Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Cookies uden samtykke førte til alvorlig kritik

Cookies uden samtykke førte til alvorlig kritik
IUNO logo
Et låneinstitut havde en samtykkeløsning til cookies på sin hjemmeside. Men, virksomheden, der stod bag hjemmesiden, havde placeret egne og tredjeparters cookies, inden der blev indhentet samtykke. Udover det manglende samtykke, levede løsningen heller ikke op til kravene i databeskyttelsesreglerne. Det udløste alvorlig kritik fra Datatilsynets side.

En bruger havde besøgt et låneinstituts hjemmeside, hvor han blev mødt af en samtykkeløsning til cookies, hvor der kunne vælges mellem:


  • Absolut nødvendige
  • Accepter alle
  • Afvis alle
  • Vis detaljer


”Absolut nødvendige” var i afkrydset forvejen. Før han havde brugt samtykkeløsningen, var der derfor allerede blevet placeret en række cookies. Det udløste en klage til Datatilsynet, som fandt, at virksomheden bag hjemmesiden havde handlet i strid med databeskyttelsesreglerne.


Datatilsynet udtalte, at det var i strid med reglerne, at der blev behandlet personoplysninger før der overhovedet var givet samtykke til det. Derudover overholdt samtykkeløsningen ikke de gældende krav. Der var ikke nok oplysninger om samtykket, og det fremgik heller ikke, at brugeren til enhver tid kunne trække sit samtykke tilbage. 


Afgørelsen fra Datatilsynet kommer i tæt sammenhæng med en ny vejledning fra Datatilsynet, om hvordan virksomheder skal kunne dokumentere, at der er indhentet et lovligt samtykke.


Hvordan hænger dokumentationskrav og dataminimering sammen?

Én af betingelserne for et gyldigt samtykke er, at virksomheder kan påvise, at der faktisk er givet samtykke i overensstemmelse med reglerne. Virksomheder skal være opmærksomme på det krav, men samtidig overholde principperne om dataminimering og opbevaringsbegrænsning. Det kan være en svær balance.


Datatilsynet fastslår i vejledningen, at virksomheder kun skal være i stand til at påvise samtykket mens behandlingsaktiviteterne pågår. Når behandlingsaktiviteten stopper, skal virksomheder derfor slette dokumentationen for det enkelte samtykke og oplysningerne, der blev behandlet på grundlag af det. Det kan eksempelvis være tilfældet, hvis samtykket er trukket tilbage, og behandlingsaktiviteten stopper på den baggrund.


Hvis virksomheder alligevel fortsætter behandlingen uden samtykke, eksempelvis med henvisning til at et retskrav skal kunne fastlægges, gøres gældende eller forsvares, skal oplysningerne ikke slettes. I den situation, skal virksomheder konkret se på, hvor længe oplysningerne kan opbevares. Det er i den forbindelse vigtigt, at der er tale om en konkret vurdering, eksempelvis på baggrund af virksomhedens erfaring. Hvis opbevaringsperioden er lang for en sikkerheds skyld, eller hvis oplysningerne opbevares for at kunne forsvare et rent hypotetisk krav, vil behandlingen som udgangspunkt være ulovlig.


IUNO mener

Sagen og vejledningen viser, hvor vigtigt det er, at virksomheder har et behandlingsgrundlag og de rette opbevaringsperioder på plads, når behandling sker på baggrund af et samtykke. Det er vigtigt, at virksomheder er helt klare på, hvordan kravene til samtykke bliver opfyldt rigtigt, samtidig med at de øvrige databeskyttelsesregler bliver overholdt.


IUNO anbefaler, at virksomheder løbende tjekker op på samtykkeløsninger, og de interne opbevaringspolitikker. Datatilsynets afgørelser kan nemlig løbende give anledning til større eller mindre ændringer i, hvordan reglerne bliver grebet helt rigtigt an. Det er afgørelserne om nudging, her, og ”nej-tak-lister”, her, gode eksempler på.


[Datatilsynets afgørelse af 23. december 2022 i sag 2021-31-5283]

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
Retningslinjer for bæredygtige aftaler i landbrugssektoren vedtaget
Retningslinjer for bæredygtige aftaler i landbrugssektoren vedtaget
15/04/2024
Konkurrenceret, E-handel og markedsføring, EU-ret
VIRK23 er på gaden
VIRK23 er på gaden
16/04/2024
Kontraktret, IT- og telekommunikation, Persondata
Hvordan håndterer du dine medarbejderes brug af kunstig intelligens (AI)?
Hvordan håndterer du dine medarbejderes brug af kunstig intelligens (AI)?
26/04/2024
Persondata, Immaterialret, Øvrige
Enig med Generaladvokaten: EU-Domstolens afgørelse i forældelsessag mod Google
Enig med Generaladvokaten: EU-Domstolens afgørelse i forældelsessag mod Google
06/05/2024
EU-ret, E-handel og markedsføring, Konkurrenceret
Overtrædelse af GDPR: Erstatning for ikke-økonomisk skade
Overtrædelse af GDPR: Erstatning for ikke-økonomisk skade
06/05/2024
Persondata, Forsikring og erstatning
Nyt nordisk standpunkt: Brug af markedsføringsudsagn om klimakompensation
Nyt nordisk standpunkt: Brug af markedsføringsudsagn om klimakompensation
15/05/2024
E-handel og markedsføring
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted