Tjek dine cookies – de kan være i strid med persondatareglerne

Datatilsynet udtaler alvorlig kritik af DMI. Besøgende på instituttets hjemmeside fik ikke et tilstrækkeligt frit valg, og derfor anbefaler Dansk Erhverv, at alle virksomheder justerer deres løsning.

 

Af Sven Petersen, erhvervsjuridisk chef, Dansk Erhverv

Indsamling af oplysninger om hjemmesidebesøgendes adfærd registreres af de fleste hjemmesideejere ved at placere cookies eller lignende på brugernes udstyr. Dermed kan man for eksempel lave statistik, kortlægge brugernes færden på siden samt indsamle oplysninger til brug for målrettet markedsføring. Området er reguleret af to forskellige regelsæt- nemlig cookiebekendtgørelsen og databeskyttelsesreglerne. Det første regelsæt overvåges af Erhvervsstyrelsen, mens databeskyttelsesreglerne som bekendt overvåges af Datatilsynet, hvis højre boksehandske i form af bøder kan sætte de fleste virksomheder skakmat.

Det siger sig selv, at to regelsæt gør området meget komplekst, og vi kan derfor i nærværende artikel ikke komme rundt i alle hjørner, men vi har valgt at koncentrere os om de cookies, der muliggør målrettede bannerannoncer- herunder fra tredjepart. For mange virksomheder udgør dette et pænt tilskud til driften.

DMI-afgørelsen

I en ny afgørelse har Datatilsynet været meget kritisk overfor DMI´s cookieløsning. Det fremgår af sagen, at DMI viste bannerannoncer på instituttets hjemmeside, herunder fra bl.a. Googles annonceplatform, hvorved DMI bidrog til indsamling og videregivelse af personoplysninger om hjemmesidens besøgende til Google. DMI har siden 2004 haft bannerannoncer på dmi.dk, og indtægterne herfra udgjorde en del af instituttets finansieringsgrundlag. DMI´s løsning gav ikke mulighed for, at den besøgende på DMI´s hjemmeside kunne fravælge videregivelse af personoplysninger til bl.a Google, medmindre man klikkede på ”vis detaljer”.

Det fremgik af sagen, at skærmbilledet af den implementerede samtykkeløsning ved første interaktion viste to valgmuligheder; ”OK” og ”Vis detaljer”. Det fremgik desuden af løsningen, at:

”DMI og tredjeparter bruger cookies til at gøre dmi.dk mere brugbar og til at give dig en bedre oplevelse og til målrettet markedsføring. Ved at klikke OK her giver du samtykke til dette. Du kan altid trække dit samtykke tilbage. Læs mere i vores privatlivspolitik.”

Ved at vælge ”OK” gav man således samtykke til flere forskellige behandlingsformål:

• Indsamling af personoplysninger med henblik på at danne statistik af, hvordan de besøgende bruger dmi.dk.
• Adfærdsbaseret markedsføring, hvor indsamling af personoplysninger sker med henblik på at følge de besøgende på tværs af hjemmesider med henblik på at personalisere annoncer over for den enkelte besøgende gennem profilering.

Datatilsynets vurderede, at indsamling af personoplysninger til forskellige formål på baggrund af ét samlet samtykke ikke giver de besøgende et tilstrækkeligt frit valg i forhold til at kunne identificere og til- eller fravælge hvilke formål, den besøgende reelt ønsker at give sit samtykke til. Forskellige formål kræver altså hver sit samtykke (granuleret samtykke). Det var ligeledes kritisabelt, at samtykket var bygget op som en ”opt out” løsning, og at dette var et klik længere væk end det at klikke ”ok” til det hele.

Det hører med til historien, at DMI er en offentlig institution, og at DMI derfor på grund af reglerne i GDPR ikke kunne bruge ”interesseafvejningsreglen” i art.6 stk. 1 litra f som et behandlingsgrundlag. Det kan derfor ikke med sikkerhed udledes af afgørelsen, hvor langt man kan komme med interesseafvejningsreglen som behandlingsgrundlag, når man er en privat virksomhed.

Tjek jeres nuværende cookieløsning og ret til

Som allerede omtalt i Erhvervsjuranyt fra 19. februar har Datatilsynet dog udgivet en vejledning om ”behandling af personoplysninger om hjemmesidebesøgende”, der beskriver forskellige scenarier, og hvad det er, man skal tage højde for, også når man er privat virksomhed. Datatilsynets holdning til brugen af interesseafvejningsreglen som behandlingsrundlag kommer til udtryk i pjecens punkt 2.3.2. Der skal ikke meget til, før en målrettet annoncering - der i jo sagens natur hviler på (person)data - bliver mødt med et krav om samtykke som behandlingsgrundlag. Det er klart, at de ændrede krav til, hvornår der foreligger et gyldigt samtykke (”opt in”, informeret etc.), vil medføre et væsentligt fald i de målrettede annoncer og dermed formentlig også fald i indtjening hos de virksomheder, der annoncerer på den måde. Dansk Erhverv vil derfor tage emnet op med Datatilsynet, men anbefalingen fra os er, at man i det omfang, det kan lade sig gøre, bør justere sin løsning allerede nu.

Advokatfirmaet Bird & Bird har udgivet en tjekliste, der giver lidt guidance til, hvordan du manøvrerer i begge regelsæt:

Tjekliste til Datatilsynets nye vejledninger om personoplysninger på hjemmesider (Bird & Bird).

Sluttelig kan det anbefales at gå ind på DMI´s hjemmeside og se, hvordan de har ændret deres cookie-set up, efter de har fået den nævnte alvorlige kritik fra Datatilsynet. Dansk Erhverv er ikke bekendt med, hvorvidt løsningen er godkendt af Datatilsynet.

 

DMI – kort om sagen DMI viste bannerannoncer på sin hjemmeside, bl.a. fra Googles annonceplatform. Hermed bidrog DMI til at indsamle og videregive personoplysninger om besøgende. DMI gav ikke besøgende mulighed for at fravælge at videregive personoplysninger – medmindre man klikkede på ”vis detaljer.” DMI benyttede sig af ét samtykke, men Datatilsynets vurderede, at indsamling af personoplysninger til forskellige formål på baggrund af ét samlet samtykke ikke giver de besøgende et tilstrækkeligt frit valg.