Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Nu bliver det sværere at markedsføre sig via cookies

Bech Bruun
20/02/2020
1.459
Nu bliver det sværere at markedsføre sig via cookies
Bech Bruun logo
Med en ny principiel afgørelse og vejledning fastslår Datatilsynet, at indsamling af data via cookies ofte vil udgøre personoplysninger. Hvis der er tale om personoplysninger, skal databeskyttelsesreglerne overholdes. I fremtiden bliver det på grund af de nye krav langt sværere for virksomheder og offentlige myndigheder at bruge cookies. Blandt andet vil et samtykke til fx markedsføring via cookies fremover kræve, at det er lige så nemt at sige ”nej tak” som at samtykke til markedsføring. Herudover skal samtykket indhentes særskilt for hvert enkelt formål, og tilvalgsfelterne må ikke være forudafkrydsede.

 

Hvad er cookies, og hvorfor er de vigtige?

En cookie er en tekstfil, der sættes på brugerens computer ved besøg på en hjemmeside. Cookien indsamler data om den besøgende fx for at kunne målrette markedsføring på baggrund af ens adfærd på den pågældende hjemmeside. Hvis den besøgende fx har accepteret cookies på en hjemmeside, der sælger sko, kan en cookie sørge for, at man senere bliver mødt med en bannerreklame for sko. Mange virksomheder og offentlige myndigheder tjener store summer på at sælge data indsamlet via cookies. Efter de nugældende regler i cookiebekendtgørelsen, der implementerer e-Databeskyttelsesdirektivet, skal der indhentes samtykke til at indsamle data via cookies til brug for bl.a. statistik og markedsføring. Kravene til et cookie-samtykke er dog ikke lige så skrappe som et GDPR-samtykke, og det har været relativt let for virksomheder og offentlige myndigheder at indhente den besøgendes samtykke. Med den nye afgørelse og vejledning fra Datatilsynet vil det i fremtiden blive langt sværere for virksomheder og offentlige myndigheder at indhente den besøgendes samtykke til fx at indsamle data via cookies til brug for markedsføring.


Datatilsynets afgørelse   


En borger klagede til Datatilsynet over den måde Danmarks Meteorologiske Institut (”DMI”) indhentede samtykke på med henblik på visning af bannerreklamer på DMI’s hjemmeside. Borgerens data blev bl.a. videregivet til Google, der på vegne af andre betalende virksomheder, markedsførte sig over for borgeren med bannerreklamer.


Kompetence


Datatilsynet fastslår indledningsvist i afgørelsen, at de har kompetence til at vurdere sagen efter databeskyttelsesreglerne, hvis de indsamlede data er personoplysninger. Hvis dataene omvendt ikke er personoplysninger, men fx alene identifikationsfaktorer, vil det i stedet være Erhvervsstyrelsen, der kan vurdere sagen efter cookiebekendtgørelsen.

Ved spørgsmålet om der er tale om personoplysninger, konkluderer Datatilsynet, at Google via cookies på DMI’s hjemmeside indhenter en lang række oplysninger, herunder: ”(…)oplysninger om de besøgendes IP-adresse, hvilken hjemmeside, hvor Googles annonce er indlejret, de besøgende anmoder om at tilgå, datoen for anmodningen, og oplysninger om onlineidentifikatorer, der findes i cookies, som Google har lagret i de besøgendes browser.”

Af Googles dokumentation fremgår det, at oplysningerne benyttes til: ”[personalisering af indhold og annoncer, som du ser på Google og på vores partners’ hjemmesider og applikationer]”.

Fordi disse oplysninger vedrører borgerens egenskaber og adfærd, og fordi de anvendes til at behandle borgeren på en bestemt måde i forhold til udvælgelse af bannerreklamer, konkluderer Datatilsynet, at der er tale om personoplysninger. Dette gælder selvom, hverken DMI eller Google var bekendt med borgerens navn, e-mailadresse eller tilsvarende. Databeskyttelsesreglerne finder derfor anvendelse på den samlede mængde oplysninger, der er anført i citatet ovenfor. Derimod udtaler Datatilsynet, at reglerne i cookiebekendtgørelsen finder anvendese på den delmændgde af oplysninger, der er lagret i borgerens browser, herunder især cookieidentifikatorer.

 

Dataansvar

I relation til dataansvar efter databeskyttelsesreglerne lægger Datatilsynet til grund, at DMI og Google er fælles dataansvarlige for DMI’s indsamling og efterfølgende videregivelse af personoplysninger til Google via de placerede markedsføringscookies. Både DMI og Google har således begge en fælles økonomisk interesse i at bestemme, hvilke formål personoplysninger skal indsamles og videregives til. Omvendt fastslår Datatilsynet, at det alene er Google, der er dataansvarlig for Googles viderebehandling af personoplysningerne efter modtagelse fra DMI, herunder eventuel profilering. DMI er derfor udelukkende ansvarlig for at sikre et tilstrækkeligt behandlingsgrundlag for indsamling og videregivelse af personoplysningerne.


Retsgrundlag 

Det er Datatilsynets vurdering, at det relevante behandlingsgrundlag for indsamling og videregivelse af personoplysninger via cookies til brug for markedsføring er et samtykke, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a. Datatilsynet mener imidlertid ikke, at det indhentede samtykke er gyldigt:

  • Fordi samtykket ikke er ”frivilligt”. DMI indhentede ét samlet samtykke, men til forskellige formål (både statistik og markedsføring). Borgeren skal selv kunne til- og fravælge, hvilke formål vedkommende ønsker at give samtykke til. Disse til- og fravalg angivet i forskellige afkrydsningsbokse, skal fremgå direkte af samtykketeksten og må ikke ligge ét eller flere klik væk.

  • Fordi samtykket ikke er ”informeret”. Der er ikke tilstrækkelig tydelig information om de (fælles)dataansvarlige, hvilke personoplysninger der indsamles, og hvortil personoplysningerne videregives. Det er endvidere ikke klart, hvilke personoplysninger der indsamles og transmitteres til de (fælles)dataansvarlige, herunder Google.

  • Fordi samtykket ikke er ”gennemsigtigt”. Borgeren blev præsenteret for valgene ”OK” og ”Vis detaljer”, hvorved det ikke er muligt at afslå behandling uden at klikke videre. En sådan ”et-klik væk”-fremgangsmåde er ikke lovlig ifølge Datatilsynet. Herudover er samtykket ikke ”gennemsigtigt”, da muligheden for at afstå fra at give samtykke til behandling af personoplysninger i DMI’s løsning ikke fremgår lige så tydeligt som muligheden for at give samtykke.


 

Bech-Bruuns kommentar 

Samspillet mellem e-Databeskyttelsesdirektivet (implementeret med cookiebekedtgørelsen) og databeskyttelsesreglerne har længe været svær at gennemskue. Med afgørelsen og vejledningen fra Datatilsynet om databeskyttelsesreglernes krav for behandling af personoplysninger via cookies bringer Datatilsynet mere klarhed over samspillet mellem de to regelsæt.

Afgørelsen og vejledningen viser, at en hjemmesideejer, der har placeret cookies på sin hjemmeside, skal gøre sig klart, om der samtidig sker en indsamling af personoplysninger. Hvis det er tilfældet, skal hjemmesideejeren både overholde kravene i cookiebekendtgørelsen og databeskyttelsesreglerne. Det gælder for personoplysninger, der indsamles via cookies til brug for markedsføring. Det gælder også for cookies, der indsamler personoplysninger til brug for andre formål som fx statistik, profilering m.v.

Afgørelsen stiller således langt flere krav til, hvordan oplysninger via cookies må behandles sammenlignet med cookiebekendtgørelsen.

Hvis du er en del af en virksomhed eller offentlig myndighed, der indsamler personoplysninger via cookies, er det Bech-Bruuns anbefaling, at I sikrer følgende:

  1. At der foreligger et tilstrækkeligt retsgrundlag for behandling af personoplysninger. Efter Datatilsynets vejledning vil samtykke som udgangspunkt udgøre retsgrundlaget for behandling af de fleste personoplysninger via cookies. Det vil dog afhænge af det konkrete formål, hvilket retsgrundlag der kan anvendes.

  2. At pop-up-samtykkevinduet til placering af cookies opfylder de omfattende og skærpede samtykkekrav i Datatilsynets afgørelse og vejledning. Vejledningen stiller skrappere krav til indhentelse og tilbagekaldelse af samtykket, end de krav, der er gengivet i afgørelsen ovenfor. Bl.a. fremgår det af vejledningen, at til- og fravalgsfelterne ikke må være forudafkrydsede. Grunden er, at samtykket skal være aktivt for hvert enkelt formål, og at det skal være lige så let at trække et samtykke tilbage, som det var at afgive det.

  3. At oplysningspligten efter databeskyttelsesforordningens artikel 13 og 14 overholdes, inden cookies placeres.

  4. At rollerne for modtagere af personoplysninger via cookies klarlægges, og at de fornødne databehandleraftaler og aftaler om fælles dataansvar herefter indgås.



Vil du vide mere?


Du er meget velkommen til at kontakte os, hvis du vil have rådgivning om, hvordan du imødekommer daabeskyttelsesreglernes krav til behandling af personoplysninger via cookies.

Du kan læse Datatilsynets afgørelse her.

Du kan læse Datatilsynets vejledning her.

 

 

Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os. Du finder kontaktoplysningerne nedenfor.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Bech Bruun logo
København
Langelinie Allé 35
2100 København Ø
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
New York
412 West 15th Street, 15th
New York 10011
Shanghai
No.1440 Yan'an Middle Road
Suite 2H08, Jing'an District
200040 Shanghai
Ledige jobs
Jurainfo logo
Annoncér dit stillingsopslag her og nå ud til mere end 29.000 månedlige besøgende

Juridiske nyheder & artikler

Hold dig opdateret på de seneste juridiske nyheder eller søg blandt de mere end 4.000 artikler som allerede er udgivet. Vi har samlet det vigtigste viden ét sted.

Juridiske kurser & arrangementer

Find nemt dit næste kursus eller anden relevant efteruddannelse inden for dit felt. Søg på tværs af fagområder fra en række forskellige udbydere.

Find Juridisk Specialist

Brug for en advokat? Søg efter verificerede specialister på tværs af advokatbranchen og find en specialist inden for det område, hvor du søger råd og vejledning.

Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Ny dom fra EU-Domstolen afklarer regler om oprindelsesmærkning af fødevarer
Ny dom fra EU-Domstolen afklarer regler om oprindelsesmærkning af fødevarer
09/10/2020
E-handel og markedsføring
Ulovligt telefonsalg: Forbruger­ombudsmanden politianmelder to energiselskaber
Ulovligt telefonsalg: Forbruger­ombudsmanden politianmelder to energiselskaber
28/09/2020
E-handel og markedsføring
Nye vejledninger til influenters markedsføring af fødevarer
Nye vejledninger til influenters markedsføring af fødevarer
10/09/2020
E-handel og markedsføring
Ændring af AVMS-direktivet: Ny lovgivning for TV og medietjenester
Ændring af AVMS-direktivet: Ny lovgivning for TV og medietjenester
09/09/2020
E-handel og markedsføring, Øvrige
Forbrugerombudsmanden: Tavshedsklausuler i forbrugeraftaler er ugyldige
Forbrugerombudsmanden: Tavshedsklausuler i forbrugeraftaler er ugyldige
03/09/2020
E-handel og markedsføring, Kontraktret, Øvrige
Nye retningslinjer og mærkningsordning for el-produkter
Nye retningslinjer og mærkningsordning for el-produkter
28/08/2020
E-handel og markedsføring, Energi og forsyning
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
Vandtårnsvej 77, DK-2860 Søborg
E-mail: kontakt@jurainfo.dk
CVR-nr. 38375563
© 2020 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted