Databeskyttelsesret: nyheder og afgørelser

Samtykke til behandling af personoplysninger om hjemmesidebesøgende

Datatilsynet har givet Den Blå Avis A/S (DBA) alvorlig kritik, fordi DBA's behandling af personoplysninger om besøgende på hjemmesiden ikke levede op til databeskyttelsesreglerne. DBA havde ikke indrettet sin samtykkeløsning på en måde, der gav de besøgende tilstrækkelige muligheder for at vælge cookies fra. Da DBA i forbindelse med sagens behandling ændrede sin samtykkeløsning, vurderede Datatilsynet både den tidligere og nuværende løsning. 

Databeskyttelsesforordningen stiller krav om, at et samtykke skal være udtryk for en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra de registrerede, som i dette tilfælde var de hjemmesidebesøgende. Det indebærer blandt andet, at samtykket ikke må være generelt udformet, og at det skal være muligt for de registrerede at til- eller fravælge forskellige behandlingsformål, for eksempel hvis der indsamles oplysninger til både statistik og markedsføring, skal det være muligt at vælge kun et af disse formål til. Hvis såkaldte tredjeparts-cookies indsamles, skal tredjepartsselskaberne specifikt angives i samtykkeløsningen, for eksempel via et link eller en fold-ud menu i nær tilknytning til det formål, hvortil personoplysningerne bliver videregivet. 

Datatilsynet fandt, at ingen af de to løsninger var i overensstemmelse med de databeskyttelsesretlige regler, blandt andet fordi det ikke var muligt at give særskilt samtykke til de forskellige formål, som DBA indsamlede personoplysningerne til. Samtykkeløsningerne gav kun mulighed for at vælge "Accepter" eller "OK", og dermed fik brugerne ikke mulighed for at til- og fravælge de forskellige behandlingsformål. Det betød, at brugerne blev tvunget til at samtykke til samtlige behandlingsformål, herunder markedsføring fra tredjeparter.

Afgørelsen understreger og bekræfter de strenge krav, der stilles til samtykke, og viser at Datatilsynet fortsat har stort fokus på registrering og behandling af personoplysninger hjemmesidebesøgende.

Læs afgørelsen fra Datatilsynet her.

Samtykker til online markedsføring 

I en afgørelse fra det belgiske datatilsyn fandt tilsynsmyndigheden, at den europæiske brancheorganisation for medier og annoncører var skyldig i en række overtrædelser af databeskyttelsesforordningen. Sagen drejer sig om en it-service og et rammeværk kaldt TCF (Transparency and Consent Framework), der anvendes til indsamling og formidling af samtykker til behandlinger ved annonceringer. TCF-rammeværket bruges blandt andet til registrering af cookiesamtykker og brugerens præferencer til personaliseret markedsføring. 

Tilsynsmyndigheden fandt, at brancheorganisationen blandt andet havde overtrådt en række grundlæggende databeskyttelsesretlige principper om lovlighed, gennemsigtighed og information til brugerne, ansvarlighed og sikkerhed. 

Den danske tilsynsmyndighed, Datatilsynet, har udtalt, at afgørelsen kan have betydning for danske hjemmesider, idet rigtig mange annoncører, medier og udbydere af reklamer på internettet benytter TCF-rammeværket. Hjemmesideudbydere, annoncører og formidlere af reklame og annonceplads bør som dataansvarlige i lyset af afgørelsen få afklaret, om TCF-rammeværket anvendes. Såfremt rammeværket anvendes, bør det sikres, at der skiftes til en løsning, som lever op til databeskyttelsesforordningen.

Find afgørelsen fra det belgiske datatilsyn her.

Find nyheden fra Datatilsynet her.

(Ulovlig) brug af Google Analytics 

Det østrigske datatilsyn har i en afgørelse fra januar 2022 konkluderet, at en virksomhed i en konkret sag ikke lovligt kunne benytte sig af analyseværktøjet Google Analytics. Sagen drejer sig om overførsel af personoplysninger til lande uden for EU/EØS, som i den konkrete sag var til USA. 

Det følger af EU-Domstolens praksis, at dataansvarlige, som overfører personoplysninger til lande udenfor EU/EØS, skal sikre et beskyttelsesniveau for de overførte personoplysninger, der i det væsentligste svarer til beskyttelsesniveauet i EU. Hvis beskyttelsesniveauet i modtagerlandet ikke i det væsentligste svarer til det i EU, skal der implementeres supplerende foranstaltninger for at sikre et beskyttelsesniveau svarende til EU's. 

Det østrigske datatilsyn fandt, at de supplerende foranstaltninger, der konkret var blevet implementeret, ikke var effektive, idet foranstaltningerne ikke forhindrede mulighederne for amerikanske retshåndhævende myndigheders overvågning af og adgang til de overførte personoplysninger.

Den Europæiske Tilsynsførende for Databeskyttelse (EDPS), der fører tilsyn med EU-institutionernes overholdelse af persondatareglerne, har truffet en tilsvarende afgørelse omkring brugen af Google Analytics og Stripe (betalingsløsning) på en hjemmeside, som EU-Parlamentet er ansvarlig for. 

Afgørelserne viser, at der er stigende opmærksomhed og udfordringer med brug af Google Analytics på europæiske hjemmesider. Datatilsynet har meddelt, at tilsynet vil nærlæse afgørelsen og de kommende afgørelser fra andre lande og på den baggrund komme med nærmere vejledning herom til danske virksomheder og myndigheder.

Find afgørelsen fra det østrigske datatilsyn her (tysk) og her (engelsk).

Læs Datatilsynets nyhed her.

Retten på Bornholm giver GDPR-bøde på 100.000 kr.

Den 20. januar afsagde Retten på Bornholm dom i en sag, hvor en virksomhed ulovligt havde videregivet personoplysninger om en medarbejders strafbare forhold. 

Virksomheden havde via e-mail oplyst til to af virksomhedens samarbejdspartnere, at medarbejderen var blevet bortvist og meldt til politiet for mandatsvig, samt givet en nærmere beskrivelse af måden, hvorpå svindlen var foregået. Selvom medarbejderen senere blev dømt for mandatsvig, var han utilfreds med, at virksomheden havde delt personoplysninger om ham, og derfor klagede han til Datatilsynet. 

Datatilsynet indstillede i sin politianmeldelse af virksomheden til, at bøden skulle fastsættes til 400.000 kr. Retten på Bornholm idømte dog virksomheden en bøde på 100.000 kr. Retten lagde vægt på, at der var tale om en række formildende omstændigheder, herunder blandt andet at der var tale om en førstegangsovertrædelse af databeskyttelsesforordningen, og sagen alene vedrørte personoplysninger om en enkelt person. 

Dommen understreger, at oplysninger om strafbare forhold har en særlig status, og at der stilles strenge krav til videregivelse. I den henseende lægger dommen sig i slipstrømmen af en række tidligere afgørelser om eksempelvis offentliggørelse af overvågningsbilleder af indbrudstyve, hvor der også er fast praksis for bødestraf.

Dommen kan findes her.