Ugyldigt samtykke på hjemmeside

Dato: 13-11-2020

På baggrund af en klage har Datatilsynet fundet, at samtykkeløsningen på www.golf.dk ikke opfyldt kravene om bl.a. frivillighed, granularitet og utvetydig viljestilkendegivelse.

Journalnummer: 2020-31-3354

Resume

Datatilsynet har på baggrund af en klage udtalt alvorlig kritik af, at DGU Erhverv A/S ikke indhentede et gyldigt samtykke i forbindelse med DGU Erhverv A/S’ behandling af personoplysninger om de besøgende på hjemmesiden www.golf.dk.

DGU Erhverv A/S indsamlede og behandlede i sagen oplysninger om den hjemmesidebesøgende i forbindelse med dennes besøg på hjemmesiden www.golf.dk. Formålet med behandlingen var bl.a. markedsføring, og behandlingen skete på baggrund af den hjemmesidebesøgendes samtykke.

Samtykket blev indhentet ved hjælp af en samtykkeløsning, hvorved den hjemmesidebesøgende indledningsvis fik præsenteret information om behandlingsaktiviteterne på www.golf.dk, hvorefter den hjemmesidebesøgende kunne trykke ”Tillad alle cookies”. Det var ikke muligt for den hjemmesidebesøgende at undlade at give samtykke til behandlingsaktiviteterne. Det fremgik endvidere, at den hjemmesidebesøgendes fortsatte brug af www.golf.dk også ville blive anset som et samtykke.

Datatilsynet fandt i sagen, at samtykkeløsningen, som DGU Erhverv A/S benyttede på www.golf.dk, ikke levede op til de gyldighedskrav, som databeskyttelsesforordningen opstiller for et samtykke. Særligt var kravene om frivillighed, granularitet og en utvetydig viljestilkendegivelse ikke opfyldt.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor [x] (herefter klager) den 12. maj 2020 har klaget til tilsynet over DGU Erhverv A/S’ (herefter DGU) behandling af oplysninger om ham på hjemmesiderne www.golf.dk og www.golfbox.dk.

Datatilsynet bemærker, at DGU har oplyst, at DGU alene er ejer og administrator af hjemmesiden www.golf.dk. Nærværende afgørelse fra Datatilsynet behandler derfor alene klagers klage i forhold til hjemmesiden www.golf.dk.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at DGU’s behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 6, stk. 1, litra a.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at klager og DGU har haft løbende korrespondance fra 24. maj 2018 til 9. august 2018 vedrørende samtykkeløsningen på hjemmesiden www.golf.dk.

Hjemmesiden benyttede ved klagers henvendelse til Datatilsynet en samtykkeløsning, hvoraf følgende fremgik:

”Denne hjemmeside bruger cookies

Vi bruger cookies til at tilpasse vores indhold og annoncer, til at vise dig funktioner til sociale medier og til at analysere vores trafik. Vi deler også oplysninger om din brug af vores website med vores partnere inden for sociale medier, annonceringspartnere og analysepartnere. Vores partnere kan kombinere disse data med andre oplysninger, du har givet dem, eller som de har indsamlet fra din brug af deres tjenester. Du samtykker til vores cookies, hvis du fortsætter med at anvende vores hjemmeside.”

Hjemmesidebrugeren havde herefter mulighed for at klikke på ”Tillad alle cookies” eller ”Vis detaljer”. Klikkede hjemmesidebrugeren ”Vis detaljer” fik hjemmesidebrugeren præsenteret information om, hvilke cookies www.golf.dk benyttede. Det fremgik bl.a., at www.golf.dk benyttede 13 cookies ift. ”Præferencer”, 29 cookies ift. ”Statistik”, 218 cookies ift. ”Marketing” og 19 cookies som var ”Uklassificeret”.

Klager indgav den 12. maj 2020 en klage til Datatilsynet over DGU’s behandling af oplysninger om ham på hjemmesiderne www.golf.dk og www.golfbox.dk.

Datatilsynet sendte på baggrund heraf klagers klage i høring den 19. juni 2020 og anmodede DGU om en udtalelse til sagen.

IDEAL Advokatfirma fremkom den 21. august 2020 med en udtalelse til sagen på vegne af DGU.

Datatilsynet fremsendte den 4. september 2020 DGU’s udtalelse til klager, således at klager fik mulighed for at fremkomme med bemærkninger hertil. Datatilsynet har ikke modtaget bemærkninger fra klager.

2.1. Klagers bemærkninger

Klager har overordnet anført, at behandlingen af oplysninger om ham på hjemmesiden www.golf.dk ikke lever op til de databeskyttelsesretlige regler.

Klager har i henhold hertil gjort gældende, at DGU ikke indhenter et gyldigt samtykke til behandlingerne af personoplysninger, som foretages på hjemmesiden, da det bl.a. er umuligt at undgå/fravælge cookies.

2.2. DGU’s bemærkninger

DGU har indledningsvis oplyst, at DGU alene ejer og administrerer hjemmesiden www.golf.dk, hvorfor DGU ikke har indflydelse på hjemmesiden www.golfbox.dk og dens samtykkeløsning.

DGU har om samtykkeløsningen, der er genstand for nærværende afgørelse, anført, at der blev behandlet oplysninger om klager på hjemmesiden www.golf.dk i forbindelse med hans besøg på siden.

Der blev indsamlet, registreret og videregivet oplysninger i form af personoplysninger om: postnummer, e-mail, IP-adresse, køn, alder, brugsmønstre på site/app, besøgte hjemmesider, hvilke annoncer klager klikkede på og oplysninger om hvilke typer enheder (smartphone, tablet, computer, tv m.v.), som klager anvendte.

Formålet med behandlingen var at registrere den hjemmesidebesøgendes adfærd på hjemmesiderne, hvilket var beskrevet i privatlivspolitikken på hjemmesiden.

Behandlingen af personoplysninger på hjemmesiden var baseret på den registreredes samtykke, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a.

Samtykke blev indhentet ved, at den hjemmesidebesøgende klikkede ”Tillad alle cookies” eller ved den hjemmesidebesøgendes fortsatte brug af hjemmesiden. Samtykke blev indhentet inden, behandlingen påbegyndtes, og det fremgik af privatlivspolitikken på hjemmesiden, hvordan samtykke kunne trækkes tilbage.

DGU har endelig anført, at det var DGU’s opfattelse, at samtykkeløsningen levede op til de gældende regler på området, men at denne opfattelse ændrede sig i april 2020, da DGU blev opmærksom på Erhvervsstyrelsens opdaterede cookievejledning.

DGU har i henhold hertil oplyst, at da DGU blev opmærksomme på den opdaterede vejledning fra Erhvervsstyrelsen i april 2020, indledte DGU en proces for at opdatere www.golf.dk’s samtykkeløsning.

DGU’s samarbejdspartner STEP A/S i forhold til den tidligere samtykkeløsning (OneTrust) kunne dog ikke levere en ny løsning. En midlertidig løsning blev derfor implementeret medio juni 2020.

Endelig har DGU oplyst, at DGU i medio august 2020 implementerede en ny samtykkeløsning (OneTrust), som er leveret af den tidligere samarbejdspartner og databehandler STEP A/S.

DGU har sammenfattende gjort gældende, at DGU var i en undskyldelig retsvildfarelse, henset til uklarheden og praksisændringen på området, hvilket bør medtages i vurderingen.

Endvidere har DGU gjort gældende, at DGU bør indrømmes en vis implementeringsperiode til at rette ind efter Erhvervsstyrelsens nye vejledning, og at denne implementeringsperiode skal ses i lyset af, at DGU’s implementering af den nye løsning skete i en tid med nedlukning, som skabte problemer med levering af it-løsninger.

3. Begrundelse for Datatilsynets afgørelse

3.1

Det fremgår af databeskyttelsesforordningens artikel 6, stk. 1, litra a, at behandling af personoplysninger er lovlig, hvis den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.

Af databeskyttelsesforordningens artikel 4, nr. 11, fremgår det, der ved et samtykke forstås enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.

Endvidere fremgår følgende af præambelbetragtning 32 til databeskyttelsesforordningen:

”Samtykke bør gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved vedkommende accepterer, at personoplysninger om vedkommende behandles, f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring. Dette kan f.eks. foregå ved at sætte kryds i et felt ved besøg på et websted, ved valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklæring eller handling, der tydeligt i denne forbindelse tilkendegiver den registreredes accept af den foreslåede behandling er vedkommendes personoplysninger. Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke. Samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål. Når behandling tjener flere formål, bør der gives samtykke til dem alle. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, kortfattet og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til.”

Endelig fremgår følgende af præmis 62 i EU-Domstolens afgørelse af 1. oktober 2019[2]:

”Et aktivt samtykke er således nu udtrykkeligt fastsat ved forordning 2016/679. Det skal i denne henseende bemærkes, at ifølge 32. betragtning til denne forordning kan der gives udtryk for samtykke bl.a. ved at sætte kryds i et felt ved besøg på et websted. Den nævnte betragtning udelukker derimod udtrykkeligt, at tavshed, forudafkrydsede felter eller inaktivitet kan udgøre samtykke.”

3.2

Datatilsynet lægger til grund, at DGU behandler oplysninger om klager i form af bl.a. IP-adresse og brugsmønstre på hjemmesiden, og at oplysningerne behandles til flere formål, herunder statistik og markedsføring.

Datatilsynet finder grundlag for at udtale alvorlig kritik af, at DGU’s behandling af oplysninger om klager på hjemmesiden www.golf.dk ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra a.

Datatilsynet har herved lagt vægt på, at der i forbindelse med klagers besøg på hjemmesiden www.golf.dk ikke er indhentet et gyldigt samtykke i overensstemmelse med de databeskyttelsesretlige regler.

Samtykke forudsætter frivillighed, jf. databeskyttelsesforordningens artikel 4, nr. 11. Samtykke kan ikke anses for frivilligt, når det ikke er muligt at undlade at give samtykke til den pågældende behandling. Klager kunne ikke ved besøget på www.golf.dk afvise at give samtykke, og klagers samtykke lever derfor ikke op til kravet om frivillighed.

Endvidere forudsætter et gyldigt samtykke, at den registrerede ved flere behandlingsformål frit kan vælge mellem disse – kravet om granularitet. Oplysningerne om klager er behandlet til flere formål, herunder statistik og markedsføring. Klager havde ved besøget på www.golf.dk ikke mulighed for at til- eller fravælge de forskellige behandlingsformål, hvilket ikke er i overensstemmelse med databeskyttelsesreglerne om et gyldigt samtykke.

Endelig skal samtykke være udtryk for en utvetydig viljestilkendegivelse fra den registrerede. Det er i ovenfornævnte EU-Domstolsafgørelse af 1. oktober 2019 fastslået, at en utvetydig viljestilkendegivelse forudsætter en aktiv handling, og at bl.a. tavshed eller inaktivitet ikke kan udgøre et gyldigt samtykke. Den hjemmesidebesøgendes fortsatte anvendelse af www.golf.dk kan således ikke udgøre et samtykke i databeskyttelsesretlig forstand.

Det kan ikke føre til andet resultat, at DGU først blev opmærksom på den nye praksisændring i april 2020. Datatilsynet henviser i den forbindelse til Datatilsynets vejledning ”Behandling af personoplysninger om hjemmesidebesøgende” fra februar 2020, som kan findes på tilsynets hjemmeside https://www.datatilsynet.dk/generelt-om-databeskyttelse/vejledninger.

Datatilsynet har noteret sig, at DGU har implementeret en ny samtykkeløsning på hjemmesiden www.golf.dk, og at denne samtykkeløsning tilbyder den hjemmesidebesøgende at vælge mellem ”Kun nødvendige” og ”jeg accepterer”.

Endvidere har Datatilsynet noteret sig, at DGU har opdateret teksten, som fremgår af samtykkeløsningen, således at det nu tydeligere fremgår, hvad den hjemmesidebesøgende giver samtykke til, hvad formålet med behandlingen er, og hvordan fravalg kan ske.

Datatilsynet bemærker i den forbindelse, at tilsynet i nærværende afgørelse ikke i øvrigt tager stilling til den nye samtykkeløsning på www.golf.dk.

Datatilsynet er dog i forhold til DGU’s nye samtykkeløsning blevet opmærksom på, at løsningen indeholder følgende formulering:

”Efterfølgende behandling sker på grundlag af dit samtykke og i særlige tilfælde på grundlag af legitim interesse.” (Datatilsynets understregning)

Det er Datatilsynets umiddelbare opfattelse, at en formulering som ovenstående ikke er gennemsigtig og letforståelig for en hjemmesidebesøgende. Samtykketeksten bør efter Datatilsynets opfattelse alene omfatte den/de behandling(er), som samtykket omfatter. Den dataansvarlige bør derfor gøre sig klart, hvilket grundlag for behandlingen af personoplysninger, der er relevant ved udformningen af samtykketeksten.

Datatilsynet bemærker endvidere, at en hjemmesidebesøgende ved at klikke på ”cookie indstillinger” i den nye samtykkeløsning præsenteres for muligheden for at gøre indsigelse mod hjemmesidens legitime interesser i forhold til statistik og markedsføring.

Det er Datatilsynets vurdering, at en sådan opsætning gør det uklart for den hjemmesidebesøgende, hvilke(t) behandlingsgrundlag der reelt ligger til grund for hjemmesidens behandling af personoplysninger i forhold til statistik og markedsføring.

Datatilsynet skal på baggrund af ovenstående bemærkninger til den nye samtykkeløsning opfordre DGU til at genoverveje udformningen af DGU’s nuværende samtykkeløsning.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2]   Sag C-673/17, Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzenrale Bundesverband eV mod Planet49 GmbH