Erhvervsstyrelsen: Trafikovervågningssystem ikke omfattet af cookie-reglerne

31 marts 2015

Erhvervsstyrelsen fastslår i en nylig afgørelse, at trafikovervågningssystemet Bliptracks indsamling af MAC-adresser ikke er omfattet af cookie-reglerne.

Efter en konkret vurdering af Blip Systems trafikovervågningssystem Bliptrack er Erhvervsstyrelsen kommet frem til, at systemet ikke er omfattet af cookie-reglerne, da det ikke giver mulighed for at identificere brugeren eller dennes terminalsystem. Det strider således ifølge Erhvervsstyrelsen ikke imod cookie-bekendtgørelsen, når Blip Systems via Bliptrack indsamler MAC-adresser fra blandt andet mobiltelefoner for at kunne lave trafikovervågning.

Sagens omdrejningspunkt har været, at det ifølge cookie-bekendtgørelsen er et krav, at der skal gives information og indhentes samtykke ved lagring eller adgang til oplysninger i slutbrugerens terminaludstyr. Terminaludstyr er blandet andet en mobiltelefon.

Men Bliptrack indhenter ikke tilladelse fra brugerne, når de læser MAC-adresser fra mobiltelefoners wi-fi eller Bluetooth-forbindelser. Det behøver Bliptrack heller ikke, fastslår Erhvervsstyrelsen. I sin afgørelse lægger Erhvervsstyrelsen vægt på, at indsamlede informationer anonymiseres på betryggende vis. Indsamlingen falder således ifølge Erhvervsstyrelsen uden for cookie-reglernes formål om at sikre brugere mod indgriben i deres privatsfære. Begrundelsen er, at cookie-reglerne skal varetage beskyttelsen af borgernes privatliv, og denne privatlivsbeskyttelse er indbygget i selve løsningen.

Erhvervsstyrelsen bemærker, at det ikke er praktisk muligt for Bliptrack at indhente samtykke fra brugerne ved indsamling af MAC-adresser, da Bliptrack ikke har mulighed for at kommunikere direkte med brugerne.

Det klare udgangspunkt i e-databeskyttelsesdirektivet – og i de danske cookie-regler, jf. ovenfor – er, at der ikke må opnås adgang til oplysninger i en slutbrugers terminaludstyr, hvis der ikke indhentes samtykke først. Dette gælder uanset, om der er tale om såkaldte "read-only" værdier som eksempelvis MAC-adresser.

I november 2014 slog Artikel 29-gruppen (rådgivende og uafhængig ekspertgruppe i EU i forhold til fortolkning af persondatadirektivet) blandt andet fast, at brug af device fingerprinting, der dækker over indsamling og kombinering af information om en enhed (eksempelvis en mobiltelefon) på en måde, så man efterfølgende kan identificere enheden eller brugeren, er omfattet af e-databeskyttelsesdirektivet, og at indsamling af sådanne oplysninger kræver samtykke. Erhvervsstyrelsen tiltrådte denne fortolkning.

Afgørelsen i relation til Bliptrack må derfor siges at være noget af en praksisændring i forhold til den måde, som Erhvervsstyrelsen hidtil har fortolket cookie-reglerne. Ganske vist understreger Erhvervsstyrelsen, at der er tale om en konkret afgørelse i forhold til det pågældende system, men overordnet set vil der i henhold til e-databeskyttelsesdirektivet og den danske cookie-bekendtgørelse, uanset om der efterfølgende sker en anonymisering, skulle indhentes samtykke i forbindelse med opnåelse af adgang til MAC-adresser.

Det interessante spørgsmål er, om afgørelsen giver anledning til, at Erhvervsstyrelsen ændrer i de foreliggende retningslinjer i forhold til fortolkning af cookie-reglerne i Danmark.

Læs afgørelsen her.