Cookies uden samtykke førte til alvorlig kritik

En bruger havde besøgt et låneinstituts hjemmeside, hvor han blev mødt af en samtykkeløsning til cookies, hvor der kunne vælges mellem:

• Absolut nødvendige
• Accepter alle
• Afvis alle
• Vis detaljer

”Absolut nødvendige” var i afkrydset forvejen. Før han havde brugt samtykkeløsningen, var der derfor allerede blevet placeret en række cookies. Det udløste en klage til Datatilsynet, som fandt, at virksomheden bag hjemmesiden havde handlet i strid med databeskyttelsesreglerne.

Datatilsynet udtalte, at det var i strid med reglerne, at der blev behandlet personoplysninger før der overhovedet var givet samtykke til det. Derudover overholdt samtykkeløsningen ikke de gældende krav. Der var ikke nok oplysninger om samtykket, og det fremgik heller ikke, at brugeren til enhver tid kunne trække sit samtykke tilbage. 

Afgørelsen fra Datatilsynet kommer i tæt sammenhæng med en ny vejledning fra Datatilsynet, om hvordan virksomheder skal kunne dokumentere, at der er indhentet et lovligt samtykke.

Hvordan hænger dokumentationskrav og dataminimering sammen?

Én af betingelserne for et gyldigt samtykke er, at virksomheder kan påvise, at der faktisk er givet samtykke i overensstemmelse med reglerne. Virksomheder skal være opmærksomme på det krav, men samtidig overholde principperne om dataminimering og opbevaringsbegrænsning. Det kan være en svær balance.

Datatilsynet fastslår i vejledningen, at virksomheder kun skal være i stand til at påvise samtykket mens behandlingsaktiviteterne pågår. Når behandlingsaktiviteten stopper, skal virksomheder derfor slette dokumentationen for det enkelte samtykke og oplysningerne, der blev behandlet på grundlag af det. Det kan eksempelvis være tilfældet, hvis samtykket er trukket tilbage, og behandlingsaktiviteten stopper på den baggrund.

Hvis virksomheder alligevel fortsætter behandlingen uden samtykke, eksempelvis med henvisning til at et retskrav skal kunne fastlægges, gøres gældende eller forsvares, skal oplysningerne ikke slettes. I den situation, skal virksomheder konkret se på, hvor længe oplysningerne kan opbevares. Det er i den forbindelse vigtigt, at der er tale om en konkret vurdering, eksempelvis på baggrund af virksomhedens erfaring. Hvis opbevaringsperioden er lang for en sikkerheds skyld, eller hvis oplysningerne opbevares for at kunne forsvare et rent hypotetisk krav, vil behandlingen som udgangspunkt være ulovlig.

IUNO mener

Sagen og vejledningen viser, hvor vigtigt det er, at virksomheder har et behandlingsgrundlag og de rette opbevaringsperioder på plads, når behandling sker på baggrund af et samtykke. Det er vigtigt, at virksomheder er helt klare på, hvordan kravene til samtykke bliver opfyldt rigtigt, samtidig med at de øvrige databeskyttelsesregler bliver overholdt.

IUNO anbefaler, at virksomheder løbende tjekker op på samtykkeløsninger, og de interne opbevaringspolitikker. Datatilsynets afgørelser kan nemlig løbende give anledning til større eller mindre ændringer i, hvordan reglerne bliver grebet helt rigtigt an. Det er afgørelserne om nudging, her, og ”nej-tak-lister”, her, gode eksempler på.

[Datatilsynets afgørelse af 23. december 2022 i sag 2021-31-5283]