I april 2018 – umiddelbart inden GDPR skulle finde anvendelse – offentliggjorde den daværende Artikel 29 gruppe sine opdaterede retningslinjer til samtykke under GDPR. Da Artikel 29 gruppen blev til det Europæiske Databeskyttelsesråd (EDPB) blev retningslinjerne valideret som fortsat gyldige under GDPR.
Nu har EDPB offentliggjort en opdateret version af retningslinjerne. Der er imidlertid ikke meget nyt under solen. De nye retningslinjer er i al væsentlighed identiske med den tidligere version.
Dog er der to præciseringer, som er værd at bemærke. Begge præciseringer har relation til samtykke indhentet på hjemmesider og i apps m.m., herunder til brug af cookies og lignende teknologier samt til behandling af personoplysninger indsamlet på hjemmesider m.v.
Den første præcisering relaterer sig til såkaldte cookie walls. Cookie walls er en praksis nogle hjemmesider og apps m.m. gør brug af. Hvis ikke der gives samtykke til brug af cookies, kan brugeren slet ikke få adgang til hjemmesiden eller app'en. EDPB udtaler, at denne praksis ikke udgør et gyldigt samtykke, da brugerne ikke får et reelt valg. Samtykke er dermed ikke frivilligt og opfylder derfor ikke en af de væsentligste grundbetingelser for et gyldigt samtykke.
Hverken Erhvervsstyrelsen eller Datatilsynet har i deres
seneste vejledninger om cookies og
behandling af personoplysninger om hjemmesidebesøgende taget udtrykkeligt stilling til cookie walls. Datatilsynet udtaler dog, at et gyldigt samtykke kræver, at brugeren har et reelt eller frit valg. En præcisering fra de to myndigheder vil være velkommen.
Den anden præcisering vedrører forholdet, at et samtykke skal udtrykkes ved en 'klar bekræftelse' jfr. definitionen i GDPR art. 4 nr. 11. EDPB udtaler at scrolling og swiping videre på en hjemmeside eller i en app aldrig kan udgøre en 'klar bekræftelse'. EDPB henviser til, at en sådan adfærd vanskeligt lader sig adskille fra brugerens øvrige interaktion med siden eller app'en, og derfor ikke kan udskilles som en utvetydig viljestilkendegivelse. Denne præcisering er næppe overraskende efter ECJ's afgørelse i sagen Planet 49, og fremgår også af Datatilsynets og Erhvervsstyrelsens vejledninger.
For en umiddelbar betragtning kan det henset til den anførte begrundelse undre at EDPB har fastholdt – i princippet uden forbehold – at brugeren utvetydigt kan bekræfte sin viljestilkendegivelse ved bl.a. at "vinke foran et smartkamera"eller "bevæge en smartphone rundt med uret eller i en ottetalsbevægelse". Gør man brug af sådanne metoder, er det helt afgørende, at det utvetydigt er klart for brugeren, at den pågældende bevægelse betyder, at man accepterer en specifik anmodning – og det kan være en god ide at bede om bevægelsen to gange.
Som altid skal den dataansvarlige kunne påvise, at samtykke blev opnået på denne måde, og brugerne skal kunne trække deres samtykke tilbage lige så let, som det blev givet.
Præciseringerne af samtykkekravet føjer sig til listen om forhold, som hjemmesideejere og appudbydere skal være bevidste om. Bird & Bird har tidligere udfærdiget en tjekliste, der sammenfatter alle kravene.
Du kan finde tjeklisten her.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at
kontakte mig.
Skal din artikel også udgives via Jurainfo og udsendes direkte, via e-mail, til personer og virksomheder som specifikt efterspørger viden og kompetencer inden for dit område? Ansøg om en profil her.
