Myndighedsafgørelser Ny vejledning fra Datatilsynet

Ny dom og vejledning fra Datatilsynet om brugen af personoplysninger om hjemmesidebesøgende

Datatilsynet har den 11. februar offentliggjort en afgørelse i forbindelse med en sag, hvor en bruger af www.dmi.dk har klaget over DMI’s behandlinger af personoplysninger om vedkommende. I forlængelse af afgørelsen har Datatilsynet den 17. februar offentliggjort en ny vejledning om behandling af personoplysninger om hjemmesidebesøgende.

Afgørelsen har givet anledning til en række dommedagsartikler om de annoncebaserede forretningsmodellers snarlige sammenbrud. Udover en række nørdede betragtninger om afgræsningen af kompetenceområderne mellem Datatilsynet og Erhvervsstyrelsen er afgørelsen og vejledningen dog primært udtryk for, at Datatilsynet nu giver en samlet fortolkning og fremstilling af retspraksis på området baseret på en række nyere EU-domme samt på vejledninger og udtalelser fra det Europæiske Databeskyttelsesråd/WP29. Der er på den måde ikke noget overraskende i hverken afgørelsen eller vejledningen. Vejledningen er dog meget konkret og praksisorienteret i sin tilgang, og kan måske derfor siges at lukke en række fortolkningsmæssige ”huller”, som hidtil har givet et vist spillerum særlig i forbindelse med udformningen af samtykker. Den megen opmærksomhed er dog samlet set nok mere et udtryk for, at de fleste hjemmesideudbydere i dag er et stykke vej fra at leve op til reglerne, og at det nu bliver meget mere konkret med det nye materiale fra Datatilsynet.

Med afsæt i afgørelsen vedrørende DMI slår Datatilsynet fast, at de oplysninger om de besøgende på hjemmesiden, der almindeligvis indsamles og overføres til 3. parter (fx Google) udgør personoplysninger, fordi oplysningerne vedrører egenskaber vedrørende den besøgende samt dennes adfærd, og fordi oplysningerne bruges til at behandle den pågældende på en bestemt måde i forhold til eksempelvis, hvilke annoncer, der bliver vist for den pågældende. De fleste indsamlede oplysninger fra en hjemmeside skal derfor reguleres efter Databeskyttelseslovgivningen. For så vidt angår de personoplysninger, der lagres i brugerens browser (gennem brug af cookies eller anden teknologi), har e-privacy direktivet (udmøntet i dansk lovgivning via cookie-bekendtgørelsen) forrang for GDPR, men alene for de behandlingsaktiviteter, der specifikt handler om lagring og videregivelse.

Et centralt tema i afgørelsen og i vejledningen er, at en hjemmesideejer, der integrerer oplysninger fra 3. part på sin hjemmeside, fx fra sociale medier, indholdsudbydere eller lignende, typisk vil være fælles dataansvarlige med denne 3. parter. Det fælles dataansvar gælder dog alene for de behandlingsaktiviteter, hvor hjemmesideejeren har medindflydelse på formålet med behandlingen (hvorfor behandlingen gennemføres) og de hjælpemidler, der anvendes (dvs. hvordan oplysningerne behandles). Den typiske situation er, at hjemmesideejeren og 3. parten er fælles dataansvarlig for indsamling og videregivelsen af personoplysningerne.

I praksis betyder en konstruktion med fælles dataansvar, at parterne skal fastlægge roller og ansvar for efterlevelsen af de databeskyttelsesmæssige regler mellem sig på en gennemsigtig måde, og at de registrerede skal oplyses om (i en oplysningsmeddelelse) om hovedelementerne i denne aftale. I den forbindelse er det særligt vigtigt, at den registrerede oplyses om, hvordan den registrerede i praksis kan håndhæve sine rettigheder i forhold til de fælles behandlingsaktiviteter.

Ellers handler vejledningen primært om den konkrete udformning af den persondataretlige samtykke. Her slås det i vejledningen fast at:

  • Det skal være muligt at afstå fra at give samtykke. Man må altså ikke kun blive præsenteret for en ”acceptér-knap” eller ”ok-knap”. Denne praksis er meget udbredt, jf. eksemplet nedenfor.
  • Hvis der behandles personoplysninger til flere forskellige formål, skal det være muligt at til- og fravælge behandling til hvert enkelt formål individuelt. Et meget udbredt løsning ses nedenfor. Her er formålene opdelt i funktion, præferencer, statistik og marketing.
  • Samtykket skal indeholde oplysninger om eventuelt fælles dataansvarlige. Disse skal nævens med navn (og ikke blot fremgå ved deres hjemmeside). Datatilsynet vurderer, at oplysningen om identiteten på den fælles dataansvarlige godt kan ske i en fold-ud-menu, som er ”et-klik-væk”, bare det sker i tæt tilknytning til beskrivelsen af formålet med behandlingen.
  • Samtykket skal indeholde klar og letforståelige oplysninger om formålet med og typen af behandlede oplysninger. I forbindelse med fælles dataansvar skal det være oplyst, hvilke typer af oplysninger, der videregives til den anden part
  • Informationen i samtykket kan gives lagdelt, under den klare forudsætning, at den væsentligste information skal gives på ”øverste” niveau. I eksemplet nedenfor gives, der helt oplagt ikke tilstrækkelig information på ”øverste” niveau, ligesom det er uklart, med hvilket formål 3. parter sætter cookies
  • Forhåndsafkrydsede felter må ikke anvendes i forbindelse med samtykker, jf. eksemplet nedenfor
  • Det skal være lige så nemt at afgive som at tilbagekalde en samtykke. Datatilsynet bruger udtrykket, at ”meddelelseseffekten” ved afgivelse henholdsvis tilbagekaldelse skal være den samme. Det stiller krav til opbygning og visuelle udtryk af den løsning, der anvendes til indhentningen af samtykket. Eksemplet nedenfor er et typisk eksempel på et samtykke, hvor meddelelseseffekten ikke er den samme.

Hos Pdhub har vi stor erfaring med håndteringen af persondata om besøgende på hjemmesider, herunder udarbejdelsen af samtykker, aftaler om fælles dataansvar med 3. parter mv.

Læs mere om, hvordan Pdhub kan hjælpe dig videre på din GDPR-rejse på www.pdhub.dk, eller kontakt os på telefon +45 7233 2233.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *