Journalnummer: 2018-32-0357
Datatilsynet vender hermed tilbage til sagen, hvor [klager] den 29. august 2018 har klaget til Datatilsynet over Danmarks Meteorologiske Instituts (herefter DMI) behandling af personoplysninger om ham i forbindelse med visning af bannerannoncer på DMI’s hjemmeside (www.dmi.dk).
Sagen har været behandlet på et møde i Datarådet.
Datatilsynet bemærker indledningsvis, at DMI siden klagens indgivelse er nået frem til, at der er sket indsamling og videregivelse af personoplysninger, herunder om klager, uden et lovligt behandlingsgrundlag, hvorfor instituttet har ændret måden, hvorved der indhentes samtykke til indsamling og videregivelse af personoplysninger om de besøgende på dmi.dk.
Datatilsynet tager med denne afgørelse stilling til, dels hvorvidt behandling af personoplysninger om klager indtil DMI’s ændring af instituttets fremgangsmåde til indhentning af samtykke har været berettiget, dels hvorvidt instituttets nuværende behandling af personoplysninger om besøgende på dmi.dk, sker inden for rammerne af databeskyttelsesforordningen.
1. Afgørelse
Datatilsynet finder, at hverken DMI’s tidligere eller nuværende løsning til indhentning af samtykke til behandling af personoplysninger om de besøgende på dmi.dk opfylder databeskyttelsesforordningens[1] krav til den registreredes samtykke i artikel 4, nr. 11, og det grundlæggende princip om lovlighed, rimelighed og gennemsigtighed i artikel 5, stk. 1, litra a.
Endvidere finder Datatilsynet, at DMI’s behandling af personoplysninger om klager ved indsamling og videregivelse til Google har været – og er – i strid med databeskyttelsesforordningens artikel 6, idet ingen af de i artikel 6, stk. 1, nævnte forhold har gjort/gør sig gældende.
Datatilsynet finder på ovennævnte baggrund, at der er grundlag for at udtale alvorlig kritik af, at DMI’s behandling af personoplysninger om de besøgende på dmi.dk, herunder klager, ikke er sket i overensstemmelse med databeskyttelsesforordningen.
2. Sagsfremstilling
Det fremgår af sagen, at DMI viser bannerannoncer på instituttets hjemmeside, herunder fra bl.a. Googles annonceplatform, hvorved DMI bidrager til indsamling og videregivelse af personoplysninger om hjemmesidens besøgende til Google.
DMI har siden 2004 haft bannerannoncer på dmi.dk, og indtægterne herfra udgør en del af instituttets finansieringsgrundlag.
2.1. Klagers bemærkninger
Klager har overordnet anført, at DMI viser bannerannoncer på sin hjemmeside, herunder bl.a. annoncer fra annoncebørsen Google Ad Exchange, som benytter personoplysninger til personalisering af annoncer, f.eks. oplysninger om besøg på andre hjemmesider.
Klager har endvidere oplyst, at Google tilbyder en række tjenester, der henvender sig til ejere af hjemmesider, der ønsker henholdsvis at købe og sælge annoncer, både med og uden Google som mellemmand. Tjenesterne markedsføres under navnene DoubleClick, Google Ads, AdSense, AdWords m.fl. (herefter Googles annonceplatform). Tjenesterne er tæt integreret og underlagt samme retningslinjer for brug, og for hovedparten af disse tjenester er Google dataansvarlig.
Ad fælles dataansvar
Klager har anført, at DMI skal anses som fælles dataansvarlig med Google for indsamling og videregivelse af personoplysninger om ham.
Endvidere har klager anført, at Google alene er i stand til at indsamle personoplysninger om ham under hans besøg på dmi.dk og benytte dem til målretning af annoncer, fordi DMI har engageret Google til at sælge annoncer på dmi.dk og implementeret Googles plugin (såkaldte annoncetags) på dmi.dk.
Klager har endvidere anført, at DMI ved indsættelse af disse annoncetags har mulighed for at angive en række parametre, der afgør, hvordan annoncerne bliver udvalgt og præsenteret på dmi.dk, og at DMI herved i høj grad bidrager til at afgøre med hvilket formål og med hvilke hjælpemidler, Google kan foretage behandling af personoplysninger. Hvis DMI ikke havde indsat disse tags, ville Google ikke være i stand til at vise annoncer til de besøgende på dmi.dk eller spore deres adfærd.
Klager har herudover anført, at DMI formentlig ikke har adgang til de personoplysninger, som Google indsamler og behandler om de besøgende på dmi.dk, udover eventuelt i anonymiseret eller aggregeret form, men at dette ikke udelukker, at der kan være tale om fælles dataansvar.
Ad samtykke
Klager har anført, at DMI ikke har indhentet hans samtykke til denne behandling, og at DMI således efter hans opfattelse ikke har et lovligt grundlag for behandlingen af personoplysninger om ham.
Klager har endvidere henvist til, at det er Googles egen vurdering, at behandling af personoplysninger, som sker i forbindelse med Googles annonceplatform, ikke kan ske uden de registreredes samtykke, dvs. samtykke fra de besøgende på de hjemmesider, der har implementeret annonceplatformen. Google forlanger derfor i sine retningslinjer, at der skal indhentes samtykke fra de besøgende, når en organisation benytter annonceplatformen til at vise personaliserede bannerannoncer.
Det er herudover klagers opfattelse, at DMI med den nye løsning til at indhente de besøgendes samtykke fortsat ikke opfylder databeskyttelsesforordningens krav hertil.
Endvidere har klager anført, at samtykket ikke er informeret, da det ikke fremgår, hvilke tredjeparter, herunder Google, personoplysninger videregives til.
Klager har endvidere anført, at der i samtykkeløsningen gøres brug af forudafkrydsede felter, som ikke kan udgøre et gyldigt samtykke, og at felterne endda er skjult, medmindre man vælger “Vis detaljer”.
Endelig har klager anført, at det kun er muligt at få den nødvendige information ved at læse DMI’s privatlivspolitik, som imidlertid ikke kan tilgås, inden man har givet eller afslået at give samtykke til behandling af personoplysninger, og at et eventuelt samtykke også derfor ikke kan siges at være informeret.
Ad legitim interesse
Klager har anført, at DMI’s legitime interesse i, at der sker behandling af personoplysninger om ham, ikke går forud for hans rettigheder og frihedsrettigheder. I den forbindelse har klager peget på, at Googles annonceplatform anvendes vidt på tværs af internettet, og at den omhandlede indsamling og videregivelse af personoplysninger til Google giver virksomheden mulighed for at tegne et detaljeret billede af klagers færden på tværs af internettet, hvilket udgør et væsentligt indgreb i hans rettigheder og frihedsrettigheder.
Endelig har klager henvist til, at det er muligt for DMI at vise bannerannoncer, som ikke er personaliseret i forhold til de besøgende på baggrund af behandling af personoplysninger om disse.
2.2. DMI’s bemærkninger
DMI har overordnet anført, at instituttet behandler oplysninger om klager, hvis han har givet samtykke til brugen af cookies på dmi.dk.
Ad fælles dataansvar
DMI har anerkendt, at instituttet ved at integrere annoncer fra bl.a. Googles annonceplatform på dmi.dk har bidraget til indsamling og videregivelse af personoplysninger om hjemmesidens besøgende, herunder klager.
Ad samtykke
DMI har anerkendt, at den omhandlede indsamling og videregivelse af personoplysninger er sket på uhjemlet grundlag for så vidt angår klager og andre besøgende, som har fravalgt brugen af cookies på hjemmesiden.
Endvidere har DMI oplyst, at der var tale om en utilsigtet fejl, og at instituttet derfor i form af en nyhed eller pop-up vindue vil informere de besøgende på dmi.dk om, at der i en periode er blevet placeret cookies inden og uanset, at der var givet samtykke hertil, samt vejlede om hvordan disse cookies slettes fra de besøgendes browser.
DMI har herudover overordnet anført, at instituttet efter klagens indgivelse til Datatilsynet har idriftsat en ny hjemmeside, hvor de besøgende præsenteres for en meget tydelig samtykkeløsning. For at komme videre til hjemmesidens indhold er det nødvendigt, at de besøgende tager aktivt stilling til, om de vil tillade brugen af cookies. Hvis de besøgende ønsker at give samtykke, indhentes samtykket ved, at de besøgende vælger ”OK”. Hvis de besøgende ønsker at fravælge cookies vælges ”Vis Detaljer”, hvorefter de besøgende får mulighed for at fravælge cookies.
DMI har i den forbindelse fremsendt en kopi af den implementerede samtykkeløsning, hvoraf bl.a. fremgår:
”DMI og tredjeparter bruger cookies til at gøre dmi.dk mere brugbar, give dig en bedre oplevelse og til målrettet markedsføring. Ved at klikke OK her giver du samtykke til dette. Du kan altid trække dit samtykke tilbage. Læs mere i vores privatlivspolitik.”
DMI har i den forbindelse oplyst, at det er muligt at give samtykke til nogle cookies, mens andre cookies, f.eks. markedsføringscookies, kan fravælges.
DMI har anført, at kildekoden til dmi.dk er blevet ændret, og at der ikke bliver indsamlet og videregivet personoplysninger, inden de besøgende aktivt har givet samtykke hertil. Endvidere har DMI anført, at samtykkeløsningen er blevet ændret, således at de forskellige typer af cookies ikke længere automatisk er forudafkrydsede, hvis man søger yderligere information om disse.
Endelig har DMI oplyst, at instituttet fremadrettet vil tydeliggøre over for de besøgende, at dmi.dk benytter Googles annonceplatform. De besøgende har kunnet finde cookies fra Google i listen over markeringscookies, men disse er oftest benævnt ved navne, der ikke direkte er relateret til Google. Derfor vil DMI opdatere sin cookie- og privatlivspolitik på dmi.dk, således at det tydeligt fremgår, at man ved accept af cookies tillader, at der bliver videregivet oplysninger til Google, ligesom der vil blive tilføjet links til Googles beskrivelser af, hvordan de bruger de indsamlede personoplysninger.
2.3. Googles dokumentation
Datatilsynet har til brug for sagens behandling indhentet offentligt tilgængelige oplysninger om Googles annonceplatform.
Af Googles dokumentation[2] fremgår bl.a. følgende om indsamling af oplysninger ved hjælp af Googles tjenester:
"How Google uses information from sites or apps that use our services
Many websites and apps use Google services to improve their content and keep it free. When they integrate our services, these sites and apps share information with Google.
For example, when you visit a website that uses advertising services such as AdSense, including analytics tools such as Google Analytics, or embeds video content from YouTube, your web browser automatically sends certain information to Google. This includes the URL of the page that you’re visiting and your IP address. We may also set cookies on your browser or read cookies that are already there. Apps that use Google advertising services also share information with Google, such as the name of the app and a unique identifier for advertising.
Google uses the information shared by sites and apps to deliver our services, maintain and improve them, develop new services, measure the effectiveness of advertising, protect against fraud and abuse and personalise content and ads that you see on Google and on our partners’ sites and apps."
Særligt om annoncering[3] fremgår bl.a. følgende:
”How Google uses cookies in advertising
Cookies help to make advertising more effective. Without cookies, it’s harder for an advertiser to reach its audience, or to know how many ads were shown and how many clicks they received.
Many websites, such as news sites and blogs, partner with Google to show ads to their visitors. Working with our partners, we may use cookies for a number of purposes, such as to stop you from seeing the same ad over and over again, to detect and stop click fraud and to show ads that are likely to be more relevant (such as ads based on websites that you have visited).
We store a record of the ads that we serve in our logs. These server logs typically include your web request, IP address, browser type, browser language, the date and time of your request, and one or more cookies that may uniquely identify your browser. We store this data for a number of reasons, the most important of which are to improve our services and to maintain the security of our systems. We anonymise this log data by removing part of the IP address (after 9 months) and cookie information (after 18 months).
Our advertising cookies
To help our partners manage their advertising and websites, we offer many products, including AdSense, AdWords, Google Analytics and a range of DoubleClick-branded services. When you visit a page or see an ad that uses one of these products, either on Google services or on other sites and apps, various cookies may be sent to your browser.
These may be set from a few different domains, including google.com, doubleclick.net, googlesyndication.com, googleadservices.com or the domain of our partners’ sites. Some of our advertising products enable our partners to use other services in conjunction with ours (like an ad measurement and reporting service), and these services may send their own cookies to your browser. These cookies will be set from their domains.”
Om server logs oplyser Google følgende[4]:
”Like most websites, our servers automatically record the page requests made when you visit our sites. These “server logs” typically include your web request, Internet Protocol address, browser type, browser language, the date and time of your request, and one or more cookies that may uniquely identify your browser.
A typical log entry for a search for 'cars' looks like this:
123.45.67.89 - 25/Mar/2003 10:15:32 -
http://www.google.com/search?q=cars -
Firefox 1.0.7; Windows NT 5.1 -
740674ce2123e969
123.45.67.89 is the Internet Protocol address assigned to the user by the user’s ISP. Depending on the user’s service, a different address may be assigned to the user by their service provider each time they connect to the Internet.
25/Mar/2003 10:15:32 is the date and time of the query.
http://www.google.com/search?q=cars is the requested URL, including the search query.
Firefox 1.0.7; Windows NT 5.1 is the browser and operating system being used.
740674ce2123a969 is the unique cookie ID assigned to this particular computer the first time it visited Google. (Cookies can be deleted by users. If the user has deleted the cookie from the computer since the last time they’ve visited Google, then it will be the unique cookie ID assigned to their device the next time they visit Google from that particular device).”
3. Datatilsynets kompetence
Bekendtgørelse nr. 1148 af 9. december 2011 om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr (cookiebekendtgørelsen), der er udstedt i medfør af telelovens § 9 og § 81, stk. 2, regulerer i hvilket omfang, der kan lagres eller opnås adgang til allerede lagrede oplysninger i brugernes terminaludstyr. Det gælder uanset, om oplysningerne udgør personoplysninger eller ej.
Cookiebekendtgørelsen indeholder regler, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2002/58/EF (e-Databeskyttelsesdirektivet), og det er Erhvervsstyrelsen, der fører tilsyn med cookiebekendtgørelsens overholdelse.
Af cookiebekendtgørelsens § 3, stk. 1, fremgår følgende:
”Fysiske eller juridiske personer må ikke lagre oplysninger eller opnå adgang til oplysninger, der allerede er lagret, i en slutbrugers terminaludstyr eller lade tredjepart lagre oplysninger eller opnå adgang til oplysninger, hvis slutbrugeren ikke giver samtykke hertil efter at have modtaget fyldestgørende information om lagringen af eller adgangen til oplysningerne.”
Efter databeskyttelseslovens § 27, stk. 1, fører Datatilsynet tilsyn med overholdelsen af de generelle databeskyttelsesregler, der findes i databeskyttelsesforordningen, databeskyttelsesloven og anden lovgivning, som ligger inden for databeskyttelsesforordningens rammer for særregler om behandling af personoplysninger.
Det er i den forbindelse Datatilsynets opfattelse, at regler, der implementerer e-Databeskyttelsesdirektivet, ikke udgør ”anden lovgivning, som ligger inden for databeskyttelsesforordningens rammer for særregler om behandling af personoplysninger”, men derimod regler, der implementerer en sideordnet EU-retsakt. Der er således tale om særregler, der erstatter lignende generelle regler i databeskyttelsesforordningen, hvorimod anden lovgivning, som f.eks. visse bestemmelser i sundhedsloven, udgør supplerende lovgivning til databeskyttelsesforordningen.
Tilsynet med regler om behandling af personoplysninger, som ikke er erstattet af særregler der implementerer e-Databeskyttelsesdirektivet, ligger således hos Datatilsynet.
4. Retligt grundlag
4.1. Begrebet personoplysninger
Begrebet personoplysninger defineres i databeskyttelsesforordningens artikel 4, nr. 1, som enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«). Ved identificerbar fysisk person forstås en fysisk person, der på grundlag af oplysningerne direkte eller indirekte kan identificeres.
Af Artikel 29-gruppens udtalelse om begrebet personoplysninger[5] fremgår i den henseende:
”Et "formålselement" kan også være ansvarligt for, at der er tale om oplysninger "om" en bestemt person. "Formålselementet" kan anses for at eksistere, når oplysningerne bruges eller - under hensyntagen til alle omstændighederne i den pågældende sag - kan forventes at blive brugt med det formål at vurdere en person, behandle den pågældende på en bestemt måde eller påvirke den pågældendes status eller adfærd.”
Dette synspunkt gentager Artikel 29-gruppen i sin udtalelse om adfærdsbaseret annoncering på internettet[6], hvoraf bl.a. følgende fremgår:
”Adfærdsbaseret annoncering omfatter normalt indsamling af IP-adresser og behandling af unikke identifikatorer (via cookien). Brugen af sådanne anordninger med en unik identifikator gør det muligt at spore brugerne af en bestemt computer, selv om der anvendes dynamiske IP-adresser.
Sådanne anordninger gør det med andre ord muligt at "udpege" registrerede, selv om deres virkelige navne ikke kendes. ii) De oplysninger, der indsamles i forbindelse med adfærdsbaseret annoncering vedrører (dvs. handler om) en persons egenskaber eller adfærd, og de bruges til at påvirke lige netop den pågældende person. Denne holdning bekræftes yderligere, hvis muligheden for, at profiler på ethvert tidspunkt kan kædes sammen med direkte personligt identificerbare oplysninger, som den registrerede har angivet, f.eks. registreringsrelaterede oplysninger, tages i betragtning. Andre scenarier, der kan føre til identificerbarhed, er datafletning, datatab og den øgede tilgængelighed af personoplysninger på internettet i kombination med IP-adresser.”
Af præambelbetragtning nr. 30 til databeskyttelsesforordningen fremgår tilsvarende følgende:
”Fysiske personer kan tilknyttes onlineidentifikatorer, som tilvejebringes af deres enheder, applikationer, værktøjer og protokoller, såsom IP-adresser og cookieidentifikatorer, eller andre identifikatorer, såsom radiofrekvensidentifikatorer. Dette kan efterlade spor, der, navnlig når de kombineres med unikke identifikatorer og andre oplysninger som serverne modtager, kan bruges til at oprette profiler om fysiske personer og identificere dem.”
4.2. Dataansvar
I databeskyttelsesforordningens artikel 4, nr. 8, er den dataansvarlige defineret som en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.
Af databeskyttelsesforordningens artikel 26 om fælles dataansvarlige fremgår følgende af bestemmelsens stk. 1:
”Hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling, er de fælles dataansvarlige. De fastlægger på en gennemsigtig måde deres respektive ansvar for overholdelse af forpligtelserne i henhold til denne forordning, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14, ved hjælp af en ordning mellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt. I ordningen kan der udpeges et kontaktpunkt for registrerede.”
EU-Domstolen har i sagen C-210/16 Wrtschaftsakademie Schleswig-Holstein udtalt følgende om fælles dataansvar:
”35 Selv om den omstændighed alene at benytte et socialt netværk som Facebook ikke gør en Facebook-bruger medansvarlig for dette netværks behandling af personoplysninger, skal det imidlertid bemærkes, at administratoren af en fanside på Facebook ved at oprette en sådan side giver Facebook mulighed for at placere cookies på brugerens computer eller ethvert andet medium, når vedkommende besøger fansiden, uanset om denne person har en Facebook-konto.
36 I denne sammenhæng fremgår det af de for Domstolen fremlagte oplysninger, at oprettelsen af en fanside på Facebook indebærer, at administratoren foretager en indstilling, som er afhængig af bl.a. målgruppen samt målene for forvaltning af og reklame for sine aktiviteter, og som har indflydelse på behandlingen af personoplysningerne med henblik på udarbejdelsen af statistikker på grundlag af besøgene på fansiden. Denne administrator kan ved hjælp af de filtre, som Facebook stiller til rådighed, definere de kriterier, som statistikkerne skal udarbejdes på grundlag af, og angive de kategorier af personer, som Facebook skal indsamle personoplysninger om. Følgelig bidrager administratoren af en fanside på Facebook til behandlingen af personoplysninger om brugerne af dennes side.
37 Administratoren af en fanside kan især anmode om at modtage – og dermed, at der behandles – demografiske oplysninger om målgruppen, bl.a. tendenser for så vidt angår alder, køn, forholdsstatus og arbejde, oplysninger om målgruppens livsstil og interesseområder og oplysninger om brugerne af sidens køb og købsadfærd online, kategorier af varer eller tjenesteydelser, der interesserer målgruppen mest, og geografiske oplysninger, som gør det muligt for fansidens administrator at foretage specifikke salgsfremstød eller arrangere begivenheder eller mere generelt bedre at målrette sit informationsudbud.
38 Selv om det er korrekt, at de af Facebook udarbejdede statistikker om målgruppen alene videregives til fansidens administrator i anonymiseret form, er udarbejdelsen af disse statistikker ikke desto mindre baseret på den forudgående indsamling af brugernes personoplysninger ved hjælp af cookies, som Facebook har installeret i brugernes computer eller ethvert andet medium, når de besøger fansiden, og behandlingen af deres personoplysninger i statistisk øjemed. Når flere operatører har et fælles ansvar for den samme behandling, kræver direktiv 95/46 under alle omstændigheder ikke, at hver enkelt har adgang til de pågældende personoplysninger.
39 Under disse omstændigheder må det antages, at administratoren af en fanside på Facebook, såsom Wirtschaftsakademie, bidrager til at afgøre, til hvilket formål og med hvilke hjælpemidler der foretages behandling af personoplysninger om brugerne af fansiden, ved at foretage indstillinger afhængigt af bl.a. målgruppen samt målene for forvaltning af og reklame for sine aktiviteter. Af denne grund skal administratoren sammen med Facebook Ireland i denne sag kvalificeres som registeransvarlig inden for EU som omhandlet i artikel 2, litra d), i direktiv 95/46.
40 Den omstændighed, at administratoren af en fanside bruger Facebooks platform og anvender de tjenester, der knytter sig hertil, fritager ikke administratoren for vedkommendes forpligtelser med hensyn til beskyttelse af personoplysninger.
41 Det skal endvidere fremhæves, at fansiderne på Facebook ligeledes kan besøges af personer, som ikke er Facebook-brugere, og som dermed ikke har en brugerkonto på dette netværk. I dette tilfælde synes administratoren af en fansides ansvar for behandlingen af disse personers personoplysninger endnu vigtigere, da brugernes blotte konsultation af fansiden automatisk udløser en behandling af deres personoplysninger.
42 Under disse omstændigheder bidrager anerkendelsen af, at den virksomhed, som driver et socialt netværk, og administratoren af en fanside på dette netværk har et fælles ansvar i forbindelse med behandlingen af brugerne af denne fansides personoplysninger til at sikre en mere fuldstændig beskyttelse af de rettigheder, som brugerne af sådanne sider har, i overensstemmelse med kravene i direktiv 95/46.
43 Som anført af generaladvokaten i punkt 75 og 76 i forslaget til afgørelse, skal det dog præciseres, at tilstedeværelsen af et fælles ansvar ikke nødvendigvis indebærer, at de forskellige operatører, som er omfattet af en behandling af personoplysninger, har samme ansvar. De forskellige operatører kan tværtimod være ansvarlige for behandlingen af personoplysninger på forskellige niveauer og i forskelligt omfang, således at den enkeltes ansvarsniveau skal vurderes under hensyntagen til samtlige relevante omstændigheder i sagen.
44 Henset til ovenstående betragtninger skal det første og det andet spørgsmål besvares med, at artikel 2, litra d), i direktiv 95/46 skal fortolkes således, at begrebet »registeransvarlig« som omhandlet i denne bestemmelse omfatter administratoren af en fanside på et socialt netværk.”
I sagen C-40/17 Fashion ID har EU-Domstolen uddybet sin fortolkning af fælles dataansvar som omhandlet i databeskyttelsesforordningen:
”67 Da det desuden er udtrykkeligt bestemt i artikel 2, litra d), i direktiv 95/46, at begrebet »den registeransvarlige« omfatter det organ, der »alene eller sammen med andre« afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, henviser dette begreb ikke nødvendigvis til et enkelt organ og kan vedrøre flere aktører, som deltager i denne behandling, og derfor er de alle undergivet de anvendelige bestemmelser om databeskyttelse (jf. i denne retning dom af 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, præmis 29, og af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 65).
68 Domstolen har ligeledes fastslået, at en fysisk eller juridisk person, der til eget formål udøver indflydelse på behandlingen af personoplysninger og grundet den omstændighed deltager i fastlæggelsen af formålene med og hjælpemidlerne ved denne behandling, til gengæld kan anses for den registeransvarlige som omhandlet i artikel 2, litra d), i direktiv 95/46 (dom af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 68).
69 Derudover forudsætter et fælles ansvar for flere aktører for den samme behandling som omhandlet i denne bestemmelse ikke, at hver af disse har adgang til de omhandlede personoplysninger (jf. i denne retning dom af 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, præmis 38, og af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 69).
70 Da formålet med artikel 2, litra d), i direktiv 95/46 er – ved en bred definitionen af begrebet »den registeransvarlige« – at sikre en effektiv og fuldstændig beskyttelse af de berørte personer, indebærer tilstedeværelsen af et fælles ansvar ikke nødvendigvis, at forskellige aktører har samme ansvar for den samme behandling af personoplysninger. De forskellige aktører kan tværtimod være ansvarlige for behandlingen af personoplysninger på forskellige niveauer og i forskelligt omfang, således at den enkeltes ansvarsniveau skal vurderes under hensyntagen til samtlige relevante omstændigheder i sagen (jf. i denne retning dom af 10.7.2018, Jehovan todistajat, C-25/17, EU:C:2018:551, præmis 66).
[…]
74 Heraf følger, således som generaladvokaten i det væsentlige har anført i punkt 101 i forslaget til afgørelse, at en fysisk eller juridisk person alene vil kunne være den registeransvarlige som omhandlet i artikel 2, litra d), i direktiv 95/46 sammen med andre for behandlingsoperationer vedrørende personoplysninger, hvis denne person er medbestemmende angående formålet og hjælpemidlerne for disse operationer. Derimod og med forbehold for et eventuelt erstatningsansvar i henhold til national ret i denne henseende kan denne fysiske eller juridiske person ikke anses for at være den registeransvarlige som omhandlet i nævnte bestemmelse, for operationer, der indtræder før eller efter rækken af behandlinger, og vedrørende hvilke den pågældende hverken fastlægger formål eller hjælpemidler.
75 Med forbehold for den efterprøvelse, som det tilkommer den forelæggende ret at foretage, fremgår det i den foreliggende sag af de sagsakter, som Domstolen råder over, at Fashion ID ved at integrere »synes godt om«-knappen fra Facebook på sit websted synes at have givet Facebook Ireland mulighed for at indhente personoplysninger vedrørende webstedets besøgende, idet denne mulighed opstår fra det tidspunkt, hvor den pågældende konsulterer webstedet, og dette finder sted uanset om disse besøgende er medlemmer af det sociale netværk Facebook, om de har klikket på »synes godt om«-knappen fra Facebook, eller om de har kendskab til, at en sådan operation finder sted.
76 Henset til disse oplysninger skal det fastslås, at de behandlingsoperationer vedrørende personoplysninger, for hvilke Fashion ID sammen med Facebook Ireland kan fastlægge formålene og hjælpemidlerne, ifølge definitionen af begrebet »behandling af personoplysninger« i artikel 2, litra b), i direktiv 95/46 er indsamling og videregivelse ved transmission af personoplysninger, der vedrører de besøgende på Fashion ID’s websted. Med hensyn til nævnte oplysninger forekommer det derimod umiddelbart udelukket, at Fashion ID fastlægger, til hvilke formål og med hvilke hjælpemidler der efterfølgende foretages behandlingsoperationer vedrørende personoplysninger af Facebook Ireland efter deres transmission til dette selskab, hvorfor Fashion ID ikke kan anses for at være den registeransvarlige for disse operationer som omhandlet i nævnte direktivs artikel 2, litra d).
77 Hvad angår de hjælpemidler, der anvendes til indsamlingen og videregivelsen ved transmission af visse personoplysninger vedrørende de besøgende på Fashion ID’s websted, fremgår det af nærværende doms præmis 75, at Fashion ID synes at have integreret »synes godt om«-knappen fra Facebook, som Facebook Ireland stiller til rådighed for operatører af websteder, på sit websted, idet Fashion ID var bevidst om, at denne knap er et middel til indsamling og transmission af dette websteds besøgendes personoplysninger, uafhængigt af om disse er medlemmer af det sociale netværk Facebook.
78 Ved at integrere et sådant socialt modul på sit websted har Fashion ID desuden på afgørende vis indflydelse på indsamlingen og transmissionen af webstedets besøgendes personoplysninger til udbyderen af nævnte modul, i den foreliggende sag Facebook Ireland, der ikke ville have fundet sted, såfremt nævnte modul ikke var blevet integreret på webstedet.
79 På denne baggrund og med forbehold for den efterprøvelse, som den forelæggende ret skal foretage i denne forbindelse, skal det lægges til grund, at Facebook Ireland og Fashion ID sammen fastlægger, hvilke hjælpemidler der anvendes til indsamlingen og videregivelsen ved transmissionen af Fashion ID’s websteds besøgendes personoplysninger.
80 Hvad angår formålet med nævnte behandlingsoperationer vedrørende personoplysninger lader det til, at Fashion ID’s integration af »synes godt om«-knappen fra Facebook på sit websted, gør det muligt for selskabet at optimere markedsføringen af selskabets varer ved at gøre dem mere synlige på det sociale netværk Facebook, når en besøgende på webstedet klikker på nævnte knap. Det er med henblik på at kunne udnytte denne kommercielle fordel, der består i øget omtale af sine varer, at Fashion ID ved at integrere en sådan knap på sit websted synes at have givet samtykke, i det mindste implicit, til indsamlingen og videregivelsen ved transmission af sit websteds besøgendes personoplysninger, idet disse operationer, der omfatter behandling af personoplysninger, finder sted i både Fashion ID’s og Facebook Irelands økonomiske interesse, idet sidstnævntes rådighed over disse oplysninger med henblik på egen markedsføring er modydelsen for den fordel, der gives Fashion ID.
81 Med forbehold af den efterprøvelse, som det tilkommer den forelæggende ret at foretage, kan det på denne baggrund lægges til grund, at Fashion ID og Facebook sammen fastlægger, til hvilke formål der må foretages operationer til indsamling og videregivelse ved transmission af de i hovedsagen omhandlede personoplysninger.
82 Som det fremgår af den i nærværende doms præmis 69 nævnte retspraksis, er den omstændighed, at operatøren af et websted, såsom Fashion ID, ikke selv har adgang til de personoplysninger, der er indsamlet og overført til udbyderen af det sociale modul, med hvem operatøren i fællesskab fastlægger, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, ikke til hinder for, at denne operatør kan være »den registeransvarlige« som omhandlet i artikel 2, litra d), i direktiv 95/46.
[…]
84 Følgelig forekommer det således, at Fashion ID kan anses for at være den registeransvarlige som omhandlet i artikel 2, litra d), i direktiv 95/46 i fællesskab med Facebook Ireland for indsamlingen og videregivelsen ved transmission af personoplysningerne for webstedets besøgende.
85 Henset til samtlige ovenstående betragtninger skal det andet spørgsmål besvares med, at operatøren for et websted, såsom Fashion ID, som på dette websted integrerer et socialt modul, der gør det muligt for webstedets besøgendes browser at rekvirere indhold fra udbyderen af dette modul og i denne forbindelse overføre den besøgendes personoplysninger til nævnte udbyder, kan anses for at være den registeransvarlige som omhandlet i artikel 2, litra d), i direktiv 95/46. Dette ansvar begrænses imidlertid til den operation eller den række af operationer, der omfatter behandling af personoplysninger, for hvilken eller hvilke denne operatør rent faktisk fastlægger til hvilket formål og på hvilken måde dette må finde sted, dvs. den i hovedsagen omhandlede indsamling og videregivelse ved transmission af personoplysninger.”
4.3. Behandlingsgrundlag
Betingelserne for lovlig behandling af personoplysninger findes i databeskyttelsesforordningens artikel 6, som har følgende ordlyd:
”Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:
a) Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
b) Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.
c) Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.
d) Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.
e) Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
f) Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.
Første afsnit, litra f), gælder ikke for behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.”
Samtykke fra den registrerede defineres i databeskyttelsesforordningens artikel 4, nr. 11, som enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.
Af præambelbetragtning nr. 32 til databeskyttelsesforordningen fremgår følgende om samtykke:
”Samtykke bør gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved vedkommende accepterer, at personoplysninger om vedkommende behandles, f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring. Dette kan f.eks. foregå ved at sætte kryds i et felt ved besøg på et websted, ved valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklæring eller handling, der tydeligt i denne forbindelse tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke. Samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål. Når behandling tjener flere formål, bør der gives samtykke til dem alle. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, kortfattet og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til.”
Endvidere fremgår følgende af præambelbetragtning nr. 42 til databeskyttelsesforordningen:
”Hvis behandling er baseret på den registreredes samtykke, bør den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandlingen. Navnlig i forbindelse med skriftlige erklæringer om andre forhold bør garantier sikre, at den registrerede er bekendt med, at og i hvilket omfang der er givet samtykke. I overensstemmelse med Rådets direktiv 93/13/EØF[…] bør der stilles en samtykkeerklæring udformet af den dataansvarlige til rådighed i en letforståelig og lettilgængelig form og i et klart og enkelt sprog, og den bør ikke indeholde urimelige vilkår. For at sikre, at samtykket er informeret, bør den registrerede som minimum være bekendt med den dataansvarliges identitet og formålene med den behandling, som personoplysningerne skal bruges til. Samtykke bør ikke anses for at være givet frivilligt, hvis den registrerede ikke har et reelt eller frit valg eller ikke kan afvise eller tilbagetrække sit samtykke, uden at det er til skade for den pågældende.”
Endelig fremgår følgende af s. 19 i Artikel 29-gruppens retningslinjer vedrørende samtykke i henhold til forordning 2016/679, WP 259 rev.01, som er tiltrådt af Det Europæiske Databeskyttelsesråd:
”Under alle omstændigheder skal samtykke altid opnås, inden den dataansvarlige indleder den behandling af personoplysninger, hvortil samtykket skal bruges. Gruppen har konsekvent i sine tidligere udtalelser fastslået, at samtykke skal gives forud for behandlingsaktiviteten. Selv om databeskyttelsesforordningen ikke udtrykkeligt bestemmer i artikel 4, stk. 11, at samtykke skal gives forud for behandlingsaktiviteten, er dette tydeligt underforstået. Overskriften på artikel 6, stk. 1, og formuleringen "har givet" i artikel 6, stk. 1, litra a), understøtter denne fortolkning. Det følger logisk af artikel 6 og betragtning 40, at der skal foreligge et gyldigt retsgrundlag, inden databehandlingen påbegyndes. Derfor skal samtykke gives forud for behandlingsaktiviteten. Det kan i princippet være tilstrækkeligt at anmode om den registreredes samtykke én gang. Den dataansvarlige skal dog indhente et nyt og specifikt samtykke, hvis formålene med databehandlingen ændres efter opnåelsen af samtykket, eller hvis det påtænkes at anvende dataene til andre formål.”
Behandling af personoplysninger skal i øvrigt altid ske i overensstemmelse med de grundlæggende principper i databeskyttelsesforordningens artikel 5, hvoraf bl.a. følgende fremgår:
”Personoplysninger skal:
a) behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)
b) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, skal ikke anses for at være uforenelig med de oprindelige formål (»formålsbegrænsning«)
c) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)
d) være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)
e) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; personoplysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, under forudsætning af, at der implementeres passende tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre den registreredes rettigheder og frihedsrettigheder (»opbevaringsbegrænsning«)
f) behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).”
5. Begrundelse for Datatilsynets afgørelse
5.1. Er der tale om behandling af personoplysninger, som Datatilsynet har kompetence til at vurdere?
Datatilsynet lægger bl.a. på baggrund af Googles dokumentation, som er nærmere beskrevet i afsnit 2.3, til grund, at de oplysninger, der bliver overført til Google, bl.a. omfatter oplysninger om de besøgendes IP-adresse, hvilken hjemmeside, hvor Googles annonce er indlejret, de besøgende anmoder om at tilgå, datoen for anmodningen, og oplysninger om onlineidentifikatorer, der findes i cookies, som Google har lagret i de besøgendes browser.
Af Artikel 29-gruppens udtalelse om begrebet personoplysninger fremgår, at et "formålselement" kan være ansvarligt for, at der er tale om oplysninger "om" en bestemt person. Der foreligger et ”formålselement”, når oplysningerne bruges eller kan forventes at blive brugt med det formål at vurdere en person, behandle den pågældende på en bestemt måde eller påvirke den pågældendes status eller adfærd.
Det fremgår endvidere af Artikel 29-gruppens udtalelse om adfærdsbaseret markedsføring, at oplysningerne, der indsamles til brug for adfærdsbaseret markedsføring, gør det muligt at ”udpege” registrerede, selv om deres virkelige navne ikke kendes. Oplysningerne, der indsamles, vedrører den registreredes egenskaber eller adfærd, og oplysningerne bruges til at påvirke lige netop den pågældende person.
Det fremgår i den forbindelse af Googles dokumentation, at oplysningerne bl.a. benyttes til ”[personalisering af indhold og annoncer, som du ser på Google og på vores partners’ hjemmesider og applikationer]”.
Samlet set er det herefter Datatilsynets vurdering, at de omhandlede oplysninger om de besøgende på dmi.dk, der indsamles og transmitteres til Google, udgør personoplysninger om disse, idet oplysningerne vedrører den registreredes egenskaber og adfærd og bruges til at behandle den pågældende på en bestemt måde i forhold til, hvilke annoncer, der bliver vist for den pågældende.
Som beskrevet oven for i afsnit 3 ligger tilsynet med regler om behandling af personoplysninger, som ikke er erstattet af særregler der implementerer e-Databeskyttelsesdirektivet, hos Datatilsynet.
Det er Datatilsynets opfattelse, at det i denne sag alene er oplysninger om cookieidentifikatorer[7], der bliver lagret i slutbrugerens terminaludstyr, og som Google (via dmi.dk) opnår adgang til.
Det er således Datatilsynets vurdering, at det alene er en delmængde af oplysningerne, der bliver indsamlet og transmitteret til Google, der ligger inden for anvendelsesområdet af cookiebekendtgørelsens § 3, stk. 1, og som dermed henhører under Erhvervsstyrelsens tilsynskompetence. Det er navnlig oplysningerne, der findes i cookies, som Google har lagret i klagers browser, herunder navnlig oplysningerne om cookieidentifikator(er).
Oplysningerne, der overføres til Google, begrænser sig imidlertid ikke til de oplysninger, der er lagret i terminaludstyret (cookieidentifikatorer). Der indsamles og transmitteres tillige oplysninger om bl.a. de besøgendes IP-adresse og andre oplysninger, som beskrevet ovenfor.
Idet disse yderligere oplysninger udgør personoplysninger om de besøgende, er det Datatilsynet vurdering, at tilsynet har kompetence til at vurdere, hvorvidt behandling af disse øvrige personoplysninger om de besøgende, der indsamles og transmitteres til Google, sker i overensstemmelse med databeskyttelsesforordningen og databeskyttelsesloven.
5.2. Dataansvar
Spørgsmålet er herefter, hvorvidt DMI kan anses for at være den dataansvarlige – eventuelt i fællesskab med Google – for behandling af de omhandlede personoplysninger.
Ved at integrere indhold fra Google på sin hjemmeside har DMI givet Google mulighed for at indhente personoplysninger vedrørende hjemmesidens besøgende, idet denne mulighed opstår fra det tidspunkt, hvor de pågældende besøger hjemmesiden.
Henset hertil finder Datatilsynet, at det kan fastslås, at de behandlingsoperationer, for hvilke DMI sammen med Google kan fastlægge formålene og hjælpemidlerne, er indsamling og videregivelse af personoplysninger, der vedrører de besøgende på dmi.dk.
Med hensyn til de omhandlede oplysninger forekommer det derimod umiddelbart udelukket, at DMI fastlægger, til hvilke formål og med hvilke hjælpemidler der efterfølgende foretages behandlingsoperationer vedrørende personoplysninger af Google efter deres transmission til hertil, hvorfor DMI ikke kan anses for at være den dataansvarlige for disse operationer.
Hvad angår de hjælpemidler, der anvendes til indsamlingen og videregivelsen ved transmission af visse personoplysninger vedrørende de besøgende på dmi.dk, fremgår det af afsnit 2.2., at DMI har integreret bannerannoncer fra Google, som Google stiller til rådighed for operatører af hjemmesider, på sin hjemmeside, og at DMI er bevidst om, at disse bannerannoncer, foruden visning af annoncer, også indsamler og transmitterer personoplysninger om hjemmesidens besøgende.
Ved at integrere disse bannerannoncer på sin hjemmeside har DMI på afgørende vis indflydelse på indsamlingen og transmissionen af personoplysninger om hjemmesidens besøgende til Google, idet disse behandlingsoperationer ikke ville have fundet sted, hvis bannerannoncerne ikke var blevet integreret på hjemmesiden.[8]
På denne baggrund må det efter Datatilsynets opfattelse kunne lægges til grund, at DMI og Google sammen fastlægger, hvilke hjælpemidler der anvendes til indsamlingen og videregivelsen af personoplysninger om de besøgende på dmi.dk.
For så vidt angår formålet med behandling af de omhandlede personoplysninger kan det lægges til grund, at DMI’s integration af bannerannoncerne fra Google på sin hjemmeside sker med henblik på annonceindtægter.
Ved at integrere disse annoncer på sin hjemmeside har DMI givet samtykke, i det mindste implicit, til indsamlingen og videregivelsen ved transmission af personoplysninger om hjemmesidens besøgende, idet disse operationer finder sted i både DMI’s og Googles økonomiske interesse, idet sidstnævntes rådighed over disse oplysninger med henblik på evaluering og fastlæggelse af de registreredes interesser, personlige præferencer og adfærd bidrager til en effektivisering af Googles annoncenetværk, hvilket også kommer DMI til gode i form af øgede annonceindtægter.[9]
På den baggrund kan det efter Datatilsynets opfattelse lægges til grund, at DMI og Google sammen fastlægger, til hvilke formål der er sket indsamling og videregivelse af de omhandlede personoplysninger.
Som det fremgår af EU-Domstolens sager C-210/16 Wirtschaftsakademie og C-40/17 Fashion ID, præmis 69 og 82 henholdsvis, er den omstændighed, at DMI ikke selv har adgang til de personoplysninger, der er indsamlet og overført til Google, med hvem DMI i fællesskab fastlægger, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, ikke til hinder for, at DMI kan være den dataansvarlige.
5.3. Behandlingsgrundlag
5.3.1. Hvem skal tilvejebringe et behandlingsgrundlag?
Først skal det afklares, hvilken af de fælles dataansvarlige, der skal tilvejebringe et gyldigt behandlingsgrundlag for de indledende behandlingsoperationer i form af indsamling og videregivelse ved transmission.
Mens DMI og Google er fælles dataansvarlige for de indledende behandlingsoperationer i form af indsamling og videregivelse ved transmission har DMI kun pligt til at sikre et gyldigt behandlingsgrundlag for de behandlingsoperationer for hvilke DMI er medansvarlig, det vil sige indsamling og videregivelse ved transmission. DMI er således ikke ansvarlig for behandling, der foretages af Google, herunder eventuel profilering mv., som sker efter den omhandlede indsamling og videregivelse.
Når behandling af personoplysninger om de besøgende udløses af besøg på dmi.dk, må det følgelig påhvile DMI og ikke Google at sikre et gyldigt behandlingsgrundlag.
I de tilfælde, hvor det relevante behandlingsgrundlag er den registreredes samtykke, skal dette samtykke være afgivet, inden der sker behandling af personoplysninger.
Det bemærkes i den forbindelse, at EU-Domstolen i sin dom af 29. juli 2019 i sagen C-40/17 Fashion ID bl.a. også har udtalt, at det ikke ville være i overensstemmelse med effektiv og rettidig beskyttelse af den registreredes rettigheder, hvis samtykket alene blev givet til den fælles registeransvarlige, som først senere involveres, dvs. Google.
5.3.2. Hvad er det relevante behandlingsgrundlag?
Som det fremgår ovenfor er behandling af personoplysninger kun lovlig, hvis én af betingelserne i databeskyttelsesforordningens artikel 6, gør sig gældende, og det er derfor relevant at afdække, hvilke(t) behandlingsgrundlag, der er relevant(e) i nærværende sag.
På baggrund af sagens oplysninger synes navnlig forordningens artikel 6, stk. 1, litra a, e og f, at være relevante at overveje som et muligt behandlingsgrundlag.
Ad litra f)
DMI er en del af Klima-, Energi- og Forsyningsministeriet og dermed en del af den offentlige forvaltning.
Offentlige myndigheder kan ikke behandle personoplysninger som led i udførelsen af deres opgaver på baggrund af forordningens artikel 6, stk.1, litra f. Det følger som nævnt ovenfor af forordningens artikel 6, stk. 1, 2. afsnit.
Ad litra e)
Det er Datatilsynets vurdering, at den omhandlede behandling af personoplysninger, der består i indsamling og videregivelse af personoplysninger til Google, ikke er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller som henhører under DMI’s myndighedsudøvelse, og behandlingen kan dermed ikke ske i medfør af forordningens artikel 6, stk. 1, litra e.
Datatilsynet har herved lagt afgørende vægt på, at det er muligt for DMI at indstille de indlejrede annoncer, således at der ikke sker behandling af personoplysninger om de besøgende på dmi.dk, hvorefter de besøgende fortsat vil få vist bannerannoncer, der dog ikke vil være personaliserede på baggrund af disses personoplysninger.
Ad litra a)
Det er på den baggrund Datatilsynets vurdering, at det relevante behandlingsgrundlag for den omhandlede behandling af personoplysninger er forordningens artikel 6, stk. 1, litra a, om den registreredes samtykke.
5.3.3. Indhentes der et gyldigt samtykke?
Datatilsynet lægger i sin vurdering af, om der indhentes et gyldigt samtykke, til grund, at DMI indhenter samtykke til behandling af personoplysninger på samme tid og gennem samme implementerede samtykkeløsning som den, der angår samtykke til placering og læsning af cookies på de besøgendes udstyr.
Ad frivilligt
Formålet med betingelsen om frivillighed er at skabe gennemsigtighed for den registrerede og give den registrerede et valg og kontrol over sine personoplysninger. Et samtykke anses derfor ikke for at være afgivet frivilligt, hvis den registrerede ikke kan foretage et reelt og frit valg.
En tjeneste kan omfatte flere behandlingsoperationer til mere end et formål. Et væsentligt element i vurderingen af, om et samtykke er frivilligt, er derfor også princippet om ”granularitet”. Princippet indebærer, at der ved behandlinger, der tjener flere formål, skal indhentes særskilt samtykke til hvert enkelt formål. I databeskyttelsesretlig sammenhæng er opdelingen (granulering) af formål således væsentlig for at sikre den registrerede kontrol over sine oplysninger og gennemsigtighed i forhold til hvilke behandlingsoperationer, der finder sted.
Af DMI’s udtalelse af 12. februar 2019 fremgår et skærmbillede af den implementerede samtykkeløsning, hvor der ved første interaktion er to valgmuligheder; ”OK” og ”Vis detaljer”. Det fremgår endvidere af løsningen, at:
”DMI og tredjeparter bruger cookies til at gøre dmi.dk mere brugbar, give dig en bedre oplevelse og til målrettet markedsføring. Ved at klikke OK her giver du samtykke til dette. Du kan altid trække dit samtykke tilbage. Læs mere i vores privatlivspolitik.”
Det er Datatilsynets vurdering, at de deloperationer, som en besøgende ved at vælge ”OK” giver samtykke til, udgør flere forskellige behandlingsformål. Efter Datatilsynets opfattelse sker der således behandling af personoplysninger til forskellige formål, herunder bl.a.:
- indsamling af personoplysninger med henblik på at danne statistik af, hvordan de besøgende bruger dmi.dk,
- adfærdsbaseret markedsføring, hvor indsamling af personoplysninger sker med henblik på at følge de besøgende på tværs af hjemmesider med henblik på personalisere annoncer over for den enkelte besøgende gennem profilering.
Det er således Datatilsynets vurdering, at indsamling af personoplysninger til forskellige formål på baggrund af ét samlet samtykke ikke giver de besøgende et tilstrækkeligt frit valg i forhold til at kunne identificere og til- eller fravælge hvilke formål, den besøgende reelt ønsker at give sit samtykke til.
Datatilsynet har noteret sig, at det er muligt at til- eller fravælge indsamling af personoplysninger til forskellige formål ved at vælge ”Vis detaljer”, men at denne mulighed er placeret ”et-klik-væk”, og det er dermed ikke muligt ved den indledende interaktion med samtykkeløsningen.
Ad informeret
For at sikre, at samtykket er informeret, bør den registrerede som minimum være bekendt med den dataansvarliges identitet og formålene med den behandling, som personoplysningerne skal bruges til.
De oplysninger, der skal gives den registrerede skal gives i en enkel, letforståelig og lettilgængelig form, og oplysningerne skal være givet til den registrerede, inden samtykket gives.
Af den implementerede samtykkeløsning på dmi.dk fremgår, hvilke cookies der benyttes på hjemmesiden, og disse er inddelt i forskellige kategorier. Det fremgår endvidere af kategorien ”Markedsføring”, at der bl.a. benyttes cookies fra udbyderen DoubleClick, og at formålet hermed er ”online marketing ved at indsamle oplysninger om brugerne og deres aktivitet på websitet. Oplysningerne bruges til at målrette annoncering til brugeren på tværs af forskellige kanaler og enheder.”
Det er Datatilsynets vurdering, at samtykket som DMI indhenter gennem den implementerede løsning ikke er tilstrækkeligt informeret.
Datatilsynet har herved navnlig lagt vægt på, at der ikke fremgår tilstrækkelig tydelig information om de (fælles) dataansvarlige, herunder Google, i samarbejde med hvem personoplysninger indsamles og hvortil personoplysninger videregives, og at det ikke er tilstrækkeligt klart for den registrerede, hvilke personoplysninger, der indsamles og transmitteres til disse (fælles) dataansvarlige, herunder Google.
Det er i den forbindelse Datatilsynets opfattelse, at det – for så vidt angår samtykke til behandling af personoplysninger – er nødvendigt, at det af en samtykkeløsning eller –erklæring i en letforståelig og lettilgængelig form og i et klart og enkelt sprog fremgår, hvilke dataansvarlige, der fx videregives personoplysninger til. Det skal herunder bemærkes, at det er identiteten på den dataansvarlige organisation, der skal fremgå, og ikke den dataansvarliges eventuelle websites, kaldenavne eller produktnavne, som den dataansvarlige benytter, da det ikke er letforståeligt og lettilgængeligt for den registrerede.
Ad opbygningen af samtykkeløsningen
Af det grundlæggende princip i forordningens artikel 5, stk. 1, litra a, om lovlighed, rimelighed og gennemsigtighed, følger efter Datatilsynets opfattelse, at det bør være tilsvarende let at afstå fra at give samtykke til behandling af personoplysninger, som det er at give det.
Det er Datatilsynets vurdering, at den nuværende opbygning af DMI’s samtykkeløsning, hvor den besøgende ved første besøg præsenteres for to valg i relation til behandling af personoplysninger; ”OK” og ”Vis detaljer”, ikke opfylder dette krav om gennemsigtighed.
Datatilsynet har herved lagt vægt på, at det ikke er muligt for en besøgende på hjemmesiden at afslå behandling af personoplysninger ved det indledende besøg på dmi.dk. Det kræver, at den besøgende vælger ”Vis detaljer” for derefter at vælge ”Opdater samtykke”. En sådan ”et-klik-væk” fremgangsmåde er efter Datatilsynets opfattelse ikke gennemsigtig, da det dels kræver et ekstra skridt for den registrerede at afslå at give samtykke til behandling af personoplysninger, dels ikke er klartfor den registrerede, at det er muligt at undlade at give samtykke til behandling af personoplysninger ved at vælge ”Vis detaljer”, ligesom formuleringen ”Opdater samtykke” kan give anledning til forvirring.
Tilsvarende er det efter Datatilsynets opfattelse ikke i overensstemmelse med princippet om gennemsigtighed, at muligheden for at afstå fra at give samtykke til behandling af personoplysninger i DMI’s løsning ikke har samme meddelelseseffekt – det vil sige, at det ikke fremgår lige så tydeligt – som muligheden for at give samtykke, hvorved den registrerede indirekte skubbes i retning af at give samtykke til behandling af personoplysninger.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] https://policies.google.com/technologies/partner-sites?hl=en-GB
[3] https://policies.google.com/technologies/ads?hl=en-GB
[4] https://policies.google.com/privacy/key-terms?hl=en-GB#toc-terms-server-logs
[5] Artikel 29-gruppens udtalelse nr. 4/2007 om begrebet personoplysninger, s. 10f.
[6] Artikel 29-gruppens udtalelse nr. 2/2010 om adfærdsbaseret annoncering på internettet, s. 9f.
[7] I Googles eget eksempel, der er nævnt i afsnit 2.3. ovenfor, er cookieidentifikatoren ”740674ce2123e969”
[8] EU-Domstolens dom af 29. juli 2019 i sagen C-40/17 Fashion ID, præmis 78.
[9] EU-Domstolens dom af 29. juli 2019 i sagen C-40/17 Fashion ID, præmis 80.