Opdaterede GDPR-retningslinjer

Det Europæiske Databeskyttelsesråd (EDPB) har opdateret sin vejledning om samtykke efter databeskyttelsesforordningen. De nye retningslinjer medfører præciseringer i relation til samtykke indhentet ved brug af ”cookie walls” og scroll- eller swipe-funktioner. 

Af Selina Rosenmeier 

Må man bruge såkaldte ”cookie walls” på hjemmesider?
Den første præcisering vedrører de såkaldte ”cookie walls”. I den opdaterede vejledning bruger EDPB betegnelsen ”cookie walls” om teknologier, hvor en bruger af en hjemmeside, typisk via et popop-vindue, nægtes adgang til hjemmesiden, hvis ikke brugeren samtykker til brugen af cookies på hjemmesiden.

Som eksempel nævnes i vejledningen en hjemmesideudbyder, der blokerer synligheden af indholdet på hjemmesiden så længe brugeren ikke accepterer alle cookies

Efter databeskyttelsesforordningens artikel 4, nr. 11, kræver et gyldigt samtykke bl.a., at samtykket er givet ”frivilligt”. 

Brugen af ”cookie walls” i den form, som de er beskrevet ovenfor, hvor brugeren altså ikke får adgang til frit at tage stilling til, hvilke cookies man ønsker at acceptere, opfylder efter den nye opdaterede vejledning fra EDPB ikke databeskyttelsesforordningens krav om et gyldigt samtykke, da samtykket ikke er givet frivilligt, der som nævnt er en af grundbetingelserne for et gyldigt samtykke efter databeskyttelsesforordningen.

Det fremgår ikke af den opdaterede vejledning, om EDPB mener, at der findes andre typer cookie walls, og om cookie walls derfor i andre tekniske udformninger kan være lovlige. Det væsentlige er, at EDPB med vejledningen peger på, at det ikke opfylder databeskyttelsesforordningens krav om gyldigt samtykke at blokere adgangen til indholdet på en hjemmeside, hvor brugeren alene kan tilgå indholdet ved at acceptere cookies, og hvor der ikke gives brugeren adgang til frit at afvise cookies.  

Kan man indhente samtykke ved brug af scroll- eller swipe-funktioner?

Efter databeskyttelsesforordningens artikel 4, nr. 11, kræver et gyldigt samtykke bl.a. også, at samtykket gives ved ”erklæring eller klar bekræftelse”, dvs. ved en tydelig viljetilkendegivelse. EDPB har opdateret deres vejledning i forhold til brug af scroll-og swipe-funktioner.

EDPB har i den nye opdaterede vejledning udtalt herom, at samtykke baseret på, at brugeren scroller eller swiper sig videre på en hjemmeside eller i en app ”under ingen omstændigheder” vil kunne udgøre en tilstrækkelig tydelig viljetilkendegivelse. EDPB uddyber, at det at scrolle eller swipe igennem en hjemmeside kan være vanskelig at adskille fra anden aktivitet på hjemmesiden, og det er derfor ikke tilstrækkeligt sikkert til at dokumentere, at der er givet et tilstrækkeligt tydeligt samtykke.

Læs EDPB's opdaterede vejledning.

Hvad siger Datatilsynet og Erhvervsstyrelsen?

Datatilsynet har endnu ikke – på tilsvarende måde som EDPB – opdateret sin vejledning om behandling af personoplysninger om hjemmesidebesøgende, så vejledningen specifikt tager stilling til brugen af cookie walls og scroll- og swipe-funktioner. Her kan du finde Datatilsynets vejledning om behandling af personoplysninger om hjemmesidebesøgende.

Brugen af cookies skal– udover de generelle databeskyttelsesregler – også opfylde reglerne i cookiebekendtgørelsen. Erhvervsstyrelsen har heller ikke specifikt taget stilling til brugen af de nævnte funktionaliteter i Erhvervsstyrelsens vejledning om cookiebekendtgørelsen. 

Fakta: Hvad er et samtykke efter GDPR? Efter artikel 4, nr. 11, i databeskyttelsesforordningen defineres et samtykke som ”enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.” Samtykke er efter databeskyttelsesforordningen udtryk for, at de registrerede gives et reelt valg og kontrol over, hvordan deres oplysninger bruges, og er efter forordningen et af flere – ligestillede – behandlingsgrundlag, som den dataansvarlige kan anvende ved behandling af personoplysninger. Det er afgørende, at den dataansvarlige gør sig klart, om samtykke vil være det mest passende behandlingsgrundlag, eller om det vil være mere hensigtsmæssigt at støtte behandlingen af den registreredes oplysninger på et andet grundlag. Den dataansvarlige bør bl.a. overveje, om det reelt vil være muligt for den registrerede at trække sit samtykke tilbage, og hvilke konsekvenser det vil have. Opfylder et samtykke ikke betingelserne i forordningen, kan det ikke udgøre et grundlag for behandlingen af oplysninger. Kilde: Datatilsynets vejledning om behandling af personoplysninger om hjemmesidebesøgende, februar 2020

 

Fakta: Hvem er EDPB? Det Europæiske Databeskyttelsesråd (eller blot Databeskyttelsesrådet) er et uafhængigt EU-organ, som skal sikre en ensartet anvendelse af databeskyttelsesforordningen og retshåndhævelsesdirektivet i hele EU. På engelsk hedder rådet European Data Pro tection Board (ofte blot forkortet EDPB). Rådets medlemmer består af repræsentanter for medlemsstaternes tilsynsmyndigheder og Den Europæiske Tilsynsførende for Databeskyttelse. Europa-Kommissionen kan deltage i Databeskyttelsesrådets aktiviteter og møder, men har ikke stemmeret. Danmark er repræsenteret ved Datatilsynets direktør, Cristina Angela Gulisano. Rådets sekretariat er i Bruxelles, hvor rådets møder også afholdes. Kilde: Datatilsynets hjemmeside