Journalnummer: 2020-432-0047
Resume
Datatilsynet iværksatte i oktober 2020 en egendriftssag mod Næstved Kommune vedrørende kommunens behandling af personoplysninger om hjemmesidebesøgende. Efter at Datatilsynet indledte undersøgelsen af Næstved Kommune, valgte kommunen at ændre sin fremgangsmåde til behandling af personoplysninger om besøgende på kommunens hjemmeside. Datatilsynet har med nærværende afgørelse ikke taget stilling til kommunens nye fremgangsmåde.
Den fremgangsmåde til behandling af personoplysninger om besøgende, som Næstved Kommune benyttede i oktober 2020, præsenterede den hjemmesidebesøgende for information om, at hjemmesiden brugte cookies til bl.a. at forbedre brugeroplevelsen og til at støtte markedsføringen af kommunens services. Hjemmesidebesøgende havde herefter mulighed for at vælge ”OK” eller ”Vis detaljer”.
Næstved Kommune oplyste endvidere i sagen, at oplysninger om hjemmesidebesøgende blev indsamlet til statistiske formål med henblik på at sikre et højt niveau af borger- og brugervenlighed.
Datatilsynet fandt – efter sagen havde været behandlet på et møde i Datarådet - anledning til at udtale kritik af, at Næstved Kommune i forbindelse med behandling af personoplysninger om hjemmesidebesøgende ikke iagttog det grundlæggende behandlingsprincip om, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde.
Datatilsynet fandt endvidere, at Næstved Kommunes behandling af personoplysninger om hjemmesidebesøgende til statistiske formål skete som led i kommunens myndighedsudøvelse og dermed inden for rammerne af databeskyttelsesreglerne.
Datatilsynet lagde ved afgørelsen til grund, at der ikke skete en overførsel af oplysninger til lande uden for EU.
Afgørelse
Datatilsynet vender hermed tilbage til sagen, som Datatilsynet den 9. oktober 2020 af egen drift iværksatte vedrørende Næstved Kommunes behandling af personoplysninger om hjemmesidebesøgende (i form af cookies) på kommunens hjemmeside (www.naestved.dk).
Datatilsynet bemærker, at Næstved Kommune efter tilsynets iværksættelse af undersøgelsen har valgt at ændre kommunens fremgangsmåde vedrørende behandling af personoplysninger om besøgende på kommunens hjemmeside. Datatilsynet tager med nærværende afgørelse ikke stilling til den nye fremgangsmåde på www.naestved.dk.
Datatilsynets afgørelse angår alene, hvorvidt Næstved Kommunes behandling af personoplysninger ved sin tidligere fremgangsmåde på www.naestved.dk var i overensstemmelse med de databeskyttelsesretlige regler. Datatilsynet bemærker i den forbindelse, at afgørelsen derfor ikke omhandler forhold, der falder ind under anvendelsesområdet for bekendtgørelse nr. 1148 af 9. december 2011 om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr (cookiebekendtgørelsen), som hører under Erhvervsstyrelsens kompetenceområde.
1. Afgørelse
Datatilsynet finder – efter sagen har været behandlet på et møde i Datarådet – anledning til at udtale kritik af, at Næstved Kommune i forbindelse med behandling af personoplysninger om hjemmesidebesøgende ikke har iagttaget databeskyttelsesforordningens[1] artikel 5, stk. 1, litra a, om at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede.
Datatilsynet finder endvidere, at Næstved Kommunes behandling af personoplysninger om hjemmesidebesøgende til statistiske formål er sket inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra e.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Datatilsynet udgav i februar 2020 en vejledning om behandling af personoplysninger om hjemmesidebesøgende[2].
Som opfølgning herpå og for at sætte fokus på, om reglerne på dette område overholdes, besluttede Datatilsynet i oktober 2020 at undersøge hjemmesiden www.naestved.dk nærmere af egen drift.
På hjemmesiden, som tilhører og administreres af Næstved Kommune, fremgik på dette tidspunkt følgende tekst om besøg på hjemmesiden:
”Websitet bruger cookies for at forbedre din oplevelse, vurdere brugen af de enkelte elementer på websitet og til at støtte markedsføringen af vores services. Ved at klikke videre på websitet accepterer du websitets brug af cookies.”
På hjemmesiden blev hjemmesidebesøgende herefter præsenteret for et valg mellem at trykke ”OK” eller ”Vis detaljer”. Ved at klikke ”Vis detaljer” blev den hjemmesidebesøgende ført videre til følgende tekst:
”Cookies er små tekstfiler, som kan bruges af websteder til at gøre en brugers oplevelse mere effektiv.
Loven fastslår, at vi kan gemme cookies på din enhed, hvis de er strengt nødvendige for at sikre leveringen af den tjeneste, du udtrykkeligt har anmodet om at bruge. For alle andre typer cookies skal vi indhente dit samtykke.
Dette websted bruger forskellige typer af cookies. Nogle cookies sættes af tredjeparts tjenester, der vises på vores sider.”
I forbindelse med den hjemmesidebesøgendes accept eller fortsatte brug af www.naestved.dk blev der udover nogle teknisk nødvendige cookies placeret tre statistiske cookies.
Datatilsynet anmodede henholdsvis den 9. oktober 2020, den 10. december 2020, den 22. februar 2021, den 21. maj 2021 og den 21. september 2021 Næstved Kommune om udtalelser til sagen.
Næstved Kommune fremkom med udtalelser til sagen den 17. november 2020, den 15. januar 2021, den 9. marts 2021, 26. maj 2021 og 12. oktober 2021.
2.1. Næstved Kommunes bemærkninger
Næstved Kommune har i kommunens udtalelse af 6. november 2020 overordnet anført, at kommunen behandler oplysninger om hjemmesidebesøgende, som er omfattet af databeskyttelsesforordningens anvendelsesområde. Næstved Kommune har endvidere oplyst, at behandlingen sker på baggrund af databeskyttelsesforordningens artikel 6, stk. 1, litra e, af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, herunder for at varetage hensynet til at oplyse om kommunens løsning af kommunale opgaver.
Næstved Kommune har i udtalelsen af 13. januar 2021 oplyst, at kommunen på tidspunktet for Datatilsynets høring af 9. oktober 2020 benyttede 11 cookies på hjemmesiden, hvoraf tre cookies blev brugt til statistiske formål.
For så vidt angår Næstved Kommunes behandling af oplysninger om hjemmesidebesøgende til statistikformål, har kommunen gjort gældende, at behandlingen er med til at sikre et højt niveau af borger- og brugervenlighed på www.naestved.dk, herunder ved:
- at optimere borgernes brugerrejse frem til relevante offentlige informationer på basis af statistiske data om brugen af hjemmesiden for at opspore afbrudte brugerrejser,
- at opretholde generel sikkerhed på hjemmesiden, fx ved at identificere ulovligt og ondsindet trafik,
- at måle effekten af kommunikationsindsatsen ud fra data om, hvilke sider og links borgerne benytter,
- at optimere tidsbestillingssystemer og fysiske kontaktpunkter ved hjælp af statistikker til at se, hvor stor en del af henvendelserne, der foregår via fysiske selvbetjeningsskærme eller gennem links fra hjemmesiden, og
- at hjælpe med at finde balancepunktet i personlige henvendelser og selvbetjeningsløsninger, som er et ønske fra politikere.
Næstved Kommune har i forhold til lovligheden af behandlingen oplyst, at kommunen har lagt vægt på, at brugen af cookies er sat op således, at datasættet fra de enkelte cookies indsamles hos en leverandør, som genererer irreversibel anonymiseret statistik til Næstved Kommune. Oplysninger, som indsamles ved brug af cookies, behandles således i så begrænset omfang som muligt og alene med henblik på at tilvejebringe statistik, der kan sikre kommunen viden om brugerrejsen.
Næstved Kommune har sin udtalelse af 12. oktober 2021 præciseret, at de oplysninger, der i den forbindelse indsamles, er brugernes IP-adresser. Indsamlingen sker ikke via selve cookie’en, der placeres, men fra et script som udløses i den besøgendes browser, og som sender statistikdata til Siteimprove, efter at den besøgende har accepteret Siteimproves cookie. Dette ændrer imidlertid ikke på hverken lovligheden eller behandlingsgrundlaget i den forbindelse.
Næstved Kommune har desuden anført, at digital kommunikation med borgere er en forudsætning for kommunens løsning af kommunale opgaver, og at kommunen som led i sin opgaveløsning således er afhængig af at have effektive, nutidssvarende og borgernære kommunikationskanaler til borgerne. I den forbindelse skal kommunen bruge information om, hvordan hjemmesiden benyttes, og denne information tilvejebringes gennem statistikcookies.
Som eksempler på, hvad Næstved Kommune har af tilgængelig information på sin hjemmeside, har kommunen peget på oplysninger om kontakter og åbningstider, corona-information, sundhedstilbud, byrådsmøder, politikker og strategier samt høringer. Næstved Kommune har gjort gældende, at kommunen dermed løser nogle af sine opgaver gennem www.naestved.dk, ligesom kommunen kommunikerer til og med borgerne via hjemmesiden.
Oplysningerne, som Næstved Kommune indsamler ved brug af statistikcookies, bidrager til, at den relevante information ligger de rigtige steder på hjemmesiden, og at kommunen har aktuel og konkret information om brugen af hjemmesiden. Samtidig indebærer brugen af cookies, at det ikke er nødvendigt at udføre brugerundersøgelser af hjemmesiden, hvilket er tids- og omkostningsbesparende for kommunen og tidsbesparende for borgeren. Dertil kommer, at datagrundlaget fra de placerede statistikcookies anses for at bidrage med mere aktuel og konkret viden om borgernes brug af hjemmesiden, end brugerundersøgelser ville kunne frembringe.
Endvidere har Næstved Kommune anført, at statistikcookies bidrager til at monitorere, om der lægges utilsigtede filer og/eller filer med utilsigtet indhold op på Næstved Kommunes hjemmeside.
Næstved Kommune har i kommunens udtalelse af 9. marts 2021 oplyst, at de personoplysninger, som Næstved Kommune behandler ved benyttelse af analyseværktøjet Siteimprove Analytics, ikke videregives til tredjepart. Siteimprove Analytics indgår i en databehandleraftale med Næstved Kommune, og er som følge heraf forpligtet til udelukkende at behandle personoplysninger efter dokumenteret instruks fra kommunen. Kommunen har endvidere i sin udtalelse af 12. oktober 2021 oplyst, at kommunen har indhentet en uddybende redegørelse fra Siteimprove for, hvordan der behandles personoplysninger i forbindelse med løsningen af opgaver for kommunen.
Næstved Kommune har i den forbindelse suppleret med, at Amazon Web Service (AWS) Frankfurt er underdatabehandler for Siteimprove, hvilket også fremgår af databehandleraftalen mellem Næstved Kommune og Siteimprove. Aftalen sikrer, at personoplysninger alene opbevares i EU. AWS Frankfurt har i den forbindelse i aftalerne og offentligt givet garantier for, at denne begrænsning opretholdes, og at der ikke sker overførsel til lande uden for EU – herunder USA. Det er Næstved Kommunes opfattelse, at der ikke er en reel risiko for, at der sker overførsel af oplysninger til USA i strid med disse garantier i forbindelse med online support eller lignende.
Næstved Kommune har endvidere oplyst, at det med formuleringen ”Ved at klikke videre på websitet accepterer du websitets brug af cookies” ikke var hensigten at tilvejebringe et behandlingsgrundlag i databeskyttelsesforordningen, men udelukkende blev præsenteret for de hjemmesidebesøgende for at opnå samtykke til at placere de relevante cookies som foreskrevet i cookiebekendtgørelsen. Næstved Kommune har anført, at kommunen efterfølgende har ændret teksten på hjemmesiden.
Endelig har Næstved Kommune oplyst, at det var en fejl, at det fremgik af teksten, at kommunen behandlede oplysningerne til markedsføringsformål. Fejlen opstod, fordi den standardtekst, som fulgte med cookie pop-up’en, ikke blev tilpasset, inden den blev taget i brug.
3. Begrundelse for Datatilsynets afgørelse
3.1.
De grundlæggende principper for behandling af personoplysninger, som fremgår af databeskyttelsesforordningens artikel 5, skal i alle tilfælde iagttages, når der behandles personoplysninger. Det betyder bl.a., at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra a.
Næstved Kommunes præsenterede hjemmesidebesøgende for følgende tekst i forbindelse med besøg på www.naestved.dk:
”Websitet bruger cookies for at forbedre din oplevelse, vurdere brugen af de enkelte elementer på websitet og til at støtte markedsføringen af vores services. Ved at klikke videre på websitet accepterer du websitets brug af cookies.”
Yderligere blev der på hjemmesiden oplyst følgende:
”Cookies er små tekstfiler, som kan bruges af websteder til at gøre en brugers oplevelse mere effektiv.
Loven fastslår, at vi kan gemme cookies på din enhed, hvis de er strengt nødvendige for at sikre leveringen af den tjeneste, du udtrykkeligt har anmodet om at bruge. For alle andre typer cookies skal vi indhente dit samtykke.
Dette websted bruger forskellige typer af cookies. Nogle cookies sættes af tredjeparts tjenester, der vises på vores sider.”
Datatilsynet finder, at Næstved Kommune herved ikke har iagttaget det grundlæggende princip om lovlighed, rimelighed og gennemsigtighed i databeskyttelsesforordningens artikel 5, stk. 1, litra a.
Datatilsynet har ved vurderingen lagt vægt på, at teksterne på hjemmesiden foranledigede besøgende til at tro, at kommunen behandlede personoplysninger til markedsføringsformål, selvom dette ikke var tilfældet.
På den baggrund finder Datatilsynet grundlag for at udtale kritik af, at Næstved Kommune ikke har iagttaget databeskyttelsesforordningens artikel 5, stk. 1, litra a, i forbindelse med kommunens behandling af personoplysninger om de hjemmesidebesøgende på www.naestved.dk.
3.2.
Datatilsynet finder, at Næstved Kommunes behandling af personoplysninger om hjemmesidebesøgende til statistiske formål, skal vurderes efter, om behandlingen kan rummes inden for kommunens myndighedsudøvelse i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra e.
Det følger af forordningens artikel 6, stk. 1, litra e, at behandling af personoplysninger er lovlig, hvis behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
Efter en gennemgang af sagen finder Datatilsynet, at Næstved Kommunes behandling af personoplysninger til statistiske formål er sket inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra e.
Datatilsynet har lagt vægt på, at Næstved Kommune som offentlig myndighed har en pligt til at vejlede og hjælpe borgere, hvilket bl.a. kan ske ved brugen af www.naestved.dk. Næstved Kommune har i den forbindelse en saglig grund til at indsamle og behandle oplysninger med henblik på at tilvejebringe statistik om hjemmesidebesøgendes adfærd, som muliggør, at Næstved Kommune kan optimere effektiviteten og brugervenligheden i forbindelse med borgeres besøg på www.naestved.dk.
Datatilsynet har desuden lagt vægt på det af Næstved Kommune oplyste om, at digital kommunikation med borgere er en forudsætning for kommunens løsning af kommunale opgaver, da kommunens hjemmeside indeholder vigtig information til borgerne, som borgerne effektivt skal kunne tilgå.
Datatilsynet har ved vurderingen endvidere lagt til grund, at kommunens behandling er sat op på en måde, så datasættet fra de enkelte cookies indsamles hos en leverandør, som genererer irreversibel anonymiseret statistik til kommunen. Datatilsynet bemærker, at tilsynet ikke har efterprøvet, hvorvidt den anonymisering, der foretages, er irreversibel.
Endelig har Datatilsynet lagt vægt på, at AWS, der benyttes som underdatabehandler til behandlingen af personoplysninger til statistiske formål, ved aftale og offentligt har givet garanti for, at der ikke sker overførsel af oplysninger til lande uden for EU, og at behandlingen derfor sker under Siteimproves kontrollerede rammer.
På den baggrund vurderer Datatilsynet, at Næstved Kommunes behandling af personoplysninger om hjemmesidebesøgende på www.naestved.dk er sket som led i kommunens myndighedsudøvelse og dermed inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra e.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Datatilsynets vejledning om behandling af personoplysninger om hjemmesidebesøge fra februar 2020