Alvorlig kritik af Alstrøm – Din Isenkræmmer ApS’ behandling af personoplysninger om hjemmesidebesøgende

Dato: 20-10-2021

Datatilsynet har i en sag af egen drift, som blev startet på baggrund af en konkret klage, udtalt alvorlig kritik af Alstrøm – Din Isenkræmmer ApS’ behandling af personoplysninger om hjemmesidebesøgende på hjemmesiden www.alstrom.dk.

Journalnummer: 2021-431-0125.

Datatilsynet vender hermed tilbage til sagen, hvor Datatilsynet den 28. januar 2021 på baggrund af en konkret klage, og som opfølgning på Datatilsynets vejledning om behandling af personoplysninger om hjemmesidebesøgende fra februar 2020, valgte at undersøge hjemmesiden www.alstrom.dk nærmere af egen drift.

Datatilsynet bemærker, at tilsynet har konstateret, at Alstrøm efterfølgende har ændret samtykkeløsningen på www.alstrom.dk, således at samtykkeløsningen, er blev implementeret på hjemmesiden i starten af januar 2021, ikke længere fremgår af www.alstrom.dk.

Datatilsynet har ved nærværende afgørelse ikke taget stilling til den ændrede samtykkeløsning, som nu fremgår af www.alstrom.dk. Datatilsynet tager således alene stilling til den samtykke løsning, som fremgik af hjemmesiden indtil starten af januar 2021, samt den samtykkeløsning, der blev implementeret på www.alstrom.dk i starten af januar 2021.

Resume

I den pågældende sag tog Datatilsynet stilling til to samtykkeløsninger, som blev brugt på www.alstrom.dk, da Alstrøm – Din Isenkræmmer ApS ved tilsynets iværksættelse af sagen skiftede samtykkeløsning.

Den første samtykkeløsning, som Alstrøm – Din Isenkræmmer ApS benyttede, præsenterede den hjemmesidebesøgende for information om, at der blev indsamlet og behandlet oplysninger i forbindelse med besøget på www.alstrom.dk. Den hjemmesidebesøgende havde herefter mulighed for at vælge ”Læs mere om cookies” eller ”Luk”.

Oplysningerne blev indsamlet til flere forskellige formål, og det var ikke muligt for den hjemmesidebesøgende at afvise at give samtykke.

Datatilsynet fandt, at Alstrøm – Din Isenkræmmer ApS ved brug af den første samtykkeløsning ikke indhentede et gyldigt samtykke til at behandle oplysninger om de hjemmesidebesøgende. Begrundelsen herfor var, at den hjemmesidebesøgende ikke kunne vælge mellem de forskellige behandlingsformål, og at den hjemmesidebesøgende ikke havde mulighed for at afstå fra at give samtykke.

Datatilsynet udtalte på baggrund heraf alvorlig kritik af, at behandlingen af personoplysninger ikke var sket i overensstemmelse med databeskyttelsesforordningens artikel 6.

Den anden samtykkeløsning, som blev benyttet på www.alstrom.dk, gav den hjemmesidebesøgende mere information om den behandling, som Alstrøm – Din Isenkræmmer ApS foretog, ligesom den hjemmesidebesøgende havde mulighed for at til- eller fravælge forskellige formål samt at vælge mellem ”Acceptér” eller ”ACCEPTÈR ALLE”.

Datatilsynet fandt dog grundlag for at udtale kritik af samtykkeløsningen. Kritikken var begrundet i, at samtykkeløsningens visuelle udformning skubbede den hjemmesidebesøgende i retning af ”ACCEPTÈR ALLE”-knappen, og at det derfor ikke var tilsvarende let at afstå fra at give samtykke, som det var at give samtykke.

Datatilsynet udtalte endvidere alvorlig kritik af den anden samtykkeløsning, da der allerede ved den hjemmesidebesøgendes tilgang til www.alstrom.dk blev indsamlet oplysninger om den hjemmesidebesøgende til brug for bl.a. statistik og markedsføring, på trods af at den hjemmesidebesøgende ikke havde samtykket hertil.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Alstrøms behandling af personoplysninger om hjemmesidebesøgende på www.alstrom.dk indtil starten af januar 2021 ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 6.

Datatilsynet finder endvidere anledning til at udtale kritik af, at Alstrøms behandling af personoplysninger om hjemmesidebesøgende på www.alstrom.dk efter starten af januar 2021 ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 6.

Videre finder Datatilsynet grundlag for at udtale alvorlig kritik af, at Alstrøms implementering af samtykkeløsningen i starten af januar 2021 ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 5 og artikel 6.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at hjemmesiden www.alstrom.dk, der administreres af Alstrøm – Din Isenkræmmer ApS (herefter Alstrøm), indtil starten af januar 2021 benyttede en samtykkeløsning, hvoraf følgende fremgik:

”Alstrøm – Din Isenkræmmer ApS bruger cookies til at indsamle statistik, der kan være med til at forbedre brugeroplevelsen. Cookies er vigtige for at vores website vises korrekt i din browser. Hvis du klikker på et link på vores website, accepterer du samtidig vores cookiepolitik. Læs mere om cookies

Samtykkeløsningen indeholdt endvidere en knap med ordlyden ”Luk”, som lukkede samtykkeløsningen, når den hjemmebesøgende trykkede på den.

En registreret rettede henvendelse til Alstrøm vedrørende www.asltrom.dk’s brug af cookies. Den pågældende borger fik følgende svar i forhold hertil:

”For så at foregribe situationen, så skal jeg orientere dig om, hvorfor Alstrøm – Din isenkræmmer ApS har fremsendt nedenstående mail. Først af alt skal jeg præcisere, at du på ingen måde er underlagt vores handelsbetingelser, hvis du ikke er handlende kunde, og de betingelser der er anført heri, drejer sig alene om handelsforholdet, der indgås i forbindelse med et køb. Du har modtaget nedenstående mail på baggrund af en cookie, som er blevet lagt i forbindelse med et besøg på vores hjemmeside. Første gang man besøger vores hjemmeside, bliver man præsenteret for vores Cookiepolitik, og bedt om at tage stilling til denne. I forbindelse med accept af denne, bliver der afgivet informationer i form af cookies. Dette kan selvfølgelig også være sket af en anden person, hvis i er flere personener, der bruger samme login på jeres computer.

På baggrund af disse informationer, som kan opsamles og må sammenkobles med alle vores samarbejdspartnere, og i forbindelse med at du acceptere vores cookiepolitik, accepterede du også, at du var indforstået med at modtage marketingmateriale for os samt vores samarbejdspartnere. Jeg linker til Cookiepolitikken her, og henviser til kapitlet omhandlende marketing og målrettet annoncering: https://alstrom.dk/cookie-information/

Vi anbefaler altid, at man grundigt læser en aftale inden man acceptere denne, men i samme dokument er det også beskrevet, hvordan du kan slette disse cookies fra din computers browser, hvis du skulle have fået accepteret aftalen uden at have læst hele dens indhold. Vores kundeservice hjælper dig også gerne i den forbindelse.”

I starten af januar 2021 implementerede Alstrøm en ny samtykkeløsning, hvoraf følgende fremgik:

Hjemmesiden anvender cookies

For at gøre denne side og vores markedsføring mest relevant for dig, anvender vi egne cookies og tredjeparts cookies til at lave statistikker, analysere besøg og huske dine foretrukne indstillinger. Ved at give dit samtykke tillader du, at vi anvender cookies, og at vi behandler personoplysninger, som indsamles via cookies. Læs mere i vores cookiepolitik.

Du har altid mulighed for at trække dit samtykke tilbage.

Læs mere om cookies

Hjemmesidebrugeren blev herefter præsenteret for valgmulighederne ”Nødvendige/Tekniske”, ”Funktionelle”, ”Statistiske” og ”Markedsføring”, hvor de tre sidste aktivt skulle tilvælges.

Foruden de forskellige tilvalgsmuligheder, kunne hjemmesidebrugeren endvidere trykke på ”Acceptér” eller ”ACCEPTÉR ALLE”.

Trykkede hjemmesidebrugeren ”ACCEPTÈR ALLE” tillod hjemmesidebrugeren placering af alle cookies. Trykkede hjemmesidebrugeren på ”Acceptér” tillod brugeren alene placering af cookies til de af hjemmesidebrugeren aktivt tilvalgte formål – funktionelle, statistiske og markedsføring.

Acceptér”-knappen var i orange skrift på hvid baggrund, som gik i et med samtykkeløsningens hvide baggrund, mens ”ACCEPTÈR ALLE”-knappen var i hvid skrift på en orange rektangulærformet baggrund.

Datatilsynet konstaterede ved et besøg på hjemmesiden www.alstrom.dk den 28. januar 2021, at der blev placeret 18 forskellige cookies, inden den hjemmesidebesøgende havde samtykket hertil. Der blev bl.a. placeret cookies fra følgende domæner: google.com, trustpilot.com og addwish.com.

På baggrund heraf oplyste Datatilsynet den 28. januar 2021 Alstrøm om, at tilsynet startede en sag op af egen drift, og at Datatilsynet i den forbindelse anmodede Alstrøm om en udtalelse til sagen.

Alstrøm fremsendte den 22. marts 2021 en udtalelse til sagen. Datatilsynet anmodede om en supplerende udtalelse den 20. april 2021, som Datatilsynet modtog den 21. april 2021.

Udtalelsen gav anledning til yderligere spørgsmål, hvorfor Datatilsynet den 28. maj 2021 anmodede om yderligere oplysninger. Datatilsynet modtog yderligere oplysninger den 31. maj 2021.

Den 23. juni 2021 anmodede Datatilsynet Alstrøm om en ny udtalelse til sagen, hvilket Alstrøm fremkom med den 23. juli 2021.

2.1. Alstrøms bemærkninger

Alstrøm har indledningsvis forklaret, at Alstrøm i starten af januar 2021 opdaterede samtykkeløsningen, som fremgik af www.alstrom.dk.

Endvidere har Alstrøm forklaret, at Alstrøm behandler personoplysninger om hjemmesidebesøgende bl.a. i forbindelse med køb, som foretages via www.alstrom.dk.

Den behandling af personoplysninger, som Alstrøm foretager via www.alstrom.dk, sker med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra a, litra b, og litra c.

Ad samtykkeløsning indtil starten af januar 2021

Alstrøm har i forhold til samtykkeløsningen, som blev benyttet på www.alstrom.dk indtil starten af januar 2021, overordnet anført, at samtykkeløsningen tog højde for databeskyttelsesreglerne, herunder databeskyttelsesforordningens artikel 4, nr. 11, og artikel 7.

Der var dog den ene forskel i forhold til den efterfølgende samtykkeløsning, at der i samtykkeløsningen indtil januar 2021 ikke blev skelnet mellem cookies til forskellige formål. Den hjemmesidebesøgende accepterede dermed cookies til alle de angivne formål, og det var ikke muligt at til- eller fravælge de forskellige formål.

Ad samtykkeløsning implementeret i starten af januar 2021

Alstrøm har i forhold til samtykkeløsningen, som blev implementeret på www.alstrom.dk i starten af januar 2021, overordnet anført, at Alstrøm behandler personoplysninger omfattet af databeskyttelsesforordningens artikel 2, stk. 1, i forbindelse med en hjemmesidebrugers besøg på www.alstrom.dk.

Peronoplysningerne behandles efter Alstrøms opfattelse i overensstemmelse med databeskyttelsesforordningens artikel 5 og på baggrund af hjemmesidebrugerens samtykke, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a.

Oplysningerne behandles på vegne af Alstrøm til statistik hos Google Analytics, mens de oplysninger, som indsamles via funktionelle cookies, behandles hos Scannet, Hello Retail og Trustpilot. Hello Retail behandler endvidere oplysninger for Alstrøm til marketingformål.

Alstrøm har endvidere oplyst, at Alstrøm ikke videregiver eller tilgængeliggør personoplysninger for databehandlerne med henblik på databehandlernes selvstændige brug, og at indsamlede personoplysninger således alene tilgængeliggøres for Alstrøms databehandlere i det omfang det er nødvendigt i forhold til opfyldelsen af databehandleraftalerne. Alstrøm har i den forbindelse fremlagt databehandleraftaler for Scannet og Hello Retail, mens Alstrøm har fremsendt links til databehandleraftalen med hhv. Trustpilot og Google Analytics.

Endelig har Alstrøm oplyst, at de 18 forskellige cookies, som, Datatilsynet kunne konstatere, blev sat i forbindelse med den hjemmesidebesøgendes besøg på www.alstrom.dk uden accept, blev sat på grund af en fejl i samtykkeløsningens setup.

Fejlen skete ved overgangen fra den tidligere samtykkeløsning til den samtykkeløsning, som blev implementeret i starten af januar 2021, og Alstrøm blev opmærksom på denne fejl grundet Datatilsynets henvendelse.

3. Begrundelse for Datatilsynets afgørelse

3.1. Retsgrundlag

Behandling af personoplysninger skal i alle tilfælde leve op til de generelle principper for behandling af personoplysninger, som fremgår af databeskyttelsesforordningens artikel 5. Det betyder bl.a., at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (”lovlighed, rimelighed og gennemsigtiged”).

Det fremgår af databeskyttelsesforordningens artikel 6, stk. 1, litra a, at behandling af personoplysninger er lovlig, hvis den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.

Af databeskyttelsesforordningens artikel 4, nr. 11, fremgår det, der ved et samtykke forstås enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.

Endvidere fremgår følgende af præambelbetragtning 32 til databeskyttelsesforordningen:

”Samtykke bør gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved vedkommende accepterer, at personoplysninger om vedkommende behandles, f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring. Dette kan f.eks. foregå ved at sætte kryds i et felt ved besøg på et websted, ved valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklæring eller handling, der tydeligt i denne forbindelse tilkendegiver den registreredes accept af den foreslåede behandling er vedkommendes personoplysninger. Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke. Samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål. Når behandling tjener flere formål, bør der gives samtykke til dem alle. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, kortfattet og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til.”

Endelig fremgår følgende af præmis 62 i EU-Domstolens afgørelse af 1. oktober 2019[2]:

”Et aktivt samtykke er således nu udtrykkeligt fastsat ved forordning 2016/679. Det skal i denne henseende bemærkes, at ifølge 32. betragtning til denne forordning kan der gives udtryk for samtykke bl.a. ved at sætte kryds i et felt ved besøg på et websted. Den nævnte betragtning udelukker derimod udtrykkeligt, at tavshed, forudafkrydsede felter eller inaktivitet kan udgøre samtykke.”

3.2. Samtykkeløsning indtil starten af januar 2021

Datatilsynet lægger til grund, at Alstrøm behandlede personoplysninger om registrerede, som besøgte hjemmesiden www.alstrom.dk.

Endvidere lægger tilsynet på baggrund af samtykkeløsningens formulering og svaret til den registrerede til grund, at personoplysningerne blev behandlet til flere forskellige formål, herunder med statistik og markedsføring for øje.

Datatilsynet finder på baggrund heraf, at Alstrøms behandling af personoplysninger om registrerede via hjemmesiden www.alstrom.dk ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra a.

Der er herved lagt vægt på, at der i forbindelse med registreredes besøg på www.alstrom.dk før og indtil starten af januar 2021 ikke blev indhentet et gyldigt samtykke i overensstemmelse med databeskyttelsesreglerne.

Samtykke forudsætter frivillighed, jf. databeskyttelsesforordningens artikel 4, nr. 11. Et samtykke kan ikke anses for frivilligt, når det ikke er muligt at undlade at give samtykke til de(n) pågældende formål. Registrerede, som besøgte www.alstrom.dk, havde ikke mulighed for at afvise at give samtykke til behandling af personoplysninger.

Et gyldigt samtykke forudsætter tillige, at den registrerede ved flere behandlingsformål frit kan vælge mellem disse. Dette følger af kravet om granularitet. Det var på www.alstrom.dk ikke muligt for den registrerede at tilvælge de forskellige behandlingsformål, og samtykket var endvidere som følge heraf ikke afgivet frivilligt.

Herudover skal et samtykke være udtryk for en utvetydig viljestilkendegivelse fra den registrerede. En utvetydig viljestilkendegivelse forudsætter en aktiv handling, og tavshed eller inaktivitet kan derfor ikke udgøre et samtykke.

Den registreredes videre brug af www.alstrom.dk kunne ikke anses for et gyldigt samtykke, idet dette ikke indebar en aktiv handling, og samtykket kunne derfor af den grund ikke anses for at være udtryk for en utvetydig viljestilkendegivelse. 

På baggrund af ovenstående finder Datatilsynet derfor grundlag for at udtale alvorlig kritik af Alstrøms behandling af personoplysninger om registrerede på www.alstrom.dk indtil starten af januar 2021.

3.3. Samtykkeløsning efter starten af januar 2021

Alstrøm har oplyst, at der efter ændringen af samtykkeløsningen på www.alstrom.dk i starten af januar 2021 fortsat blev behandlet personoplysninger om de hjemmesidebesøgende.

Datatilsynet lægger til grund, at de indsamlede personoplysninger blev behandlet til flere forskellige formål, idet det fremgik af samtykkeløsningen, at formålene med indsamlingen bl.a. var statistik og markedsføring.

Datatilsynet finder herefter, at Alstrøms behandling af personoplysninger om registrerede på www.alstrom.dk ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra a.

Datatilsynet har herved lagt vægt på, at det fremgår af Datatilsynets vejledning om behandling af personoplysninger om hjemmesidebesøgende[3], at det skal ”…være tilsvarende let at afstå fra at give samtykke til behandling af sine personoplysninger, som det er at give det. Det stiller navnlig krav til opbygningen af mekanismen eller løsningen til indhentning af samtykke, herunder det visuelle udseende, og hvordan anmodningen er formuleret. Overordnet set skal mulighed for at afstå have samme meddelelseseffekt som muligheden for at give samtykke.” [Datatilsynets understregning].

Mulighederne ”Acceptér” og ”ACCEPTÉR ALLE” efterlader et misvisende indtryk af, hvorvidt den registrerede har mulighed for at afstå fra at give samtykke til de forskellige formål.

Ligeledes er der væsentlig forskel på ”Acceptér”- og ”ACCEPTÉR ALLE”-knappens visuelle udformning, idet ”ACCEPTÈR ALLE”-knappen fremtræder klart og tydeligt, mens ”Acceptér”-knappens visuelle udformning og fremtræden efterlader et nærmest inaktivt udtryk.

Samtykkeløsningens visuelle udformning medfører således efter Datatilsynets opfattelse, at den registrerede ”skubbes” i retning af at trykke på ”ACCEPTÈR ALLE”-knappen.

Samlet set har ”Acceptér”-knappen således ikke samme meddelelseseffekt som ”ACCEPTÈR ALLE”-knappen, og det er derfor tilsynets vurdering, at det ikke kan anses for at være tilsvarende let af afstå fra at give samtykke, som det er at give det.

På baggrund af ovenstående finder Datatilsynet grundlag for at udtale kritik af Alstrøms behandling af personoplysninger i forbindelse med de registreredes besøg på www.alstrom.dk efter starten af januar 2021.

3.4. Implementering af samtykkeløsning i starten af januar 2021

Alstrøm har oplyst, at der ved implementering af den nye samtykkeløsning på www.alstrom.dk i starten af januar 2021 fortsat blev behandlet oplysninger om hjemmesidebesøgende.

Behandlingen skete ved placeringen af 18 cookies og på baggrund af den registreredes samtykke.

Datatilsynet finder, at Alstrøms implementering af samtykkeløsningen i starten af januar 2021 – og den dervedfølgende behandling af personoplysninger – ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra a, og artikel 6, stk. 1, litra a.

Der er herved lagt vægt på, at der allerede ved hjemmesidebrugerens tilgang til www.alstrom.dk blev placeret 18 cookies – og dermed behandlet personoplysninger til brug for statistik og markedsføring. Dette er ikke overensstemmende med kravene til et gyldigt samtykke efter forordningens artikel 4, nr. 11, da hjemmesidebrugeren ikke havde mulighed for at afstå fra at give samtykke, ligesom at hjemmesidebrugeren ikke havde mulighed for at til- eller fravælge de forskellige formål.

Dette var endvidere i strid med princippet om gennemsigtighed, da den registrerede ikke havde mulighed for at orientere sig om og forholde sig til den behandling af personoplysninger, der skete om den pågældende på www.alstrom.dk.

Datatilsynet finder som følge heraf grundlag for at udtale alvorlig kritik af Alstrøms implementering af samtykkeløsningen i starten af januar 2021.

Der er ved valg af sanktion lagt vægt på, at Alstrøm først blev opmærksom på fejlen, da Datatilsynet rettede henvendelse til Alstrøm den 28. januar 2021. Det kan ikke føre til andet resultat, at placeringen af cookies – og den dervedfølgende behandling af personoplysninger – skyldtes en teknisk fejl, og at fejlen stod på i en forholdsvis kort periode.

4. Afsluttende bemærkninger

Datatilsynets afgørelser kan ikke indbringes for anden administrativ myndighed, jf. databeskyttelseslovens § 30. Datatilsynets afgørelser kan imidlertid indbringes for domstolene, jf. grundlovens § 63, stk. 1.

Datatilsynet bemærker, at tilsynet har noteret sig, at Alstrøm bl.a. benytter Google Analytics til at generere statistiske oplysninger om de hjemmesidebesøgende, og at Google Analytics i den forbindelse agerer databehandler.

Tilsynet har ved nærværende afgørelse ikke forholdt sig til, hvorvidt Alstrøm har konfigureret brugen af analyseværktøjet Google Analytics på en sådan måde, at det tilsikres, at der ikke videregives oplysninger om de hjemmesidebesøgende på www.alstrom.dk til tredjeparter, herunder Google. Datatilsynet skal dog opfordre til, at Alstrøm gør dette, såfremt Alstrøm ikke allerede har gjort det.

Datatilsynet forventer at offentliggøre afgørelsen.

Datatilsynet anser hermed sagen for afsluttet og foretager sig herefter ikke yderligere i sagen.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2]    Sag C-673/17, Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzenrale Bundesverband eV mod Planet49 GmbH

[3]    Datatilsynets vejledning om Behandling af personoplysninger om hjemmesidebesøgende fra februar 2020, afsnit 2.4.5, side 17. https://www.datatilsynet.dk/Media/F/8/Behandling%20af%20personoplysninger%20om%20hjemmesidebes%c3%b8gende.pdf