Datatilsynet offentliggør ny vejledning om behandling af personoplysninger om hjemmesidebesøgende

Cookies er tekstfiler, som lagres på en brugers computer eller andet elektronisk udstyr i forbindelse med hjemmesidebesøg på internettet. Disse tekstfiler bruges til at indhente oplysninger om brugeren med henblik på at målrette markedsføring på baggrund af brugerens adfærd på hjemmesiden. 

Datatilsynets vejledning om behandlingen af hjemmesidebesøgendes personoplysninger via brugen af cookies understreger vigtigheden af, at den dataansvarlige iagttager databeskyttelsesforordningens krav til et gyldigt samtykke. Datatilsynet opdaterede senest samtykkevejledningen i september 2019. 

Samtykke som det centrale retsgrundlag

Før der kan ske lovlig behandling af personoplysninger, skal der altid foreligge et retsgrundlag. For så vidt angår personoplysninger, der indsamles via cookies, vil der typisk være tale om almindelige personoplysninger såsom IP-adresser. Den dataansvarlige skal derfor kunne identificere et retsgrundlag i databeskyttelsesforordningens artikel 6, stk. 1.

Datatilsynet fastslår i den nye vejledning, at den registreredes samtykke er det mest passende behandlingsgrundlag i forbindelse med behandling af personoplysninger om hjemmesidebesøgende. I henhold til databeskyttelsesforordningens artikel 4, nr. 11, skal et samtykke være frivilligt, specifikt, informeret og utvetydigt.

Frivillighedskriteriet indebærer, at et samtykke ikke er gyldigt, hvis den registrerede ikke har et reelt eller frit valg. I den sammenhæng fremhæver Datatilsynet princippet om granulering (opdeling), når den dataansvarlige behandler personoplysninger til flere formål. Personoplysninger, der er indsamlet via cookies kan eksempelvis bruges til både statistiske og markedsføringsmæssige formål. I praksis foreslår Datatilsynet, at frivillighedskriteriet kan iagttages ved at opstille forskellige tjekbokse på cookie-banneret, så brugeren har mulighed for aktivt at afgive sit samtykke til de forskellige behandlingsformål ved at afkrydse specifikke bokse.

Kravet om at samtykket skal være specifikt betyder, at samtykket skal være præcist og afgrænset til specifikke behandlingsformål.  

Kravet om, at samtykket skal være informeret indebærer, at samtykketeksten skal indeholde oplysninger om forhold, der er afgørende for, at vedkommende kan træffe et valg. Ifølge vejledningen skal samtykkeløsningen som minimum indeholde oplysninger om følgende:

1. den dataansvarliges identitet
2. formålet med den påtænkte behandling
3. hvilke(n) type(r) af oplysninger, der vil blive behandlet
4. retten til at trække samtykket tilbage

Endeligt skal samtykket være udtryk for en utvetydig viljestilkendegivelse. En principiel EU-afgørelse (den såkaldte 'Planet49-dom') fastlagde i oktober 2019, at forudafkrydsede felter på cookie-bannere ikke kan danne grundlag for et gyldigt samtykke til hjemmesiders brug af cookies. Et gyldigt indhentet samtykke forudsætter derimod en aktiv handling fra brugerens side. 

Læs vores tidligere omtale af Planet49-dommen.

Fælles dataansvar?

Vejledningen præciserer også, hvornår der kan opstår et fælles dataansvar mellem to eller flere parter i forbindelse med behandling af personoplysninger, der indsamles via cookies. Udgangspunktet er, at en part vil være selvstændig dataansvarlig for behandling af personoplysninger om hjemmesidebesøgende, idet denne bestemmer formålene med og hjælpemidlerne til behandlingen.

Dette udgangspunkt fraviges dog, når to eller flere parter i fællesskab fastlægger formålene med behandlingen og hjælpemidler til brug for dette. I tilfælde hvor hjemmesideindehavere er fælles dataansvarlige med en tredjepartsudbyder, er det vigtigt, at parterne regulerer dette i en aftale om fælles dataansvar. I aftalen bør de fælles dataansvarlige fastlægge deres respektive ansvar for overholdelse af deres forpligtelser, navnlig i forbindelse med iagttagelsen af de registreredes rettigheder og oplysningspligten. 

Vær også opmærksom på Erhvervsstyrelsens cookie-vejledning

I tillæg til Datatilsynets nye vejledning skal dataansvarlige også iagttage Erhvervsstyrelsens Vejledning vedrørende bekendtgørelsen om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr. "Cookiebekendtgørelsen" senest blev opdateret den 10. december 2019. Cookiebekendtgørelsen implementerer e-databeskyttelsesdirektivet fra 2002, der forventes at blive erstattet af e-databeskyttelsesforordning.

Det er Datatilsynets vurdering, at en dataansvarlig skal orientere sig i begge vejledninger, da de begge finder anvendelse sideløbende. 

Læs vores tidligere omtale af opdateringen af Erhvervsstyrelsens cookie-vejledning.

Læs vores seneste status på vedtagelsen af e-databeskyttelsesforordningen.

Ny afgørelse om behandling af personoplysninger om hjemmesidebesøgende

I umiddelbar tilknytning til vejledningen har Datatilsynet også publiceret en ny afgørelse om en vejrprognosetjenestes behandling af personoplysninger. Hjemmesidens samtykkeløsning bestod af to valgmuligheder: "OK" og "Vis detaljer" samt et link til en privatlivspolitik.

Datatilsynet udtalte alvorlig kritik af løsningen, fordi den ikke opfyldte kravene til et gyldigt samtykke i databeskyttelsesforordningens artikel 4, nr. 11. Dermed var samtykket ikke foreneligt med databeskyttelsesforordningens principper om lovlig, rimelig og gennemsigtig behandling af personoplysninger. Behandlingen af personoplysningerne var således sket uden et lovligt retsgrundlag i henhold til databeskyttelsesforordningens artikel 6, hvilket også var et selvstændigt kritikpunkt. 

Datatilsynet kritiserede desuden, at det ikke var muligt at afgive separat samtykke til de enkelte behandlingsformål. Den manglende granulering var uforenelig med kravet om, at samtykke skal afgives frivilligt. 

Læs afgørelsen.

I vores podcast giver vi dig en introduktion til de forskellige typer af cookies og følger op på udfordringer og informations- og samtykkekrav, der gælder for brugen af cookies. 

Lyt til vores podcast.