Med en ny principiel afgørelse og vejledning fastslår Datatilsynet, at indsamling af data via cookies ofte vil udgøre personoplysninger. Hvis der er tale om personoplysninger, skal databeskyttelsesreglerne overholdes. I fremtiden bliver det på grund af de nye krav langt sværere for virksomheder og offentlige myndigheder at bruge cookies. Blandt andet vil et samtykke til fx markedsføring via cookies fremover kræve, at det er lige så nemt at sige ”nej tak” som at samtykke til markedsføring. Herudover skal samtykket indhentes særskilt for hvert enkelt formål, og tilvalgsfelterne må ikke være forudafkrydsede.
Hvad er cookies, og hvorfor er de vigtige?
En cookie er en tekstfil, der sættes på brugerens computer ved besøg på en hjemmeside. Cookien indsamler data om den besøgende fx for at kunne målrette markedsføring på baggrund af ens adfærd på den pågældende hjemmeside. Hvis den besøgende fx har accepteret cookies på en hjemmeside, der sælger sko, kan en cookie sørge for, at man senere bliver mødt med en bannerreklame for sko. Mange virksomheder og offentlige myndigheder tjener store summer på at sælge data indsamlet via cookies. Efter de nugældende regler i cookiebekendtgørelsen, der implementerer e-Databeskyttelsesdirektivet, skal der indhentes samtykke til at indsamle data via cookies til brug for bl.a. statistik og markedsføring. Kravene til et cookie-samtykke er dog ikke lige så skrappe som et GDPR-samtykke, og det har været relativt let for virksomheder og offentlige myndigheder at indhente den besøgendes samtykke. Med den nye afgørelse og vejledning fra Datatilsynet vil det i fremtiden blive langt sværere for virksomheder og offentlige myndigheder at indhente den besøgendes samtykke til fx at indsamle data via cookies til brug for markedsføring.
Datatilsynets afgørelse
En borger klagede til Datatilsynet over den måde Danmarks Meteorologiske Institut (”DMI”) indhentede samtykke på med henblik på visning af bannerreklamer på DMI’s hjemmeside. Borgerens data blev bl.a. videregivet til Google, der på vegne af andre betalende virksomheder, markedsførte sig over for borgeren med bannerreklamer.
Kompetence
Datatilsynet fastslår indledningsvist i afgørelsen, at de har kompetence til at vurdere sagen efter databeskyttelsesreglerne, hvis de indsamlede data er personoplysninger. Hvis dataene omvendt ikke er personoplysninger, men fx alene identifikationsfaktorer, vil det i stedet være Erhvervsstyrelsen, der kan vurdere sagen efter cookiebekendtgørelsen.
Ved spørgsmålet om der er tale om personoplysninger, konkluderer Datatilsynet, at Google via cookies på DMI’s hjemmeside indhenter en lang række oplysninger, herunder: ”(…)oplysninger om de besøgendes IP-adresse, hvilken hjemmeside, hvor Googles annonce er indlejret, de besøgende anmoder om at tilgå, datoen for anmodningen, og oplysninger om onlineidentifikatorer, der findes i cookies, som Google har lagret i de besøgendes browser.”
Af Googles dokumentation fremgår det, at oplysningerne benyttes til: ”[personalisering af indhold og annoncer, som du ser på Google og på vores partners’ hjemmesider og applikationer]”.
Fordi disse oplysninger vedrører borgerens egenskaber og adfærd, og fordi de anvendes til at behandle borgeren på en bestemt måde i forhold til udvælgelse af bannerreklamer, konkluderer Datatilsynet, at der er tale om personoplysninger. Dette gælder selvom, hverken DMI eller Google var bekendt med borgerens navn, e-mailadresse eller tilsvarende. Databeskyttelsesreglerne finder derfor anvendelse på den samlede mængde oplysninger, der er anført i citatet ovenfor. Derimod udtaler Datatilsynet, at reglerne i cookiebekendtgørelsen finder anvendese på den delmændgde af oplysninger, der er lagret i borgerens browser, herunder især cookieidentifikatorer.
Dataansvar
I relation til dataansvar efter databeskyttelsesreglerne lægger Datatilsynet til grund, at DMI og Google er fælles dataansvarlige for DMI’s indsamling og efterfølgende videregivelse af personoplysninger til Google via de placerede markedsføringscookies. Både DMI og Google har således begge en fælles økonomisk interesse i at bestemme, hvilke formål personoplysninger skal indsamles og videregives til. Omvendt fastslår Datatilsynet, at det alene er Google, der er dataansvarlig for Googles viderebehandling af personoplysningerne efter modtagelse fra DMI, herunder eventuel profilering. DMI er derfor udelukkende ansvarlig for at sikre et tilstrækkeligt behandlingsgrundlag for indsamling og videregivelse af personoplysningerne.
Retsgrundlag
Det er Datatilsynets vurdering, at det relevante behandlingsgrundlag for indsamling og videregivelse af personoplysninger via cookies til brug for markedsføring er et samtykke, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a. Datatilsynet mener imidlertid ikke, at det indhentede samtykke er gyldigt:
- Fordi samtykket ikke er ”frivilligt”. DMI indhentede ét samlet samtykke, men til forskellige formål (både statistik og markedsføring). Borgeren skal selv kunne til- og fravælge, hvilke formål vedkommende ønsker at give samtykke til. Disse til- og fravalg angivet i forskellige afkrydsningsbokse, skal fremgå direkte af samtykketeksten og må ikke ligge ét eller flere klik væk.
- Fordi samtykket ikke er ”informeret”. Der er ikke tilstrækkelig tydelig information om de (fælles)dataansvarlige, hvilke personoplysninger der indsamles, og hvortil personoplysningerne videregives. Det er endvidere ikke klart, hvilke personoplysninger der indsamles og transmitteres til de (fælles)dataansvarlige, herunder Google.
- Fordi samtykket ikke er ”gennemsigtigt”. Borgeren blev præsenteret for valgene ”OK” og ”Vis detaljer”, hvorved det ikke er muligt at afslå behandling uden at klikke videre. En sådan ”et-klik væk”-fremgangsmåde er ikke lovlig ifølge Datatilsynet. Herudover er samtykket ikke ”gennemsigtigt”, da muligheden for at afstå fra at give samtykke til behandling af personoplysninger i DMI’s løsning ikke fremgår lige så tydeligt som muligheden for at give samtykke.
Bech-Bruuns kommentar
Samspillet mellem e-Databeskyttelsesdirektivet (implementeret med cookiebekedtgørelsen) og databeskyttelsesreglerne har længe været svær at gennemskue. Med afgørelsen og vejledningen fra Datatilsynet om databeskyttelsesreglernes krav for behandling af personoplysninger via cookies bringer Datatilsynet mere klarhed over samspillet mellem de to regelsæt.
Afgørelsen og vejledningen viser, at en hjemmesideejer, der har placeret cookies på sin hjemmeside, skal gøre sig klart, om der samtidig sker en indsamling af personoplysninger. Hvis det er tilfældet, skal hjemmesideejeren både overholde kravene i cookiebekendtgørelsen og databeskyttelsesreglerne. Det gælder for personoplysninger, der indsamles via cookies til brug for markedsføring. Det gælder også for cookies, der indsamler personoplysninger til brug for andre formål som fx statistik, profilering m.v.
Afgørelsen stiller således langt flere krav til, hvordan oplysninger via cookies må behandles sammenlignet med cookiebekendtgørelsen.
Hvis du er en del af en virksomhed eller offentlig myndighed, der indsamler personoplysninger via cookies, er det Bech-Bruuns anbefaling, at I sikrer følgende:
- At der foreligger et tilstrækkeligt retsgrundlag for behandling af personoplysninger. Efter Datatilsynets vejledning vil samtykke som udgangspunkt udgøre retsgrundlaget for behandling af de fleste personoplysninger via cookies. Det vil dog afhænge af det konkrete formål, hvilket retsgrundlag der kan anvendes.
- At pop-up-samtykkevinduet til placering af cookies opfylder de omfattende og skærpede samtykkekrav i Datatilsynets afgørelse og vejledning. Vejledningen stiller skrappere krav til indhentelse og tilbagekaldelse af samtykket, end de krav, der er gengivet i afgørelsen ovenfor. Bl.a. fremgår det af vejledningen, at til- og fravalgsfelterne ikke må være forudafkrydsede. Grunden er, at samtykket skal være aktivt for hvert enkelt formål, og at det skal være lige så let at trække et samtykke tilbage, som det var at afgive det.
- At oplysningspligten efter databeskyttelsesforordningens artikel 13 og 14 overholdes, inden cookies placeres.
- At rollerne for modtagere af personoplysninger via cookies klarlægges, og at de fornødne databehandleraftaler og aftaler om fælles dataansvar herefter indgås.
Vil du vide mere?
Du er meget velkommen til at kontakte os, hvis du vil have rådgivning om, hvordan du imødekommer daabeskyttelsesreglernes krav til behandling af personoplysninger via cookies.
Du kan læse Datatilsynets afgørelse her.
Du kan læse Datatilsynets vejledning her.
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.