Træt af cookies?
af Mia Storm, Advokat
En ny principiel afgørelse fra Datatilsynet slår fast, at det fremadrettet skal være lige så nemt at sige nej, som at sige ja, når der på diverse hjemmesider popper en dialogboks op med tilladelse til brug af cookies. Datatilsynet kritiserer i afgørelsen Danmarks Metrologiske Institut (DMI) for at behandle personoplysninger i strid med databeskyttelsesforordningen (GDPR), da de mener, at det kræver for mange ’klik’ at afslå brugen af cookies og dermed afslå behandlingen af personoplysninger.
Personoplysninger er ifølge databeskyttelsesforordningen ”enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede)”. DMI har på sin hjemmeside benyttet sig af Googles annonceplatform, og har i den forbindelse videregivet oplysninger om de besøgendes IP-adresser og aktiviteter til Google. Videregivelsen er sket med henblik på personalisering af indhold og annoncer, og oplysningerne bruges således til at behandle den pågældende bruger på en bestemt måde ud fra brugerens egenskaber og adfærd. Der er derfor tale om personoplysninger.
Krav til samtykke
Det følger af databeskyttelsesforordningen, at behandling af personoplysninger skal ske på en lovlig, rimelig og gennemsigtig måde, herunder at behandlingen kun er lovlig, hvis der er givet samtykke. Datatilsynet slår i sin afgørelse fast, at Google og DMI i den pågældende situation er fælles dataansvarlige, men da behandlingen af personoplysningerne udløses af et besøg på dmi.dk, må det påhvile DMI at sikre et gyldigt behandlingsgrundlag. Af den grund er det DMI, der er ansvarlig for at indhente et samtykke fra brugeren - også selvom DMI reelt ikke får adgang til de indhentede oplysninger.
Samtykket skal være frivilligt, specifikt, informeret og utvetydigt. For at et samtykke kan siges at være frivilligt, kræver det, at den registrerede har et reelt og frit valg, samt at samtykket indhentes særskilt for ethvert formål, hvis der er flere formål med indhentelsen og behandlingen. For at et samtykke anses for informeret, skal den registrerede som minimum gøres bekendt med den dataansvarliges identitet, samt formålene med den behandling, som oplysningerne skal bruges til. Disse oplysninger skal gives på en enkel, letforståelig og lettilgængelig måde inden den registrerede afgiver sit samtykke. Samtykket skal indhentes inden der sker behandling af personoplysningerne.
'Et-klik-væk'
Datatilsynet mente ikke, at hverken DMI’s nuværende eller tidligere fremgangsmåde til indhentelse af samtykke fra den registrerede var i overensstemmelse med databeskyttelsesforordningens krav. På DMI’s hjemmeside blev den registrerede ved det indledende besøg mødt med en dialogboks, hvor det alene var muligt at vælge ”OK” til cookies eller ”Vis detaljer”. Ved at vælge ”OK” samtykkede den registrerede til flere forskellige behandlingsformål (altså et samlet samtykke), uden at være tilstrækkelig informeret om de fælles dataansvarlige, herunder Google, samt hvilke oplysninger der blev indsamlet og videregivet til disse. ”Nej” til cookies blev skjult under ”Vis detaljer”, som ledte hen til muligheden "Opdatér samtykke”. En sådan ’et-klik-væk’ fremgangsmåde mener Datatilsynet ikke opfylder kravene til gennemsigtighed, eftersom der ikke er et tilstrækkeligt ’frit valg’ for den registrerede som følge af det samlede samtykke, samt at muligheden for at afslå ikke er tilgængelig ved det indledende besøg, men er ’et-klik-væk’. På den måde er det ikke umiddelbart klart for den registrerede, at det er muligt at afslå brugen af cookies. Det skal ifølge Datatilsynet være lige så let at sige nej, som at sige ja.
Afgørelsens betydning
Afgørelsen gør det klart, at de virksomheder der bruger Googles annonceplatform og har samme løsning som DMI, skal opdatere deres cookie-samtykke, så de får et mere klart og informeret samtykke af brugeren. Langt de fleste virksomheder bruger i dag samme løsning, da det medfører, at flere vælger at samtykke, hvilket skaber en mere effektiv markedsføring. Brugerne får med afgørelsen en bedre beskyttelse af deres personoplysninger, hvilket forventeligt vil medføre, at flere siger fra overfor brugen af cookies. De færreste ønsker formentlig reelt at videregive deres informationer, men ser det alene som den nemme udvej, netop fordi det på nuværende tidspunkt ikke er lige så let at sige nej, som at sige ja.
Såfremt antallet af samtykkende brugere falder, vil prisen på denne type af reklamer formentlig også falde, hvilket vil udfordre finansieringen af mange hjemmesiders kommercielle aktivitet. Der er således tale om en meget principiel afgørelse, som medfører, at langt de fleste virksomheder skal til at tænke sig ekstra godt om ved indhentelse af samtykke til brug af cookies.
Har du spørgsmål til hvordan du indhenter samtykke på korrekt vis, eller har du spørgsmål til persondataretten generelt, er du velkommen til at kontakte os på tlf. 70 22 88 68 eller mail@otello.dk.