Baggrund og Problem
Der hersker lige nu en uens fortolkning af, hvordan samtykke skal indhentes på internettet, fordi Datatilsynet i modsætning til Erhvervsstyrelsen fortolker de såkaldte ”cookie-regler” (e-Privacy forordningen) i lyset af GDPR. Når to myndigheder ikke har nøjagtig samme fortolkning, og der foreligger to forskellige vejledninger, er det til ulempe for virksomhederne. De har længe ageret i uvished, har bekostet hjemmeside-løsninger, som viser sig at være ulovlige og må nu ændre deres tekniske set up, fordi GDPR har forrang for e-Privacy-forordningen.
I forhold til håndhævelsen fremadrettet betyder det, at Erhvervsstyrelsen skal håndhæve nogle regler, som i høj grad overlapper med GDPR, der henhører under Datatilsynets kompetence.
Anbefaling
Anbefaling
Regelforum anbefaler, at håndhævelsen af e-Privacy forordningen samles hos én myndighed, så det bliver mere enkelt og klart for virksomhederne, hvordan de lever op til e-privacy reglerne uden at risikere at lave tekniske løsninger eller information på nettet, som er i modstrid med GDPR.
Erfaringer fra udlandet
Et umiddelbart tjek på datatilsynene i EUs hjemmesider viser, at en del af dem allerede i dag varetager begge regelsæt.
Potentiale
Stort set alle virksomheder, både offentlige og private har hjemmesider og er derfor berørt af, at der er overlappende myndighedskompetence på området.
Omkostningerne ved at skulle ændre hjemmesider kan formentlig indhentes af firmaet Cookie-Information, som leverer løsninger til mange hjemmesider i DK, alternativt kan Dansk Medier evt. have en beregning, hvis det er relevant.
Relevant regulering
e-Privacy-forordningen samt GDPR, herunder link til de to vejledninger om emnet fra hhv. Datatilsynet og Erhvervsstyrelsen.
Yderligere oplysninger
Datatilsynets principielle afgørelse, har medført en betydelig praksis-ændring for virksomhederne og ført til, at der nu hersker forskellige vejledninger fra forskellige myndigheder om brug af cookies.
Regeringens svar
EU-Kommissionen fremsatte den 10. januar 2017 forslag til en ny e-databeskyttelsesforordning, der skulle erstatte e-databeskyttelsesdirektivet (2002/58/EF). I forbindelse med forhandlingerne vedrørende EU-Kommissionens forordningsforslag skulle der tages stilling til spørgsmålet om, hvilken eller hvilke kompetente myndighed(er), der skulle varetage tilsynet med de kommende regler. EU-Kommissionen har i forbindelse med offentliggørelse af deres arbejdsprogram for 2025 valgt at trække forordningsforslaget på grund af strandede forhandlinger mellem Rådet og Europa-Parlamentet. Der er ingen officielle planer fra Kommissionens side om fremsættelse af opdaterede regler på området.
Regelforum har anbefalet, at håndhævelsen af e-databeskyttelsesdirektivet samles hos én myndighed for at gøre det mere klart for virksomheder at følge reglerne. Tilsynet med e-databeskyttelsesdirektivet har indtil 15. december 2022 ligget hos Erhvervsstyrelsen, men er som følge af en ressortomlægning blevet overført til Digitaliseringsstyrelsen.
Regelforum bemærker dog korrekt i anbefalingens baggrund, at der er snitflader mellem tilsynet med e-databeskyttelsesdirektivet og GDPR, hvorfor Digitaliseringsstyrelsen er i løbende dialog med Datatilsynet for at undgå uens fortolkning af reglerne. Dette har resulteret i en fælles vejledning på cookie-området, som forventes at blive offentliggjort i løbet af 1. halvår 2025.
Ansvaret på tværs af e-databeskyttelsesdirektivet og GDPR er således ikke samlet hos én myndighed, men den fælles vejledning vil sikre, at virksomhederne ikke oplever forskellige fortolkninger fra myndighederne, jf. problemet beskrevet i Regelforums anbefaling.