Forside | | Indhold | | Bund | | <<Forrige | | Næste >> |

7. Hvilke regler regulerer området

Teknologien på området for behavioral targeting er indviklet, og lovgivningen på området er ikke klar, da der fx er usikkerhed om, hvornår og hvordan brugere skal informeres og gives mulighed for at afvise cookies. Dette afsnit vil derfor overordnet kortlægge de mest relevante regler på området.

Der findes ikke i dag i dansk lovgivning en særlig regel, der omhandler brugen af cookies. Det såkaldte e-databeskyttelsesdirektiv[36] indeholder i art. 5, stk. 3, en bestemmelse, der regulerer anvendelsen af cookies. I forbindelse med implementeringen af bestemmelsen i dansk ret forudsattes dansk lovgivning allerede at være i overensstemmelse med bestemmelsen.

Den relevante EU-regulering på området er for nylig blevet revideret, og det er derfor relevant at belyse de ændrede regler og deres betydning for anvendelsen af blandt andet behavioral targeting og cookies fremover.

7.1. EU-lovgivningen

De relevante EU-regler for behandlingen af cookies findes blandt andet i e-databeskyttelsesdirektivet.

Formålet med dette direktiv er at beskytte den enkelte forbruger mod krænkelse af privatlivet[37]. Krænkelser kan fx ske ved, at andre benytter anordninger, hvorved der lægges oplysninger på brugerens enhed og/eller skaffer sig adgang til lagrede oplysninger med henblik på fx at overvåge brugerens aktiviteter på internettet. Et eksempel på en sådan ulovlig anordning er spyware.

Lignende anordninger kan imidlertid også have helt legitime formål der fx sikrer funktionaliteten af en hjemmeside, fx ved at bruge af cookies. Cookies kan have en legitim og ønskværdig anvendelse på en hjemmeside, der falder uden for formålet med forbrugerbeskyttelse, som er central for e-databeskyttelsesdirektivet.

I e-databeskyttelsesdirektivet, er det art. 5, stk. 3, som især angår brugen af cookies.

Ud over e-databeskyttelsesdirektivet finder databeskyttelsesdirektivet[38] anvendelse for forhold, som ikke er specifikt behandlet i e-databeskyttelsesdirektivet.

I nedenstående gennemgang af hvilke regler der regulerer området for behavioral targeting, henvises der flere steder til den såkaldte artikel 29-Gruppe.

Art. 29-Gruppen er nedsat i henhold til artikel 29 i henhold til databeskyttelsesdirektivet. Det fremgår således af denne bestemmelse, at der nedsættes en gruppe vedrørende beskyttelse af personer i forbindelse med behandlingen af personoplysninger.

Gruppen er et uafhængigt rådgivende organ vedrørende databeskyttelse og beskyttelse af privatlivets fred. Dens opgaver er beskrevet nærmere i art. 30 i databeskyttelsesdirektivet og art. 15 i e-databeskyttelsesdirektivet.

Art. 29-Gruppens udtalelser er et vigtigt fortolkningsbidrag i forhold til forståelsen af e-databeskyttelsesdirektivet og databeskyttelsesdirektivet.

I relation til fortolkningen af reglerne vedrørende behavioral targeting har art. 29-Gruppen den 22. juni 2010 vedtaget en udtalelse om adfærdsbaseret annoncering på nettet.[39] Udtalelsen vedrører og henviser til det ændrede e-databeskyttelses direktiv 2002/58, som skal implementeres i medlemsstaterne inden maj 2011. Medmindre andet er nævnt specifikt, er nedenstående henvisninger til art. 29-Gruppens udtalelse en henvisning til den pågældende udtalelse af 22. juni 2010.

7.2. Gældende ret vedrørende e-databeskyttelsesdirektivet

De gældende regler for behandlingen af cookies findes som nævnt i e-data-beskyttelsesdirektivet.

Den 13. november 2007 vedtog Kommissionen som en del af teledirektivpakken et forslag til direktiv[40] om ændring af blandt andet art. 5, stk. 3, i e-databeskyttelsesdirektivet.

Det ændrede direktiv skal gennemføres i medlemsstaterne inden maj 2011.

I dette afsnit beskrives anvendelsesområdet for den gældende art. 5, stk. 3, i e-databeskyttelsesdirektivet, dvs. de regler, der finder anvendelse, indtil medlemsstaterne har implementeret det ændrede e-databeskyttelsesdirektiv i maj 2011.

Efter den gældende bestemmelse er det som udgangspunkt kun tilladt at lagre oplysninger og få adgang til lagrede oplysninger i en brugers enhed, herunder at anvende cookies, såfremt forbrugeren får klare og fyldestgørende oplysninger, blandt andet om formålet med behandlingen er i overensstemmelse med databeskyttelsesdirektivet og om retten til at nægte den registeransvarlige en sådan behandling. Forbrugeren skal altså tydeligt informeres om hvornår og hvorfor, der lagres cookies på forbrugerens enhed til brug i forbindelse med behavioral targeting, samt at forbrugeren kan nægte, at der placeres en cookie på enheden. Disse oplysninger kan ofte findes i generelle vilkår og betingelser på den enkelte hjemmeside.

Det angives videre i direktivet, at midlerne til at give oplysninger eller give ret til at nægte eller anmode om samtykke bør være så brugervenlige som muligt.[41]

Direktivets udgangspunkt om at forbrugeren skal have klar og fyldestgørende oplysninger kan fraviges i to situationer. Det fremgår af direktivets art. 5, stk. 3, 2. led, at retten til oplysninger om de cookies, der gemmes på enheden og til at nægte, at der gemmes cookies på enheden som betingelse for at gemme en cookie ikke er til hinder for teknisk lagring eller adgang til oplysninger, hvis:

  1. det alene sker med det formål at overføre eller lette overføring af kommunikation via et elektronisk kommunikationsnet – det angår typisk oprettelse af internetforbindelse, eller
  2. det er absolut påkrævet for at levere en informationssamfundstjeneste, som abonnenten eller forbrugeren udtrykkeligt ønsker.

Forbrugerne behøver dermed ikke oplysninger om lagrede cookies på enheden, hvis de udelukkende har funktionelle egenskaber.

7.3. Det reviderede e-databeskyttelsesdirektiv

Som nævnt ovenfor vedtog Kommissionen den 13. november 2007 som en del af teledirektivpakken et forslag til direktiv om ændring af blandt andet art. 5, stk. 3, i e-databeskyttelsesdirektivet,[42] som skal gennemføres i medlemsstaterne inden maj 2011.

I Danmark er det IT- og Telestyrelsen, der er ansvarlig for implementeringen af det reviderede e-databeskyttelsesdirektiv. IT- og Telestyrelsen er p.t. i gang med at udforme en ny bekendtgørelse på området, der skal træde i kraft den 1. maj 2011. Bekendtgørelsen er en del af implementeringen af art. 5, stk. 3, i e-databeskyttelsesdirektivet. IT- og Telestyrelsen har i den forbindelse den 8. december 2010 afholdt en workshop om de praktiske udfordringer vedrørende det nye krav om samtykke til lagring af og adgang til oplysninger på en forbrugers enhed, jf. nærmere om samtykkekravet nedenfor. Dette omfatter blandt andet brugen af cookies.

I relation til håndhævelse af den reviderede art. 5, stk. 3, forventes det at blive IT- og Telestyrelsen, der bliver tilsynsmyndighed på området.

Det reviderede direktiv er en skærpelse af reglerne i forhold til i dag, i det der nu stilles et krav om informeret samtykke fra brugerens side til lagring og indhentning af oplysninger fra en brugers enhed. Den konkrete udmøntning af kravet om samtykke – og dermed konsekvenserne for forbrugerne – af det reviderede direktiv kendes endnu ikke.

I henhold til den reviderede art. 5, stk. 3, kan en reklameudbyder, der ønsker at lagre eller få adgang til oplysninger, som er lagret på forbrugerens enhed, gøre det, hvis:

  1. forbrugeren har modtaget klare og fyldestgørende oplysninger i overensstemmelse med databeskyttelsesdirektivet, blandt andet om formålet med behandlingen, og
  2. den pågældende har indhentet brugerens samtykke til lagring eller anvendelse af oplysninger på vedkommendes terminaludstyr efter at have modtaget de oplysninger, der er omhandlet under 1).

Fra maj 2011 skal forbrugeren således, i forbindelse med at der gemmes en cookie på enheden, som ikke kun har funktionelle egenskaber, acceptere dette (samtykke), efter at forbrugeren er blevet tydeligt informeret om formålet med, at der gemmes en cookie på enheden.

Ret for forbrugeren til at modtage klare og fyldestgørende oplysninger om cookies

Efter bestemmelsens ændrede ordlyd har forbrugeren fortsat en ret til i overensstemmelse med databeskyttelsesdirektivet at modtage klare og fyldestgørende oplysninger, blandt andet om formålet med den gemte cookie. Det fremgår videre af den ændrede ordlyd, at det er en forudsætning for forbrugerens samtykke, at forbrugeren forinden har fået de krævede oplysninger.

Det fremgår af bestemmelsen, at oplysningerne skal leveres i overensstemmelse med databeskyttelsesdirektivet. Art. 10 i dette direktiv omhandler leveringen af denne information. Der kræves navnlig oplysninger om, hvem der placerer cookien på enheden (den registeransvarliges identitet), formålet med behandlingen, modtagerne eller kategorierne af modtagerne og eksistensen af retten til at få indsigt, for så vidt yderligere oplysninger der er nødvendige for at sikre en rimelig behandling.

Det fremgår af e-databeskyttelsesdirektivet,[43] at oplysninger om formål og ret til at nægte, at der gemmes cookies på enheden, kan tilbydes én gang med hensyn til anvendelsen af de forskellige anordninger på forbrugerens enhed under den samme forbindelse og også kan omfatte senere anvendelse af de samme anordninger under senere forbindelser.

Det fremgår af præamblen til direktiv 2009/136/EF om ændring af blandt andet e-databeskyttelsesdirektivet, at ”det kan forekomme, at tredjeparter ønsker at lagre oplysninger på en brugers udstyr eller at få adgang til allerede lagrede oplysninger til en række formål lige fra legitime formål (såsom visse typer cookies) til formål, der indebærer uberettiget krænkelse af privatsfæren (såsom spyware eller virus). Det er derfor af allerstørste betydning, at brugere får klare og fyldestgørende oplysninger, når de foretager sig noget, der kunne medføre en sådan lagring eller adgang fra tredjeparts side.

Midlerne til at give oplysninger og give ret til at nægte lagring eller adgang bør gøres så brugervenlige som muligt”.[44]

Art. 29-Gruppen anfører i deres udtalelse, at princippet om brugervenlighed overholdes mest effektivt ved at angive minimumsinformationerne direkte på skærmen på en interaktiv, synlig og let forståelig måde. Det er vigtigt, at informationerne er let tilgængelige og meget synlige. Informationerne må derfor ikke være skjult i generelle vilkår og betingelser.

I relation til levering af ovenstående informationer er det relevant at belyse, om det er reklameudbyderen eller websiden, der er ansvarlig for at levere informationerne. Ifølge art. 29-Gruppen bør resultatet være, at den registrerede modtager lettilgængelig og meget synlig information, og i den forbindelse er samarbejdet mellem både reklameudbyderen og websiden afgørende.

Art. 29-Gruppen udtaler videre, at i sidste ende ligger forpligtelsen til at levere de nødvendige informationer om til at indhente den registreredes samtykke hos den, der sender og læser cookien. Dette vil oftest være reklameudbyderen. Men i tilfælde af at websiden overfører direkte personligt identificerbare oplysninger til reklameudbydere, er websiden også underlagt forpligtelsen til at levere informationer til de registrerede om behandlingen.

Ifølge art. 29-Gruppen deler websiden således et vist ansvar med reklameudbyderne. Ansvaret omfatter konkret den indledende behandling af data, dvs. den overførsel af IP-adressen til reklameudbydere, som finder sted, når bruger besøger deres websteder og omdirigeres til reklameudbyderens hjemmeside.

Dette medfører, at websiderne har et vist ansvar over for de registrerede brugere efter databeskyttelsesdirektivet. Art. 29-Gruppen finder navnlig, at websiderne er forpligtet til at informere den registrerede bruger om den databehandling, der finder sted som resultatet af omdirigeringen af deres browser og også om de formål, som oplysningerne senere bruges til af reklameudbydere.

Det er ikke hensigten, at forbrugeren skal modtage informationerne to gange – første gang af reklameudbyderen og anden gang af websiden. Art. 29-Gruppen anfører derfor, at der er behov for samarbejde mellem de to parter, så de indbyrdes kan afgøre, hvem der skal levere informationerne, og hvordan dette skal gøres.

Krav om samtykke

Kravet om samtykke fra forbrugeren er nyt og følger direkte af den reviderede art. 5, stk. 3, 1. led, der som nævnt er gældende fra maj 2011. Udover at samtykket er betinget af, at retten til oplysninger er iagttaget af forbrugeren, er det hverken i art. 5, stk. 3’s ordlyd eller i præamblen til direktivet angivet, hvilke kriterier der skal være opfyldt. for at der foreligger lovformeligt samtykke. Dog nævnes det i præamblen, at ”[h]vor det er teknisk muligt og effektivt, i overensstemmelse med de relevante bestemmelser i direktiv 95/46/EF, kan brugerens villighed til at acceptere databehandling udtrykkes gennem anvendelsen af passende browserindstillinger eller andre applikationer”.[45]

Samtykke gennem browserindstillinger

Som nævnt oven for fremgår det af præamblen, at samtykket kan gives ved en browserindstilling. Dette er dog ikke et retligt bindende krav i selve bestemmelsen. Muligheden for at give samtykke ved en browserindstilling er efter præamblen imidlertid betinget af overensstemmelse med relevante bestemmelser i databeskyttelsesdirektivet.

Art. 29-Gruppen har udtalt, at indstillinger i de aktuelt tilgængelige browsere og fravalgsmekanismer kun udgør et samtykke under meget begrænsede omstændigheder, blandt andet fordi en (registreret) forbruger ikke kan anses for at have givet samtykke, blot fordi vedkommende har anskaffet eller anvendt en browser, der som standard muliggør indsamling og behandling af deres oplysninger. Den almindelige forbruger ved dertil ikke altid, hvordan browserindstillingerne anvendes til at afvise cookies, som det fremgår af forbrugerpanelundersøgelsen, jf. afsnit 5.

Samtykke gennem browserindstillinger synes dermed kun at være gældende, hvis internetbrowserne som udgangspunkt er indstillet til at afvise tredjepartscookies ifølge art. 29-Gruppens udtalelser.

Derudover anfører art. 29-Gruppen blandt andet, at samtykke via browserindstillinger til at modtage cookies generelt forudsætter, at forbrugeren accepterer fremtidig behandling (indsamling af oplysninger) – muligvis uden kendskab til formålene med eller anvendelserne af cookien. Generelt samtykke til fremtidig behandling uden kendskab til de konkrete omstændigheder i forbindelse med behandlingen kan ikke være gyldigt samtykke.

I udtalelsen anmodes reklameudbydere om at udvikle metoder til forudgående tilvalg (opt-in metode), som kræver en bekræftende handling fra de registrerede forbrugere, hvor de angiver, at de accepterer modtagelsen af cookies eller lignende anordninger og overvågning af deres onlineadfærd, så de efterfølgende kan modtage målrettet annoncering.

Det vurderes i udtalelsen, at forbrugerens enkeltstående accept af modtagelsen af en cookie også kan omfatte deres accept af efterfølgende læsninger af de pågældende cookies og dermed af overvågningen af deres adfærd på internettet. For at opfylde kravene i art. 5, stk. 3, skal der således ikke anmodes om samtykke ved hver læsning af cookien. I praksis betyder det, at forbrugeren kun skal give samtykket den første gang, hjemmesiden besøges. Der lægges dog op til, at samtykkes skal fornys med et vist tidsinterval fx hver 3. tredje måned.

For at sikre at de registrerede forbrugere er opmærksomme på den forsatte overvågningen af deres adfærd på internettet, skal reklameudbyderne dog:

  1. begrænse omfanget af samtykke med hensyn til varighed
  2. give forbrugeren mulighed for nemt at tilbagekalde samtykket
  3. udvikle synlige værktøjer, der vises de steder, hvor overvågningen finder sted.

Art. 29-Gruppen mener, at denne tilgang vil imødegå den problemstilling, at forbrugerne overbelastes med adskillige meddelelser og samtidig sikrer, at lagringen af cookies og den efterfølgende overvågning af adfærden på internettet med henblik på visning af adfærdsbaserede reklamer kun finder sted med de registreredes informerede samtykke.

Samtykke og valg af fravalgsindstillinger (opt-out metoder)

Ifølge art. 29-Gruppen tilbyder reklameudbydere i stigende grad fravalgsmekanismer, som sætter forbrugeren i stand til at fravælge modtagelsen af målrettet annoncering. Som nævnt tilbyder flere annoncenetværk mulighed for at fravælg målrettede reklamer fra annoncenetværket.

Hvis en forbruger ønsker at anvende en fravalgsindstilling, skal forbrugeren gå til reklameudbyderens hjemmeside og over for reklameudbyderen angive, at vedkommende ønsker at fravælge, at der indsamles oplysninger om forbrugeren med henblik på visning af målrettede reklamer.

Konkurrence- og Forbrugerstyrelsens forbrugerpanelundersøgelse viser, (jf. nærmere herom i afsnit 5), at brugere generelt mangler grundlæggende kendskab til indsamlingen af oplysninger via cookies. Fravalgsmekanismen på reklameudbyderens hjemmeside vil dermed (i langt de fleste tilfælde) ikke være tilstrækkelig til at indhente et informeret samtykke fra den almindelige forbruger.

Art. 29-Gruppen har da også udtalt, at cookiebaserede fravalgsmekanismer ikke giver de gennemsnitlige brugere et effektivt redskab til at give deres samtykke til at modtage adfærdsbaseret annoncering. I den henseende opfylder fravalgsmekanismerne ikke kravet til samtykke i art. 5, stk. 3.

Mekanismer til forudgående samtykke(opt-in metode)

Der findes i dag metoder til forudgående samtykke, der kræver en bekræftende handling fra den registrerede forbrugers side som samtykke til, at en cookie sendes til den registrerede forbruger. En opt-in metode som beskrevet i afsnit 6.1.

Ifølge art. 29-Gruppen er en sådan metode til forudgående samtykke bedre i overensstemmelse med samtykkekravet i art. 5, stk. 3.

Art. 29-Gruppen mener dog, at et sådant samtykke bør begrænses til en bestemt periode, hvorefter reklameudbyderen skal hente et nyt samtykke. Dette kunne fx sikres ved, at cookien har en begrænset levetid uden mulighed for at forlænge udløbsdatoen. Det sikrer, at forbrugeren ikke ”glemmer” sit samtykke, hvis denne har ombestemt sig.

Dernæst peger art. 29-Gruppen på, at det altid skal være muligt for en registreret forbruger at tilbagekalde et samtykke. Den registrerede bruger skal derfor tilbydes mulighed for nemt at tilbagekalde et samtykke, og i den henseende er klar information til forbrugeren herom af afgørende betydning.

Modifikationer til retten til samtykke, til oplysninger og til retten til at nægte

Den ændrede art. 5, stk. 3, indeholder som i dag to situationer, hvor forbrugerens rettigheder i bestemmelsen ikke skal iagttages. Forbrugerens ret til samtykke, til oplysninger og retten til at nægte vil efter bestemmelsen ikke være til hinder for:

  1. teknisk lagring eller adgang til oplysninger, hvis det alene sker med det formål at overføre kommunikation via et elektronisk kommunikationsnet, eller
  2. det er absolut påkrævet for at sætte udbyderen af informationssamfundstjenesten, som abonnenten eller forbrugeren udtrykkeligt har anmodet om, i stand til at levere denne tjeneste.

Reklamebranchen er uenig med art. 29-Gruppens holdning til samtykkekravet

Reklamebranchen i Europa, som er forenet i regi af IAB Europe, står i en udtalelse sammen i kritikken af Artikel 29-Gruppens fortolkning af det nye krav om informeret brugersamtykke i adfærdsbaseret annoncering på internettet.[46]

I udtalelsen anfægter IAB art. 29-Gruppens holdning, hvorefter al information, som gemmes i cookies, skal betragtes som personlig data, og derfor kun må gemmes efter udtrykkeligt forudgående samtykke.

IAB mener, at dette er en meget streng fortolkning af e-databeskyttelsesdirektivet, og at denne fortolkning blandt andet kan medføre, at internettet i Europa vil blive mindre attraktivt for brugerne, og at det dermed kan skade den digitale økonomi.

EU-Kommissær Nellie Kroes ønsker selvregulering fra industrien

EU-kommissær Nellie Kroes, der er ansvarlig for EU’s digitale dagsorden, gav i en tale den 17. september 2010 det første fingerpeg fra Kommissionen om implementeringen af art. 5, stk. 3, i medlemsstaterne.

Kommissæren påpegede i sin tale, at industrien via selvregulering skal leve op til de rammer, som fremgår af bestemmelsen. I relation til den praktiske implementering af den reviderede art. 5, stk. 3, i e-databeskyttelsesdirektivet nævner kommissæren selvregulering som en mulig løsning, forudsat at der er tale om selvregulering, som klart baseres på den gældende EU-lovgivning.

For at selvregulering skal fungere, skal det ifølge kommissæren indeholde fire elementer:

  1. Gennemsigtighed, hvilket indebærer, at forbrugeren skal gives klar og tydelig information om den målrettede aktivitet, der finder sted.
  2. Bekræftende samtykke fra forbrugeren om, at vedkommende accepterer at blive målrettet den pågældende aktivitet.
  3. Brugervenlig løsning baseret på browserindstillinger. Løsninger, der kan have en negativ virkning på brugerens oplevelse af internettet bør undgås. Det vil fx sige, at man bør undgå brugen af pop-up vinduer mv., mens det på den anden side heller ikke er tilstrækkeligt at informere brugerne via den erhvervsdrivendes privatlivspolitik.
  4. Effektiv håndhævelse på området. Det vil sige simple klageveje og effektive sanktioner.

Det fremgår videre af kommissærens tale, at det er Kommissionens intention, at disse principper vil indgå i en vejledning til medlemsstaterne med henblik på implementering af bestemmelsen.

7.4. Databeskyttelsesdirektivet

Hvis de oplysninger, der indsamles, efter at oplysninger er gemt eller hentet via en cookie eller lignende anordning, kan betragtes som personoplysninger[47], finder databeskyttelsesdirektivet anvendelse ved siden af art. 5, stk. 3, i e-databeskyttelsesdirektivet.

Det vil sige, at ud over art. 5, stk. 3, skal den registeransvarlige sikre overholdelsen af alle forpligtelser i medfør af databeskyttelsesdirektivet, som ikke overlapper art. 5, stk. 3.

Art. 29-Gruppen har i deres udtalelse anført, at adfærdsbaseret annoncering ofte medfører behandling af personoplysninger, som er defineret i art. 2 i databeskyttelsesdirektivet.[48]

Forpligtelser vedrørende særlige kategorier af oplysninger

Den registeransvarlige har efter databeskyttelsesdirektivet en særlig forpligtelse vedrørende særlige kategorier af oplysninger.

Oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og oplysninger om helbredsforhold og seksuelle forhold betragtes efter art. 8 i databeskyttelsesdirektivet som følsomme.

Art. 29-Gruppen har udtalt, at der er alvorlig risiko for krænkelse af personers personoplysninger, hvis oplysninger af denne type bruges med henblik på visning af adfærdsbaseret annoncering.

Hvis en reklameudbyder ønsker at behandle individuel adfærd med henblik på at placere en given person med fx særlige helbredsforhold i en interessekategori, ville reklameudbyderen behandle personfølsomme oplysninger efter databeskyttelsesdirektivets art. 8.

Efter denne bestemmelse forbydes behandlingen af følsomme oplysninger, medmindre visse specifikke omstændigheder foreligger. Databehandlingen kan således kun ske på et retligt grundlag ved eksplicit, separat og forudgående samtykke. Det betyder blandt andet at et sådant samtykke ikke kan indhentes via browserindstillingerne.

Såfremt en reklameudbyder lovligt skal indsamle og behandle sådanne personfølsomme oplysninger, skal udbyderne konfigurere mekanismer til indhentning af eksplicit og forudgående samtykke, som er separat fra det samtykke, der indhentes til behandling generelt.

Principper vedrørende oplysningernes pålidelighed

Databeskyttelsesdirektivet indeholder i art. 6 nogle principper, som den registeransvarlige skal overholde.

For det første gælder der et princip om formålsbegrænsning. Efter dette princip forbydes behandling af personoplysninger, som ikke er forenelige med de formål, der begrundede den oprindelige indsamling. Oplysningerne om forbrugerne må ikke videregives til andre og bruges til andet formål.

Art. 29-Gruppen har i den forbindelse udtalt, at hvis et annoncenetværk fx udgør en del af en virksomhedsgruppe, som leverer flere tjenester, må annoncenetværket i princippet ikke bruge de oplysninger, der er indsamlet med henblik på adfærdsbaseret annoncering til sådanne andre tjenester – med mindre det kan påvises, at formålene er forenelige.

Såfremt reklameudbyderen alligevel ønsker at bruge de indsamlede oplysninger med henblik på adfærdsbaseret annoncering til andre uforenelige formål, skal udbyderen have yderligere retlig begrundelse for dette, jf. art. 7 i databeskyttelsesdirektivet. Reklameudbyderen skal i så fald underrette de registrerede forbrugere og i de fleste tilfælde indhente deres samtykke.

Dernæst gælder der efter databeskyttelsesdirektivet et princip om opbevaring af data. I henhold til art. 6 i direktivet, skal oplysninger slettes, når de ikke længere er nødvendige til det formål, de oprindeligt blev indsamlet til.

Det vil fx betyde, at oplysningerne om en forbrugers adfærd på internettet skal slettes, hvis de ikke længere er nødvendige for opbygningen af en profil.

Art. 29-Gruppen opfordrer på den baggrund i deres udtalelse til, at reklameudbydere gennemfører foranstaltninger med henblik på at sikre, at oplysninger, der indsamles ved læsning af en cookie, straks slettes eller anonymiseres, når det ikke længere er nødvendigt at lagre dem.

Det fremgår videre af udtalelsen, at såfremt en forbruger anmoder om at få slettet sin profil eller trækker sit samtykke tilbage, skal reklameudbyderen omgående slette den registrerede forbrugers oplysninger, idet reklameudbyderen ikke længere har det nødvendige retlige grundlag – nemlig samtykket – som tillader behandlingen.

Den registrerede forbrugers rettigheder

Det fremgår af art. 12 og 14 i databeskyttelsesdirektivet, at den registeransvarlige skal give personer, der er berørt af behandlingen, mulighed for at udøve deres ret til registerindsigt, sletning og indsigelse.

Andre forpligtelser

Det fremgår af art. 17 i databeskyttelsesdirektivet, at den registeransvarlige skal iværksætte tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger med hændelig eller ulovlig tilintetgørelse, ubeføjet udbredelse og andre former for ikke autoriseret behandling.

Derudover skal den registeransvarlige efter art. 18 anmelde behandlingen af personoplysninger til tilsynsmyndigheden[49], medmindre de er fritaget.

7.5. Interaktionen mellem databeskyttelsesdirektivet og e-databeskyttelsesdirektivet

Da både e-databeskyttelsesdirektivet og databeskyttelsesdirektivet finder anvendelse på brugen af cookies, er det relevant at nævne interaktionen mellem de to direktiver.

I den forbindelse fremgår det af præamblen til e-databeskyttelsesdirektivet,[50]at databeskyttelsesdirektivet finder anvendelse på alle forhold vedrørende beskyttelse af grundlæggende rettigheder og frihedsrettigheder, som ikke særligt er omfattet af bestemmelserne i e-databeskyttelsesdirektivet, herunder den registeransvarliges forpligtelser og fysiske persons (forbrugerens) rettigheder.

Med andre ord finder databeskyttelsesdirektivet fuld anvendelse med undtagelse af de bestemmelser, der er specifikt omhandlet i e-databeskyttelsesdirektivet, herunder art. 5, stk. 3, om informeret samtykke.

Databeskyttelsesdirektivets ovenfor beskrevne bestemmelser om principper for oplysningers pålidelighed, de registreredes rettigheder mv. finder således fuld anvendelse.

7.6. Konklusion vedrørende den retlige regulering af området

Reklameudbydere og websider er underlagt e-databekyttelsesdirektivets art. 5, stk. 3. Bestemmelsen er blevet revideret, og efter maj 2011 må cookies og lignende anordninger kun lagres på en brugers enhed, og oplysninger må kun indhentes via sådanne anordninger, såfremt forbrugeren har givet sit samtykke hertil efter i overensstemmelse med databeskyttelsesdirektivet at have modtaget klare og fyldestgørende oplysninger om blandt andet formålet med indsamlingen af oplysninger. Indstillinger i browsere og fravalgsmekanismer kan kun i begrænset omfang udgøre samtykke.

Den reviderede bestemmelse er således en skærpelse af reglerne i forhold til i dag, idet der nu stilles et krav om informeret samtykke fra forbrugerens side til lagring og indhentning af oplysninger fra en forbrugers enhed.

Det fremgår af art. 29-Gruppens udtalelse, at en brugers enkeltstående accept af modtagelsen af en cookie også kan omfatte accept af efterfølgende læsninger af den pågældende cookie og dermed overvågning af brugerens adfærd på internettet. For at opfylde samtykkekravet i den reviderede art. 5, stk. 4, skal der således ikke anmodes om samtykke ved hver læsning af cookien.

For at sikre at de registrerede brugere er opmærksomme på informationsindhentningen, skal reklameudbyderne eller websiderne dog begrænse samtykkes varighed og give forbrugeren mulighed for nemt at tilbagekalde samtykket. Art. 29-Gruppen opfordrer i deres udtalelse de relevante aktører til at udvikle synlige værktøjer, der vises de steder, hvor overvågningen finder sted.

Behavioral targeting er baseret på indsamlet data, som gør det muligt at oprette detaljerede profiler af forbrugerne, som i de fleste tilfælde anses for at være personoplysninger, hvorfor databeskyttelsesdirektivet finder anvendelse. Reklameudbydere og websider skal derfor overholde de forpligtelser, der følger af databeskyttelsesdirektivet.

Reklameudbydere og websider opfordres af art. 29-Gruppen til at dele ansvaret for at give brugerne de relevante oplysninger om formålet med behandlingen af data mv.

En tale fra EU-kommissær Nellie Kroes den 17. september 2010 tyder på, at vejen frem i EU på dette område er selvregulering inden for rammerne af den gældende EU-lovgivning.

I relation til håndhævelse af den reviderede art. 5, stk. 3, vil det Konkurrence- og Forbrugerstyrelsen bekendt blive IT- og Telestyrelsen, der bliver tilsynsmyndighed på området.


[36] Direktiv 2002/58/EF.

[37] Jf. betragtning 24 i direktiv 2002/58/EF og betragtning 66 i direktiv 2009/136/EF.

[38] Direktiv 95/46/EF.

[39] Udtalelse nr. 2/2010 af 22. juni 2010 om adfærdsbaseret annoncering på internettet.

[40] Direktiv 2009/136/EF af 25. november 2009.

[41] Jf. betragtning 25.

[42] Direktiv 2009/136/EF af 25. november 2009.

[43] Jf. betragtning 25.

[44] Jf. betragtning 66 i direktiv 2009/136/EF.

[45] Jf. betragtning 66 i direktiv 2009/136/EF.

[46] Udtalelsen kan findes online: http://www.iabeurope.eu/public-affairs/top-stories/europe%E2%80%99s-data-privacy-regulators%E2%80%99-latest-opinion-on-cookies-is-out-of-step-with-online-businesses-and-their-consumers.aspx.

[47] Efter art. 2, litra a, i databeskyttelsesdirektivet forstås ved personoplysninger enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar person forstås en person, der direkte eller indirekte kan identificeres, blandt andet ved et identifikationsnummer eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet.

[48] Efter art. 2, litra b, i databeskyttelsesdirektivet forstås ved behandling af personoplysninger enhver operation eller række af operationer - med eller uden brug af elektronisk databehandling - som personoplysninger gøres til genstand for, fx indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt blokering, slettelse eller tilintetgørelse.

[49] Det vil sige den myndighed, der er udpeget til at påse overholdelsen af databeskyttelsesdirektivet, i Danmark er det Datatilsynet.

[50] Jf. betragtning 10.

Top |

Denne side er kapitel 7 af 11 til publikationen "Adfærdsbaseret reklame på internettet".
Version nr. 1.0 af 16-02-2011
© Konkurrence- og Forbrugerstyrelsen 2010