Gemt

Datatilsynet: Alvorlig kritik af virksomheds cookieløsning

24. februar 2022

En hjemmesides samtykkeløsning til cookies og persondata levede ikke op til kravene i GDPR, og det fik Datatilsynet til at udtale alvorlig kritik.

Datatilsynet besluttede i 2020 at kontrollere, om en virksomheds cookieløsning og behandling af oplysninger om de besøgende på hjemmesiden levede op til kravene i GDPR. Sagen kom i kølvandet på DMI-sagen og Datatilsynets komplicerede juridiske vejledning om behandling af oplysninger om hjemmesidebesøgende.

Datatilsynet fandt fejl ved bl.a. samtykket og opfyldelse af oplysningspligten.

Fokus på behandling af oplysninger om hjemmesidebesøgende
Datatilsynet har siden 2020 haft fokus på behandling af personoplysninger om hjemmesidebesøgende, og i 2022 er det stadig et fokusområde for Datatilsynet.

De personoplysninger, virksomheder indsamler via cookies, pixels eller tilsvarende teknologier, er bl.a. unikke ID’er, IP-adresser og andre online-identifikatorer, der kan anvendes til at adskille de besøgende fra hinanden, og som kan fortælle om de besøgendes ageren på hjemmesiden. Det er nemlig også personoplysninger.

Datatilsynets kritikpunkter:
Datatilsynet vurderede to cookiebannere, som på mange måder ligner de bannere, andre virksomheder bruger eller har brugt, og hvor oplysningerne gives i ”flere lag”. Den seneste version lød eksempelvis således:

”Ved at klikke ”OK” samtykker du til brugen af cookies og tilsvarende teknologier (samlet benævnt ’cookies’), som vi benytter med det formål at lave målrettet annoncering, herunder på tredjepartssider, ved brug af segmentering, markedsundersøgelser/målgruppeanalyser og statistik genereret i forbindelse med din adfærd på vores hjemmesider samt forbedring af annonceringsydelser.

Derudover samtykker du til, at visse tredjepartsselskaber som vi arbejder med, må anvende cookies til ovennævnte formål her på hjemmesiden.

I forbindelse med vores brug af cookies behandler vi, og de ovennævnte tredjeparter, følgende personoplysninger: IP-adresse og øvrige cookie-ID, Facebook-ID (i visse tilfælde) samt oplysninger om din browser, din enhed, dit operativsystem og din adfærd i forbindelse med brug af vores tjenester.”

Datatilsynet udtalte:

At formålene med behandling af personoplysninger ikke var opdelte og præcist nok angivet.
At ”OK” ikke gav den besøgende mulighed for at til- eller fravælge forskellige behandlingsformål. Allerede af den grund var samtykket ugyldigt.
Det fremgik ikke tydeligt nok, at oplysninger blev videregivet til 3. parts selskaber mhp. disses markedsføring, og det fremgik heller ikke tydeligt nok, hvilke selskaber og til hvilke formål der var tale om. Den besøgende skulle langt ned i persondata- og cookiepolitikken for at finde nogle af disse oplysninger.
At virksomheden burde have en udtømmende liste over virksomheder, som personoplysninger blev videregivet til og formålet hermed i selve cookiebanneret, hvor samtykket blev indhentet eller i en fold-ud-liste eller lignende.
At virksomheden ikke kunne behandle oplysninger til statistik efter ”interesseafvejningsreglen”, da oplysningerne blev overført til servere i USA, der er indtil videre er et usikkert 3. land efter, at EU-US Privacy Shield aftalen blev erklæret ugyldig ved Schrems II dommen.
Hvis behandling af personoplysninger kunne ske på grundlag af interesseafvejningsreglen, burde denne behandling ikke fremgå af samtykkeerklæringen i banneret.
Information om, at samtykket kunne trækkes tilbage (gyldighedsbetingelse), fremgik ikke tilstrækkelig klart af cookiebanneret, da det ikke var fremhævet og den besøgendes opmærksomhed heller ikke på anden måde var henledt på det.

Kort om reglerne

Både cookiebekendtgørelse og GDPR skal overholdes
Der sættes cookies ved besøg på langt de fleste hjemmesider. Når der på den måde indsamles oplysninger om de besøgende, skal hjemmesideejeren både overholde cookiereglerne og GDPR. Cookiereglerne kræver samtykke til både at placere og læse cookies. GDPR stiller krav til den videre behandling af personoplysninger.

Vær opmærksom på formålene med indsamling
Oplysningerne indsamles og bruges til flere formål. Overordnet er formålene typisk statistik, forbedring af brugeroplevelsen og markedsføring mv. Formålene må ikke være for bredt formulerede, men skal være veldefinerede og afgrænsede.

Det skal være muligt at vælge, hvilke formål der gives samtykke til.

Du skal vide, om oplysninger videregives til 3. part?
Nogle oplysninger indsamles af eller videregives til 3. parter, der bruger oplysningerne til egne formål – fx til brug for målretning af virksomhedens og konkurrenters reklamer på nettet. Du skal oplyse tydeligt om, hvilke virksomheder personoplysninger videregives til og formålet med det.

Nogle af disse 3. parter er etablerede uden for EU og EØS. I så fald skal det også overvejes, og der er et grundlag for overførslen og om der skal etableres supplerende foranstaltninger.

Du skal have et behandlingsgrundlag
Når en virksomhed behandler oplysninger om hjemmesidebesøgende, vil det rigtige behandlingsgrundlag ofte være et samtykke. Det kan dog ikke udelukkes, at ”interesseafvejningsreglen” kan anvendes. Fx kan reglen anvendes, når oplysninger behandles til brug for egen statistik, og oplysningerne ikke videregives til 3. parter udenfor EU.

Der stilles strenge krav til et samtykke, og hvis de krav ikke er opfyldt, kan samtykket være ugyldigt. Samtykket skal gives ved en frivillig, specifik, informeret og utvetydig viljestilkendegivelse, og det skal oplyses, at samtykket kan trækkes tilbage.

Webinar
Dansk Erhverv sætter fokus på dette emne i et webinar, der afholdes den 29. marts 2022 fra kl. 9.30 til 11.00. Programmet er endnu ikke helt på plads. Hold øje med vores hjemmeside og nyhedsbrev.

Find flere oplysninger

Datatilsynets afgørelse, hvor de to cookieløsninger kan ses.

Datatilsynets vejledning om behandling af oplysninger om hjemmesidebesøgende.

Datatilsynets podcast, hvis du hellere vil høre forklaringerne.

Datatilsynets og Erhvervsstyrelsens Quickguide til brugen af cookies.

{{title}}

{{name}}

{{title}}

{{subCard.title}}

{{title}}

{{newsletter.name}}

{{title}}

{{Headline}}

{{fetchFailed}}

{{title}}

Generer URL til avanceret søgefiltrering her

Resultat:

Anchor

Søgetekst

Fra & Til

Filtrer

{{filterGrp.label}}

{{title}}

{{filter.label}}

{{data.labels.headline}}

{{data.labels.headline}}

Generer URL til søgefiltrering her

Resultat:

Anchor

Filter

Segmenter

{{CategoryTitle(segmentGroup[0])}}

{{SelectedSpeaker.name}}

{{SelectedPerson.name}}

{{labels.error}}

{{labels.noResults}}

{{labels.error}}

{{labels.noResults}}

{{subCard.title}}

{{title}}

{{data.labels.title}}

{{data.affiliation.title}}

{{ProfileSection.title}}

{{CompanyUnionTitle}}

{{memberType.receiptTitle}}

{{headline}}

{{textLabels.title}}

{{textLabels.errorLabel}}

{{textLabels.successTitle}}

{{item.headLine}}

{{data.headline}}

{{data.card.title}}

{{data.card.name}}

{{title}}

{{data.title}}

{{data.title}}

{{data.successHeadline}}

{{item.title}}

{{item.title}}

{{item.text}}

{{item.text}}

{{submitErrorLabel}}

{{textLabels.successLabel}}

{{textLabels.newsletterCheckboxesErrorLabel}}

{{textLabels.title}}

{{textLabels.errorLabel}}

{{textLabels.partialErrorLabel}}

{{textLabels.successLabel}}

{{data.title}}

{{title}}

{{item.title}}

{{speaker.name}}

{{item.title}}

{{speaker.name}}

{{data.title}}

{{data.headline}}

{{errorTitle}}

{{noResultsTitle}}

{{title}}

{{item.title}}

{{item.title}}

{{data.headline}}

{{data.headline}}

{{data.headline}}

{{data.labels.noEvents}}