Principiel afgørelse: Kommune må behandle oplysninger om hjemmesidebesøgende uden samtykke

Datatilsynet har afgjort, at en kommune måtte behandle oplysninger om hjemmesidebesøgende til ”statistikformål” uden samtykke. Datatilsynet lagde bl.a. vægt på, at personoplysninger blev anonymiseret, at de ikke blev videregivet til 3. part og at underdatabehandleren, Amazon Web Services Frankfurt, offentligt havde garanteret, at oplysningerne ikke blev ført ud af EU. Dansk Erhverv forventer, at afgørelsen kan betydning for private virksomheder.

Sagen kort

En kommune behandlede oplysninger om de besøgende på hjemmesiden. Formålet med behandlingen var bl.a. at forbedre brugeroplevelsen og at måle effekten af kommunikationsindsatsen ud fra data om, hvilke sider og links borgerne benyttede. Kommunen indhentede ikke samtykke til denne behandling, men behandlingen skete på grundlag af artikel 6, stk. 1, litra e. (Offentlig myndighedsudøvelse).  

Siteimprove Analytics indsamlede, som databehandler for kommunen, de besøgendes IP-adresser og leverede irreversibel anonymiseret statistik til kommunen. Amazon Web Services Frankfurt var underdatabehandler.

Datatilsynets afgørelse

Det centrale spørgsmål i sagen var, om kommunens behandling af oplysninger om hjemmesidebesøgende kunne ske på et andet retsgrundlag end samtykke.

Datatilsynet udtalte, at kommunen havde et sagligt formål med behandling af personoplysninger til ovennævnte formål, og at kommunen kunne behandle oplysningerne uden samtykke, men med hjemmel i artikel 6, stk. 1, litra e. (Offentlig myndighedsudøvelse)

Datatilsynet lagde bl.a. vægt på, at oplysningerne blev uigenkaldeligt anonymiseret, og at kommunen ikke videregav personoplysninger til tredje part, men alene overlod oplysningerne til en databehandler, Siteimprove Analytics, som kommunen havde en databehandleraftale med.

Datatilsynet lagde også vægt på, at underdatabehandleren, Amazon Web Services, Frankfurt, havde forpligtet sig til at behandle personoplysninger inden for EU og offentligt havde garanteret, at personoplysninger ikke blev overført til et land uden for EU, herunder til USA.

Datatilsynet tog ikke stilling til, om kommunen havde opfyldt cookiebekendtgørelsens krav til indhentelse af samtykke til placering af 3 statistikcookies, da det falder under Erhvervsstyrelsens kompetence.

Sagens betydning

Det må antages, at de omstændigheder, som Datatilsynet lagde vægt på, også har betydning, når det skal afgøres, om private virksomheder må behandle personoplysninger til statistikformål uden samtykke.

Om behandlingsgrundlag

Behandling af personoplysninger kan kun ske, hvis der er et retsgrundlag (hjemmel) i GDPR til det. Der findes forskellige retsgrundlag, fx samtykke, opfyldelse af kontrakt, offentlig myndighedsudøvelse eller Interesseafvejningsreglen.

En kommune kan normalt ikke anvende ”interesseafvejningsreglen” i artikel 6, stk. 1, litra f, som behandlingsgrundlag, og en privat virksomhed kan ikke anvende ”myndighedsudøvelse” som behandlingsgrundlag, men kan efter omstændighederne anvende ”interesseafvejningsreglen”.

Læs afgørelsen her