisk forudsaeligtning for at kunne levere en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
For at vaeligre en teknisk noslashdvendighed skal tjenesten ikke kunne fungere uden brug af cookiersquoen eller en lignende teknologi Samtidig er det vigtigt at der er en klar sammen-haeligng mellem den rdquoparingkraeligvederdquo teknologi og brugerens udtrykkelige anmodning om tjenesten
Med hensyn til tjenestens formaringl boslashr der laeliggges vaeliggt paring det formaringl med hvilket bru-gere tilgaringr tjenesten eller hjemmesiden
Cookies eller lignende teknologier der opfylder kravene til at vaeligre omfattet af undta-gelsen maring ikke anvendes med andre formaringl for oslashje I saring fald skal brugeren informeres og give samtykke til disse andre formaringl
Vejledning 23
Det har betydning for vurderingen af om cookies kan undtages fra kravet om informe-ret samtykke om der er tale om sessionscookies eller vedvarende cookies og hvor den stammer fra Vedvarende cookies vil sjaeligldent falde under undtagelsesbestemmelsen
Eksempler paring undtagelser efter sect 4
Elektroniske indkoslashbskurve
- Brugen af elektroniske indkoslashbskurve i webshops hvor det er noslashdvendigt at kunne genkende bru-
geren paring tvaeligrs af sideskift (genindlaeligsninger af webshoppen) da indkoslashbskurven ellers vil vaeligre tom
ved visning af en ny side Lagring af fx en cookie eller lignende teknologi er dermed en teknisk for-
udsaeligtning for at kunne levere den tjeneste (e-handel) som brugeren udtrykkeligt har anmodet om
(tilgaringet webshoppen og lagt varer i indkoslashbskurven) Indkoslashbskurven fungerer desuden i overensstem-
melse med det formaringl (at koslashbe varer) med hvilket brugeren tilgaringr webshoppen
Log-in situationer
- Anvendelse af log-in (eksempelvis ved netbank offentlige selvbetjeningsloslashsninger eller ved ad-
gang til saeligrlige netvaeligrk) hvor cookies sikrer at brugeren logges ind med brug af brugernavn
passwords og forbliver logget ind uden igen at skulle indtaste saringdanne koder Det er vigtigt at
understrege at det alene er selve log-in funktionen der er undtaget men ikke noslashdvendigvis cookies
som saeligttes ved aktiviteter efter log-in funktionen
Andre undtagelser
Brugerdefinerede browserindstillinger ndash eks valg af land sprog eller skriftstoslashrrelse
- Disse cookies kan vaeligre undtaget fra kravet om informeret samtykke i det omfang at disse udtryk-
kelig aktiveres af brugeren fx ved at klikke paring en knap eller afkrydse en rubrik og ikke benyttes til
andre formaringl og ikke i laeligngere tid end en browsersession
Authentificeringscookies
Cookies der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider
Brugervalideringscookies
Cookies der anvendes til at sikre mod (gentagne) fejl ved log-in
Multimedia player cookies
Cookies der anvendes til at regulere netvaeligrkshastighed eller billedkvalitet og til at aktivere play back
video- eller lydfiler
Plug-ins til sociale medier
Cookies der giver muligheden for enten at dele indholdet af en hjemmeside eller rdquolikerdquo indholdet via
det sociale medie Cookien saeligttes alene for at dirigere brugeren over paring den sociale hjemmeside og
logge ind her Den har alene betydning for brugere af sociale netvaeligrk der allerede er logget ind her
Bruges cookien til at tracke brugeren rundt paring nettet vil den ikke vaeligre omfattet
Load balancing
Cookies der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en
service
Det er Erhvervsstyrelsens vurdering at cookies der husker at en bruger har sagt rdquonej takrdquo til cookies er undtaget kravet om informeret samtykke da der er tale om et oslashnske fra brugeren og den er noslashdvendig for at huske indstillingen
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning 17
I relation til kravet om angivelse af formaringl saring er det her vigtigt at understrege at for-maringlsbeskrivelsen ligeledes skal omfatte eventuelle 3 parters formaringl med at anvende cookies
Eksempel Information om formaringl med brug af cookies
Brugen af cookies er meget udbredt og kan have en lang raeligkke formaringl herunder fx at optimere
brugeroplevelse eller design paring en tjeneste at generere webstatistik eller at maringlrette markedsfoslashring
til brugere
Den information der gives boslashr beskrive formaringlet med tjenestens brug af cookies og ikke de en-
kelte cookies i sig selv
Hvis en tjeneste eksempelvis bruger fire cookies til at optimere designet paring tjenesten mens yderli-
gere to cookies bruges til at haringndtere annoncer og en syvende cookie bruges til at genere websta-
tisk vil det almindeligvis vaeligre tilstraeligkkeligt at informere om de tre forskellige formaringl med brugen
af cookies og ikke noslashdvendigvis om de i alt syv cookies siden goslashr brug af
Oplysninger om hvem der saeligtter cookiessect 3 stk 2 nr 3 fastsaeligtter krav til at informationen indeholder oplysninger der identifi-cerer enhver fysisk eller juridisk person der foranstalter lagringen af oplysninger eller opnaringr adgang til allerede lagrede oplysninger
Brugere skal vaeligre i stand til at identificere den der foranstalter lagringen Det vil i mange tilfaeliglde vaeligre udbyderen af tjenesten men hvor udbyderen af en tjeneste lader 3 part lagre eller opnaring adgang til oplysninger i en brugers terminaludstyr via udbyde-rens tjeneste skal 3 part ogsaring kunne identificeres af brugeren Den eksakte angivelse af hvilke 3 parter der saeligtter cookies kan ske paring en underside jf vejledningens afsnit om lagdelt information nedenfor
For saring vidt angaringr oplysninger der lagres eller tilgarings i brugeres terminaludstyr af en or-ganisation fx en virksomhed eller anden juridisk person angives oplysninger som identificerer organisationen og ikke dens medarbejdere
Hvilke konkrete informationer der skal vaeligre til stede for at brugere kan identificere de(n) der foretager lagringen vil variere fra tjeneste til tjeneste og afhaelignger af de par-ter der er involveret
Adgang til at afslaring cookiessect 3 stk 2 nr 4 fastsaeligtter krav til at informationen indeholder en umiddelbart tilgaelign-gelig adgang for slutbrugeren til at afslaring samtykke eller tilbagekalde samtykke til lagrin-gen af eller adgangen til oplysninger samt en klar praeligcis og letforstaringelig vejledning om hvordan slutbrugeren anvender en saringdan adgang
Brugere skal have mulighed for at afslaring samtykke eller tilbagekalde et allerede givet samtykke Dette skal understoslashtte reel brugerkontrol og frivilligheden af brugeres sam-tykke Til dette formaringl skal der vaeligre en umiddelbart tilgaeligngelig adgang til at afslaring cookies og en klar praeligcis og letforstaringelig vejledning om hvordan brugere kan anvende en saringdan adgang Se endvidere nedenfor under afsnittet om rdquoKravet til samtykkerdquo hvor det slarings fast at der ikke gaeliglder noget krav om at en hjemmeside skal kunne tilgarings eller fungere uden cookies
Det kan i nogle tilfaeliglde vaeligre relevant at henvise til eksempelvis vejledninger og vaeligrk-toslashjer andre har udarbejdet Der stilles i bekendtgoslashrelsen ingen krav til at vejledninger eller vaeligrktoslashjer til at afslaring eller tilbagekalde et samtykke skal forefindes paring tjenesten der lagrer eller tilgaringr oplysninger Det er adgangen til vejledning og vaeligrktoslashjer som tjene-sten er forpligtet til at goslashre umiddelbart tilgaeligngelig for brugeren
Vejledning18
Krav om informationens tilgaeligngelighedsect 3 stk 2 nr 5 fastsaeligtter krav til at informationen er umiddelbart tilgaeligngelig for slut-brugeren ved samlet og tydeligt at blive meddelt denne Desuden skal informationen naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjene-ste
For at sikre reel brugerkontrol er det noslashdvendigt at informationen er umiddelbart tilgaeligngelig for brugere og kan tilgarings uden besvaeligr Dette er desuden en forudsaeligtning for at brugere ogsaring kan tilbagekalde et allerede afgivet samtykke Hvordan informatio-nen bedst goslashres tilgaeligngelig vil bla afhaelignge af tjenestens design og struktur hvorfor det vil variere fra tjeneste til tjeneste
Informationen kan vaeligre lagdeltDet kan vaeligre hensigtsmaeligssigt at benytte sig af lagdelt information saringledes at det dog sikres at brugerne med det samme faringr de vaeligsentligste informationer saringsom formaringlet med anvendelsen af cookies samtidig med at der linkes til mere detaljerede informa-tioner Brugen af piktogrammer eller andre tydeligt markerede indgange til informa-tionen kan understoslashtte dette men ikke goslashre det ud alene for umiddelbar tilgaeligngelig information
Den umiddelbare angivelse af formaringlet med anvendelsen af cookies boslashr omfatte infor-mation om 3 parts cookies idet det har betydning for brugeren hvem data tilgaringr Ek-sempelvis ved angivelse af formaringl som direkte markedsfoslashring skal det ogsaring fremgaring at direkte markedsfoslashring vil vaeligre fra 3 part Den praeligcise angivelse af 3 parter kan evt ske paring en underside
En tjeneste kan desuden vaeliglge at skelne mellem hvordan informationen praeligsenteres for brugere inden brugeren afgiver eller afslaringr samtykke og hvordan informationen praeligsenteres efter at brugere har afgivet eller afslaringet samtykke
Paring informations- og indholdstjenester herunder hjemmesider og andre online tjene-ster der lagrer eller tilgaringr oplysninger i en brugeres terminaludstyr skal informationen vaeligre vedvarende tilgaeligngelig for brugere ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Dette indebaeligrer at brugere ved anvendelse af saringdanne tjenester til enhver tid skal have adgang til informationen og en saringdan adgang boslashr vaeligre let at finde og anvende Det kan bla overvejes at opfylde dette krav ved at placere en saringdan adgang i sammenhaeligng med oslashvrige vedvarende elementer paring en tjeneste Brug af piktogrammer eller lignende kan ogsaring overvejes i denne sammenhaeligng
Nedenfor redegoslashres naeligrmere for kravet til samtykke Det kan heraf laeligses at samtykke kan gives paring forskellig maringde herunder ogsaring ved en aktiv handling Kravet til informa-tion kan variere for saring vidt angaringr tydelighed og tilgaeligngelighed alt efter hvilken form for samtykke der er tale om Krav til hvilke oplysninger der gives for at en information kan anses for fyldestgoslashrende varierer imidlertid ikke
Vaeligsentlig information der skal gives til brugeren med det samme er
- Alle formaringl med cookies og lignende teknologier
- Hvem der anvender cookies og lignende teknologier paring hjemmesiden
Vejledning 19
Eksempel Fyldestgoslashrende information ndash lagdelt med vaeligsentlige oplysninger foslashrst
En tjeneste paring nettet der giver brugeren mulighed for at sammenligne produkter og priser paring for-
skellige vareomraringder anvender cookies til at registrere antallet af brugere paring hjemmesiden og til at
registrere hvor brugeren kommer fra Paring hjemmesiden er der bannerreklamer for forskellige produ-
center relateret til de varekategorier som omtales paring hjemmesiden Bannerreklamerne leveres af 3
parter og anvender cookies til at registrere hvilke annoncer brugeren klikker paring saringledes at det er
muligt at identificere brugernes interesser og maringlrette annonceringen
Eksempel Umiddelbar information til brugeren
rdquoVi bruger cookies til statistik og til maringlrettet markedsfoslashring ogsaring fra os selv og vores an-
noncoslashrer ndash se her hvilke Laeligs her mere om vores brug af cookies herunder hvordan du
fravaeliglger brug af cookiesrdquo
Kravet til samtykke
Som ovenfor naeligvnt er den centrale aeligndring af reglerne kravet om indhentelse af in-formeret samtykke fra brugeren ved anvendelse af cookies eller lignende teknologier der foslashlger af cookiebekendtgoslashrelsens sect 3
Samtykke defineres i bekendtgoslashrelsens sect 2 stk 1 nr 8
Bekendtgoslashrelsens sect 2 stk 1 nr 8
sect 2 stk 1 nr 8) Samtykke Enhver frivillig specifik og informeret viljestilkendegivelse hvorved
slutbrugeren indvilliger i at der lagres oplysninger eller opnarings adgang til allerede lagrede oplysnin-
ger i slutbrugerens terminaludstyr
Da tjenester og deres brugere er vidt forskellige vil der vaeligre stor forskel paring hvordan et samtykke bedst indhentes
Kravet om samtykke skal sikre at brugere har reel kontrol med hvorvidt der lagres el-ler tilgarings oplysninger i deres terminaludstyr Naringr samtykket skal indhentes er det der-for vaeligsentligt at holde sig brugerens kontrolmuligheder for oslashje herunder brugerens reelle muligheder for at vurdere formaringlet med lagringen eller tilgangen til oplysnin-gerne
Reglerne giver i udgangspunktet tjenester et stort mulighedsrum til at vaeliglge hvordan samtykket bedst kan indhentes paring en maringde der fungerer i deres konkrete kontekst
At samtykket skal vaeligre frivilligt indebaeligrer bla at brugere skal have et faktisk valg
Det er ikke et krav at hjemmesider kan fungere uden brug af cookies eller lignende teknologier hvorfor afvisning af cookies kan medfoslashre at brugerens eneste mulighed er at forlade hjemmesiden Virksomheder har selvsagt et incitament for at deres hjem-meside er tilgaeligngelig men det er ikke lovstridigt at have loslashsninger der afskaeligrer bru-gere som ikke vil acceptere brugen af cookies
For offentlige hjemmesider kan der vaeligre andre overvejelser idet adgangen til offentlige tjenester gerne skulle vaeligre tilgaeligngelig for alle
I frivilligheden af samtykket ligger ogsaring at brugere skal have mulighed for at tilbage-kalde et allerede afgivet samtykke jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 4
Vejledning20
At samtykket skal vaeligre specifikt indebaeligrer bla at samtykket skal vaeligre praeligcist og vel-afgraelignset Samtykket behoslashver imidlertid ikke relatere sig til hver enkelt lagring af eller adgang til oplysninger i brugernes terminaludstyr I stedet boslashr samtykket knytte sig til det formaringl der ligger til grund for lagringen af eller adgangen til oplysningerne jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 2
Hvis lagring af eller adgang til oplysninger paring et senere tidspunkt benyttes til formaringl der raeligkker ud over hvad der tidligere er indhentet samtykke til skal der indhentes et nyt samtykke der omfatter det nye formaringl
At samtykket skal vaeligre informeret understoslashttes af kravene til information i bekendtgoslash-relsens sect 3 stk 2 hvor ikke mindst formaringlet med lagringen er vaeligsentligt Som del af et informeret samtykke boslashr brugere ogsaring oplyses om konsekvenserne af deres (fra)valg Saringdanne konsekvenser kan fx vaeligre at brugere ikke kan faring adgang til (dele af) tjenesten som ovenfor beskrevet hvis samtykket afslarings eller at et samtykke medfoslashrer at 3 parter faringr mulighed for at lagre eller tilgaring allerede lagrede oplysninger i brugeres terminalud-styr
Brugeres viljetilkendegivelse staringr helt centralt i indhentningen af et samtykke En tjene-steudbyder har pligt til at identificere en aktiv handling fra sine brugere der med rime-lighed kan tages til indtaeliggt for en tilkendegivelse af deres vilje paring et informeret grund-lag Det skal dog understreges at vilje kan tilkendegives paring en lang raeligkke forskellige maringder og at reglerne i bekendtgoslashrelsen ikke tager specifikt stilling til hvordan denne skal komme til udtryk
En viljestilkendegivelse kan vaeligre mange ting herunder eksempelvis
bull afkrydsning af en boks klik paring en knap eller udfyldelse af en formular i sammenhaeligng med rele-
vant information paring en tjeneste
bull aktiv brug af en tjeneste hvor det maring forventes at brugeren er informeret om at der vil ske lag-
ring af eller adgang til oplysninger (saringfremt dette ikke er afslaringet)
Kommissionen har tilkendegivet overfor Erhvervsstyrelsen at aktiv brug af en tjeneste som ovenfor beskrevet er i overensstemmelse med e-Databeskyttelsesdirektivet og ac-cepteres i de fleste medlemslande Det afgoslashrende er at der kan identificeres en aktiv handling eksempelvis at der klikkes videre paring siden og at brugeren har en forstaringelse af at de ved denne handling accepterer cookies dvs det er ikke nok bare generelt at informere om at hjemmesiden bruger cookies det skal praeligciseres at cookies saeligttes ved at brugeren eksempelvis klikker videre
Der vil vaeligre stor forskel paring hvordan samtykket bedst indhentes Det er den enkelte tjeneste selv der har de bedste forudsaeligtninger for at vaeliglge en loslashsning der overholder samtykkekravet og giver tjenestens brugere reel mulighed for at tilkendegive deres vilje paring et informeret grundlag
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt at defi-nere praeligcist hvordan brugere i konkrete tilfaeliglde skal tilkendegive sin vilje Bekendt-goslashrelsens samtykkekrav giver derfor tjenester et stort mulighedsrum til at udvikle nye og innovative loslashsninger der oslashger brugerkontrollen og gennemsigtigheden
Vejledning 21
Eksempel Samtykke
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Accepter cookies Afvis cookies Laeligs mere her om vores brug af cookies herunder hvordan
du fravaeliglger cookies igenrdquo
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Klikker du videre paring siden accepterer du at der saeligttes cookies til disse formaringl Laeligs mere
her om vores brug af cookies herunder hvordan du fravaeliglger brugen af cookiesrdquo
Hvis brugere vaeliglger ikke at give samtykke til lagringen af oplysninger eller vaeliglger at tilbagekalde et samtykke stilles der som ovenfor naeligvnt i bekendtgoslashrelsen ikke noget krav til at brugere fortsat skal have adgang til indhold paring en tjeneste
Erhvervsstyrelsen er opmaeligrksom paring at kravet om forudgaringende samtykke kan vaeligre teknisk udfordrende for en del hjemmesider der saeligtter cookies allerede naringr brugeren tilgaringr siden saeligrligt for at sikre statistik om hvor mange der besoslashger en hjemmeside og hvor de kommer fra
Direktivet stiller et grundlaeligggende krav om informeret samtykke Nogle lande har valgt at haringndhaeligve samtykkekravet saringledes at det undtagelsesvis i saeligrlige tilfaeliglde ac-cepteres at cookies kan lagres forud for at brugeren har givet samtykke hertil UK fastslaringr eksempelvis i deres vejledning til reglerne at samtykke saring vidt muligt skal ind-hentes foslashr der saeligttes cookies men accepterer dog at det ikke altid sker Hvor det ikke er muligt at indhente samtykke foslashr cookies lagres laeliggges der i UKrsquos vejledning imid-lertid vaeliggt paring virksomhedernes indsats for at sikre information til brugerne og deres mulighed for at give samtykkeafvise cookies hurtigst muligt ligesom der laeliggges vaeliggt paring at virksomhederne begraelignser adgangen til sessions cookies
Der er behov for en naeligrmere afklaring fra Kommissionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside eje-rens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Samtykke ved browserindstillinger er ikke anerkendt i Danmark paring nuvaeligrende tids-punkt og kun i faring af de oslashvrige EU-medlemslande Den generelle holdning er at de browserloslashsninger som findes paring markedet i dag ikke i tilstraeligkkelig grad sikrer mod brugen af cookies hvor brugeren har fravalgt det Med de eksisterende browsere er det ikke muligt at differentiere sit samtykke tilstraeligkkelig nuanceret saring det reelt bliver et rdquoja takrdquo til alle cookies eller rdquonej takrdquo til alle cookies hvorefter brugeren vil kunne op-leve betydelige begraelignsninger i forhold til indhold af forskellige tjenester paring nettet
Samtykket varer i udgangspunktet indtil forholdene aeligndres Brugeren skal hele tiden have en let adgang til at traeligkke samtykket tilbage
Undtagelser
Bekendtgoslashrelsens sect 4 indeholder to undtagelser til kravet om informeret samtykke fra brugeren forud for anvendelsen af cookies Er der tale om indsamling af data som falder under undtagelsesbestemmelserne vil der efter lovgivningen ikke stilles krav om hverken information eller samtykke Det kan imidlertid vaeligre en anbefaling ogsaring her at give information og indhente samtykke ud fra en betragtning om at fuldstaeligndig gennemsigtighed oslashger tilliden til internettet og derfor kan vaeligre gavnlig for en e-hand-ler eller udbyder af tjenesteydelser paring nettet Det skal ogsaring her vurderes hvorvidt situa-tionen kan vaeligre omfattet af reglerne om beskyttelse af persondata
Vejledning22
Bekendtgoslashrelsens sect 4
sect 4 Uanset sect 3 kan fysiske eller juridiske personer lagre oplysninger eller opnaring adgang til oplysninger
der allerede er lagret i en slutbrugers terminaludstyr hvis
1) lagringen af eller adgangen til oplysninger alene sker med det formaringl at overfoslashre kommunikation
via et elektronisk kommunikationsnet eller
2) lagringen af eller adgangen til oplysninger er paringkraeligvet for at saeligtte tjenesteyderen af en informa-
tionssamfundstjeneste som slutbrugeren udtrykkeligt har anmodet om i stand til at levere denne
tjeneste
Stk 2 Lagring af eller adgang til oplysninger i en slutbrugersterminaludstyr er paringkraeligvet jf stk 1
nr 2 hvis lagringen af eller adgangen til oplysninger er en teknisk forudsaeligtning for at kunne levere
en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
Erhvervsstyrelsen laeliggger i fortolkningen af undtagelsesbestemmelserne vaeliggt paring udta-lelser fra den saringkaldte Artikel 29 gruppe som er omtalt i forordet og som i juni 2012 offentliggjorde et dokument vedroslashrende undtagelsesbestemmelserne i e-Datadirekti-vet efter aeligndringerne i 2009 Det er vigtigt her at understrege at der ikke er tale om et juridisk bindende dokument men gruppens fortolkninger stoslashttes i vid udstraeligkning af EU Kommissionen og bredt i medlemsstaterne Et link til Artikel 29 gruppens udta-lelse foslashlger af kapitel 5 rdquoLinks til lovgivning og direktiverrdquo
1 undtagelse Cookies i forbindelse med opkobling til internettetDet er Erhvervsstyrelsens vurdering at sect 4 stk 1 nr 1 alene er moslashntet paring udbydere af internetforbindelser og den lagring af eller adgang til oplysninger i brugeres terminal-udstyr der maringtte finde sted som en del af opkoblingen til internettet og vedligehol-delse heraf
2 undtagelse Cookies der sikrer funktionaliteten af en tjeneste som brugeren har bedt omsect 4 stk 1 nr 2 har derimod et bredere anvendelsesomraringde
For at vaeligre omfattet af undtagelsesbestemmelsen i sect 4 stk 1 nr 2 skal to krav vaeligre opfyldt For det foslashrste skal brugeren udtrykkeligt have anmodet om tjenesten For det andet skal lagringen af eller adgangen til oplysninger i brugerens terminaludstyr vaeligre paringkraeligvet for leveringen af denne tjeneste Begge krav skal vaeligre opfyldt
Brugerens faeligrden paring nettet eller besoslashg paring en specifik hjemmeside kan ikke tages som et udtryk for en generel anmodning om de tjenester der her tilbydes
Hvorvidt lagring af oplysninger eller adgang til allerede lagrede oplysninger er paringkraelig-vet uddybes i sect 4 stk 2 hvorefter der skal vaeligre tale om en teknisk forudsaeligtning for at kunne levere en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
For at vaeligre en teknisk noslashdvendighed skal tjenesten ikke kunne fungere uden brug af cookiersquoen eller en lignende teknologi Samtidig er det vigtigt at der er en klar sammen-haeligng mellem den rdquoparingkraeligvederdquo teknologi og brugerens udtrykkelige anmodning om tjenesten
Med hensyn til tjenestens formaringl boslashr der laeliggges vaeliggt paring det formaringl med hvilket bru-gere tilgaringr tjenesten eller hjemmesiden
Cookies eller lignende teknologier der opfylder kravene til at vaeligre omfattet af undta-gelsen maring ikke anvendes med andre formaringl for oslashje I saring fald skal brugeren informeres og give samtykke til disse andre formaringl
Vejledning 23
Det har betydning for vurderingen af om cookies kan undtages fra kravet om informe-ret samtykke om der er tale om sessionscookies eller vedvarende cookies og hvor den stammer fra Vedvarende cookies vil sjaeligldent falde under undtagelsesbestemmelsen
Eksempler paring undtagelser efter sect 4
Elektroniske indkoslashbskurve
- Brugen af elektroniske indkoslashbskurve i webshops hvor det er noslashdvendigt at kunne genkende bru-
geren paring tvaeligrs af sideskift (genindlaeligsninger af webshoppen) da indkoslashbskurven ellers vil vaeligre tom
ved visning af en ny side Lagring af fx en cookie eller lignende teknologi er dermed en teknisk for-
udsaeligtning for at kunne levere den tjeneste (e-handel) som brugeren udtrykkeligt har anmodet om
(tilgaringet webshoppen og lagt varer i indkoslashbskurven) Indkoslashbskurven fungerer desuden i overensstem-
melse med det formaringl (at koslashbe varer) med hvilket brugeren tilgaringr webshoppen
Log-in situationer
- Anvendelse af log-in (eksempelvis ved netbank offentlige selvbetjeningsloslashsninger eller ved ad-
gang til saeligrlige netvaeligrk) hvor cookies sikrer at brugeren logges ind med brug af brugernavn
passwords og forbliver logget ind uden igen at skulle indtaste saringdanne koder Det er vigtigt at
understrege at det alene er selve log-in funktionen der er undtaget men ikke noslashdvendigvis cookies
som saeligttes ved aktiviteter efter log-in funktionen
Andre undtagelser
Brugerdefinerede browserindstillinger ndash eks valg af land sprog eller skriftstoslashrrelse
- Disse cookies kan vaeligre undtaget fra kravet om informeret samtykke i det omfang at disse udtryk-
kelig aktiveres af brugeren fx ved at klikke paring en knap eller afkrydse en rubrik og ikke benyttes til
andre formaringl og ikke i laeligngere tid end en browsersession
Authentificeringscookies
Cookies der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider
Brugervalideringscookies
Cookies der anvendes til at sikre mod (gentagne) fejl ved log-in
Multimedia player cookies
Cookies der anvendes til at regulere netvaeligrkshastighed eller billedkvalitet og til at aktivere play back
video- eller lydfiler
Plug-ins til sociale medier
Cookies der giver muligheden for enten at dele indholdet af en hjemmeside eller rdquolikerdquo indholdet via
det sociale medie Cookien saeligttes alene for at dirigere brugeren over paring den sociale hjemmeside og
logge ind her Den har alene betydning for brugere af sociale netvaeligrk der allerede er logget ind her
Bruges cookien til at tracke brugeren rundt paring nettet vil den ikke vaeligre omfattet
Load balancing
Cookies der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en
service
Det er Erhvervsstyrelsens vurdering at cookies der husker at en bruger har sagt rdquonej takrdquo til cookies er undtaget kravet om informeret samtykke da der er tale om et oslashnske fra brugeren og den er noslashdvendig for at huske indstillingen
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning18
Krav om informationens tilgaeligngelighedsect 3 stk 2 nr 5 fastsaeligtter krav til at informationen er umiddelbart tilgaeligngelig for slut-brugeren ved samlet og tydeligt at blive meddelt denne Desuden skal informationen naringr der sker lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr igennem en informations- og indholdstjeneste vaeligre vedvarende tilgaeligngelig for slutbrugeren ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjene-ste
For at sikre reel brugerkontrol er det noslashdvendigt at informationen er umiddelbart tilgaeligngelig for brugere og kan tilgarings uden besvaeligr Dette er desuden en forudsaeligtning for at brugere ogsaring kan tilbagekalde et allerede afgivet samtykke Hvordan informatio-nen bedst goslashres tilgaeligngelig vil bla afhaelignge af tjenestens design og struktur hvorfor det vil variere fra tjeneste til tjeneste
Informationen kan vaeligre lagdeltDet kan vaeligre hensigtsmaeligssigt at benytte sig af lagdelt information saringledes at det dog sikres at brugerne med det samme faringr de vaeligsentligste informationer saringsom formaringlet med anvendelsen af cookies samtidig med at der linkes til mere detaljerede informa-tioner Brugen af piktogrammer eller andre tydeligt markerede indgange til informa-tionen kan understoslashtte dette men ikke goslashre det ud alene for umiddelbar tilgaeligngelig information
Den umiddelbare angivelse af formaringlet med anvendelsen af cookies boslashr omfatte infor-mation om 3 parts cookies idet det har betydning for brugeren hvem data tilgaringr Ek-sempelvis ved angivelse af formaringl som direkte markedsfoslashring skal det ogsaring fremgaring at direkte markedsfoslashring vil vaeligre fra 3 part Den praeligcise angivelse af 3 parter kan evt ske paring en underside
En tjeneste kan desuden vaeliglge at skelne mellem hvordan informationen praeligsenteres for brugere inden brugeren afgiver eller afslaringr samtykke og hvordan informationen praeligsenteres efter at brugere har afgivet eller afslaringet samtykke
Paring informations- og indholdstjenester herunder hjemmesider og andre online tjene-ster der lagrer eller tilgaringr oplysninger i en brugeres terminaludstyr skal informationen vaeligre vedvarende tilgaeligngelig for brugere ved en direkte og tydeligt markeret adgang paring den paringgaeligldende informations- og indholdstjeneste
Dette indebaeligrer at brugere ved anvendelse af saringdanne tjenester til enhver tid skal have adgang til informationen og en saringdan adgang boslashr vaeligre let at finde og anvende Det kan bla overvejes at opfylde dette krav ved at placere en saringdan adgang i sammenhaeligng med oslashvrige vedvarende elementer paring en tjeneste Brug af piktogrammer eller lignende kan ogsaring overvejes i denne sammenhaeligng
Nedenfor redegoslashres naeligrmere for kravet til samtykke Det kan heraf laeligses at samtykke kan gives paring forskellig maringde herunder ogsaring ved en aktiv handling Kravet til informa-tion kan variere for saring vidt angaringr tydelighed og tilgaeligngelighed alt efter hvilken form for samtykke der er tale om Krav til hvilke oplysninger der gives for at en information kan anses for fyldestgoslashrende varierer imidlertid ikke
Vaeligsentlig information der skal gives til brugeren med det samme er
- Alle formaringl med cookies og lignende teknologier
- Hvem der anvender cookies og lignende teknologier paring hjemmesiden
Vejledning 19
Eksempel Fyldestgoslashrende information ndash lagdelt med vaeligsentlige oplysninger foslashrst
En tjeneste paring nettet der giver brugeren mulighed for at sammenligne produkter og priser paring for-
skellige vareomraringder anvender cookies til at registrere antallet af brugere paring hjemmesiden og til at
registrere hvor brugeren kommer fra Paring hjemmesiden er der bannerreklamer for forskellige produ-
center relateret til de varekategorier som omtales paring hjemmesiden Bannerreklamerne leveres af 3
parter og anvender cookies til at registrere hvilke annoncer brugeren klikker paring saringledes at det er
muligt at identificere brugernes interesser og maringlrette annonceringen
Eksempel Umiddelbar information til brugeren
rdquoVi bruger cookies til statistik og til maringlrettet markedsfoslashring ogsaring fra os selv og vores an-
noncoslashrer ndash se her hvilke Laeligs her mere om vores brug af cookies herunder hvordan du
fravaeliglger brug af cookiesrdquo
Kravet til samtykke
Som ovenfor naeligvnt er den centrale aeligndring af reglerne kravet om indhentelse af in-formeret samtykke fra brugeren ved anvendelse af cookies eller lignende teknologier der foslashlger af cookiebekendtgoslashrelsens sect 3
Samtykke defineres i bekendtgoslashrelsens sect 2 stk 1 nr 8
Bekendtgoslashrelsens sect 2 stk 1 nr 8
sect 2 stk 1 nr 8) Samtykke Enhver frivillig specifik og informeret viljestilkendegivelse hvorved
slutbrugeren indvilliger i at der lagres oplysninger eller opnarings adgang til allerede lagrede oplysnin-
ger i slutbrugerens terminaludstyr
Da tjenester og deres brugere er vidt forskellige vil der vaeligre stor forskel paring hvordan et samtykke bedst indhentes
Kravet om samtykke skal sikre at brugere har reel kontrol med hvorvidt der lagres el-ler tilgarings oplysninger i deres terminaludstyr Naringr samtykket skal indhentes er det der-for vaeligsentligt at holde sig brugerens kontrolmuligheder for oslashje herunder brugerens reelle muligheder for at vurdere formaringlet med lagringen eller tilgangen til oplysnin-gerne
Reglerne giver i udgangspunktet tjenester et stort mulighedsrum til at vaeliglge hvordan samtykket bedst kan indhentes paring en maringde der fungerer i deres konkrete kontekst
At samtykket skal vaeligre frivilligt indebaeligrer bla at brugere skal have et faktisk valg
Det er ikke et krav at hjemmesider kan fungere uden brug af cookies eller lignende teknologier hvorfor afvisning af cookies kan medfoslashre at brugerens eneste mulighed er at forlade hjemmesiden Virksomheder har selvsagt et incitament for at deres hjem-meside er tilgaeligngelig men det er ikke lovstridigt at have loslashsninger der afskaeligrer bru-gere som ikke vil acceptere brugen af cookies
For offentlige hjemmesider kan der vaeligre andre overvejelser idet adgangen til offentlige tjenester gerne skulle vaeligre tilgaeligngelig for alle
I frivilligheden af samtykket ligger ogsaring at brugere skal have mulighed for at tilbage-kalde et allerede afgivet samtykke jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 4
Vejledning20
At samtykket skal vaeligre specifikt indebaeligrer bla at samtykket skal vaeligre praeligcist og vel-afgraelignset Samtykket behoslashver imidlertid ikke relatere sig til hver enkelt lagring af eller adgang til oplysninger i brugernes terminaludstyr I stedet boslashr samtykket knytte sig til det formaringl der ligger til grund for lagringen af eller adgangen til oplysningerne jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 2
Hvis lagring af eller adgang til oplysninger paring et senere tidspunkt benyttes til formaringl der raeligkker ud over hvad der tidligere er indhentet samtykke til skal der indhentes et nyt samtykke der omfatter det nye formaringl
At samtykket skal vaeligre informeret understoslashttes af kravene til information i bekendtgoslash-relsens sect 3 stk 2 hvor ikke mindst formaringlet med lagringen er vaeligsentligt Som del af et informeret samtykke boslashr brugere ogsaring oplyses om konsekvenserne af deres (fra)valg Saringdanne konsekvenser kan fx vaeligre at brugere ikke kan faring adgang til (dele af) tjenesten som ovenfor beskrevet hvis samtykket afslarings eller at et samtykke medfoslashrer at 3 parter faringr mulighed for at lagre eller tilgaring allerede lagrede oplysninger i brugeres terminalud-styr
Brugeres viljetilkendegivelse staringr helt centralt i indhentningen af et samtykke En tjene-steudbyder har pligt til at identificere en aktiv handling fra sine brugere der med rime-lighed kan tages til indtaeliggt for en tilkendegivelse af deres vilje paring et informeret grund-lag Det skal dog understreges at vilje kan tilkendegives paring en lang raeligkke forskellige maringder og at reglerne i bekendtgoslashrelsen ikke tager specifikt stilling til hvordan denne skal komme til udtryk
En viljestilkendegivelse kan vaeligre mange ting herunder eksempelvis
bull afkrydsning af en boks klik paring en knap eller udfyldelse af en formular i sammenhaeligng med rele-
vant information paring en tjeneste
bull aktiv brug af en tjeneste hvor det maring forventes at brugeren er informeret om at der vil ske lag-
ring af eller adgang til oplysninger (saringfremt dette ikke er afslaringet)
Kommissionen har tilkendegivet overfor Erhvervsstyrelsen at aktiv brug af en tjeneste som ovenfor beskrevet er i overensstemmelse med e-Databeskyttelsesdirektivet og ac-cepteres i de fleste medlemslande Det afgoslashrende er at der kan identificeres en aktiv handling eksempelvis at der klikkes videre paring siden og at brugeren har en forstaringelse af at de ved denne handling accepterer cookies dvs det er ikke nok bare generelt at informere om at hjemmesiden bruger cookies det skal praeligciseres at cookies saeligttes ved at brugeren eksempelvis klikker videre
Der vil vaeligre stor forskel paring hvordan samtykket bedst indhentes Det er den enkelte tjeneste selv der har de bedste forudsaeligtninger for at vaeliglge en loslashsning der overholder samtykkekravet og giver tjenestens brugere reel mulighed for at tilkendegive deres vilje paring et informeret grundlag
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt at defi-nere praeligcist hvordan brugere i konkrete tilfaeliglde skal tilkendegive sin vilje Bekendt-goslashrelsens samtykkekrav giver derfor tjenester et stort mulighedsrum til at udvikle nye og innovative loslashsninger der oslashger brugerkontrollen og gennemsigtigheden
Vejledning 21
Eksempel Samtykke
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Accepter cookies Afvis cookies Laeligs mere her om vores brug af cookies herunder hvordan
du fravaeliglger cookies igenrdquo
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Klikker du videre paring siden accepterer du at der saeligttes cookies til disse formaringl Laeligs mere
her om vores brug af cookies herunder hvordan du fravaeliglger brugen af cookiesrdquo
Hvis brugere vaeliglger ikke at give samtykke til lagringen af oplysninger eller vaeliglger at tilbagekalde et samtykke stilles der som ovenfor naeligvnt i bekendtgoslashrelsen ikke noget krav til at brugere fortsat skal have adgang til indhold paring en tjeneste
Erhvervsstyrelsen er opmaeligrksom paring at kravet om forudgaringende samtykke kan vaeligre teknisk udfordrende for en del hjemmesider der saeligtter cookies allerede naringr brugeren tilgaringr siden saeligrligt for at sikre statistik om hvor mange der besoslashger en hjemmeside og hvor de kommer fra
Direktivet stiller et grundlaeligggende krav om informeret samtykke Nogle lande har valgt at haringndhaeligve samtykkekravet saringledes at det undtagelsesvis i saeligrlige tilfaeliglde ac-cepteres at cookies kan lagres forud for at brugeren har givet samtykke hertil UK fastslaringr eksempelvis i deres vejledning til reglerne at samtykke saring vidt muligt skal ind-hentes foslashr der saeligttes cookies men accepterer dog at det ikke altid sker Hvor det ikke er muligt at indhente samtykke foslashr cookies lagres laeliggges der i UKrsquos vejledning imid-lertid vaeliggt paring virksomhedernes indsats for at sikre information til brugerne og deres mulighed for at give samtykkeafvise cookies hurtigst muligt ligesom der laeliggges vaeliggt paring at virksomhederne begraelignser adgangen til sessions cookies
Der er behov for en naeligrmere afklaring fra Kommissionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside eje-rens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Samtykke ved browserindstillinger er ikke anerkendt i Danmark paring nuvaeligrende tids-punkt og kun i faring af de oslashvrige EU-medlemslande Den generelle holdning er at de browserloslashsninger som findes paring markedet i dag ikke i tilstraeligkkelig grad sikrer mod brugen af cookies hvor brugeren har fravalgt det Med de eksisterende browsere er det ikke muligt at differentiere sit samtykke tilstraeligkkelig nuanceret saring det reelt bliver et rdquoja takrdquo til alle cookies eller rdquonej takrdquo til alle cookies hvorefter brugeren vil kunne op-leve betydelige begraelignsninger i forhold til indhold af forskellige tjenester paring nettet
Samtykket varer i udgangspunktet indtil forholdene aeligndres Brugeren skal hele tiden have en let adgang til at traeligkke samtykket tilbage
Undtagelser
Bekendtgoslashrelsens sect 4 indeholder to undtagelser til kravet om informeret samtykke fra brugeren forud for anvendelsen af cookies Er der tale om indsamling af data som falder under undtagelsesbestemmelserne vil der efter lovgivningen ikke stilles krav om hverken information eller samtykke Det kan imidlertid vaeligre en anbefaling ogsaring her at give information og indhente samtykke ud fra en betragtning om at fuldstaeligndig gennemsigtighed oslashger tilliden til internettet og derfor kan vaeligre gavnlig for en e-hand-ler eller udbyder af tjenesteydelser paring nettet Det skal ogsaring her vurderes hvorvidt situa-tionen kan vaeligre omfattet af reglerne om beskyttelse af persondata
Vejledning22
Bekendtgoslashrelsens sect 4
sect 4 Uanset sect 3 kan fysiske eller juridiske personer lagre oplysninger eller opnaring adgang til oplysninger
der allerede er lagret i en slutbrugers terminaludstyr hvis
1) lagringen af eller adgangen til oplysninger alene sker med det formaringl at overfoslashre kommunikation
via et elektronisk kommunikationsnet eller
2) lagringen af eller adgangen til oplysninger er paringkraeligvet for at saeligtte tjenesteyderen af en informa-
tionssamfundstjeneste som slutbrugeren udtrykkeligt har anmodet om i stand til at levere denne
tjeneste
Stk 2 Lagring af eller adgang til oplysninger i en slutbrugersterminaludstyr er paringkraeligvet jf stk 1
nr 2 hvis lagringen af eller adgangen til oplysninger er en teknisk forudsaeligtning for at kunne levere
en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
Erhvervsstyrelsen laeliggger i fortolkningen af undtagelsesbestemmelserne vaeliggt paring udta-lelser fra den saringkaldte Artikel 29 gruppe som er omtalt i forordet og som i juni 2012 offentliggjorde et dokument vedroslashrende undtagelsesbestemmelserne i e-Datadirekti-vet efter aeligndringerne i 2009 Det er vigtigt her at understrege at der ikke er tale om et juridisk bindende dokument men gruppens fortolkninger stoslashttes i vid udstraeligkning af EU Kommissionen og bredt i medlemsstaterne Et link til Artikel 29 gruppens udta-lelse foslashlger af kapitel 5 rdquoLinks til lovgivning og direktiverrdquo
1 undtagelse Cookies i forbindelse med opkobling til internettetDet er Erhvervsstyrelsens vurdering at sect 4 stk 1 nr 1 alene er moslashntet paring udbydere af internetforbindelser og den lagring af eller adgang til oplysninger i brugeres terminal-udstyr der maringtte finde sted som en del af opkoblingen til internettet og vedligehol-delse heraf
2 undtagelse Cookies der sikrer funktionaliteten af en tjeneste som brugeren har bedt omsect 4 stk 1 nr 2 har derimod et bredere anvendelsesomraringde
For at vaeligre omfattet af undtagelsesbestemmelsen i sect 4 stk 1 nr 2 skal to krav vaeligre opfyldt For det foslashrste skal brugeren udtrykkeligt have anmodet om tjenesten For det andet skal lagringen af eller adgangen til oplysninger i brugerens terminaludstyr vaeligre paringkraeligvet for leveringen af denne tjeneste Begge krav skal vaeligre opfyldt
Brugerens faeligrden paring nettet eller besoslashg paring en specifik hjemmeside kan ikke tages som et udtryk for en generel anmodning om de tjenester der her tilbydes
Hvorvidt lagring af oplysninger eller adgang til allerede lagrede oplysninger er paringkraelig-vet uddybes i sect 4 stk 2 hvorefter der skal vaeligre tale om en teknisk forudsaeligtning for at kunne levere en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
For at vaeligre en teknisk noslashdvendighed skal tjenesten ikke kunne fungere uden brug af cookiersquoen eller en lignende teknologi Samtidig er det vigtigt at der er en klar sammen-haeligng mellem den rdquoparingkraeligvederdquo teknologi og brugerens udtrykkelige anmodning om tjenesten
Med hensyn til tjenestens formaringl boslashr der laeliggges vaeliggt paring det formaringl med hvilket bru-gere tilgaringr tjenesten eller hjemmesiden
Cookies eller lignende teknologier der opfylder kravene til at vaeligre omfattet af undta-gelsen maring ikke anvendes med andre formaringl for oslashje I saring fald skal brugeren informeres og give samtykke til disse andre formaringl
Vejledning 23
Det har betydning for vurderingen af om cookies kan undtages fra kravet om informe-ret samtykke om der er tale om sessionscookies eller vedvarende cookies og hvor den stammer fra Vedvarende cookies vil sjaeligldent falde under undtagelsesbestemmelsen
Eksempler paring undtagelser efter sect 4
Elektroniske indkoslashbskurve
- Brugen af elektroniske indkoslashbskurve i webshops hvor det er noslashdvendigt at kunne genkende bru-
geren paring tvaeligrs af sideskift (genindlaeligsninger af webshoppen) da indkoslashbskurven ellers vil vaeligre tom
ved visning af en ny side Lagring af fx en cookie eller lignende teknologi er dermed en teknisk for-
udsaeligtning for at kunne levere den tjeneste (e-handel) som brugeren udtrykkeligt har anmodet om
(tilgaringet webshoppen og lagt varer i indkoslashbskurven) Indkoslashbskurven fungerer desuden i overensstem-
melse med det formaringl (at koslashbe varer) med hvilket brugeren tilgaringr webshoppen
Log-in situationer
- Anvendelse af log-in (eksempelvis ved netbank offentlige selvbetjeningsloslashsninger eller ved ad-
gang til saeligrlige netvaeligrk) hvor cookies sikrer at brugeren logges ind med brug af brugernavn
passwords og forbliver logget ind uden igen at skulle indtaste saringdanne koder Det er vigtigt at
understrege at det alene er selve log-in funktionen der er undtaget men ikke noslashdvendigvis cookies
som saeligttes ved aktiviteter efter log-in funktionen
Andre undtagelser
Brugerdefinerede browserindstillinger ndash eks valg af land sprog eller skriftstoslashrrelse
- Disse cookies kan vaeligre undtaget fra kravet om informeret samtykke i det omfang at disse udtryk-
kelig aktiveres af brugeren fx ved at klikke paring en knap eller afkrydse en rubrik og ikke benyttes til
andre formaringl og ikke i laeligngere tid end en browsersession
Authentificeringscookies
Cookies der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider
Brugervalideringscookies
Cookies der anvendes til at sikre mod (gentagne) fejl ved log-in
Multimedia player cookies
Cookies der anvendes til at regulere netvaeligrkshastighed eller billedkvalitet og til at aktivere play back
video- eller lydfiler
Plug-ins til sociale medier
Cookies der giver muligheden for enten at dele indholdet af en hjemmeside eller rdquolikerdquo indholdet via
det sociale medie Cookien saeligttes alene for at dirigere brugeren over paring den sociale hjemmeside og
logge ind her Den har alene betydning for brugere af sociale netvaeligrk der allerede er logget ind her
Bruges cookien til at tracke brugeren rundt paring nettet vil den ikke vaeligre omfattet
Load balancing
Cookies der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en
service
Det er Erhvervsstyrelsens vurdering at cookies der husker at en bruger har sagt rdquonej takrdquo til cookies er undtaget kravet om informeret samtykke da der er tale om et oslashnske fra brugeren og den er noslashdvendig for at huske indstillingen
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning 19
Eksempel Fyldestgoslashrende information ndash lagdelt med vaeligsentlige oplysninger foslashrst
En tjeneste paring nettet der giver brugeren mulighed for at sammenligne produkter og priser paring for-
skellige vareomraringder anvender cookies til at registrere antallet af brugere paring hjemmesiden og til at
registrere hvor brugeren kommer fra Paring hjemmesiden er der bannerreklamer for forskellige produ-
center relateret til de varekategorier som omtales paring hjemmesiden Bannerreklamerne leveres af 3
parter og anvender cookies til at registrere hvilke annoncer brugeren klikker paring saringledes at det er
muligt at identificere brugernes interesser og maringlrette annonceringen
Eksempel Umiddelbar information til brugeren
rdquoVi bruger cookies til statistik og til maringlrettet markedsfoslashring ogsaring fra os selv og vores an-
noncoslashrer ndash se her hvilke Laeligs her mere om vores brug af cookies herunder hvordan du
fravaeliglger brug af cookiesrdquo
Kravet til samtykke
Som ovenfor naeligvnt er den centrale aeligndring af reglerne kravet om indhentelse af in-formeret samtykke fra brugeren ved anvendelse af cookies eller lignende teknologier der foslashlger af cookiebekendtgoslashrelsens sect 3
Samtykke defineres i bekendtgoslashrelsens sect 2 stk 1 nr 8
Bekendtgoslashrelsens sect 2 stk 1 nr 8
sect 2 stk 1 nr 8) Samtykke Enhver frivillig specifik og informeret viljestilkendegivelse hvorved
slutbrugeren indvilliger i at der lagres oplysninger eller opnarings adgang til allerede lagrede oplysnin-
ger i slutbrugerens terminaludstyr
Da tjenester og deres brugere er vidt forskellige vil der vaeligre stor forskel paring hvordan et samtykke bedst indhentes
Kravet om samtykke skal sikre at brugere har reel kontrol med hvorvidt der lagres el-ler tilgarings oplysninger i deres terminaludstyr Naringr samtykket skal indhentes er det der-for vaeligsentligt at holde sig brugerens kontrolmuligheder for oslashje herunder brugerens reelle muligheder for at vurdere formaringlet med lagringen eller tilgangen til oplysnin-gerne
Reglerne giver i udgangspunktet tjenester et stort mulighedsrum til at vaeliglge hvordan samtykket bedst kan indhentes paring en maringde der fungerer i deres konkrete kontekst
At samtykket skal vaeligre frivilligt indebaeligrer bla at brugere skal have et faktisk valg
Det er ikke et krav at hjemmesider kan fungere uden brug af cookies eller lignende teknologier hvorfor afvisning af cookies kan medfoslashre at brugerens eneste mulighed er at forlade hjemmesiden Virksomheder har selvsagt et incitament for at deres hjem-meside er tilgaeligngelig men det er ikke lovstridigt at have loslashsninger der afskaeligrer bru-gere som ikke vil acceptere brugen af cookies
For offentlige hjemmesider kan der vaeligre andre overvejelser idet adgangen til offentlige tjenester gerne skulle vaeligre tilgaeligngelig for alle
I frivilligheden af samtykket ligger ogsaring at brugere skal have mulighed for at tilbage-kalde et allerede afgivet samtykke jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 4
Vejledning20
At samtykket skal vaeligre specifikt indebaeligrer bla at samtykket skal vaeligre praeligcist og vel-afgraelignset Samtykket behoslashver imidlertid ikke relatere sig til hver enkelt lagring af eller adgang til oplysninger i brugernes terminaludstyr I stedet boslashr samtykket knytte sig til det formaringl der ligger til grund for lagringen af eller adgangen til oplysningerne jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 2
Hvis lagring af eller adgang til oplysninger paring et senere tidspunkt benyttes til formaringl der raeligkker ud over hvad der tidligere er indhentet samtykke til skal der indhentes et nyt samtykke der omfatter det nye formaringl
At samtykket skal vaeligre informeret understoslashttes af kravene til information i bekendtgoslash-relsens sect 3 stk 2 hvor ikke mindst formaringlet med lagringen er vaeligsentligt Som del af et informeret samtykke boslashr brugere ogsaring oplyses om konsekvenserne af deres (fra)valg Saringdanne konsekvenser kan fx vaeligre at brugere ikke kan faring adgang til (dele af) tjenesten som ovenfor beskrevet hvis samtykket afslarings eller at et samtykke medfoslashrer at 3 parter faringr mulighed for at lagre eller tilgaring allerede lagrede oplysninger i brugeres terminalud-styr
Brugeres viljetilkendegivelse staringr helt centralt i indhentningen af et samtykke En tjene-steudbyder har pligt til at identificere en aktiv handling fra sine brugere der med rime-lighed kan tages til indtaeliggt for en tilkendegivelse af deres vilje paring et informeret grund-lag Det skal dog understreges at vilje kan tilkendegives paring en lang raeligkke forskellige maringder og at reglerne i bekendtgoslashrelsen ikke tager specifikt stilling til hvordan denne skal komme til udtryk
En viljestilkendegivelse kan vaeligre mange ting herunder eksempelvis
bull afkrydsning af en boks klik paring en knap eller udfyldelse af en formular i sammenhaeligng med rele-
vant information paring en tjeneste
bull aktiv brug af en tjeneste hvor det maring forventes at brugeren er informeret om at der vil ske lag-
ring af eller adgang til oplysninger (saringfremt dette ikke er afslaringet)
Kommissionen har tilkendegivet overfor Erhvervsstyrelsen at aktiv brug af en tjeneste som ovenfor beskrevet er i overensstemmelse med e-Databeskyttelsesdirektivet og ac-cepteres i de fleste medlemslande Det afgoslashrende er at der kan identificeres en aktiv handling eksempelvis at der klikkes videre paring siden og at brugeren har en forstaringelse af at de ved denne handling accepterer cookies dvs det er ikke nok bare generelt at informere om at hjemmesiden bruger cookies det skal praeligciseres at cookies saeligttes ved at brugeren eksempelvis klikker videre
Der vil vaeligre stor forskel paring hvordan samtykket bedst indhentes Det er den enkelte tjeneste selv der har de bedste forudsaeligtninger for at vaeliglge en loslashsning der overholder samtykkekravet og giver tjenestens brugere reel mulighed for at tilkendegive deres vilje paring et informeret grundlag
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt at defi-nere praeligcist hvordan brugere i konkrete tilfaeliglde skal tilkendegive sin vilje Bekendt-goslashrelsens samtykkekrav giver derfor tjenester et stort mulighedsrum til at udvikle nye og innovative loslashsninger der oslashger brugerkontrollen og gennemsigtigheden
Vejledning 21
Eksempel Samtykke
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Accepter cookies Afvis cookies Laeligs mere her om vores brug af cookies herunder hvordan
du fravaeliglger cookies igenrdquo
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Klikker du videre paring siden accepterer du at der saeligttes cookies til disse formaringl Laeligs mere
her om vores brug af cookies herunder hvordan du fravaeliglger brugen af cookiesrdquo
Hvis brugere vaeliglger ikke at give samtykke til lagringen af oplysninger eller vaeliglger at tilbagekalde et samtykke stilles der som ovenfor naeligvnt i bekendtgoslashrelsen ikke noget krav til at brugere fortsat skal have adgang til indhold paring en tjeneste
Erhvervsstyrelsen er opmaeligrksom paring at kravet om forudgaringende samtykke kan vaeligre teknisk udfordrende for en del hjemmesider der saeligtter cookies allerede naringr brugeren tilgaringr siden saeligrligt for at sikre statistik om hvor mange der besoslashger en hjemmeside og hvor de kommer fra
Direktivet stiller et grundlaeligggende krav om informeret samtykke Nogle lande har valgt at haringndhaeligve samtykkekravet saringledes at det undtagelsesvis i saeligrlige tilfaeliglde ac-cepteres at cookies kan lagres forud for at brugeren har givet samtykke hertil UK fastslaringr eksempelvis i deres vejledning til reglerne at samtykke saring vidt muligt skal ind-hentes foslashr der saeligttes cookies men accepterer dog at det ikke altid sker Hvor det ikke er muligt at indhente samtykke foslashr cookies lagres laeliggges der i UKrsquos vejledning imid-lertid vaeliggt paring virksomhedernes indsats for at sikre information til brugerne og deres mulighed for at give samtykkeafvise cookies hurtigst muligt ligesom der laeliggges vaeliggt paring at virksomhederne begraelignser adgangen til sessions cookies
Der er behov for en naeligrmere afklaring fra Kommissionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside eje-rens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Samtykke ved browserindstillinger er ikke anerkendt i Danmark paring nuvaeligrende tids-punkt og kun i faring af de oslashvrige EU-medlemslande Den generelle holdning er at de browserloslashsninger som findes paring markedet i dag ikke i tilstraeligkkelig grad sikrer mod brugen af cookies hvor brugeren har fravalgt det Med de eksisterende browsere er det ikke muligt at differentiere sit samtykke tilstraeligkkelig nuanceret saring det reelt bliver et rdquoja takrdquo til alle cookies eller rdquonej takrdquo til alle cookies hvorefter brugeren vil kunne op-leve betydelige begraelignsninger i forhold til indhold af forskellige tjenester paring nettet
Samtykket varer i udgangspunktet indtil forholdene aeligndres Brugeren skal hele tiden have en let adgang til at traeligkke samtykket tilbage
Undtagelser
Bekendtgoslashrelsens sect 4 indeholder to undtagelser til kravet om informeret samtykke fra brugeren forud for anvendelsen af cookies Er der tale om indsamling af data som falder under undtagelsesbestemmelserne vil der efter lovgivningen ikke stilles krav om hverken information eller samtykke Det kan imidlertid vaeligre en anbefaling ogsaring her at give information og indhente samtykke ud fra en betragtning om at fuldstaeligndig gennemsigtighed oslashger tilliden til internettet og derfor kan vaeligre gavnlig for en e-hand-ler eller udbyder af tjenesteydelser paring nettet Det skal ogsaring her vurderes hvorvidt situa-tionen kan vaeligre omfattet af reglerne om beskyttelse af persondata
Vejledning22
Bekendtgoslashrelsens sect 4
sect 4 Uanset sect 3 kan fysiske eller juridiske personer lagre oplysninger eller opnaring adgang til oplysninger
der allerede er lagret i en slutbrugers terminaludstyr hvis
1) lagringen af eller adgangen til oplysninger alene sker med det formaringl at overfoslashre kommunikation
via et elektronisk kommunikationsnet eller
2) lagringen af eller adgangen til oplysninger er paringkraeligvet for at saeligtte tjenesteyderen af en informa-
tionssamfundstjeneste som slutbrugeren udtrykkeligt har anmodet om i stand til at levere denne
tjeneste
Stk 2 Lagring af eller adgang til oplysninger i en slutbrugersterminaludstyr er paringkraeligvet jf stk 1
nr 2 hvis lagringen af eller adgangen til oplysninger er en teknisk forudsaeligtning for at kunne levere
en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
Erhvervsstyrelsen laeliggger i fortolkningen af undtagelsesbestemmelserne vaeliggt paring udta-lelser fra den saringkaldte Artikel 29 gruppe som er omtalt i forordet og som i juni 2012 offentliggjorde et dokument vedroslashrende undtagelsesbestemmelserne i e-Datadirekti-vet efter aeligndringerne i 2009 Det er vigtigt her at understrege at der ikke er tale om et juridisk bindende dokument men gruppens fortolkninger stoslashttes i vid udstraeligkning af EU Kommissionen og bredt i medlemsstaterne Et link til Artikel 29 gruppens udta-lelse foslashlger af kapitel 5 rdquoLinks til lovgivning og direktiverrdquo
1 undtagelse Cookies i forbindelse med opkobling til internettetDet er Erhvervsstyrelsens vurdering at sect 4 stk 1 nr 1 alene er moslashntet paring udbydere af internetforbindelser og den lagring af eller adgang til oplysninger i brugeres terminal-udstyr der maringtte finde sted som en del af opkoblingen til internettet og vedligehol-delse heraf
2 undtagelse Cookies der sikrer funktionaliteten af en tjeneste som brugeren har bedt omsect 4 stk 1 nr 2 har derimod et bredere anvendelsesomraringde
For at vaeligre omfattet af undtagelsesbestemmelsen i sect 4 stk 1 nr 2 skal to krav vaeligre opfyldt For det foslashrste skal brugeren udtrykkeligt have anmodet om tjenesten For det andet skal lagringen af eller adgangen til oplysninger i brugerens terminaludstyr vaeligre paringkraeligvet for leveringen af denne tjeneste Begge krav skal vaeligre opfyldt
Brugerens faeligrden paring nettet eller besoslashg paring en specifik hjemmeside kan ikke tages som et udtryk for en generel anmodning om de tjenester der her tilbydes
Hvorvidt lagring af oplysninger eller adgang til allerede lagrede oplysninger er paringkraelig-vet uddybes i sect 4 stk 2 hvorefter der skal vaeligre tale om en teknisk forudsaeligtning for at kunne levere en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
For at vaeligre en teknisk noslashdvendighed skal tjenesten ikke kunne fungere uden brug af cookiersquoen eller en lignende teknologi Samtidig er det vigtigt at der er en klar sammen-haeligng mellem den rdquoparingkraeligvederdquo teknologi og brugerens udtrykkelige anmodning om tjenesten
Med hensyn til tjenestens formaringl boslashr der laeliggges vaeliggt paring det formaringl med hvilket bru-gere tilgaringr tjenesten eller hjemmesiden
Cookies eller lignende teknologier der opfylder kravene til at vaeligre omfattet af undta-gelsen maring ikke anvendes med andre formaringl for oslashje I saring fald skal brugeren informeres og give samtykke til disse andre formaringl
Vejledning 23
Det har betydning for vurderingen af om cookies kan undtages fra kravet om informe-ret samtykke om der er tale om sessionscookies eller vedvarende cookies og hvor den stammer fra Vedvarende cookies vil sjaeligldent falde under undtagelsesbestemmelsen
Eksempler paring undtagelser efter sect 4
Elektroniske indkoslashbskurve
- Brugen af elektroniske indkoslashbskurve i webshops hvor det er noslashdvendigt at kunne genkende bru-
geren paring tvaeligrs af sideskift (genindlaeligsninger af webshoppen) da indkoslashbskurven ellers vil vaeligre tom
ved visning af en ny side Lagring af fx en cookie eller lignende teknologi er dermed en teknisk for-
udsaeligtning for at kunne levere den tjeneste (e-handel) som brugeren udtrykkeligt har anmodet om
(tilgaringet webshoppen og lagt varer i indkoslashbskurven) Indkoslashbskurven fungerer desuden i overensstem-
melse med det formaringl (at koslashbe varer) med hvilket brugeren tilgaringr webshoppen
Log-in situationer
- Anvendelse af log-in (eksempelvis ved netbank offentlige selvbetjeningsloslashsninger eller ved ad-
gang til saeligrlige netvaeligrk) hvor cookies sikrer at brugeren logges ind med brug af brugernavn
passwords og forbliver logget ind uden igen at skulle indtaste saringdanne koder Det er vigtigt at
understrege at det alene er selve log-in funktionen der er undtaget men ikke noslashdvendigvis cookies
som saeligttes ved aktiviteter efter log-in funktionen
Andre undtagelser
Brugerdefinerede browserindstillinger ndash eks valg af land sprog eller skriftstoslashrrelse
- Disse cookies kan vaeligre undtaget fra kravet om informeret samtykke i det omfang at disse udtryk-
kelig aktiveres af brugeren fx ved at klikke paring en knap eller afkrydse en rubrik og ikke benyttes til
andre formaringl og ikke i laeligngere tid end en browsersession
Authentificeringscookies
Cookies der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider
Brugervalideringscookies
Cookies der anvendes til at sikre mod (gentagne) fejl ved log-in
Multimedia player cookies
Cookies der anvendes til at regulere netvaeligrkshastighed eller billedkvalitet og til at aktivere play back
video- eller lydfiler
Plug-ins til sociale medier
Cookies der giver muligheden for enten at dele indholdet af en hjemmeside eller rdquolikerdquo indholdet via
det sociale medie Cookien saeligttes alene for at dirigere brugeren over paring den sociale hjemmeside og
logge ind her Den har alene betydning for brugere af sociale netvaeligrk der allerede er logget ind her
Bruges cookien til at tracke brugeren rundt paring nettet vil den ikke vaeligre omfattet
Load balancing
Cookies der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en
service
Det er Erhvervsstyrelsens vurdering at cookies der husker at en bruger har sagt rdquonej takrdquo til cookies er undtaget kravet om informeret samtykke da der er tale om et oslashnske fra brugeren og den er noslashdvendig for at huske indstillingen
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning20
At samtykket skal vaeligre specifikt indebaeligrer bla at samtykket skal vaeligre praeligcist og vel-afgraelignset Samtykket behoslashver imidlertid ikke relatere sig til hver enkelt lagring af eller adgang til oplysninger i brugernes terminaludstyr I stedet boslashr samtykket knytte sig til det formaringl der ligger til grund for lagringen af eller adgangen til oplysningerne jf ogsaring kravet til information i bekendtgoslashrelsens sect 3 stk 2 nr 2
Hvis lagring af eller adgang til oplysninger paring et senere tidspunkt benyttes til formaringl der raeligkker ud over hvad der tidligere er indhentet samtykke til skal der indhentes et nyt samtykke der omfatter det nye formaringl
At samtykket skal vaeligre informeret understoslashttes af kravene til information i bekendtgoslash-relsens sect 3 stk 2 hvor ikke mindst formaringlet med lagringen er vaeligsentligt Som del af et informeret samtykke boslashr brugere ogsaring oplyses om konsekvenserne af deres (fra)valg Saringdanne konsekvenser kan fx vaeligre at brugere ikke kan faring adgang til (dele af) tjenesten som ovenfor beskrevet hvis samtykket afslarings eller at et samtykke medfoslashrer at 3 parter faringr mulighed for at lagre eller tilgaring allerede lagrede oplysninger i brugeres terminalud-styr
Brugeres viljetilkendegivelse staringr helt centralt i indhentningen af et samtykke En tjene-steudbyder har pligt til at identificere en aktiv handling fra sine brugere der med rime-lighed kan tages til indtaeliggt for en tilkendegivelse af deres vilje paring et informeret grund-lag Det skal dog understreges at vilje kan tilkendegives paring en lang raeligkke forskellige maringder og at reglerne i bekendtgoslashrelsen ikke tager specifikt stilling til hvordan denne skal komme til udtryk
En viljestilkendegivelse kan vaeligre mange ting herunder eksempelvis
bull afkrydsning af en boks klik paring en knap eller udfyldelse af en formular i sammenhaeligng med rele-
vant information paring en tjeneste
bull aktiv brug af en tjeneste hvor det maring forventes at brugeren er informeret om at der vil ske lag-
ring af eller adgang til oplysninger (saringfremt dette ikke er afslaringet)
Kommissionen har tilkendegivet overfor Erhvervsstyrelsen at aktiv brug af en tjeneste som ovenfor beskrevet er i overensstemmelse med e-Databeskyttelsesdirektivet og ac-cepteres i de fleste medlemslande Det afgoslashrende er at der kan identificeres en aktiv handling eksempelvis at der klikkes videre paring siden og at brugeren har en forstaringelse af at de ved denne handling accepterer cookies dvs det er ikke nok bare generelt at informere om at hjemmesiden bruger cookies det skal praeligciseres at cookies saeligttes ved at brugeren eksempelvis klikker videre
Der vil vaeligre stor forskel paring hvordan samtykket bedst indhentes Det er den enkelte tjeneste selv der har de bedste forudsaeligtninger for at vaeliglge en loslashsning der overholder samtykkekravet og giver tjenestens brugere reel mulighed for at tilkendegive deres vilje paring et informeret grundlag
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt at defi-nere praeligcist hvordan brugere i konkrete tilfaeliglde skal tilkendegive sin vilje Bekendt-goslashrelsens samtykkekrav giver derfor tjenester et stort mulighedsrum til at udvikle nye og innovative loslashsninger der oslashger brugerkontrollen og gennemsigtigheden
Vejledning 21
Eksempel Samtykke
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Accepter cookies Afvis cookies Laeligs mere her om vores brug af cookies herunder hvordan
du fravaeliglger cookies igenrdquo
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Klikker du videre paring siden accepterer du at der saeligttes cookies til disse formaringl Laeligs mere
her om vores brug af cookies herunder hvordan du fravaeliglger brugen af cookiesrdquo
Hvis brugere vaeliglger ikke at give samtykke til lagringen af oplysninger eller vaeliglger at tilbagekalde et samtykke stilles der som ovenfor naeligvnt i bekendtgoslashrelsen ikke noget krav til at brugere fortsat skal have adgang til indhold paring en tjeneste
Erhvervsstyrelsen er opmaeligrksom paring at kravet om forudgaringende samtykke kan vaeligre teknisk udfordrende for en del hjemmesider der saeligtter cookies allerede naringr brugeren tilgaringr siden saeligrligt for at sikre statistik om hvor mange der besoslashger en hjemmeside og hvor de kommer fra
Direktivet stiller et grundlaeligggende krav om informeret samtykke Nogle lande har valgt at haringndhaeligve samtykkekravet saringledes at det undtagelsesvis i saeligrlige tilfaeliglde ac-cepteres at cookies kan lagres forud for at brugeren har givet samtykke hertil UK fastslaringr eksempelvis i deres vejledning til reglerne at samtykke saring vidt muligt skal ind-hentes foslashr der saeligttes cookies men accepterer dog at det ikke altid sker Hvor det ikke er muligt at indhente samtykke foslashr cookies lagres laeliggges der i UKrsquos vejledning imid-lertid vaeliggt paring virksomhedernes indsats for at sikre information til brugerne og deres mulighed for at give samtykkeafvise cookies hurtigst muligt ligesom der laeliggges vaeliggt paring at virksomhederne begraelignser adgangen til sessions cookies
Der er behov for en naeligrmere afklaring fra Kommissionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside eje-rens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Samtykke ved browserindstillinger er ikke anerkendt i Danmark paring nuvaeligrende tids-punkt og kun i faring af de oslashvrige EU-medlemslande Den generelle holdning er at de browserloslashsninger som findes paring markedet i dag ikke i tilstraeligkkelig grad sikrer mod brugen af cookies hvor brugeren har fravalgt det Med de eksisterende browsere er det ikke muligt at differentiere sit samtykke tilstraeligkkelig nuanceret saring det reelt bliver et rdquoja takrdquo til alle cookies eller rdquonej takrdquo til alle cookies hvorefter brugeren vil kunne op-leve betydelige begraelignsninger i forhold til indhold af forskellige tjenester paring nettet
Samtykket varer i udgangspunktet indtil forholdene aeligndres Brugeren skal hele tiden have en let adgang til at traeligkke samtykket tilbage
Undtagelser
Bekendtgoslashrelsens sect 4 indeholder to undtagelser til kravet om informeret samtykke fra brugeren forud for anvendelsen af cookies Er der tale om indsamling af data som falder under undtagelsesbestemmelserne vil der efter lovgivningen ikke stilles krav om hverken information eller samtykke Det kan imidlertid vaeligre en anbefaling ogsaring her at give information og indhente samtykke ud fra en betragtning om at fuldstaeligndig gennemsigtighed oslashger tilliden til internettet og derfor kan vaeligre gavnlig for en e-hand-ler eller udbyder af tjenesteydelser paring nettet Det skal ogsaring her vurderes hvorvidt situa-tionen kan vaeligre omfattet af reglerne om beskyttelse af persondata
Vejledning22
Bekendtgoslashrelsens sect 4
sect 4 Uanset sect 3 kan fysiske eller juridiske personer lagre oplysninger eller opnaring adgang til oplysninger
der allerede er lagret i en slutbrugers terminaludstyr hvis
1) lagringen af eller adgangen til oplysninger alene sker med det formaringl at overfoslashre kommunikation
via et elektronisk kommunikationsnet eller
2) lagringen af eller adgangen til oplysninger er paringkraeligvet for at saeligtte tjenesteyderen af en informa-
tionssamfundstjeneste som slutbrugeren udtrykkeligt har anmodet om i stand til at levere denne
tjeneste
Stk 2 Lagring af eller adgang til oplysninger i en slutbrugersterminaludstyr er paringkraeligvet jf stk 1
nr 2 hvis lagringen af eller adgangen til oplysninger er en teknisk forudsaeligtning for at kunne levere
en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
Erhvervsstyrelsen laeliggger i fortolkningen af undtagelsesbestemmelserne vaeliggt paring udta-lelser fra den saringkaldte Artikel 29 gruppe som er omtalt i forordet og som i juni 2012 offentliggjorde et dokument vedroslashrende undtagelsesbestemmelserne i e-Datadirekti-vet efter aeligndringerne i 2009 Det er vigtigt her at understrege at der ikke er tale om et juridisk bindende dokument men gruppens fortolkninger stoslashttes i vid udstraeligkning af EU Kommissionen og bredt i medlemsstaterne Et link til Artikel 29 gruppens udta-lelse foslashlger af kapitel 5 rdquoLinks til lovgivning og direktiverrdquo
1 undtagelse Cookies i forbindelse med opkobling til internettetDet er Erhvervsstyrelsens vurdering at sect 4 stk 1 nr 1 alene er moslashntet paring udbydere af internetforbindelser og den lagring af eller adgang til oplysninger i brugeres terminal-udstyr der maringtte finde sted som en del af opkoblingen til internettet og vedligehol-delse heraf
2 undtagelse Cookies der sikrer funktionaliteten af en tjeneste som brugeren har bedt omsect 4 stk 1 nr 2 har derimod et bredere anvendelsesomraringde
For at vaeligre omfattet af undtagelsesbestemmelsen i sect 4 stk 1 nr 2 skal to krav vaeligre opfyldt For det foslashrste skal brugeren udtrykkeligt have anmodet om tjenesten For det andet skal lagringen af eller adgangen til oplysninger i brugerens terminaludstyr vaeligre paringkraeligvet for leveringen af denne tjeneste Begge krav skal vaeligre opfyldt
Brugerens faeligrden paring nettet eller besoslashg paring en specifik hjemmeside kan ikke tages som et udtryk for en generel anmodning om de tjenester der her tilbydes
Hvorvidt lagring af oplysninger eller adgang til allerede lagrede oplysninger er paringkraelig-vet uddybes i sect 4 stk 2 hvorefter der skal vaeligre tale om en teknisk forudsaeligtning for at kunne levere en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
For at vaeligre en teknisk noslashdvendighed skal tjenesten ikke kunne fungere uden brug af cookiersquoen eller en lignende teknologi Samtidig er det vigtigt at der er en klar sammen-haeligng mellem den rdquoparingkraeligvederdquo teknologi og brugerens udtrykkelige anmodning om tjenesten
Med hensyn til tjenestens formaringl boslashr der laeliggges vaeliggt paring det formaringl med hvilket bru-gere tilgaringr tjenesten eller hjemmesiden
Cookies eller lignende teknologier der opfylder kravene til at vaeligre omfattet af undta-gelsen maring ikke anvendes med andre formaringl for oslashje I saring fald skal brugeren informeres og give samtykke til disse andre formaringl
Vejledning 23
Det har betydning for vurderingen af om cookies kan undtages fra kravet om informe-ret samtykke om der er tale om sessionscookies eller vedvarende cookies og hvor den stammer fra Vedvarende cookies vil sjaeligldent falde under undtagelsesbestemmelsen
Eksempler paring undtagelser efter sect 4
Elektroniske indkoslashbskurve
- Brugen af elektroniske indkoslashbskurve i webshops hvor det er noslashdvendigt at kunne genkende bru-
geren paring tvaeligrs af sideskift (genindlaeligsninger af webshoppen) da indkoslashbskurven ellers vil vaeligre tom
ved visning af en ny side Lagring af fx en cookie eller lignende teknologi er dermed en teknisk for-
udsaeligtning for at kunne levere den tjeneste (e-handel) som brugeren udtrykkeligt har anmodet om
(tilgaringet webshoppen og lagt varer i indkoslashbskurven) Indkoslashbskurven fungerer desuden i overensstem-
melse med det formaringl (at koslashbe varer) med hvilket brugeren tilgaringr webshoppen
Log-in situationer
- Anvendelse af log-in (eksempelvis ved netbank offentlige selvbetjeningsloslashsninger eller ved ad-
gang til saeligrlige netvaeligrk) hvor cookies sikrer at brugeren logges ind med brug af brugernavn
passwords og forbliver logget ind uden igen at skulle indtaste saringdanne koder Det er vigtigt at
understrege at det alene er selve log-in funktionen der er undtaget men ikke noslashdvendigvis cookies
som saeligttes ved aktiviteter efter log-in funktionen
Andre undtagelser
Brugerdefinerede browserindstillinger ndash eks valg af land sprog eller skriftstoslashrrelse
- Disse cookies kan vaeligre undtaget fra kravet om informeret samtykke i det omfang at disse udtryk-
kelig aktiveres af brugeren fx ved at klikke paring en knap eller afkrydse en rubrik og ikke benyttes til
andre formaringl og ikke i laeligngere tid end en browsersession
Authentificeringscookies
Cookies der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider
Brugervalideringscookies
Cookies der anvendes til at sikre mod (gentagne) fejl ved log-in
Multimedia player cookies
Cookies der anvendes til at regulere netvaeligrkshastighed eller billedkvalitet og til at aktivere play back
video- eller lydfiler
Plug-ins til sociale medier
Cookies der giver muligheden for enten at dele indholdet af en hjemmeside eller rdquolikerdquo indholdet via
det sociale medie Cookien saeligttes alene for at dirigere brugeren over paring den sociale hjemmeside og
logge ind her Den har alene betydning for brugere af sociale netvaeligrk der allerede er logget ind her
Bruges cookien til at tracke brugeren rundt paring nettet vil den ikke vaeligre omfattet
Load balancing
Cookies der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en
service
Det er Erhvervsstyrelsens vurdering at cookies der husker at en bruger har sagt rdquonej takrdquo til cookies er undtaget kravet om informeret samtykke da der er tale om et oslashnske fra brugeren og den er noslashdvendig for at huske indstillingen
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning 21
Eksempel Samtykke
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Accepter cookies Afvis cookies Laeligs mere her om vores brug af cookies herunder hvordan
du fravaeliglger cookies igenrdquo
rdquoVi bruger cookies til statistik og maringlrettet markedsfoslashring fra os selv og vores annoncoslashrer
Klikker du videre paring siden accepterer du at der saeligttes cookies til disse formaringl Laeligs mere
her om vores brug af cookies herunder hvordan du fravaeliglger brugen af cookiesrdquo
Hvis brugere vaeliglger ikke at give samtykke til lagringen af oplysninger eller vaeliglger at tilbagekalde et samtykke stilles der som ovenfor naeligvnt i bekendtgoslashrelsen ikke noget krav til at brugere fortsat skal have adgang til indhold paring en tjeneste
Erhvervsstyrelsen er opmaeligrksom paring at kravet om forudgaringende samtykke kan vaeligre teknisk udfordrende for en del hjemmesider der saeligtter cookies allerede naringr brugeren tilgaringr siden saeligrligt for at sikre statistik om hvor mange der besoslashger en hjemmeside og hvor de kommer fra
Direktivet stiller et grundlaeligggende krav om informeret samtykke Nogle lande har valgt at haringndhaeligve samtykkekravet saringledes at det undtagelsesvis i saeligrlige tilfaeliglde ac-cepteres at cookies kan lagres forud for at brugeren har givet samtykke hertil UK fastslaringr eksempelvis i deres vejledning til reglerne at samtykke saring vidt muligt skal ind-hentes foslashr der saeligttes cookies men accepterer dog at det ikke altid sker Hvor det ikke er muligt at indhente samtykke foslashr cookies lagres laeliggges der i UKrsquos vejledning imid-lertid vaeliggt paring virksomhedernes indsats for at sikre information til brugerne og deres mulighed for at give samtykkeafvise cookies hurtigst muligt ligesom der laeliggges vaeliggt paring at virksomhederne begraelignser adgangen til sessions cookies
Der er behov for en naeligrmere afklaring fra Kommissionen omkring denne praksis Indtil afklaring foreligger vil Erhvervsstyrelsen ikke haringndhaeligve kravet om forudgaringende samtykke Styrelsen vil i tilsynet med reglerne i stedet laeliggge vaeliggt paring hjemmeside eje-rens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anvendelse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies
Samtykke ved browserindstillinger er ikke anerkendt i Danmark paring nuvaeligrende tids-punkt og kun i faring af de oslashvrige EU-medlemslande Den generelle holdning er at de browserloslashsninger som findes paring markedet i dag ikke i tilstraeligkkelig grad sikrer mod brugen af cookies hvor brugeren har fravalgt det Med de eksisterende browsere er det ikke muligt at differentiere sit samtykke tilstraeligkkelig nuanceret saring det reelt bliver et rdquoja takrdquo til alle cookies eller rdquonej takrdquo til alle cookies hvorefter brugeren vil kunne op-leve betydelige begraelignsninger i forhold til indhold af forskellige tjenester paring nettet
Samtykket varer i udgangspunktet indtil forholdene aeligndres Brugeren skal hele tiden have en let adgang til at traeligkke samtykket tilbage
Undtagelser
Bekendtgoslashrelsens sect 4 indeholder to undtagelser til kravet om informeret samtykke fra brugeren forud for anvendelsen af cookies Er der tale om indsamling af data som falder under undtagelsesbestemmelserne vil der efter lovgivningen ikke stilles krav om hverken information eller samtykke Det kan imidlertid vaeligre en anbefaling ogsaring her at give information og indhente samtykke ud fra en betragtning om at fuldstaeligndig gennemsigtighed oslashger tilliden til internettet og derfor kan vaeligre gavnlig for en e-hand-ler eller udbyder af tjenesteydelser paring nettet Det skal ogsaring her vurderes hvorvidt situa-tionen kan vaeligre omfattet af reglerne om beskyttelse af persondata
Vejledning22
Bekendtgoslashrelsens sect 4
sect 4 Uanset sect 3 kan fysiske eller juridiske personer lagre oplysninger eller opnaring adgang til oplysninger
der allerede er lagret i en slutbrugers terminaludstyr hvis
1) lagringen af eller adgangen til oplysninger alene sker med det formaringl at overfoslashre kommunikation
via et elektronisk kommunikationsnet eller
2) lagringen af eller adgangen til oplysninger er paringkraeligvet for at saeligtte tjenesteyderen af en informa-
tionssamfundstjeneste som slutbrugeren udtrykkeligt har anmodet om i stand til at levere denne
tjeneste
Stk 2 Lagring af eller adgang til oplysninger i en slutbrugersterminaludstyr er paringkraeligvet jf stk 1
nr 2 hvis lagringen af eller adgangen til oplysninger er en teknisk forudsaeligtning for at kunne levere
en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
Erhvervsstyrelsen laeliggger i fortolkningen af undtagelsesbestemmelserne vaeliggt paring udta-lelser fra den saringkaldte Artikel 29 gruppe som er omtalt i forordet og som i juni 2012 offentliggjorde et dokument vedroslashrende undtagelsesbestemmelserne i e-Datadirekti-vet efter aeligndringerne i 2009 Det er vigtigt her at understrege at der ikke er tale om et juridisk bindende dokument men gruppens fortolkninger stoslashttes i vid udstraeligkning af EU Kommissionen og bredt i medlemsstaterne Et link til Artikel 29 gruppens udta-lelse foslashlger af kapitel 5 rdquoLinks til lovgivning og direktiverrdquo
1 undtagelse Cookies i forbindelse med opkobling til internettetDet er Erhvervsstyrelsens vurdering at sect 4 stk 1 nr 1 alene er moslashntet paring udbydere af internetforbindelser og den lagring af eller adgang til oplysninger i brugeres terminal-udstyr der maringtte finde sted som en del af opkoblingen til internettet og vedligehol-delse heraf
2 undtagelse Cookies der sikrer funktionaliteten af en tjeneste som brugeren har bedt omsect 4 stk 1 nr 2 har derimod et bredere anvendelsesomraringde
For at vaeligre omfattet af undtagelsesbestemmelsen i sect 4 stk 1 nr 2 skal to krav vaeligre opfyldt For det foslashrste skal brugeren udtrykkeligt have anmodet om tjenesten For det andet skal lagringen af eller adgangen til oplysninger i brugerens terminaludstyr vaeligre paringkraeligvet for leveringen af denne tjeneste Begge krav skal vaeligre opfyldt
Brugerens faeligrden paring nettet eller besoslashg paring en specifik hjemmeside kan ikke tages som et udtryk for en generel anmodning om de tjenester der her tilbydes
Hvorvidt lagring af oplysninger eller adgang til allerede lagrede oplysninger er paringkraelig-vet uddybes i sect 4 stk 2 hvorefter der skal vaeligre tale om en teknisk forudsaeligtning for at kunne levere en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
For at vaeligre en teknisk noslashdvendighed skal tjenesten ikke kunne fungere uden brug af cookiersquoen eller en lignende teknologi Samtidig er det vigtigt at der er en klar sammen-haeligng mellem den rdquoparingkraeligvederdquo teknologi og brugerens udtrykkelige anmodning om tjenesten
Med hensyn til tjenestens formaringl boslashr der laeliggges vaeliggt paring det formaringl med hvilket bru-gere tilgaringr tjenesten eller hjemmesiden
Cookies eller lignende teknologier der opfylder kravene til at vaeligre omfattet af undta-gelsen maring ikke anvendes med andre formaringl for oslashje I saring fald skal brugeren informeres og give samtykke til disse andre formaringl
Vejledning 23
Det har betydning for vurderingen af om cookies kan undtages fra kravet om informe-ret samtykke om der er tale om sessionscookies eller vedvarende cookies og hvor den stammer fra Vedvarende cookies vil sjaeligldent falde under undtagelsesbestemmelsen
Eksempler paring undtagelser efter sect 4
Elektroniske indkoslashbskurve
- Brugen af elektroniske indkoslashbskurve i webshops hvor det er noslashdvendigt at kunne genkende bru-
geren paring tvaeligrs af sideskift (genindlaeligsninger af webshoppen) da indkoslashbskurven ellers vil vaeligre tom
ved visning af en ny side Lagring af fx en cookie eller lignende teknologi er dermed en teknisk for-
udsaeligtning for at kunne levere den tjeneste (e-handel) som brugeren udtrykkeligt har anmodet om
(tilgaringet webshoppen og lagt varer i indkoslashbskurven) Indkoslashbskurven fungerer desuden i overensstem-
melse med det formaringl (at koslashbe varer) med hvilket brugeren tilgaringr webshoppen
Log-in situationer
- Anvendelse af log-in (eksempelvis ved netbank offentlige selvbetjeningsloslashsninger eller ved ad-
gang til saeligrlige netvaeligrk) hvor cookies sikrer at brugeren logges ind med brug af brugernavn
passwords og forbliver logget ind uden igen at skulle indtaste saringdanne koder Det er vigtigt at
understrege at det alene er selve log-in funktionen der er undtaget men ikke noslashdvendigvis cookies
som saeligttes ved aktiviteter efter log-in funktionen
Andre undtagelser
Brugerdefinerede browserindstillinger ndash eks valg af land sprog eller skriftstoslashrrelse
- Disse cookies kan vaeligre undtaget fra kravet om informeret samtykke i det omfang at disse udtryk-
kelig aktiveres af brugeren fx ved at klikke paring en knap eller afkrydse en rubrik og ikke benyttes til
andre formaringl og ikke i laeligngere tid end en browsersession
Authentificeringscookies
Cookies der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider
Brugervalideringscookies
Cookies der anvendes til at sikre mod (gentagne) fejl ved log-in
Multimedia player cookies
Cookies der anvendes til at regulere netvaeligrkshastighed eller billedkvalitet og til at aktivere play back
video- eller lydfiler
Plug-ins til sociale medier
Cookies der giver muligheden for enten at dele indholdet af en hjemmeside eller rdquolikerdquo indholdet via
det sociale medie Cookien saeligttes alene for at dirigere brugeren over paring den sociale hjemmeside og
logge ind her Den har alene betydning for brugere af sociale netvaeligrk der allerede er logget ind her
Bruges cookien til at tracke brugeren rundt paring nettet vil den ikke vaeligre omfattet
Load balancing
Cookies der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en
service
Det er Erhvervsstyrelsens vurdering at cookies der husker at en bruger har sagt rdquonej takrdquo til cookies er undtaget kravet om informeret samtykke da der er tale om et oslashnske fra brugeren og den er noslashdvendig for at huske indstillingen
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning22
Bekendtgoslashrelsens sect 4
sect 4 Uanset sect 3 kan fysiske eller juridiske personer lagre oplysninger eller opnaring adgang til oplysninger
der allerede er lagret i en slutbrugers terminaludstyr hvis
1) lagringen af eller adgangen til oplysninger alene sker med det formaringl at overfoslashre kommunikation
via et elektronisk kommunikationsnet eller
2) lagringen af eller adgangen til oplysninger er paringkraeligvet for at saeligtte tjenesteyderen af en informa-
tionssamfundstjeneste som slutbrugeren udtrykkeligt har anmodet om i stand til at levere denne
tjeneste
Stk 2 Lagring af eller adgang til oplysninger i en slutbrugersterminaludstyr er paringkraeligvet jf stk 1
nr 2 hvis lagringen af eller adgangen til oplysninger er en teknisk forudsaeligtning for at kunne levere
en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
Erhvervsstyrelsen laeliggger i fortolkningen af undtagelsesbestemmelserne vaeliggt paring udta-lelser fra den saringkaldte Artikel 29 gruppe som er omtalt i forordet og som i juni 2012 offentliggjorde et dokument vedroslashrende undtagelsesbestemmelserne i e-Datadirekti-vet efter aeligndringerne i 2009 Det er vigtigt her at understrege at der ikke er tale om et juridisk bindende dokument men gruppens fortolkninger stoslashttes i vid udstraeligkning af EU Kommissionen og bredt i medlemsstaterne Et link til Artikel 29 gruppens udta-lelse foslashlger af kapitel 5 rdquoLinks til lovgivning og direktiverrdquo
1 undtagelse Cookies i forbindelse med opkobling til internettetDet er Erhvervsstyrelsens vurdering at sect 4 stk 1 nr 1 alene er moslashntet paring udbydere af internetforbindelser og den lagring af eller adgang til oplysninger i brugeres terminal-udstyr der maringtte finde sted som en del af opkoblingen til internettet og vedligehol-delse heraf
2 undtagelse Cookies der sikrer funktionaliteten af en tjeneste som brugeren har bedt omsect 4 stk 1 nr 2 har derimod et bredere anvendelsesomraringde
For at vaeligre omfattet af undtagelsesbestemmelsen i sect 4 stk 1 nr 2 skal to krav vaeligre opfyldt For det foslashrste skal brugeren udtrykkeligt have anmodet om tjenesten For det andet skal lagringen af eller adgangen til oplysninger i brugerens terminaludstyr vaeligre paringkraeligvet for leveringen af denne tjeneste Begge krav skal vaeligre opfyldt
Brugerens faeligrden paring nettet eller besoslashg paring en specifik hjemmeside kan ikke tages som et udtryk for en generel anmodning om de tjenester der her tilbydes
Hvorvidt lagring af oplysninger eller adgang til allerede lagrede oplysninger er paringkraelig-vet uddybes i sect 4 stk 2 hvorefter der skal vaeligre tale om en teknisk forudsaeligtning for at kunne levere en tjeneste der fungerer i overensstemmelse med tjenestens formaringl
For at vaeligre en teknisk noslashdvendighed skal tjenesten ikke kunne fungere uden brug af cookiersquoen eller en lignende teknologi Samtidig er det vigtigt at der er en klar sammen-haeligng mellem den rdquoparingkraeligvederdquo teknologi og brugerens udtrykkelige anmodning om tjenesten
Med hensyn til tjenestens formaringl boslashr der laeliggges vaeliggt paring det formaringl med hvilket bru-gere tilgaringr tjenesten eller hjemmesiden
Cookies eller lignende teknologier der opfylder kravene til at vaeligre omfattet af undta-gelsen maring ikke anvendes med andre formaringl for oslashje I saring fald skal brugeren informeres og give samtykke til disse andre formaringl
Vejledning 23
Det har betydning for vurderingen af om cookies kan undtages fra kravet om informe-ret samtykke om der er tale om sessionscookies eller vedvarende cookies og hvor den stammer fra Vedvarende cookies vil sjaeligldent falde under undtagelsesbestemmelsen
Eksempler paring undtagelser efter sect 4
Elektroniske indkoslashbskurve
- Brugen af elektroniske indkoslashbskurve i webshops hvor det er noslashdvendigt at kunne genkende bru-
geren paring tvaeligrs af sideskift (genindlaeligsninger af webshoppen) da indkoslashbskurven ellers vil vaeligre tom
ved visning af en ny side Lagring af fx en cookie eller lignende teknologi er dermed en teknisk for-
udsaeligtning for at kunne levere den tjeneste (e-handel) som brugeren udtrykkeligt har anmodet om
(tilgaringet webshoppen og lagt varer i indkoslashbskurven) Indkoslashbskurven fungerer desuden i overensstem-
melse med det formaringl (at koslashbe varer) med hvilket brugeren tilgaringr webshoppen
Log-in situationer
- Anvendelse af log-in (eksempelvis ved netbank offentlige selvbetjeningsloslashsninger eller ved ad-
gang til saeligrlige netvaeligrk) hvor cookies sikrer at brugeren logges ind med brug af brugernavn
passwords og forbliver logget ind uden igen at skulle indtaste saringdanne koder Det er vigtigt at
understrege at det alene er selve log-in funktionen der er undtaget men ikke noslashdvendigvis cookies
som saeligttes ved aktiviteter efter log-in funktionen
Andre undtagelser
Brugerdefinerede browserindstillinger ndash eks valg af land sprog eller skriftstoslashrrelse
- Disse cookies kan vaeligre undtaget fra kravet om informeret samtykke i det omfang at disse udtryk-
kelig aktiveres af brugeren fx ved at klikke paring en knap eller afkrydse en rubrik og ikke benyttes til
andre formaringl og ikke i laeligngere tid end en browsersession
Authentificeringscookies
Cookies der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider
Brugervalideringscookies
Cookies der anvendes til at sikre mod (gentagne) fejl ved log-in
Multimedia player cookies
Cookies der anvendes til at regulere netvaeligrkshastighed eller billedkvalitet og til at aktivere play back
video- eller lydfiler
Plug-ins til sociale medier
Cookies der giver muligheden for enten at dele indholdet af en hjemmeside eller rdquolikerdquo indholdet via
det sociale medie Cookien saeligttes alene for at dirigere brugeren over paring den sociale hjemmeside og
logge ind her Den har alene betydning for brugere af sociale netvaeligrk der allerede er logget ind her
Bruges cookien til at tracke brugeren rundt paring nettet vil den ikke vaeligre omfattet
Load balancing
Cookies der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en
service
Det er Erhvervsstyrelsens vurdering at cookies der husker at en bruger har sagt rdquonej takrdquo til cookies er undtaget kravet om informeret samtykke da der er tale om et oslashnske fra brugeren og den er noslashdvendig for at huske indstillingen
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning 23
Det har betydning for vurderingen af om cookies kan undtages fra kravet om informe-ret samtykke om der er tale om sessionscookies eller vedvarende cookies og hvor den stammer fra Vedvarende cookies vil sjaeligldent falde under undtagelsesbestemmelsen
Eksempler paring undtagelser efter sect 4
Elektroniske indkoslashbskurve
- Brugen af elektroniske indkoslashbskurve i webshops hvor det er noslashdvendigt at kunne genkende bru-
geren paring tvaeligrs af sideskift (genindlaeligsninger af webshoppen) da indkoslashbskurven ellers vil vaeligre tom
ved visning af en ny side Lagring af fx en cookie eller lignende teknologi er dermed en teknisk for-
udsaeligtning for at kunne levere den tjeneste (e-handel) som brugeren udtrykkeligt har anmodet om
(tilgaringet webshoppen og lagt varer i indkoslashbskurven) Indkoslashbskurven fungerer desuden i overensstem-
melse med det formaringl (at koslashbe varer) med hvilket brugeren tilgaringr webshoppen
Log-in situationer
- Anvendelse af log-in (eksempelvis ved netbank offentlige selvbetjeningsloslashsninger eller ved ad-
gang til saeligrlige netvaeligrk) hvor cookies sikrer at brugeren logges ind med brug af brugernavn
passwords og forbliver logget ind uden igen at skulle indtaste saringdanne koder Det er vigtigt at
understrege at det alene er selve log-in funktionen der er undtaget men ikke noslashdvendigvis cookies
som saeligttes ved aktiviteter efter log-in funktionen
Andre undtagelser
Brugerdefinerede browserindstillinger ndash eks valg af land sprog eller skriftstoslashrrelse
- Disse cookies kan vaeligre undtaget fra kravet om informeret samtykke i det omfang at disse udtryk-
kelig aktiveres af brugeren fx ved at klikke paring en knap eller afkrydse en rubrik og ikke benyttes til
andre formaringl og ikke i laeligngere tid end en browsersession
Authentificeringscookies
Cookies der anvendes til at verificere brugerens identitet for adgang til sikrede hjemmesider
Brugervalideringscookies
Cookies der anvendes til at sikre mod (gentagne) fejl ved log-in
Multimedia player cookies
Cookies der anvendes til at regulere netvaeligrkshastighed eller billedkvalitet og til at aktivere play back
video- eller lydfiler
Plug-ins til sociale medier
Cookies der giver muligheden for enten at dele indholdet af en hjemmeside eller rdquolikerdquo indholdet via
det sociale medie Cookien saeligttes alene for at dirigere brugeren over paring den sociale hjemmeside og
logge ind her Den har alene betydning for brugere af sociale netvaeligrk der allerede er logget ind her
Bruges cookien til at tracke brugeren rundt paring nettet vil den ikke vaeligre omfattet
Load balancing
Cookies der bruges til at allokere brugere til en specifik server for at balancerer adgangen til en
service
Det er Erhvervsstyrelsens vurdering at cookies der husker at en bruger har sagt rdquonej takrdquo til cookies er undtaget kravet om informeret samtykke da der er tale om et oslashnske fra brugeren og den er noslashdvendig for at huske indstillingen
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning24
3 SELVREGULERING
Kompleksiteten og mangfoldigheden af digitale tjenester goslashr det ikke muligt eller ef-fektivt at definere praeligcist hvordan reglerne skal efterleves De danske regler tegner sammen med denne vejledning en ramme eller et mulighedsrum hvor tjenesteudby-dere kan arbejde med at finde loslashsninger der passer til deres konkrete kontekst
Tjenesteudbyderne selv vil have de bedste forudsaeligtninger for at kunne tilvejebringe nye innovative og brugervenlige loslashsninger der oslashger gennemsigtigheden og bruger-kontrollen Europa-Kommissionen har paring denne baggrund tilkendegivet at den gerne ser udvikling af selvregulering som en del af efterlevelsen af reglerne
Selvregulering initieret af fx brancheorganisationer eller andre aktoslashrer har hvis de etableres paring fornuftig vis en raeligkke fordele herunder fx
Stoslashrre fleksibilitet og omstillingsmulighed i forhold til udvikling og tilpasning af loslashs-ninger
Stoslashrre praktisk og teknisk indsigt i det felt som reglerne regulerer Bredere beskyttelse af brugere af tjenester i forhold til minimumsreglernei lovgivningen Oslashget gennemsigtighed genkendelighed og ensformighed for brugere af detjenester der udbydes samt Oslashget tillid til de tjenester der udbydes
Hvilke elementer boslashr selvregulering indeholdeEuropa-Kommissionen har tilkendegivet at den som minimum ser foslashlgende elemen-ter inkluderet i selvregulering paring omraringdet
Information og gennemsigtighed omkring hvad der sker i brugerens terminaludstyrIndhentning af samtykke paring en passende maringde Brugervenlige loslashsningerEffektiv haringndhaeligvelse herunder
ndash en forstaringelig og enkel klageadgang for brugerne og ndash effektive sanktionsmuligheder
Bekendtgoslashrelsen tager hensyn til og skaber rum for Europa-Kommissionens oslashnske om udvikling af selvregulering som en del af efterlevelsen af reglerne
Erhvervsstyrelsen har vaeligret i taeligt dialog med flere brancheforeninger der har vist inte-resse for at goslashre en indsats i forhold til de nye regler og aktivt arbejdet for udbredelsen af brugbare cookie-loslashsninger
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning 25
4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
Den danske telemyndighed (nu Erhvervsstyrelsen) foslashrer tilsyn med at reglerne i coo-kiebekendtgoslashrelsen overholdes jf sect 20 i lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og -tjenester Erhvervsstyrelsen er ikke underlagt instrukser fra Erhvervs- og Vaeligkstministeren naringr det handler om myndighedens tilsynsvirksomhed
Manglende efterlevelse af reglerne i bekendtgoslashrelsen kan straffes med boslashde jf be-kendtgoslashrelsens sect 5
Erhvervsstyrelsens tilsyn har hidtil baseret sig paring oplysning og vejledning af baringde virk-somheder og offentlige myndigheder der har oplevet aeligndringen af cookiereglerne som et paradigmeskift der goslashr op med den hidtidige opbygning af hjemmesider og brug af nettet
Opdateringen af vejledningen sker som led i Erhvervsstyrelsens fremadrettede strategi for tilsynet Her vil fokus vaeligre virksomhedernes indsats henimod en fuldstaeligndig over-holdelse af reglerne
Erhvervsstyrelsen lancerer i foraringret 2013 en informationskampagne som primaeligrt ret-ter sig mod virksomheder og hjemmesideejere Kampagnen understoslashtter vejledningen og supplerer denne med simple raringd til brug for bla identifikation og analyse af hjem-mesider samt praktiske eksempler paring cookie-loslashsninger
Refleksionerne i naeligrvaeligrende vejledning omkring brugernes reelle kontrol paring nettet og graden af invasion fra cookies vil blive afspejlet i tilsynsstrategien og vurderingen af konkrete loslashsninger
Erhvervsstyrelsen vil ogsaring paring denne baggrund maringlrette tilsynet med reglerne der i foslashrste omgang vil vaeligre fokuseret paring virksomheder og offentlige myndigheder som alene har gjort en lille eller slet ingen indsats for at imoslashdekomme lovens krav I lyset af det bagvedliggende beskyttelseshensyn vil Erhvervsstyrelsen i tilsynet laeliggge vaeliggt paring hvilke typer af cookies der anvendes og deres effekt i forhold til brugerens privatliv samt indsatsen for at tage kontrol over hjemmesiden Erhvervsstyrelsen vil maringle hjem-mesidens indsats ud fra de fem processkridt som er givet i den tekniske guide jf Vej-ledningens kapitel 6
Som ovenfor naeligvnt vil Erhvervsstyrelsen i sit tilsyn laeliggge vaeliggt paring hjemmeside ejerens indsats for at sikre fyldestgoslashrende information til brugeren om hjemmesidens anven-delse af cookies samt mulighed for brugeren til at acceptere eller afvise cookies Styrel-sen vil derimod ikke paring nuvaeligrende tidspunkt fokusere paring om cookies tilbageholdes indtil brugeren har givet sit samtykke
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning26
5 LINKS TIL LOVGIVNING OG DIREKTIVER
Bekendtgoslashrelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyrhttpswwwretsinformationdkFormsR0710aspxid=139279
Direktiv om databeskyttelse inden for elektronisk kommunikation (e-databeskyttel-sesdirektivet 200258EF)httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX32002L0058daHTML
Direktiv 2009136EF der bla reviderer e-databeskyttelsesdirektivethttpeur-lexeuropaeuLexUriServLexUriServdouri=OJL200933700110036DAPDF
Lov nr 169 af 3 marts 2011 om elektroniske kommunikationsnet og ndashtjenester (telelo-ven) httpswwwretsinformationdkformsr0710aspxid=136073
Direktiv om beskyttelse af fysiske personer i forbindelse med behandling af personop-lysninger og om fri udveksling af saringdanne oplysninger (databeskyttelsesdirektivet 9546EC) httpeur-lexeuropaeuLexUriServLexUriServdouri=CELEX31995L0046daHTML
Lov om behandling af personoplysninger (persondataloven)httpswwwretsinformationdkFormsR0710aspxid=828
Artikel 29 gruppens udtalelse vedroslashrende undtagelserne til cookiereglernehttpeceuropaeujusticedata-protectionarticle-29documentationopinion-recommendationfiles2012wp194_enpdf
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning 27
6 TEKNISK GUIDE
Foslashlgende kapitel indeholder en teknisk guide til virksomheder myndigheder og orga-nisationer Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne De fem skridt er alene ment som inspiration til ejere af hjemmesider naringr de skal gen-nemgaring deres hjemmeside for at sikre overensstemmelse med cookiereglerne
Bagerst i den tekniske guide er udvalgte tekniske udtryk naeligrmere beskrevet
De fem proces skridt er foslashlgende
1 Fastlaeligggelse af webejendom
2 Undersoslashgelse af om der saeligttes cookies paring hjemmesiden
3 Afgivelse af fyldestgoslashrende information
4 Fjernelse af uoslashnskede ukendte og unoslashdvendige cookies
5 Indhentning af samtykke
1 skridt - Fastlaeligggelse af webejendom
Det foslashrste skridt garingr paring at faring identificeret alt hvad der ligger under ens site eller sites dvs alt hvad der udgoslashr ens webejendom Danske virksomheder og organisationer har oparbejdet et stort antal websites og andre internetbaserede tjenester som de er juri-disk ansvarlige for Det kan typisk vaeligre virksomhedens eller organisationens hjemme-side paring forskellige domaeligner og med tilhoslashrende subdomaeligner produkt- eller service-sites kampagnesites mv De fleste har loslashbende tilkoslashbt webejendom men i praksis er meget lidt fjernet igen fra internettet En forudsaeligtning for at opfylde cookiereglerne er at man har styr paring alle sites og hjemmesider
Der er mulighed for afledte fordele ved at gennemgaring ens webejendom idet der kan vaeligre besparelsespotentiale inden for omraringderne softwarelicenser support infrastruk-tur og kompleksitet ved at konsolidere ens webejendom feks ved at nedbringe antallet af domaeligner man ejer
Tjekliste for gennemgang af ens webejendomA Start med at lave en liste over de domaeligner som jeres virksomhed myndighed eller
organisation har registreret Saringdan en oversigt kan ofte farings i it-afdelingen i marke-ting-afdelingen eller i bogholderiet Det kan vaeligre en fordel at garing flere aringr tilbage da domaeligner kan vaeligre koslashbt for flere aringr ad gangen
Overvej ogsaring varemaeligrker der ikke laeligngere er aktive da der stadig kan forefindes tilknyttede domaeligner der er overset
Naringr det samlede overblik over jeres webejendom foreligger saring kan det vaeligre en for-del at vurdere om der er et konsolideringspotentiale ved at nedlaeliggge eller sam-menlaeliggge webtjenester eller domaeligner
B Afklar om der er mobile versioner af websites
C Afklar om der er webtjenester-sites-services der er blevet leveret af 3 part
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning28
Det er vigtigt at vide hvilke webtjenester der er leveret af bureauer partnere leve-randoslashrer eller andre 3 parter og hvorvidt de bruger cookies idet du som hjemme-siderejer umiddelbart er ansvarlig for overholdelse af cookiereglerne i forhold til anvendelsen af cookies paring din hjemmeside
Det boslashr saringledes undersoslashges hvilke cookies der saeligttes fra det indhold som jeres nuvaeligrende og tidligere samarbejdspartnere har leveret hvilken type information deres cookies indsamler og hvilke virksomheder der modtager information fra de cookies der saeligttes ndash baringde den endelige dataejer og forskellige datamellemmaelignd Datamellemmaelignd skal her forstarings som enhver eller alle som potentielt kan faring ad-gang til eller anvende den information der gemmes i enhver af de paringgaeligldende cookies
Det anbefales at faring oplysninger fra eksterne leverandoslashrer omkring enhver cookie der saeligttes fra det de leverer og evt faring formaliseret informationen i et tillaeligg til en eventuelt eksisterende servicekontrakt Foslashlgende oplysninger er vaeligsentlige at faring med
bull I forhold til hvilket rsquowebsitersquo (ikke domaeligne) er cookies blevet implementeret (uanset om de er sat direkte af jer selv eller som del af en service som I har til-foslashjet koslashbt eller paring anden maringde faringet ind)
bull For hver cookie der saeligttes boslashr foslashlgende specificeres bull ndash Formaringlet med cookienbull ndash Hvilke data cookien indhenterbull ndash Hvilken typekategori af cookie der er tale ombull ndash Hvem der er den endelige modtager af data fra cookien
D Afklar om der er kampagnetjenester (rekrutteringssites events mv) der ikke laelign-gere er i brug
Det er meget almindeligt i forbindelse med forskellige begivenheder at oprette spe-cifikke hjemmesider der knyttes til ens site Fastlaeligggelse af ens webejendom skal medtage saringdanne hjemmesider selvom de ikke laeligngere er i brug men fortsat er tilgaeligngelige paring internettet
2 skridt ndash Undersoslashgelse af om der saeligttes cookies
For at kunne give fyldestgoslashrende information og indhente samtykke paring et informeret grundlag er det noslashdvendigt at faring overblik over hvilke cookies der saeligttes paring alle dele af webejendommen Man skal i den forbindelse vaeligre opmaeligrksom paring foslashlgende forhold
A Forstaring jeres anvendelse af web-adresser
B Undersoslashg hver web-adresse grundigt og tag hoslashjde for at cookies kan saeligttes ved hjaeliglp af forskellige teknologier feks FLASH HMTL5 og JavaScript
C Naringr det drejer sig om adresser der leder et andet sted hen (saringkaldte redirects og forward domaeligner) saring vaeligr sikker paring at I har undersoslashgt hele den sti som brugernes browser foslashlger frem til indholdet
D Blanketter og web applikationer skal undersoslashges
E Mobile versioner af websites kan have meget forskellige cookies i forhold til det rsquoalmindeligersquo website
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning 29
Ad A Forstaring jeres anvendelse af web-adresserDet er vigtigt at vide praeligcist hvilket indholdrsquowebsitesrsquo der vises fra hvert domaeligne Et domaeligne kan styre mange forskellige websites afhaeligngigt af hvordan adressen skrives Derfor at det vigtigt at vide om der vises forskelligt indhold afhaeligngigt af om der bru-ges http eller https i adressen om der bruges rsquowwwrsquo (eller variationer heraf) i adressen og om der vises mobile versioner af websitet Eksemplerne nedenfor er alle baseret paring det fiktive domaeligne lsquositeaddresscomrsquo og viser at domaelignet kan lede brugeren til 8 for-skellige sites(webadresser) som hver kan have meget forskelligt indhold og dermed saeligtte meget forskellige cookies
httpwwwsiteaddresscom httpmsiteaddresscom httpsiteaddresscom
httpsiteaddresscom httpnewssiteaddresscom httpww2siteaddresscom
httpswwwsiteaddresscom httpsmobilesiteaddresscom
Ad B Undersoslashgelse af hver webadresseNaringr man undersoslashger en webadresse kan man goslashre det manuelt eller med hjaeliglp fra et softwarevaeligrktoslashj der er beregnet til det
Oslashnsker man at foretage undersoslashgelsen af en webtjeneste manuelt skal undersoslashgelsen baseres paring praeligcis viden omkring websitet dets maringde at fungere paring og hvordan man bruger de forskellige teknologier der kan saeligtte cookies
Har man omtalte praeligcise viden saring boslashr en manuel undersoslashgelse vaeligre struktureret og omfatte de mest besoslashgte sider de sider som brugerne oftest kommer ind paring foslashrst og de sider som brugerne oftest forlader websitet fra Det er saringledes ikke tilstraeligkkeligt kun at undersoslashge nyt indhold der publiceres
Har man ikke omtalte praeligcise viden anbefales det at hele webtjenesten undersoslashges med et dertil beregnet softwarevaeligrktoslashj
Ved valg af softwarevaeligrktoslashj kan det feks anbefales at vurdere foslashlgende faktorer
a) Teknisk formaringen identificerer vaeligrktoslashjet ogsaring cookies der saeligttes vis feks FLASH JavaScript og HTML5
b) Hvordan eventuelle specialomraringder (avancerede formularer funktionalitet og log-in omraringder) understoslashttes
c) Om loslashsningen kan hjaeliglpe til at skabe sikkerhed for hvilken webejendom man ejer
Ad C RedirectsEt vigtigt omraringde der ikke maring overses er brugerens rsquorejsersquo frem til indholdet paring websi-tet Mange virksomheder og organisationer har koslashbt domaeligner som ikke har noget indhold i sig selv men har til formaringl at lede brugeren ind paring en bestemt side paring feks hovedwebsitet Disse domaeligner skal ogsaring vaeligre en del af undersoslashgelsen af om organisa-tionens webtjenester saeligtter cookies
3 skridt ndash Afgivelse af fyldestgoslashrende information
Minimumskravene til informationen foslashlger direkte af cookiereglerne og omfatter krav til karakteren indholdet og tilgaeligngeligheden af informationen
Udover de indholdsmaeligssige krav givet i cookiebekendtgoslashrelsen saring er det vigtigt at taelignke modtageren af informationen ind bla i forhold til sprog og teknisk detaljerings-grad
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning30
Nedenfor er beskrevet en raeligkke forhold man boslashr vaeligre opmaeligrksom paring naringr man ud-arbejder information til brugeren
A Sikre tydelig navigation med angivelse af at webtjenesten saeligtter cookies og til hvil-ke formaringl
B Navigationen skal virke tilfredsstillende
C Fyldestgoslashrende information om cookies
D Specifik cookie-information
E Beskriv hvordan man kan afslaring at give samtykke
Ad A ndash Tydelig navigationVed navigation forstarings hjemmesidens opbygning og den maringde brugeren guides til si-dens information om cookies
bull Det skal foslashrst og fremmest vaeligre tydeligt for brugeren at webtjenesten saeligtter coo-kies saringledes at informationen herom adskiller sig tydeligt fra anden tekst paring siden feks ved et banner eller aktive tekstbokse
bull Brugere der besoslashger webtjenesten foslashrste gang skal utvetydigt informeres om at der bruges cookies deres formaringl og af hvem der saeligtter cookies foslashr cookies saeligttes
bull Informationen skal gives forud for placeringen af cookies men det er ikke et krav efter lovgivningen at brugeren skal have informationen med det samme brugeren besoslashger hjemmesiden
bull Naringr cookies er accepteret eller afvist kan teksten evt minimeres til et vedvarende link paring siden hvor der kan laeligses mere om cookies og traeligffes beslutning om sam-tykke eller tilbagekaldelse Brugeren skal have mulighed for at tilgaring information om cookies paring ethvert tidspunkt under besoslashget paring hjemmesiden
bull Ved efterfoslashlgende besoslashg hvor den besoslashgendes enhed genkendes skal brugeren have mulighed for umiddelbart at tilgaring detaljeret information om webtjenestens cookies til enhver tid
bull Ved brug af undersider skal det vaeligre nemt at blive foslashrt til saringdanne undersider der fortaeligller mere om webtjenestens brug af cookies og hvilke muligheder brugeren har for at styre brugen af heraf
bull Brugeren boslashr ledes fra navigationen og hen til den side der beskriver webtjenestens brug af cookies paring en ensartet maringde uanset hvor brugeren befinder sig paring webtje-nesten Informationen skal vaeligre vedvarende tilgaeligngelig
bull Der hvor en bruger tilgaringr en hjemmeside eller webtjeneste via et domaeligne der vide-restiller brugeren til siden eller webtjenesten skal det sikres at den endelige side eller webtjeneste giver brugeren fyldestgoslashrende information og mulighed for sam-tykke til anvendelse af cookies
Enhver afgivelse af information om cookies spiller en vigtig rolle i forhold til om web-tjenesten overholder cookiereglerne hvor det vigtigste princip er at brugeren kan traeligf-fe et informeret valg
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning 31
For at sikre tydelig information kan standarden lsquoWeb Accessibility Guidelinesrsquo med for-del foslashlges
StandardenlsquoWeb Content Accessibility Guidelinesrsquo kan hentes herhttpwwww3orgTRWCAG10full-checklisthtml (Note version 20 af standarden er pt rsquounder implementeringrsquo)
AD B ndash Krav om at navigationen virker tilfredsstillende Naringr man har en god navigation saring er det naeligste skridt at sikre at den virker Jo mere kompliceret navigationen er jo mere udsat er den for fejl og mangler
Eksempler paring vaeligsentlige faktorer man boslashr overveje
bull Er der nogen begraelignsninger omkring tilgaeligngelighedbull Fungerer navigationen paring samtlige sider paring webtjenestenbull Fungerer navigationen ogsaring paring feks mobil-udgaven af webtjenestenbull Fungerer navigationen ogsaring naringr man kommer ind paring webtjenesten feks via en
redirect
Et meget almindeligt valg af navigation er anvendelsen af et banner der feks placeres i toppen af siden med link til en underside for mere detaljeret information Det er dog her vigtigt at kontrollere at loslashsningen man vaeliglger ikke vil gribe forstyrrende ind i soslash-gemaskineindeksering og dermed organisk soslashgning
Praktiske eksempler paring klar navigation Hvert af eksemplerne illustrerer en god loslashsning i forhold til rsquoklar navigationrsquo men op-fylder ikke noslashdvendigvis alle krav til informeret samtykke jf naeligrmere herom under rdquoFyldestgoslashrende information om cookiesrdquo
a) Brancheforeningen Foreningen for Dansk Internet Handel FDIH har udarbejdet en cookieloslashsning der tilbydes til foreningens medlemmer Den er et eksempel paring klar navigation i forhold til cookieinformationen og illustreres nedenfor paring hjem-mesiden for foreningens medlemmer
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning32
Teksten indeholder vaeligsentlig information omkring formaringlet med cookies paring siden samt link til en underliggende side med mere information om sidens cookie-politik herunder ogsaring hvordan cookies fravaeliglges Loslashsningen forudsaeligtter selvsagt at der ikke bruges andre cookies med andre formaringl end hvad der er angivet herunder cookies fra 3 parter da dette ikke fremgaringr
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning 33
Naringr brugeren har accepteret eller afvist cookies vil informationen forsvinde fra skaeligr-men men de smaring fodspor fremgaringr tydeligt paring siden under hele brugerens besoslashg
b) Eksempel paring navigation paring mobilenhed
Eksemplet viser hvorledes navigationen kan se ud ved et foslashrste besoslashg via en mobil enhed
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning34
Eksempel paring hvordan man kan afgive detaljeret information om cookies Det viste eksempel kraeligver at funktionaliteten er tilgaeligngelig baringde paring det faste og det mobile website Der kan vaeligre begraelignsninger forbundet med anvendelse af opt-out paring mobi-len Disse boslashr vurderes hvor det er relevant
AD C - Fyldestgoslashrende information om cookiesSom naeligvnt i vejledningens afsnit om informationskravet saring er det tilladt at lagdele in-formationen til brugerne saringledes at de vaeligsentligste oplysninger der foslashlger af cookiebe-kendtgoslashrelsen (formaringlet med cookien samt angivelse af hvem der saeligtter cookies her-under 3 parter der saeligtter cookies eller har adgang til data via cookies) gives i den foslashrste cookietekst brugeren moslashder med evt links til undersider med mere information
Det kan overvejes at bruge underliggende sider til at formulere en egentlig cookie-politik der kan understoslashtte brugerens tillid til hjemmesiden og hermed virksomheden eller organisationen generelt
Nedenfor er listet de obligatoriske krav til information (angivet med O) samt anbefa-linger (angivet med A) til brug for en evt cookie-politik
bull [O] Formaringlet med brug af cookiesbull [O] Identificere hvem der saeligtter cookiesbull [O] Let adgang til at traeligkke et samtykke tilbage
Det er et krav efter cookiereglerne at der gives en let tilgaeligngelig adgang for bruge-ren til at afslaring samtykke eller til at traeligkke et samtykke tilbage hvilket boslashr fremgaring af den foslashrste tekst brugeren moslashder men kan uddybes paring en underside i forbindelse med en naeligrmere beskrivelse af sidens cookiepolitik Det anbefales at goslashre brugeren opmaeligrksom paring at cookies umiddelbart alene slettes fremadrettet mm brugeren aktivt sletter cookies se nedenfor
bull [A] Sletning af cookiesDet kan anbefales at goslashre brugeren opmaeligrksom paring cookies der tidligere er sat samt informere om hvordan saringdanne cookies fjernes I det omfang tjenesten bru-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning 35
ger saeligrlige cookies i forbindelse med eksempelvis FlashLSO teknologi kan det praeligciseres hvordan en bruger kan kontrollere cookies der saeligttes ad den vej Det er saeligrligt paringkraeligvet paring dette omraringde med tanke paring de begraelignsede muligheder der pt eksisterer for at tilbyde rsquositersquo baserede metoder til at afslaring samtykke
bull [A] kontaktinformation om hvortil man kan stille sposlashrgsmaringl eller klage Det kan ogsaring fremgaring hvorledes en klage vil blive behandlet og inden for hvilken tidsramme
Ad D Specifik cookie-informationDet er op til den enkelte webtjeneste selv hvor detaljeret de vil beskrive deres cookies saringfremt de har sikret en daeligkkende beskrivelse af formaringl og hvorfra cookien stammer hvem der har adgang til data indsamlet via cookien
For en oslashget gennemsigtighed og forbrugertillid kan en mere detaljeret beskrivelse overvejes saringledes at brugeren goslashres bekendt med eks tekniske karakteristika af en cookie herunder navn og levetid
Der laeliggges ikke i cookiereglerne op til en kategorisering af cookies paring baggrund af deres egenskaber og ophav men en kategorisering kan anbefales for et bedre overblik over hvilke cookies der anvendes og derved ogsaring lette informationen til brugerne
En mere detaljeret cookiebeskrivelse herunder evt kategorisering af cookies kan ogsaring vaeligre anvendelig i forhold til tilsynet med reglerne hvor der kan afkraeligves en naeligrmere redegoslashrelse for en hjemmesides brug af cookies
Brugere kan eksempelvis forsynes med de foslashlgende karakteristika (eller parametre) for hver cookie paring den paringgaeligldende webtjeneste
Element Passende detaljeringsgrad
Kategorisering En af de fem kategorier der er angivet i nedenstaringende tabel over kategorisering
Formaringl Hvad er cookiens formaringl Det er sandsynligvis et af foslashlgende ii Analyse iii Media Management iv Navigation v Performance Networking vi Prissaeligtning vii Socialt netvaeligrk viii Sposlashrgeskema ix Brugerpraeligferencer x Profilering
Domaelignet hvorfra den saeligttes
Det domaeligne der saeligtter cookien I tilfaeligldet Google Analytics er det host domaelignet der saeligtter cookien
Cookiens navn Det lsquotekniskersquo navn som udstederen har givet den
Endelig dataejer Navnet paring den virksomhed som er den endelige modtager af data fra cookien I tilfaeligldet DoubleClick vil det vaeligre Google (som ejer DoubleClick) der er den korrekte information
Udloslashbsdato Cookiens levetid Det kan feks vaeligre rsquobrowser sessionrsquo eller datoen for hvornaringr cookien udloslashber I tilfaeliglde af at en cookie har en livstid paring mindre end 24 timer kan levetiden angives i timer)
Beskrivelse Almindelig tekst-beskrivelse af hvad cookien goslashr
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning36
bull [A] Kategorisering af cookies
Cookies kan inddeles i forskellige kategorier der giver bedre overblik over hjemmesi-dens brug af cookies og kan hjaeliglpe til en bedre information af brugeren
Nedenfor er givet eksempler paring kategorier af cookies som omhandler forskellige typer cookies
Tabel over kategorisering af cookies
Kategori Beskrivelse
Teknisk noslashdvendige Disse cookies er helt noslashdvendige for funktionalitet paring websi-tet som brugeren eksplicit beder om Det kan feks vaeligre cookies paringkraeligvet for at en indkoslashbskurv kan fungere
Indstillinger Disse cookies bruges til at understoslashtte indstillinger som brugeren har lavet Eksempler er visningsindstillinger og indstillinger for log-in omraringder
Kategori 1 + 2 omfatter cookies som almindeligvis er undtaget fra informations- og samtykkekravet
Drift amp optimering Disse cookies bruges til at styre webtjenesten og feks tilfoslashje kundefeedback og indsamle data til brug for webanalyse Enhver form for cookie der har potentiale til at kunne blive brugt til at foslashlge en brugers faeligrden soslashgninger adgangssider eller exit-sider hoslashrer ikke til i denne kategori
Marketing anonym tracking paring tvaeligrs af webtjenester
Disse cookies bruges til at foslashlge besoslashgende hen over flere webtjenester De kan bruges til at opbygge en profil over soslashge- ogeller browsing moslashnstre for enhver eller nogle besoslashgende
Marketing maringlrettet annoncering
Disse cookies bruges til at foslashlge en brugers browsing vaner og aktivitet Den information der indsamles kan anvendes til at vise individuelt tilpasset indhold Disse cookies kan bruges til at indsamle personhenfoslashrbar information ogeller saeliglge data til 3 part Kategorien omfatter ogsaring enhver cookie eller grupper af cookies der kan anvendes til at paringvirke udbuddet af produk-ter eller services der goslashres tilgaeligngelige for en besoslashgende paring webtjenesten (enten direkte eller indirekte) eller som kan bruges til at paringvirke den pris som en bruger vil blive praeligsen-teret for Enhver cookie der kan anvendes saringledes skal identificeres klart og entydigt og dens formaringl angives som rdquoprissaeligtningrdquo
4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
Det er god praksis at tage stilling til om man selv anser de cookies der bruges paring ens webtjeneste for at vaeligre uoslashnskede ukendte eller maringske unoslashdvendige
Ved at tage stilling til hvilke cookies der bruges paring ens webtjenester faringr man sikkerhed for at man selv kan staring inde for hvad der sker og hvilke data der indsamles og hvem de sendes til
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning 37
Udover at sikre at man lever op til lovgivningen omkring cookies saring kan det give nog-le andre fordele saringsom
ndash Forbedret hastighed paring websitetndash Sikring mod uhensigtsmaeligssig dataformidling
5 Skridt ndash Indhentning af samtykke
Som beskrevet ovenfor under vejledningens afsnit om samtykkekravet kan samtykke indhentes ved at brugeren eksplicit accepterer eller afviser brugen af cookies ved ek-sempelvis at trykke paring en knap eller krydse af i en boks eller ved at brugeren blot klik-ker sig videre paring given hjemmeside Begge situationer forudsaeligtter at brugeren forin-den har modtaget fyldestgoslashrende information
Ved at foslashlge de ovenfor beskrevne processkridt skulle det vaeligre muligt at sikre at bru-geren af ens hjemmeside kan traeligffe et tilstraeligkkeligt informeret valg om accept eller afvisning af cookies
Tekniske forhold man boslashr vaeligre opmaeligrksom paring i relation til samtykkekravet
1 Man kan kun slette cookies der saeligttes fra ens eget domaeligne2 Man kan kun forhindre 3 parts cookies i at blive sat ved at aeligndre eller udelade ind-
hold der saeligtter de paringgaeligldende cookies 3 Sletning af cookies forudsaeligtter at JavaScript er slaringet til i brugerens browser En ser-
verbaseret loslashsning kan aeligndre hvad der vises paring siden uanset om JavaScript er slaringet til eller ej
Saeligrligt om 3 parts cookiesNogle serviceleverandoslashrer der indlejrer indhold paring dine webtjenester tillader at du tilpasser deres service til dine behov Almindelige eksempler paring det er
a YouTube som har en separat webtjeneste paring adressen wwwyoutube-nocookiecom som kun saeligtter cookies naringr brugeren klikker rsquoplayrsquo for at starte afspilningen
b AddThis tilbyder tilpasningsmuligheden ldquodata_use_cookiesrdquo som forhindrer at den saeligtter cookies hvis den tildeles vaeligrdien lsquofalsersquo
Metode til at sikre at cookies ikke saeligttes naringr brugeren har afslaringetDet er et udtrykkeligt krav at en webtjeneste undlader at saeligtte cookies som brugeren har afslaringet For at goslashre det er muligt i praksis anbefales det at der tilfoslashjes den paringkraelig-vede kode til webtjenestens sider eller paring serveren
For at forstaring brugerens indstillinger (samtykke eller ikke-samtykke) skal man rsquoparsersquo (analysere syntaksen i) den cookie som indstillingen gaeliglder for Angivelse af vaeligrdien er meget enkel idet cookien bruger vaeligrdien rsquotruersquo for samtykke (ogsaring kaldet opt-in) og rsquofalsersquo for afslaringet samtykke (ogsaring kaldet opt-out) De foslashlgende eksempler paring kode viser at der er givet samtykke til cookies i kategori 2 3 og 4 mens samtykke er afslaringet for de cookies der tilhoslashrer kategori 5
2=trueamp3=trueamp4=trueamp5=falseDet foslashlgende JavaScript tjekker brugerens indstillinger
functioncookieLevelConsent(level) var m = documentcookiematch(rdquo^(+) wscrCookieConsent=([^]+amp)rdquo + level + rdquo=(t|f)rdquo)return m (m[3] === rdquotrdquo) null
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning38
Ved at laeliggge denne kode oslashverst i din skabelon-fil eller som del af en JavaScript fil der kaldes af alle sider saring goslashr du funktionaliteten tilgaeligngelig paring alle sider af dit website Herefter kan du kalde cookieLevelConsent() med det oslashnskede indstillingsniveau for at undersoslashge brugerens indstilling Funktionen returnerer vaeligrdierne
1 nul ndash brugeren har ikke angivet nogen indstilling2 true ndash brugeren har afgivet eksplicit samtykke3 false ndash brugeren har aktivt afvist at give samtykke
Brug af denne kode paring en webside goslashr det muligt for siden at opfoslashre sig i overensstem-melse med brugerens indstillinger for samtykke
Kode sat fra server-siden fungerer naeligsten tilsvarende man rsquoparserrsquo vaeligrdien af cookien og derefter beslutter man om man oslashnsker at vise dele af siden eller om man oslashnsker at vise et andet indhold i stedet for
Et eksempel paring saringdan et side-layout vises nedenfor De markerede omraringder saeligtter 3 parts cookies fra et eksternt domaeligne hvilket goslashr at ejeren af webtjenesten ikke har mulighed for at slette disse cookies Loslashsningen kan vaeligre at vise et andet indhold hvis brugeren har afslaringet samtykke til de paringgaeligldende cookies
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning 39
Det markerede felt med delebarer til sociale medier kan blive erstattet med ikoner eller links som ejeren af webtjenesten selv styrer
Annonceringen der er fremhaeligvet ovenfor kan vise et billede fra webtjenestens eget domaeligne (et rsquolocallyserved imagersquo) der saring linker til 3 parts sitet med et tracking id i URLrsquoen eller den kan vise en annonce der ikke saeligtter cookies
Praktisk eksempel paring styring af samtykkeEt praktisk eksempel paring styring af samtykke er lavet paring websitet wwwsitemorsecom Loslashsningen er alene medtaget som inspiration
Klikker man paring cookie-ikonet i hoslashjre side af browseren saring kommer der et panel frem der viser hvor mange cookies der er af hver type cookie (inddelt efter formaringl) og der er tydelig information om hver cookies Der er ogsaring en knap (rsquoopt outrsquo) som brugeren kan aktivere hvis vedkommende oslashnsker at afvise samtykke
Eksempel paring styring af lsquotwitterrsquo-cookiesDet anbefales at styre cookies fra Twitter via aeligndringer paring server-siden Overvej hvor-dan det vil paringvirke din webtjeneste og om du oslashnsker at tilbyde brugerne et alternativ
rdquoTwitterrdquo- cookies er meget brugt og optraeligder mange steder (auto logins rsquotweetthisrsquo etc) og det kan pt vaeligre vanskeligt at faring klarhed omkring omfanget og anvendelsen af tracking fra virksomheden
Her foslashlger et eksempel paring en aeligndring foretaget paring serversiden Den kunne vaeligre gjort lige saring let med JavaScript Eksemplet viser at saring snart en bruger har afslaringet samtykke til en type cookie saring bliver nye cookies ikke sat og websidens indhold bliver aeligndret
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning40
Hvis man i det praktiske eksempel ovenfor garingr tilbage til hovedsiden httpwwwsite-morsecom og saring klikker paring en nyhedsartikel (de nyeste 3 vises nederst i venstre hjoslashr-ne) saring ser man et Twitterfeed til venstre
Hvis man saring klikker paring cookie-ikonet garingr ind i cookie-kategori 4 og deacuter afslaringr sam-tykke ved at trykke rsquoopt-outrsquo og trykker ok--gt twittercom cookie guest_id is already set
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenTwitterfeedetbliver nu restattet af et simpelt rdquoFollowusrdquo link--gt Ingen twittercom cookie
Eksempel paring styring af Addthiscom cookiesHvis du garingr tilbage til httpwwwsitemorsecom og der trykker paring en nyhedsartikel (de nederste 3 til hoslashjre paring siden) saring vil man se Twitterfeedrsquoet til venstre og AddThis ikoner under artiklen
Aringben nu cookie-panelet og afslaring samtykke til kategori 5 cookies ved at trykke paring rsquoopt-outrsquo knappen Tryk herefter paring OK--gt addthiscom cookie er allerede sat
Garing nu ind og slet denne cookie i din browser (aringben indstillinger etc)
Genindlaeligs sidenAddThisfeedrsquoet vil se ens ud men nu er indstillingen af AddThis aeligndret til ikke at saeligtte cookies --gt Der saeligttes ikke nogen addthiscom cookie
HvordanDette blev gjort via JavaScript
Hvad vi demonstreredeNaringr en bruger har afvist samtykke kan man bruge indstillingen i AddThis til at forhin-dre at der saeligttes cookies
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
Vejledning 41
TEKNISKE DEFINITIONER
IframeEn indlejret ramme der placerer andet HTML-indhold paring en side En Iframe kan vise indholdet fra et andet element og en bruger kan vaeliglge at printe det
LSO ndash Locally Shared Objects eller Flash CookiesData som websites der anvender Adobe Flash kan gemme i en brugers browser LSOrsquoer bruges af alle versioner af Adobe Flash Player
Mobile og faste websitesEt website der er beregnet til at blive set fra en computerskaeligrm kaldes ogsaring for et fast website Modstykket til de faste websites er mobile websites der ofte er subdomaeligner det faste website med det formaringl at goslashre det effektivt at bruge websitet paring en mobil enhed
ParseAt rsquoparsersquo er at analysere syntaksen ien cookie Parsing er paringkraeligvet for at tilfoslashje kode paring en maringde der goslashr det muligt for siden at opfoslashre sig i overensstemmelse med brugerens indstillinger for samtykke
Registrerede domaelignerEt domaelignenavn er en tekststreng der definerer et omraringde paring internettet En virksom-heds liste over registrerede domaeligner vil saringledes vaeligre en liste over alle de domaeligner som virksomheden har koslashbt
Sektor-analyseEn sektor-analyse er en analyse af en sektor eller en gruppe Det kan for eksempel vaeligre en analyse over forekomsten af cookies i en branche
ExitsiderUdtrykket bruges om de sider paring et website som brugerne forlader websitet fra
Landing pageUdtrykket landing pages bruges om de sider paring et website som brugerne kommer ind paring foslashrst Ofte er det forsiden men det kan ogsaring vaeligre sider som optraeligder ofte i soslashgnin-ger eller linkes til fra andre steder
Ultimativ data-ejerDen ultimative data-ejer er den endelige modtager af data fra en given cookie evt ef-ter at den har passeret gennem forskellige datamellemmaelignd Den ultimative data-ejer er typisk den virksomhed der har skrevet cookien
WebtilgaeligngelighedFor at sikre at alle har mulighed for at tilgaring information paring internettet er der lavet en standard der kaldes lsquoWeb Content Accessibility Guidelinesrsquo Standarden kan hentes her httpwwww3orgTRWCAG10full-checklisthtml
Overholder man standarden har man sikret at enhver bruger har mulighed for at tilgaring informationen og at webtjenesten ikke diskriminerer mod nogen funktions- eller san-senedsaeligttelser
WebejendomWebejendom er et udtryk der daeligkker over summen af alle de domaeligner subdomaeligner tjenester mv som en virksomhed eller en person er juridiske ansvarlig for
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-
ErhvervsstyrelsenRegional UdviklingVejlsoslashvej 298600 SilkeborgTlf 35 29 10 00ersterstdkwwwregionaltdk
- Vejledning
- Indholdsfortegnelse
- FORORD
- 1 INDLEDNING
- 2 REGLERNE
-
- Baggrund
- Cookiebekendtgoslashrelsen
-
- Formaringl og afgraelignsning
- Krav om informeret samtykke
- Informationskravet
- Kravet til samtykke
- Undtagelser
-
- 3 SELVREGULERING
- 4 ERHVERVSSTYRELSENS TILSYN MED REGLERNE
- 5 LINKS TIL LOVGIVNING OG DIREKTIVER
- 6 TEKNISK GUIDE
-
- 1 skridt - Fastlaeligggelse af webejendom
- 2 skridt ndash Undersoslashgelse af om der saeligttes cookies
- 3 skridt ndash Afgivelse af fyldestgoslashrende information
- 4 Skridt ndash Fjern uoslashnskede ukendte og unoslashdvendige cookies
- 5 Skridt ndash Indhentning af samtykke
-
- TEKNISKE DEFINITIONER
-