Datatilsynet udtaler alvorlig kritik af ugyldigt cookiesamtykke
Datatilsynet har udtalt en alvorlig kritik af, at indehaveren af en hjemmeside ikke indhentede gyldige samtykker til virksomhedens behandling af personoplysninger om sine hjemmesidebesøgende. I denne nyhed kan du blive klogere på sagen, og de fælder du skal gå udenom, når du formulerer teksten til dit cookiebanner.
Kort om sagen
En virksomhed indsamlede og behandlede personoplysninger om besøgende på sin hjemmeside. Formålet med behandlingen var blandt andet markedsføring, og behandlingen skete på baggrund af den hjemmesidebesøgendes samtykke.
Samtykket blev indhentet ved hjælp af en samtykkeløsning, hvor den hjemmesidebesøgende kunne trykke "tillad alle cookies". Det var dog ikke muligt for den hjemmesidebesøgende at fravælge cookies og dermed undlade at give samtykke til behandlingsaktiviteterne. Derudover stod der på cookiebanneret, at den hjemmesidebesøgendes fortsatte brug af hjemmesiden også ville blive anset som et samtykke. Derfor valgte en af de besøgende på hjemmesiden at klage til Datatilsynet.
Virksomhedens opdaterede samtykkeløsning
Under klagesagen implementerede virksomheden en ny samtykkeløsning på hjemmesiden, så de hjemmesidebesøgende kunne sætte kryds ved "Kun nødvendige" og "jeg accepterer".
Virksomheden havde også opdateret teksten på cookiebanneret, så det tydeligere fremgik, hvad den hjemmesidebesøgende gav samtykke til, hvad formålet med behandlingen var, og hvordan vedkommende kunne fravælge at give samtykke.
Samtykkeløsningen indeholdt desuden følgende formulering: "Efterfølgende behandling sker på grundlag af dit samtykke og i særlige tilfælde på grundlag af legitim interesse".
Ved at klikke på "cookieindstillinger" kunne den hjemmesidebesøgende benytte sig af muligheden for at gøre indsigelse mod hjemmesidens legitime interesser i forhold til statistik og markedsføring.
Datatilsynets afgørelse
Datatilsynet fandt, at den oprindelige samtykkeløsning, som virksomheden havde benyttet på sin hjemmeside, ikke levede op til de krav, som databeskyttelsesforordningen stiller til gyldige samtykker. Særligt var kravene om frivillighed, granularitet og en utvetydig viljestilkendegivelse ikke opfyldt.
Derfor udtalte Datatilsynet en alvorlig kritik af, at behandlingen af de hjemmesidebesøgendes personoplysninger var sket uden lovligt retsgrundlag.
I afgørelsen tog Datatilsynet ikke stilling til virksomhedens nye samtykkeløsning, men opfordrede dog virksomheden til at genoverveje udformningen af den nye samtykkeløsning. I den forbindelse bemærkede Datatilsynet, at formuleringen "og i særlige tilfælde på grundlag af legitim interesse" ikke er gennemsigtig og letforståelig for hjemmesidebesøgende.
Derudover bemærkede Datatilsynet, at opsætningen gjorde det uklart for den hjemmesidebesøgende, hvilket behandlingsgrundlag der lå til grund for hjemmesidens behandling af personoplysninger i forhold til statistik og markedsføring.
Vores bemærkninger
Afgørelsen er i tråd med Datatilsynets vejledning om behandling af personoplysninger om hjemmesidebesøgende. Vejledningen slår fast, at den registreredes samtykke er det mest passende behandlingsgrundlag for at behandle personoplysninger om hjemmesidebesøgende.
Derudover har afgørelsen mange lighedspunkter med Datatilsynets principielle afgørelse fra februar 2020, hvor det for første gang udtalte alvorlig kritik af en hjemmesides samtykkeløsning. Den pågældende samtykkeløsning bestod af valgmulighederne "OK" og "Vis detaljer" samt et link til en privatlivspolitik. På samme måde som i denne sag havde den hjemmesidebesøgende ikke mulighed for at undlade at give samtykke til cookies.
Datatilsynets "egen drift"-sager
I forlængelse af den principielle afgørelse fra februar 2020 startede Datatilsynet en "egen drift"-sag for at undersøge, om den pågældende virksomhed havde bragt sin samtykkeløsning i overensstemmelse med databeskyttelsesforordningen.
På samme måde har tilsynet iværksat to lignende "egen drift"-sager for at undersøge, om to kommuner overholder reglerne for at indhente samtykke i forbindelse med behandling af personoplysninger om hjemmesidebesøgende.
Sidenhen har Datatilsynet besluttet at iværksætte flere tilsyn på dette område i 2021. Det fremgår af en oversigt over særlige fokusområder for de tilsynsaktiviteter, som Datatilsynet selv iværksætter i 2021. Det kan du læse mere om i denne nyhed: Det vil Datatilsynet særligt fokusere på under sine tilsynsaktiviteter i 2021
Vil du vide mere om lovlige cookies?
Vi har produceret en podcast, hvor du bliver introduceret til reglerne om brugen af forskellige typer cookies og til de juridiske udfordringer og krav, som du som dataansvarlig skal være opmærksom på for at sikre, at dinorganisation er compliant på området.
Kontakt
