Virksomhed risikerer stor bøde: Havde ikke styr på cookiesamtykke

Datatilsynet har indstillet en virksomhed til en bøde på minimum 200.000 kr. for at indsamle og videregive oplysninger om hjemmesidebesøgende til Google og Meta uden at have indhentet samtykke til det.

Datatilsynet har indtil nu kun løftet pegefingeren over for virksomheder, der ikke følger reglerne for behandling af oplysninger om hjemmesidebesøgende, der bliver indsamlet ved brug af cookies og pixels, men nu er den første virksomhed blevet politianmeldt og indstillet til en bøde.

Alle ved det efterhånden: Bruger man cookies, pixels eller andre sporingsteknologier på sin hjemmeside eller i nyhedsbreve, er man nødt til at indhente samtykke til det. Det sker typisk via et samtykkebanner (cookiebanner).

Færre er måske opmærksomme på, at den efterfølgende behandling eller videregivelse af oplysninger, der er indsamlet ved hjælp af cookies eller pixels, skal ske i overensstemmelse med reglerne i GDPR. Det betyder bl.a. at der skal være et ”behandlingsgrundlag”. Behandlingsgrundlaget kan være interesseafvejningsreglen, men vil i de fleste tilfælde være samtykke.

Af Datatilsynets vejledning om behandling af personoplysninger om hjemmesidebesøgende, fremgår det bl.a., at det mest passende behandlingsgrundlag ofte er samtykke. Samtykket kan indhentes samtidig med cookiesamtykket læs Datatilsynets vejledning om direkte markedsføring.

Eksempel fra Datatilsynets vejledning:

Eksempel 10

Fru Larsen søger på nettet, fordi hun vil købe træningsudstyr. Hun besøger detailkæde Træn Tungts hjemmeside og kigger på forskelligt træningsudstyr, men beslutter sig for ikke at købe noget alligevel. Træn Tungt ønsker at gennemføre markedsføring over for brugere af et socialt medie, som har besøgt virksomhedens hjemmeside uden at foretage et køb. Derfor integrerer virksomheden en pixel på sin hjemmeside, som stilles til rådighed af udbyderen af det sociale medie. Efter at have forladt Træn Tungts hjemmeside og logget ind på sin konto på det sociale medie, begynder Fru Larsen at se reklamer for det træningsudstyr, som hun så på Træn Tungts hjemmeside. Træn Tungt skal for det første være opmærksom på kravene i cookiebekendtgørelsen i forbindelse med brug af pixels. Det er derudover Datatilsynets opfattelse, at det mest passende behandlingsgrundlag derfor vil være samtykke, jf. forordningens artikel 6, stk. 1, litra a, artikel 4, nr. 11, samt artikel 7. Det skyldes bl.a., at den direkte markedsføring beror på overvågning af Fru Larsens adfærd på tværs af websteder ved hjælp af sporingsteknologier.

Træn Tungt skal derfor indhente Fru Larsens samtykke i forbindelse med hendes besøg på hjemmesiden til at foretage målrettet markedsføring over for hende på det sociale medie. Det kan f.eks. ske i forbindelse med det generelle samtykke, der oftest indhentes til brug af cookies mv