Alle blogindlæg

ePrivacy-forordningen og brugen af cookies – hvad er værd at vide?

Persondataforordningen (GDPR) og ePrivacy Direktivet (ePR) påvirker hvordan din hjemmeside må bruge cookies til at spore dine besøgende fra EU.

Opdateret 30. januar 2020.

I kølvandet på udrulningen af GDPR, er en anden forordning om personlig privatliv og databeskyttelse nu på vej i EU.

Hvad handler “Forordning om databeskyttelse inden for elektronisk kommunikation” om? Hvordan er den relateret til GDPR, og hvorfor har vi brug for hele to sæt EU-love på området?

Hvad er kravene i den kommende forordning? Hvad vil det betyde for din hjemmesides brug af cookies? – Og hvordan kan du som ejer af en hjemmeside forberede dig på det?

Hvad er ePrivacy-forordningen? I Definition

Forordning om databeskyttelse inden for elektronisk kommunikation’, også kendt som ePrivacy-forordningen eller blot ePR, er et lovforslag på vej i Europa-Kommissionen.

Formålet er at sikre “respekten for privatlivet og beskyttelse af personoplysninger i forbindelse med elektronisk kommunikation” i EU.

Når den engang bliver implementeret, vil den ophæve ePrivacy-direktivet fra 2002.

Mange kender sikkert ePrivacy-direktivet ved dets kælenavn “cookieloven”, som opstod, fordi en af dens mest håndgribelige resultater blev, at internettet flød over med cookie-advarsler og bokse med “ok” til cookies.

Direktiv vs. forordning

Når ePrivacy-direktivet bliver erstattet af en reel forordning, vil den blive automatisk bindende i alle EU-landene.

Det er, i sin essens, forskellen på et direktiv og en forordning: hvor en forordning automatisk er gældende i hele EU fra og med implementeringsdagen, skal direktiver fortolkes på nationalt niveau.

Med et direktiv er hvert land forpligtet til at opnå nogle bestemte resultater, men det står det enkelte land frit for, hvordan man vil nå dertil.

ePrivacy-forordningen bliver dog ikke kun en styrket version af direktivet.

Den foreslåede forordning bygger på en grundig evaluering af direktivet, og adresserer fejl og mangler i direktivet på den ene hånd, og på den anden hånd den digitale og lovgivningsmæssige udvikling (såsom GDPR), der har fundet sted siden den seneste opdatering i 2009.

Tekst: Hvor kan jeg læse ePrivacy-forordningen på dansk?

Det officielle udkast til ePrivacy-forordningen er at finde på EU-Kommissionens hjemmeside.

På deres side for forordningen-i-proces, kan man få adgang til…

  • Seneste udkast af forordningen
  • Evaluering af ePrivacy-direktivet
  • Konsekvensanalyser
  • Oversættelser til dansk og de andre EU-sprog

Hvad er forskellen mellem ePrivacy-forordningen og GDPR, og hvorfor er der to love?

GDPR, den “generelle forordning om databeskyttelse”, har det primære formål at definere og beskytte persondata, uanset om de er digitale eller ej.

ePrivacy-forordningen, på den anden hånd, er specialiseret inden for elektronisk kommunikation, og fokuserer således på enheder og hardware, datahåndteringsteknikker, lagring, browsere, osv.

Når ePrivacy-forordningen træder i kraft, vil den være en såkaldt lex specialis (latinsk for speciallov) til GDPR. Det betyder, at den supplerer og i specifikke tilfælde tilsidesætter GDPR på de områder, der vedrører elektronisk kommunikation.

Hvorfor skal der to sæt EU-love til på databeskyttelsesområdet?

Der skal to lovgivninger til, fordi de hidrører to forskellige rettigheder i EU’s charter om grundlæggende rettigheder:

GDPR dækker retten til beskyttelse af persondata, mens ePrivacy dækker en persons ret til privatliv, inklusive fortrolighed.

Hvad betyder ePrivacy forordningen for min brug af cookies?

Cookies er et afgørende emne, – og et stridsæble – i forhandlingerne vedrørende forordningens endelige ordlyd.

Den foreslåede tekst forsøger at gøre op med den “samtykke-træthed”, der opstod som følge af cookieloven.

Problemet med samtykke-fordringen i ePrivacy-direktivet er, at den i de fleste lande blev implementeret som et krav om et simpelt cookie-banner eller -boks som f.eks. denne:

– Hvilket har vist sig at være højst ineffektivt af flere grunde:

  1. De fleste ved ikke, hvad det er de giver samtykke til, når de trykker ok.
  2. For mange bannere og bokse irriterer og overvælder brugerne, der ender med at ignorere dem eller bare trykke ok for at få dem væk.
  3. Ingen respons tolkes som et passivt samtykke.

Forordningen forsøger derfor at ændre i måden, hvorpå de, der sætter cookier og lignende tracking, skal opnå samtykke fra brugerne.

Evalueringen af ePrivacy-direktivet konkluderer, at den nuværende samtykke-regel både er for omfattende og mangelfuld på én og samme tid:

  • for omfattende, fordi den også rammer ikke-indgribende praksisser, og
  • mangelfuld, fordi den til gengæld ikke dækker tracking-teknikker, der ikke kræver adgang eller lagring i brugerens hardware.

Cookiekrav: Hvordan kan jeg forberede mig på ePrivacy-forordningen?

Som beskrevet ovenfor, er det sidste ord ikke sagt om ePrivacy-forordningens endelige omfang og ordlyd, og hvad det konkret kommer til at betyde for hjemmesideejere, tredjeparter, og deres brug af cookies.

De formulerede krav i det seneste udkast kan dog godt tages som en pegepind.

De, der er bekendte med GDPR, vil bemærke en del overlap. Reglerne i udkastet til ePrivacy-forordningen er nemlig tæt beslægtet med GDPRs krav.

Som nævnt ovenfor, vil ePrivacy-forordningen, når den engang bliver gældende, supplere (og i visse tilfælde tilsidesætte!) GDPR, når det kommer til sager, der er sektorspecifikke for den elektroniske kommunikation.

  • Forudgående samtykke. Samtykke skal opnås inden man sætter cookies udover de, der er strengt nødvendige.
  • Samtykke skal opnås via en frivillig og positiv handling, der ikke kan misforstås. Samtykke til brugen af cookies skal være klar og entydig. Bannere, der udelukkende informerer om brugen af cookies eller tilskynder til at “acceptere cookies”, er ikke længere tilstrækkelige.
  • Klart og forståeligt sprog. Præcis som i GDPR, kræver ePrivacy-forordningen, at information om cookies og hvad samtykket afgives til, skal kommunikeres i et enkelt og letforståeligt sprog.
  • Browser fingerprinting og lignende tracking teknologier bør være omfattet af lovgivningen. Cookiereglerne skal også gælde for browser fingerprinting, en teknik som identificerer brugere baseret på deres browserindstillinger, uden faktisk at sætte en cookie på den pågældende browser.
  • Rene analyse-cookies bør være undtaget fra loven. Som erkendelse af, at de ikke er privatlivskrænkende, foreslår Kommissionen at cookies til ren statistik og analyse af en hjemmesides performance bør undtages fra samtykke-reglen. Forslaget går dog udelukkende på førsteparts-cookies, dvs. de cookies som bliver sat af den pågældende hjemmeside, som brugeren har opsøgt. Det er endnu ikke afklaret, om tredjeparts analyseværktøjer såsom Google Analytics vil drage fordel af denne undtagelse.
  • Nye krav til browsere. Browsere (f.eks. Internet Explorer, Mozilla Firefox, Chrome og Safari) skal indeholde en mekanisme til kontrol af cookies, og brugere skal tage stilling til cookies som en del af installeringen. I teorien vil disse indstillinger kunne gælde som samtykke til visse typer af cookies, selv om det er usandsynligt, at lovgivningen vil acceptere disse indstillinger som værende tilstrækkelige.

Status: Hvor langt er ePrivacy-forordningen, og hvornår vil den træde i kraft?

ePrivacy-forordningen skulle oprindelig være blevet godkendt samtidig med implementeringen af GDPR, den 25. maj 2018.

Det viste sig hurtigt at være for ambitiøst.

Sidste melding er, at udarbejdelsen af forordningen vil blive afsluttet i løbet af 2019. Derefter vil der følge en tilpasningsperiode, inden forordningen træder i kraft som et stykke gældende EU-lovgivning.

– Præcis som GDPR, som blev godkendt den 14. april 2016, og trådte i kraft to år senere, den 25. maj 2018.

Tager man udgangspunkt i processen omkring GDPR, kan man formode, at ePrivacy-forordningen vil gælde fra 2021.

Det tegner dog til, at ePrivacy-forordningen bliver endnu mere omfattende og restriktive end GDPR når det kommer til at forebygge overvågning og beskytte persondata på internettet.

Derfor bliver den mødt af stærk modstand og lobbyisme, og bliver beskyldt for at lamme internetøkonomien og hele sektorer, der er afhængige af det økosystem, der er bygget op omkring marketing cookies o.l., såsom tech-virksomheder og digitale medier.

Det kan meget vel betyde komplikationer og udsættelser, så tiden må vise, hvornår (og om) ePrivacy-forordningen bliver til virkelighed.

Så langt er to versioner blevet offentliggjort: Europa-Kommissionens udkast og Europa-Parlamentets udkast.

Nationale regeringer i alle 28 EU-lande (inklusive Storbritannien) har haft mulighed for at afgive respons på den foreslåede forordning.

I skrivende stund bliver den drøftet i såkaldte trepartsmøder mellem EU-Kommissionen, EU-Parlamentet og Det Europæiske Råd, hvilket skal munde ud i en endelig version, som bliver den officielle.

Tidslinje for processen

2020: Implementering

ePrivacy-forordningen vil blive bearbejdet af både det kroatiske EU-formandskab i det første halve år af 2020 og det tyske formandskab i sidste halvdel af 2020.

Det er forventet at ePrivacy-forordningen vil blive implementeret i 2020.

2018 og 2019: Tredjepartsforhandlinger mellem Kommissionen, Parlamentet og Rådet

Med EU-Parlamentets vedtagelse af udkastet, gives mandat til det næste skridt i proceduren – EU-Parlamentets forhandlinger med Det Europæiske Råd.

Trepartsforhandlingerne mellem Kommissionen, Parlamentet og Rådet er sat til at blive afsluttet i løbet af året 2018.

19. oktober 2017: Vedtagelse af udkastet i EU-Parlamentet

Efter lange forhandlinger, stemmer LIBE komitéen, ansvarlig for ePrivacy-forordningen i EU-Parlamentet, for udkastet. Til online industriens store overraskelse, bliver den en uge senere så godt som uforandret vedtaget af EU-Parlamentet. Samtidig pågår drøftelser af udkastet i en arbejdsgruppe i Det Europæiske Råd. Medlemsstater inviteres til at afgive deres synspunkter inden den 14. august 2017.

10. januar 2017: Præsentation af EU-Kommissionens første udkast

EU-Kommissionen præsenterer det første udkast. Den foreslåede forordning skal erstatte ePrivacy-direktivet (Directive 2009/136/EC), og supplere GDPR på området for personlig elektronisk kommunikation. Udkastet sendes til behandling i EU-Parlamentet og Det Europæiske Råd.

Kilder

European Commission: Proposal for a Regulation on Privacy and Electronic Communications

Computerworld: Efterfølgeren til GDPR på vej eprivacy kan koste europaeiske virksomheder billioner af kroner

Nice infographic illustrating the Trialogue Negotiations of the ePrivacy Regulation

ePrivacy.eu: Timeline info

i-SCOOP: The new EU ePrivacy Regulation: what you need to know

Digiday.com: On the consequences of the ePrivacy Regulation for advertisers, websites, browsers, etc.

Privacytrust.com: Simple explanation of the difference between GDPR and ePrivacy

Martechtoday: On the differences between the GDPR and the ePr

Marketingweek: About ePrivacy

Medium.com: Good article about consent

Publishers’ joint campaign against the ePrivacy Regulation

    Hold dig informeret

    Bliv en del af vores voksende community af databesky­ttelses­entusiaster nu. Tilmeld dig Cookiebot™-nyhedsbrevet for at få alle de seneste opdateringer direkte i din indbakke.

    Ved at klikke på "Abonner" bekræfter jeg, at jeg ønsker at abonnere på Cookiebot™-nyhedsbrevet. Jeg kan nemt opsige mit abonnement på Cookiebot™-nyhedsbrevet og tilbagekalde mit samtykke til at bruge mine data ved at klikke på afmeldingslinket. Alternativt kan jeg skrive til [email protected] for at fremsætte anmodningen. Privatlivspolitik.