Opdateret samtykkevejledning fra EDPB – enkelte præciseringer med relevans for hjemmesider og Apps

I april 2018 – umiddelbart inden GDPR skulle finde anvendelse – offentliggjorde den daværende Artikel 29 gruppe sine opdaterede retningslinjer til samtykke under GDPR. Da Artikel 29 gruppen blev til det Europæiske Databeskyttelsesråd (EDPB) blev retningslinjerne valideret som fortsat gyldige under GDPR.

 


Nu har EDPB offentliggjort en opdateret version af retningslinjerne. Der er imidlertid ikke meget nyt under solen. De nye retningslinjer er i al væsentlighed identiske med den tidligere version.

Dog er der to præciseringer, som er værd at bemærke. Begge præciseringer har relation til samtykke indhentet på hjemmesider og i apps m.m., herunder til brug af cookies og lignende teknologier samt til behandling af personoplysninger indsamlet på hjemmesider m.v.

Den første præcisering relaterer sig til såkaldte cookie walls. Cookie walls er en praksis nogle hjemmesider og apps m.m. gør brug af. Hvis ikke der gives samtykke til brug af cookies, kan brugeren slet ikke få adgang til hjemmesiden eller app'en. EDPB udtaler, at denne praksis ikke udgør et gyldigt samtykke, da brugerne ikke får et reelt valg. Samtykke er dermed ikke frivilligt og opfylder derfor ikke en af de væsentligste grundbetingelser for et gyldigt samtykke.

Hverken Erhvervsstyrelsen eller Datatilsynet har i deres seneste vejledninger om cookies og behandling af personoplysninger om hjemmesidebesøgende taget udtrykkeligt stilling til cookie walls. Datatilsynet udtaler dog, at et gyldigt samtykke kræver, at brugeren har et reelt eller frit valg. En præcisering fra de to myndigheder vil være velkommen.

Den anden præcisering vedrører forholdet, at et samtykke skal udtrykkes ved en 'klar bekræftelse' jfr. definitionen i GDPR art. 4 nr. 11. EDPB udtaler at scrolling og swiping videre på en hjemmeside eller i en app aldrig kan udgøre en 'klar bekræftelse'. EDPB henviser til, at en sådan adfærd vanskeligt lader sig adskille fra brugerens øvrige interaktion med siden eller app'en, og derfor ikke kan udskilles som en utvetydig viljestilkendegivelse. Denne præcisering er næppe overraskende efter ECJ's afgørelse i sagen Planet 49, og fremgår også af Datatilsynets og Erhvervsstyrelsens vejledninger.

For en umiddelbar betragtning kan det henset til den anførte begrundelse undre at EDPB har fastholdt – i princippet uden forbehold – at  brugeren utvetydigt kan bekræfte sin viljestilkendegivelse ved bl.a. at "vinke foran et smartkamera"eller "bevæge en smartphone rundt med uret eller i en ottetalsbevægelse". Gør man brug af sådanne metoder, er det helt afgørende, at det utvetydigt er klart for brugeren,  at den pågældende bevægelse betyder, at man accepterer en specifik anmodning – og det kan være en god ide at bede om bevægelsen to gange.

Som altid skal den dataansvarlige kunne påvise, at samtykke blev opnået på denne måde, og brugerne skal kunne trække deres samtykke tilbage lige så let, som det blev givet.

Præciseringerne af samtykkekravet føjer sig til listen om forhold, som hjemmesideejere og appudbydere skal være bevidste om. Bird & Bird har tidligere udfærdiget en tjekliste, der sammenfatter alle kravene. Du kan finde tjeklisten her.