Datatilsynet giver samtykkeløsning alvorlig kritik

En ny afgørelse fra Datatilsynet kritiserer et online nyhedsmedies samtykkeløsning, men gør os samtidig klogere på udformning af samtykkebannere og grænserne for ”nudging” gennem samtykkeløsningers farver og design.

Datatilsynet indledte på eget initiativ tilsyn med et online nyhedsmedies banner til indhentelse af samtykke til behandling af personoplysninger. (Det der i daglig tale ofte kaldes cookiebannere).

Banneret var opdelt i to lag. Det fremgik af bannerets øverste lag, at der blev behandlet personoplysninger til to formål: statistik og markedsføring, og samtidig havde brugeren tre valgmuligheder (knapper):

Kun nødvendige (rødt felt)

Tilpas indstillinger (gråt felt)

Accepter alle (grønt felt)

Når den besøgende på hjemmesiden klikkede på tilpas indstillinger, blev den pågældende ledt videre til andet lag, hvor det fremgik, at den pågældende kunne vælge mellem tre formål: Præferencer, statistik og markedsføring.  Præferencer var ikke nævnt i første lag.

Datatilsynet udtalte

• De personer, der klikkede på ”accepter alle”, blev ikke informeret om, at de derved også accepterede, at der blev behandlet oplysninger om præferencer, da det formål ikke fremgik af første lag. Disse samtykker var derfor ikke gyldige. Det drejede sig om ca. 72 til 75% af alle samtykker.
• Et samtykke er kun gyldigt, hvis brugeren har mulighed for at vælge mellem de forskellige behandlingsformål, som samtykke indhentes til.
• Det er ikke i sig selv i strid med kravene til et samtykke, at muligheden for at vælge mellem forskellige behandlingsformål ligger i andet lag, som tilgås via ”Tilpas indstillinger” i første lag. Det forudsætter dog, at brugeren i første lag oplyses om, hvordan de kan til- og fravælge de enkelte formål, og løsningen må ikke påvirke eller besværliggøre valget mellem de forskellige formål.
• Muligheden for at ”acceptere alle” formål og ”afvise alle” formål skal ligge i samme lag. Sagt med andre ord, hvis man har en knap, der gør det muligt at acceptere alle behandlingsformål, skal man også have en knap, der gør det muligt at afvise alle i samme lag.
• Farver på responsknapper kan påvirke (nudge) brugeren til at foretage bestemte valg.
• Der er dog store frihedsgrader ved brug af farvevalg og designelementer, så længe designet ikke ”skubber” (nudger) brugeren i retning af valg, der fører til ulovlige scenarier eller skaber uigennemsigtighed, så den registreredes rettigheder undergraves.
• I den konkrete sag, hvor farvevalget skubbede brugeren mod et mangelfuldt samtykke, mente Datatilsynet, at farvevalg og design var i strid med databeskyttelsesforordningen.

OBS: Hvis dit cookiebanner også bruges til at indhente samtykke til behandling af oplysninger om brugeren af din hjemmeside (personoplysninger), skal det fremgå af banneret.

Læs hele afgørelsen her

Se Dansk Erhvervs webinar om samtykke til cookies og persondata.