Cookieløsninger er under angreb
Cookies bruges i dag af mange organisationer til måling af kampagner, målretning af reklamer, forbedring af brugeroplevelsen, udarbejdelse af statistikker samt måling af aktiviteter. De personoplysninger, der indsamles om de besøgende via de placerede cookies, har dermed i sig selv en stor værdi for mange organisationer. Men personoplysninger indsamlet via cookies er også blevet et salgsobjekt, der særligt bliver brugt til tredjepartsmarkedsføring, opbygning af profiler og udarbejdelse af statistikker.
Organisationer vil dermed også gå langt for at indsamle og videregive de pågældende personoplysninger via cookies. Denne stræben efter data sammenholdt med en manglende indtænkning af GDPR i de tekniske cookieløsninger, har ført til, at en lang række organisationers cookieløsninger ikke er compliant (lovlige).
Den manglende overholdelse af GDPR i relation til cookies har særligt på det seneste fået databeskyttelsesmyndighedernes bevågenhed - både i Danmark og andre EU-medlemslande.
Datatilsynet har som en del af tilsynsplanen for 2022 således igen valgt at føre aktivt tilsyn med behandling af hjemmesidebesøgendes personoplysninger, og for nyligt har Datatilsynet udtalt alvorlig kritik af DBA’s samtykkeløsning for cookies. Derudover har det østrigske datatilsyn afgjort, at en organisations brug af Google Analytics ikke levede op til GDPR’s regler for tredjelandsoverførsler, og både det belgiske og hollandske datatilsyn har anbefalet, at alle organisationer omgående bør stoppe med at anvende IAB Europes standardiserede samtykkeløsning,Transparency & Consent Framework.
I det følgende ser vi nærmere på Datatilsynets tilsyn for cookies i 2022 samt de omtalte afgørelser.
Datatilsynets fortsatte fokus på cookies i 2022
Som i 2021 har Datatilsynet i sin tilsynsplan igen i år (2022) valgt at fokusere på behandlingen af hjemmesidebesøgendes personoplysninger, herunder via cookies.
Særligt forventer vi, at Datatilsynet ser nærmere på:
- samtykkeløsningen for cookies
- sikring af retsgrundlag
- om databeskyttelsesrollerne er korrekt fastslået
- om de nødvendige aftaler er indgået
- overførselsgrundlag
- sletning.
Datatilsynet vil også i 2022 føre aktivt tilsyn med, hvorvidt en organisation har opfyldt sin oplysningspligt i tilfælde af uanmodede henvendelser. Uanmodede henvendelser vil bl.a. dække behandling af personoplysninger via cookies med henblik på fx placering af bannerreklamer. Det er dermed også væsentligt, at organisationer har udarbejdet og udleveret en privatlivspolitik i overensstemmelse med GDPR-artikel 13 og 14, der dækker behandlingen af personoplysninger til brug for markedsføring via cookies.
Organisationer udsættes dermed i 2022 for et dobbelttilsyn, da Erhvervstilsynet også i øjeblikket fører aktivt tilsyn med organisationernes brug af cookies og tilsvarende teknologier i henhold til cookiebekendtgørelsen. Cookiebekendtgørelsen skal overholdes i tillæg til GDPR, hvis en organisation behandler personoplysninger via cookies.
DBA’s samtykkeløsning for cookies erklæret ugyldig
Som den første sag i 2022 vedrørende cookies har Datatilsynet netop udtalt alvorlig kritik af DBA som følge af deres non-compliant samtykkeløsning for cookies. Datatilsynet vurderede, at det indhentede cookiesamtykke ikke var gyldigt, da DBA:
- Behandlede personoplysninger via cookies til flere formål, men det var alene muligt for de besøgende at klikke ”ok” til samtlige formål. Samtykkeløsningen gav dermed ikke mulighed for at til- og fravælge de forskellige behandlingsformål. DBA burde i stedet have integreret flere tjekbokse (granuleret formålene), og DBA opfyldte dermed ikke betingelsen om et ”frivilligt” samtykke.
- Ikke via samtykkeløsningen havde oplyst, at oplysningerne blev videregivet til tredjepartsselskaber med henblik på deres markedsføring. DBA skulle have angivet en udtømmende liste over disse selskaber, og til hvilket formål personoplysningerne blev videregivet (direkte via pop-up-vinduet).
- Fejlagtigt henvist til GDPR-artikel 6, stk. 1, litra f (legitime interesser) som grundlag for behandling af personoplysninger til brug for statistik via Google Analytics. Datatilsynet lagde vægt på, at DBA’s legitime interesser i at opnå en bedre forståelse for de besøgendes adfærd på hjemmesiden og for at kunne danne sig et grundlag for produkt- og ydelsesforbedringer på dba.dk ikke oversteg hensynet til hjemmesidens besøgende, da de hjemmesidebesøgende ikke med rimelighed kunne forvente, at deres oplysninger også blev videregivet til Google LLC’s servere i USA.
- Ikke med tilstrækkelig klarhed via samtykketeksten i pop-up-vinduet havde angivet, hvilket retsgrundlag personoplysningerne blev behandlet på baggrund af. DBA havde således angivet, at retsgrundlaget efter GDPR i alle tilfælde var et samtykke. Dette var på trods af, at DBA i privatlivspolitikken samtidig havde angivet, at retsgrundlaget for behandling af personoplysninger indsamlet til brug for statistik var DBA’s legitime interesser.
- Ikke havde givet den nødvendige beskrivelse via samtykkeløsningen (pop-up-vinduet) af, hvordan samtykket let kunne tilbagekaldes.
Tredjelandsoverførsel af personoplysninger via Google Analytics i strid med GDPR
Datatilsynet berørte i afgørelsen for DBA, problemstillingen omkring overførsel af personoplysninger til USA ved brugen af Google Analytics via cookies. Datatilsynets afgørelse gik dog alene på tredjelandsoverførslens betydning i forhold til, hvorvidt interesseafvejningsreglen kunne anvendes, hvorimod en anden ny afgørelse fra det østrigske datatilsyn direkte vedrører lovligheden af Google Analytics i relation til tredjelandsoverførsler.
Det østrigske datatilsyn fandt i sagen, at personoplysninger indsamlet via cookies blev overført til Google LLC i USA, og at overførslen fandt sted på baggrund af EU-Kommissionens standardkontraktsbestemmelser (2010/87/EU). Tilsynet vurderede herefter med bl.a. henvisning til Schrems II-sagen, at overførslen var i strid med GDPR-artikel 44. Tilsynet vurderede, at organisationen ikke havde sikret et beskyttelsesniveau, der i det væsentlige svarer til beskyttelsesniveauet i EU. Det østrigske datatilsyn fandt samtidig, at de supplerende foranstaltninger, som var blevet implementeret i tillæg til standardkontraktbestemmelserne, ikke var tilstrækkeligt effektive. Det skyldtes, at foranstaltningerne ikke forhindrede mulighederne for overvågning af og adgang til de overførte oplysninger fra amerikanske myndigheder.
Afgørelsen understreger vigtigheden af, at organisationer i tillæg til sikring af et overførselsgrundlag ved overførsel af personoplysninger til usikre tredjelande også skal udarbejde en såkaldt Transfer Impact Assessment. Samtidig skal alle organisationer sikre, at de nye SCC’er fra 2021 anvendes.
Datatilsynet i Danmark er i gang med at nærlæse afgørelsen sammen med de øvrige afgørelser fra andre europæiske kollegaer i de 101 klagesager fra organisationen None of Your Business (NOYB). Datatilsynet forventer herefter at udarbejde en vejledende tekst på baggrund heraf vedrørende brugen af værktøjer såsom Google Analytics.
Anbefaling om ikke at anvende IAB Europes standardiserede cookieløsning
Medier, mediebureauer og teknologivirksomheder over hele Europa har tilsluttet sig det såkaldte IAB Transparency & Consent Framework (TCF). TCF er udviklet af selskabet IAB Europe, som er en brancheforening for annoncefirmaer i Europa, og det skønnes, at TCF bliver anvendt af over 80 procent af europæiske hjemmesideejere. TFC er en standardløsning for cookies, der skal sikre gennemsigtighed og indhentelse af de fornødne samtykker, herunder samtykke til deling af data med tredjeparter. TCF bliver dermed integreret som en del af organisationens tekniske cookieløsning.
To nye afgørelser fra det belgiske og hollandske datatilsyn kan dog få vidtrækkende konsekvenser for organisationernes fremtidige brug af TCF-løsningen.
Det belgiske datatilsyn har således givet en bøde til IAB Europe på 250.000 EURO for at bryde GDPR i relation til TFC-løsningen. Det belgiske tilsyn konkluderede, dels at TCF ikke kunne henvise til de fornødne retsgrundlag for deling af personoplysninger, dels at brugerne ikke blev tilstrækkeligt informeret om behandlingen af de involverede parter. Det belgiske tilsyn vurderede dermed samtidig, at IAB Europe er selvstændig dataansvarlig for de indsamlede data, hvilket IAB Europe bestrider. IAB Europe er blevet pålagt at slette samtlige data, som de har indsamlet på baggrund TFC-løsningen samt pålagt atgøre TFC-løsningen lovlig inden for seks måneder. IAB Europe har dog mulighed for at anke afgørelsen.
Det hollandske datatilsyn har herefter tilsluttet sig den belgiske afgørelse og har netop anbefalet, at alle organisationer bør stoppe med at anvende TCF-løsningen. Det skyldes, at tilsynet tilsvarende langt fra mener, at løsningen lever op til kravene i GDPR.
Der er stor grund til at antage, at det danske Datatilsyn også ville nå frem til en lignende afgørelse, når man tager de to tilsyns kritikpunkter i betragtning. Der er i denne forbindelse mulighed for, at det danske Datatilsyn via en udtalelse tilslutter sig anbefalingerne fra det belgiske og hollandske tilsyn, og dermed vil fraråde alle danske organisationer at anvende TCF som en del af samtykkeløsningen for cookies.
Kontakt
Hvis du har spørgsmål til reglerne for cookies, er du meget velkommen til at kontakte partner Thomas Munk Rasmussen, managing associate Egil Husum eller advokat Nilas Monberg. Du kan også rette henvendelse til din kontaktperson hos Bech-Bruun.