Cookies – hvilke regler gælder?

Dato: 06-03-2019

Når det kommer til cookies og personoplysninger, er både den nye databeskyttelsesforordning og et ældre direktiv i spil. Der arbejdes på europæisk plan på at afklare samspillet mellem de to regelsæt, indtil der kommer nye regler.

Datatilsynet modtager løbende henvendelser fra såvel borgere som private virksomheder om databeskyttelsesforordningens betydning for indsamling af personoplysninger ved hjælp af cookies.

Hvilken lovgivning er i spil?

Karakteristisk for cookies og lignende teknologier er, at der lagres information på brugernes udstyr. Denne privatsfære er beskyttet af et særligt regelsæt, der udspringer af EU-direktiv 2002/58/EF, som i Danmark bl.a. er implementeret i telelovgivningen, herunder cookiebekendtgørelsen, og det er ikke Datatilsynet, men Erhvervsstyrelsen der påser, at telelovgivningen bliver overholdt.

Der findes således særlige regler, når en virksomhed, offentlig myndighed e.l. ønsker at placere cookies på brugerens udstyr og tilgå informationen i disse cookies. Hvis denne information udgør personoplysninger om den pågældende bruger, finder de generelle regler i databeskyttelsesforordningens – alt efter omstændighederne – også anvendelse.

Ny forordning på vej

I forbindelse med vedtagelsen af den nye databeskyttelsesforordning var det ønsket fra EU’s side, at e-Databeskyttelsesdirektivet (2002/58/EF) – også kendt som ePrivacy-direktivet – også blev revideret og erstattet med en forordning med henblik på at sikre en ensartethed i disse to regelsæt.

Det blev dog ikke tilfældet, og databeskyttelsesforordningen blev vedtaget og finder nu anvendelse i sin helhed. I 2017 fremsatte EU-Kommissionen imidlertid også et forslag til en ny e-Databeskyttelsesforordning, der skal erstattet direktivet fra 2002, og disse forhandlinger er stadig i gang.

Det betyder dog også, at det eksisterende e-Databeskyttelsesdirektiv fortsat er i kraft og er implementeret i de enkelte medlemsstater.

Hvad så nu?

Datatilsynet er i fuld gang med – sammen med de øvrige europæiske tilsynsmyndigheder – at afklare samspillet mellem den nye databeskyttelsesforordning og det eksisterende e-Databeskyttelsesdirektiv (og de nationale regler, der implementerer direktivet).

Beskyttelse af borgernes personoplysninger er en kerneopgave for Datatilsynet, og arbejdet med at afklare samspillet mellem reglerne på dette område er højt prioriteret i tilsynet. Så snart det er muligt, vil Datatilsynet komme med vejledning om overholdelsen af reglerne i databeskyttelsesforordningen i lyset af de særlige regler om e-databeskyttelse.

Datatilsynet forventer, at der kommer en nærmere afklaring på området i løbet af første halvdel af 2019.

Mere information

Har du spørgsmål til ovenstående, er du velkommen til at kontakte Datatilsynet på 33 19 32 00.

Journalister kan kontakte Datatilsynets presseansvarlige Anders Due (ad@datatilsynet.dk / tlf. 40 41 30 23).

NB: Nye retningslinjer på området

Siden denne nyhed blev offentliggjort, har Datatilsynet offentliggjort nye retningslinjer om behandling af personoplysninger om hjemmesidebesøgende.