Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Nu bliver det sværere at markedsføre sig via cookies

Bech Bruun
20/02/2020
Nu bliver det sværere at markedsføre sig via cookies
Bech Bruun logo
Med en ny principiel afgørelse og vejledning fastslår Datatilsynet, at indsamling af data via cookies ofte vil udgøre personoplysninger. Hvis der er tale om personoplysninger, skal databeskyttelsesreglerne overholdes. I fremtiden bliver det på grund af de nye krav langt sværere for virksomheder og offentlige myndigheder at bruge cookies. Blandt andet vil et samtykke til fx markedsføring via cookies fremover kræve, at det er lige så nemt at sige ”nej tak” som at samtykke til markedsføring. Herudover skal samtykket indhentes særskilt for hvert enkelt formål, og tilvalgsfelterne må ikke være forudafkrydsede.

 

Hvad er cookies, og hvorfor er de vigtige?

En cookie er en tekstfil, der sættes på brugerens computer ved besøg på en hjemmeside. Cookien indsamler data om den besøgende fx for at kunne målrette markedsføring på baggrund af ens adfærd på den pågældende hjemmeside. Hvis den besøgende fx har accepteret cookies på en hjemmeside, der sælger sko, kan en cookie sørge for, at man senere bliver mødt med en bannerreklame for sko. Mange virksomheder og offentlige myndigheder tjener store summer på at sælge data indsamlet via cookies. Efter de nugældende regler i cookiebekendtgørelsen, der implementerer e-Databeskyttelsesdirektivet, skal der indhentes samtykke til at indsamle data via cookies til brug for bl.a. statistik og markedsføring. Kravene til et cookie-samtykke er dog ikke lige så skrappe som et GDPR-samtykke, og det har været relativt let for virksomheder og offentlige myndigheder at indhente den besøgendes samtykke. Med den nye afgørelse og vejledning fra Datatilsynet vil det i fremtiden blive langt sværere for virksomheder og offentlige myndigheder at indhente den besøgendes samtykke til fx at indsamle data via cookies til brug for markedsføring.


Datatilsynets afgørelse   


En borger klagede til Datatilsynet over den måde Danmarks Meteorologiske Institut (”DMI”) indhentede samtykke på med henblik på visning af bannerreklamer på DMI’s hjemmeside. Borgerens data blev bl.a. videregivet til Google, der på vegne af andre betalende virksomheder, markedsførte sig over for borgeren med bannerreklamer.


Kompetence


Datatilsynet fastslår indledningsvist i afgørelsen, at de har kompetence til at vurdere sagen efter databeskyttelsesreglerne, hvis de indsamlede data er personoplysninger. Hvis dataene omvendt ikke er personoplysninger, men fx alene identifikationsfaktorer, vil det i stedet være Erhvervsstyrelsen, der kan vurdere sagen efter cookiebekendtgørelsen.

Ved spørgsmålet om der er tale om personoplysninger, konkluderer Datatilsynet, at Google via cookies på DMI’s hjemmeside indhenter en lang række oplysninger, herunder: ”(…)oplysninger om de besøgendes IP-adresse, hvilken hjemmeside, hvor Googles annonce er indlejret, de besøgende anmoder om at tilgå, datoen for anmodningen, og oplysninger om onlineidentifikatorer, der findes i cookies, som Google har lagret i de besøgendes browser.”

Af Googles dokumentation fremgår det, at oplysningerne benyttes til: ”[personalisering af indhold og annoncer, som du ser på Google og på vores partners’ hjemmesider og applikationer]”.

Fordi disse oplysninger vedrører borgerens egenskaber og adfærd, og fordi de anvendes til at behandle borgeren på en bestemt måde i forhold til udvælgelse af bannerreklamer, konkluderer Datatilsynet, at der er tale om personoplysninger. Dette gælder selvom, hverken DMI eller Google var bekendt med borgerens navn, e-mailadresse eller tilsvarende. Databeskyttelsesreglerne finder derfor anvendelse på den samlede mængde oplysninger, der er anført i citatet ovenfor. Derimod udtaler Datatilsynet, at reglerne i cookiebekendtgørelsen finder anvendese på den delmændgde af oplysninger, der er lagret i borgerens browser, herunder især cookieidentifikatorer.

 

Dataansvar

I relation til dataansvar efter databeskyttelsesreglerne lægger Datatilsynet til grund, at DMI og Google er fælles dataansvarlige for DMI’s indsamling og efterfølgende videregivelse af personoplysninger til Google via de placerede markedsføringscookies. Både DMI og Google har således begge en fælles økonomisk interesse i at bestemme, hvilke formål personoplysninger skal indsamles og videregives til. Omvendt fastslår Datatilsynet, at det alene er Google, der er dataansvarlig for Googles viderebehandling af personoplysningerne efter modtagelse fra DMI, herunder eventuel profilering. DMI er derfor udelukkende ansvarlig for at sikre et tilstrækkeligt behandlingsgrundlag for indsamling og videregivelse af personoplysningerne.


Retsgrundlag 

Det er Datatilsynets vurdering, at det relevante behandlingsgrundlag for indsamling og videregivelse af personoplysninger via cookies til brug for markedsføring er et samtykke, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a. Datatilsynet mener imidlertid ikke, at det indhentede samtykke er gyldigt:

  • Fordi samtykket ikke er ”frivilligt”. DMI indhentede ét samlet samtykke, men til forskellige formål (både statistik og markedsføring). Borgeren skal selv kunne til- og fravælge, hvilke formål vedkommende ønsker at give samtykke til. Disse til- og fravalg angivet i forskellige afkrydsningsbokse, skal fremgå direkte af samtykketeksten og må ikke ligge ét eller flere klik væk.

  • Fordi samtykket ikke er ”informeret”. Der er ikke tilstrækkelig tydelig information om de (fælles)dataansvarlige, hvilke personoplysninger der indsamles, og hvortil personoplysningerne videregives. Det er endvidere ikke klart, hvilke personoplysninger der indsamles og transmitteres til de (fælles)dataansvarlige, herunder Google.

  • Fordi samtykket ikke er ”gennemsigtigt”. Borgeren blev præsenteret for valgene ”OK” og ”Vis detaljer”, hvorved det ikke er muligt at afslå behandling uden at klikke videre. En sådan ”et-klik væk”-fremgangsmåde er ikke lovlig ifølge Datatilsynet. Herudover er samtykket ikke ”gennemsigtigt”, da muligheden for at afstå fra at give samtykke til behandling af personoplysninger i DMI’s løsning ikke fremgår lige så tydeligt som muligheden for at give samtykke.


 

Bech-Bruuns kommentar 

Samspillet mellem e-Databeskyttelsesdirektivet (implementeret med cookiebekedtgørelsen) og databeskyttelsesreglerne har længe været svær at gennemskue. Med afgørelsen og vejledningen fra Datatilsynet om databeskyttelsesreglernes krav for behandling af personoplysninger via cookies bringer Datatilsynet mere klarhed over samspillet mellem de to regelsæt.

Afgørelsen og vejledningen viser, at en hjemmesideejer, der har placeret cookies på sin hjemmeside, skal gøre sig klart, om der samtidig sker en indsamling af personoplysninger. Hvis det er tilfældet, skal hjemmesideejeren både overholde kravene i cookiebekendtgørelsen og databeskyttelsesreglerne. Det gælder for personoplysninger, der indsamles via cookies til brug for markedsføring. Det gælder også for cookies, der indsamler personoplysninger til brug for andre formål som fx statistik, profilering m.v.

Afgørelsen stiller således langt flere krav til, hvordan oplysninger via cookies må behandles sammenlignet med cookiebekendtgørelsen.

Hvis du er en del af en virksomhed eller offentlig myndighed, der indsamler personoplysninger via cookies, er det Bech-Bruuns anbefaling, at I sikrer følgende:

  1. At der foreligger et tilstrækkeligt retsgrundlag for behandling af personoplysninger. Efter Datatilsynets vejledning vil samtykke som udgangspunkt udgøre retsgrundlaget for behandling af de fleste personoplysninger via cookies. Det vil dog afhænge af det konkrete formål, hvilket retsgrundlag der kan anvendes.

  2. At pop-up-samtykkevinduet til placering af cookies opfylder de omfattende og skærpede samtykkekrav i Datatilsynets afgørelse og vejledning. Vejledningen stiller skrappere krav til indhentelse og tilbagekaldelse af samtykket, end de krav, der er gengivet i afgørelsen ovenfor. Bl.a. fremgår det af vejledningen, at til- og fravalgsfelterne ikke må være forudafkrydsede. Grunden er, at samtykket skal være aktivt for hvert enkelt formål, og at det skal være lige så let at trække et samtykke tilbage, som det var at afgive det.

  3. At oplysningspligten efter databeskyttelsesforordningens artikel 13 og 14 overholdes, inden cookies placeres.

  4. At rollerne for modtagere af personoplysninger via cookies klarlægges, og at de fornødne databehandleraftaler og aftaler om fælles dataansvar herefter indgås.



Vil du vide mere?


Du er meget velkommen til at kontakte os, hvis du vil have rådgivning om, hvordan du imødekommer daabeskyttelsesreglernes krav til behandling af personoplysninger via cookies.

Du kan læse Datatilsynets afgørelse her.

Du kan læse Datatilsynets vejledning her.

 

 

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
08/03/2024
Persondata, IT- og telekommunikation
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
11/03/2024
Persondata, IT- og telekommunikation, Compliance
Landsretten har afsagt dom i Danish Crown-sagen om brug af miljømæssige udsagn om griseproduktion
Landsretten har afsagt dom i Danish Crown-sagen om brug af miljømæssige udsagn om griseproduktion
13/03/2024
E-handel og markedsføring
En bæredygtig fremtid: producenter tager ansvar for emballageaffald
En bæredygtig fremtid: producenter tager ansvar for emballageaffald
19/03/2024
EU-ret, E-handel og markedsføring, Kontraktret
AI Act vedtaget af Europa-Parlamentet
AI Act vedtaget af Europa-Parlamentet
22/03/2024
Persondata, EU-ret
Online shopping - kan virksomheden sætte ind overfor misbrug af forbrugernes returrettigheder?
Online shopping - kan virksomheden sætte ind overfor misbrug af forbrugernes returrettigheder?
27/03/2024
E-handel og markedsføring, Øvrige
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted