Cookies og GDPR
Ny vejledning fra EDPB

”Mr. Gorbatjov – tear down these cookie-walls” – opdateret vejledning fra EDPB om samtykker

I den seneste tid har der været fokus brugen af cookies, og både Erhvervsstyrelsen og Datatilsynet har udarbejdet nye vejledninger, der indeholder relevante præciseringer i forlængelse af en række EU-domme på området. For 10 dage siden offentliggjorde Det Europæiske Databeskyttelsesråd (EDPB) så en ny, opdateret vejledning, der egentlig handler om samtykker, men som også indeholder en meget vigtig præcisering af brugen af cookies.

Den nye vejledning forholder sig bl.a. til de betingelser, der skal være opfyldt, før et samtykke kan siges at være afgivet frivilligt. EDPB har særlig fokus på den såkaldte ”konditionalitets”-problemstilling, hvor afgivelsen af samtykke knyttes sammen med opfyldelsen af en kontrakt. Denne forbindelse mellem samtykker og kontrakter er omtalt i forordningens art. 7 (4), hvori det hedder at:

”Ved vurdering af, om samtykke er givet frit, tages der størst muligt hensyn til, bl.a. om opfyldelse af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af denne kontrakt”.

Formålet med bestemmelsen er at undgå, at formålet med behandlingen af personoplysninger knyttes til opfyldelsen af en kontrakt, som reelt ikke kræver den behandling, som samtykket søger at give den dataansvarlige et lovligt grundlag for at behandle. De to lovlige behandlingsgrundlag ”samtykke” og ”overholdelse af en kontrakt” må med andre ord ikke blandes sammen. Hvis det sker må samtykket anses for ugyldigt, fordi sammenkoblingen reelt indebærer, at samtykket ikke kan siges at være afgivet frivilligt. Den dataansvarlige vil i en sådan situation ikke kunne udelukke en registreret (fx en kunde) fra at anskaffe/modtage en tjenesteydelse selvom den registrerede ikke afgiver det ønskede samtykke.

I den opdaterede vejledning præciserer EDPB, at en dataansvarlig i en sådan situation ikke lovligt vil kunne løfte kravet om ”frivillighed” ved at henvise til, at den registrerede frit kan vælge at benytte en af den dataansvarliges konkurrenter. Det vil betyde, anfører EDPB, at den dataansvarlige gør frivilligheden for de registrerede, der anvender den dataansvarliges services, afhængig af hvad andre markedsdeltagere foretager sig, og af at den registrerede vil betragte de to alternativer som fuldstændig ens. Det går ikke!

I umiddelbar forlængelse heraf anfører EDPB, som en meget væsentlig præcisering, at adgangen til services og funktioner (på en hjemmeside) ikke må gøres afhængig af at, at brugerne har givet samtykke til lagring af og/eller adgang til allerede lagret information i brugerens terminaludstyr. Dermed siger EDPB meget tydeligt, at brugen af såkaldte cookie-walls, hvor indhold på en hjemmeside blokeres/gøres utilgængelig før brugeren trykker på ”Acceptér cookies ”-knappen, ikke er lovlig. Brugen af cookie-walls er meget udbredt, så der er mange hjemmesideejere, der skal på overarbejde!

Læs mere om, hvordan Pdhub kan hjælpe dig videre på din GDPR-rejse på www.pdhub.dk, eller kontakt os på telefon +45 7233 2233

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *