Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Jobbørs Domme
Om Jurainfo Juridiske links Privatlivspolitik Kontakt
Bliv forfatter Bliv kursusudbyder Bliv verificeret specialist Bliv jobannoncør
Artikel

Nu bliver det sværere at markedsføre sig via cookies

Bech Bruun
20/02/2020
Nu bliver det sværere at markedsføre sig via cookies
Bech Bruun logo
Med en ny principiel afgørelse og vejledning fastslår Datatilsynet, at indsamling af data via cookies ofte vil udgøre personoplysninger. Hvis der er tale om personoplysninger, skal databeskyttelsesreglerne overholdes. I fremtiden bliver det på grund af de nye krav langt sværere for virksomheder og offentlige myndigheder at bruge cookies. Blandt andet vil et samtykke til fx markedsføring via cookies fremover kræve, at det er lige så nemt at sige ”nej tak” som at samtykke til markedsføring. Herudover skal samtykket indhentes særskilt for hvert enkelt formål, og tilvalgsfelterne må ikke være forudafkrydsede.

 

Hvad er cookies, og hvorfor er de vigtige?

En cookie er en tekstfil, der sættes på brugerens computer ved besøg på en hjemmeside. Cookien indsamler data om den besøgende fx for at kunne målrette markedsføring på baggrund af ens adfærd på den pågældende hjemmeside. Hvis den besøgende fx har accepteret cookies på en hjemmeside, der sælger sko, kan en cookie sørge for, at man senere bliver mødt med en bannerreklame for sko. Mange virksomheder og offentlige myndigheder tjener store summer på at sælge data indsamlet via cookies. Efter de nugældende regler i cookiebekendtgørelsen, der implementerer e-Databeskyttelsesdirektivet, skal der indhentes samtykke til at indsamle data via cookies til brug for bl.a. statistik og markedsføring. Kravene til et cookie-samtykke er dog ikke lige så skrappe som et GDPR-samtykke, og det har været relativt let for virksomheder og offentlige myndigheder at indhente den besøgendes samtykke. Med den nye afgørelse og vejledning fra Datatilsynet vil det i fremtiden blive langt sværere for virksomheder og offentlige myndigheder at indhente den besøgendes samtykke til fx at indsamle data via cookies til brug for markedsføring.


Datatilsynets afgørelse   


En borger klagede til Datatilsynet over den måde Danmarks Meteorologiske Institut (”DMI”) indhentede samtykke på med henblik på visning af bannerreklamer på DMI’s hjemmeside. Borgerens data blev bl.a. videregivet til Google, der på vegne af andre betalende virksomheder, markedsførte sig over for borgeren med bannerreklamer.


Kompetence


Datatilsynet fastslår indledningsvist i afgørelsen, at de har kompetence til at vurdere sagen efter databeskyttelsesreglerne, hvis de indsamlede data er personoplysninger. Hvis dataene omvendt ikke er personoplysninger, men fx alene identifikationsfaktorer, vil det i stedet være Erhvervsstyrelsen, der kan vurdere sagen efter cookiebekendtgørelsen.

Ved spørgsmålet om der er tale om personoplysninger, konkluderer Datatilsynet, at Google via cookies på DMI’s hjemmeside indhenter en lang række oplysninger, herunder: ”(…)oplysninger om de besøgendes IP-adresse, hvilken hjemmeside, hvor Googles annonce er indlejret, de besøgende anmoder om at tilgå, datoen for anmodningen, og oplysninger om onlineidentifikatorer, der findes i cookies, som Google har lagret i de besøgendes browser.”

Af Googles dokumentation fremgår det, at oplysningerne benyttes til: ”[personalisering af indhold og annoncer, som du ser på Google og på vores partners’ hjemmesider og applikationer]”.

Fordi disse oplysninger vedrører borgerens egenskaber og adfærd, og fordi de anvendes til at behandle borgeren på en bestemt måde i forhold til udvælgelse af bannerreklamer, konkluderer Datatilsynet, at der er tale om personoplysninger. Dette gælder selvom, hverken DMI eller Google var bekendt med borgerens navn, e-mailadresse eller tilsvarende. Databeskyttelsesreglerne finder derfor anvendelse på den samlede mængde oplysninger, der er anført i citatet ovenfor. Derimod udtaler Datatilsynet, at reglerne i cookiebekendtgørelsen finder anvendese på den delmændgde af oplysninger, der er lagret i borgerens browser, herunder især cookieidentifikatorer.

 

Dataansvar

I relation til dataansvar efter databeskyttelsesreglerne lægger Datatilsynet til grund, at DMI og Google er fælles dataansvarlige for DMI’s indsamling og efterfølgende videregivelse af personoplysninger til Google via de placerede markedsføringscookies. Både DMI og Google har således begge en fælles økonomisk interesse i at bestemme, hvilke formål personoplysninger skal indsamles og videregives til. Omvendt fastslår Datatilsynet, at det alene er Google, der er dataansvarlig for Googles viderebehandling af personoplysningerne efter modtagelse fra DMI, herunder eventuel profilering. DMI er derfor udelukkende ansvarlig for at sikre et tilstrækkeligt behandlingsgrundlag for indsamling og videregivelse af personoplysningerne.


Retsgrundlag 

Det er Datatilsynets vurdering, at det relevante behandlingsgrundlag for indsamling og videregivelse af personoplysninger via cookies til brug for markedsføring er et samtykke, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a. Datatilsynet mener imidlertid ikke, at det indhentede samtykke er gyldigt:

  • Fordi samtykket ikke er ”frivilligt”. DMI indhentede ét samlet samtykke, men til forskellige formål (både statistik og markedsføring). Borgeren skal selv kunne til- og fravælge, hvilke formål vedkommende ønsker at give samtykke til. Disse til- og fravalg angivet i forskellige afkrydsningsbokse, skal fremgå direkte af samtykketeksten og må ikke ligge ét eller flere klik væk.

  • Fordi samtykket ikke er ”informeret”. Der er ikke tilstrækkelig tydelig information om de (fælles)dataansvarlige, hvilke personoplysninger der indsamles, og hvortil personoplysningerne videregives. Det er endvidere ikke klart, hvilke personoplysninger der indsamles og transmitteres til de (fælles)dataansvarlige, herunder Google.

  • Fordi samtykket ikke er ”gennemsigtigt”. Borgeren blev præsenteret for valgene ”OK” og ”Vis detaljer”, hvorved det ikke er muligt at afslå behandling uden at klikke videre. En sådan ”et-klik væk”-fremgangsmåde er ikke lovlig ifølge Datatilsynet. Herudover er samtykket ikke ”gennemsigtigt”, da muligheden for at afstå fra at give samtykke til behandling af personoplysninger i DMI’s løsning ikke fremgår lige så tydeligt som muligheden for at give samtykke.


 

Bech-Bruuns kommentar 

Samspillet mellem e-Databeskyttelsesdirektivet (implementeret med cookiebekedtgørelsen) og databeskyttelsesreglerne har længe været svær at gennemskue. Med afgørelsen og vejledningen fra Datatilsynet om databeskyttelsesreglernes krav for behandling af personoplysninger via cookies bringer Datatilsynet mere klarhed over samspillet mellem de to regelsæt.

Afgørelsen og vejledningen viser, at en hjemmesideejer, der har placeret cookies på sin hjemmeside, skal gøre sig klart, om der samtidig sker en indsamling af personoplysninger. Hvis det er tilfældet, skal hjemmesideejeren både overholde kravene i cookiebekendtgørelsen og databeskyttelsesreglerne. Det gælder for personoplysninger, der indsamles via cookies til brug for markedsføring. Det gælder også for cookies, der indsamler personoplysninger til brug for andre formål som fx statistik, profilering m.v.

Afgørelsen stiller således langt flere krav til, hvordan oplysninger via cookies må behandles sammenlignet med cookiebekendtgørelsen.

Hvis du er en del af en virksomhed eller offentlig myndighed, der indsamler personoplysninger via cookies, er det Bech-Bruuns anbefaling, at I sikrer følgende:

  1. At der foreligger et tilstrækkeligt retsgrundlag for behandling af personoplysninger. Efter Datatilsynets vejledning vil samtykke som udgangspunkt udgøre retsgrundlaget for behandling af de fleste personoplysninger via cookies. Det vil dog afhænge af det konkrete formål, hvilket retsgrundlag der kan anvendes.

  2. At pop-up-samtykkevinduet til placering af cookies opfylder de omfattende og skærpede samtykkekrav i Datatilsynets afgørelse og vejledning. Vejledningen stiller skrappere krav til indhentelse og tilbagekaldelse af samtykket, end de krav, der er gengivet i afgørelsen ovenfor. Bl.a. fremgår det af vejledningen, at til- og fravalgsfelterne ikke må være forudafkrydsede. Grunden er, at samtykket skal være aktivt for hvert enkelt formål, og at det skal være lige så let at trække et samtykke tilbage, som det var at afgive det.

  3. At oplysningspligten efter databeskyttelsesforordningens artikel 13 og 14 overholdes, inden cookies placeres.

  4. At rollerne for modtagere af personoplysninger via cookies klarlægges, og at de fornødne databehandleraftaler og aftaler om fælles dataansvar herefter indgås.



Vil du vide mere?


Du er meget velkommen til at kontakte os, hvis du vil have rådgivning om, hvordan du imødekommer daabeskyttelsesreglernes krav til behandling af personoplysninger via cookies.

Du kan læse Datatilsynets afgørelse her.

Du kan læse Datatilsynets vejledning her.

 

 

Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Bech Bruun logo
København
Langelinie Allé 35
2100 København Ø
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
New York
412 West 15th Street, 15th
New York 10011
Shanghai
No.1440 Yan'an Middle Road
Suite 2H08, Jing'an District
200040 Shanghai
Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Jobbørs
Forretningsorienteret og engageret jurist til DRs internationale salgsafdeling
Databeskyttelsesjurist - hvor dit arbejde betyder noget for borgernes ret til privatliv
Erfaren Jurist søges til en kontorchefstilling i Departementet for Boliger, Infrastruktur og Ligestilling’s boligafdeling
Skarpe jurister til internationalt kontor
Annoncér dit stillingsopslag her
Faglige videoer, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
Kommunalvalg: Hvordan er det nu med valgplakaterne?
Kommunalvalg: Hvordan er det nu med valgplakaterne?
15/10/2021
Offentlig ret, Øvrige, E-handel og markedsføring
Datingside idømt bøde for vildledning af forbrugere
Datingside idømt bøde for vildledning af forbrugere
13/10/2021
E-handel og markedsføring
Lovforslag om ændring af Markedsføringsloven
Lovforslag om ændring af Markedsføringsloven
09/09/2021
E-handel og markedsføring
Forbrugerombudsmanden politianmelder Easy Park
Forbrugerombudsmanden politianmelder Easy Park
02/09/2021
E-handel og markedsføring, Øvrige
Ny standardmarkering af reklamer på sociale medier skal hjælpe forbrugerne
Ny standardmarkering af reklamer på sociale medier skal hjælpe forbrugerne
16/08/2021
E-handel og markedsføring
Må du bringe billeder af personer på sociale medier uden deres accept?
Må du bringe billeder af personer på sociale medier uden deres accept?
13/08/2021
Persondata, E-handel og markedsføring
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 77, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
© 2021 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted