Tilsyn med Dating.dk

Dato: 21-09-2021
Afgørelse Private virksomheder Alvorlig kritik Påbud Tilsyn / egendriftssag Behandlingsgrundlag Følsomme oplysninger Behandlingssikkerhed

Datatilsynet udtaler alvorlig kritik og udsteder påbud til Dating.dk for manglende hjemmel til behandling af personoplysninger.

Journalnummer: 2018-41-0013

Resume

Dating.dk ApS var blandt de udvalgte virk­­­­­somheder, som Datatilsynet i efteråret 2018 førte tilsyn med efter databeskyttelsesforordningen og databeskyttelsesloven.

Datatilsynets planlagte tilsyn med Dating.dk ApS var rettet mod datingtjenestens behandling af personoplysninger, der finder sted i forbindelse med at brugere opretter og benytter sig af Dating.dk. Fokus var på datatjenestens behandlingsgrundlag og persondatasikkerhed.

På baggrund af tilsynet fandt Datatilsynet grundlag for at udtale alvorlig kritik af, at Dating.dk ApS ikke havde et behandlingsgrundlag, og at behandling af personoplysninger derfor ikke er sket i overensstemmelse med databeskyttelsesreglerne.

Det var Datatilsynets vurdering, at Dating.dk ApS ikke havde opnået en utvetydig viljestilkendegivelse fra brugerne af datingtjenesten til behandling af personoplysninger om dem, hvorfor Dating.dk ApS ikke havde indhentet et gyldigt samtykke til behandling af personoplysninger.

Derudover var det Datatilsynets vurdering, at Dating.dk ApS havde behandlet særlige kategorier af personoplysninger uden at have identificeret en undtagelse til det generelle forbud mod behandling af følsomme personoplysninger.

Datatilsynet fandt på den baggrund grundlag for at udstede et påbud om, at Dating.dk ApS skal bringe behandlingen af personoplysninger om brugere af Dating.dk i overensstemmelse med databeskyttelsesforordningens bestemmelser.

Datatilsynet fandt derudover grundlag for at udtale alvorlig kritik af, at Dating.dk ApS havde behandlet personoplysninger uden at kunne påvise, at behandlingen var sket under hensyntagen til de risici, som behandlingen udgjorde for de registrerede.

Datatilsynet lagde i denne forbindelse vægt på, at Dating.dk ApS behandlede oplysninger om lokation og særlige kategorier af personoplysninger.

Afgørelse

1.

Dating.dk ApS var blandt de virksomheder, som Datatilsynet i efteråret 2018 udvalgte til tilsyn efter databeskyttelsesloven[1] og databeskyttelsesforordningen[2].

Datatilsynets planlagte tilsyn med Dating.dk ApS fokuserede navnlig på behandlingsgrundlag efter databeskyttelsesforordningens artikel 6 og artikel 9 samt virksomhedens behandlingssikkerhed, jf. databeskyttelsesforordningens artikel 32.

Efter anmodning fra Datatilsynet havde Dating.dk ApS inden tilsynsbesøget fremsendt virksomhedens fortegnelse over behandlingsaktiviteter i form af virksomhedens persondatapolitik og en udfyldt kopi af Datatilsynets oplysningsskema.

2. Datatilsynets afgørelse

På baggrund af tilsynet finder Datatilsynet grundlag for at udtale alvorlig kritik af, at Dating.dk ApS’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 6, stk. 1, og artikel 9, stk. 1.

Datatilsynet finder på den baggrund grundlag for at udstede et påbud i medfør af databeskyttelsesforordningens art. 58, stk. 2, litra d, om, at Dating.dk inden 16. november 2021 skal bringe behandlingen af personoplysninger om brugere af Dating.dk i overensstemmelse med databeskyttelsesforordningens bestemmelser, herunder særligt artikel 6, stk. 1, jf. artikel 9, stk. 1. I det omfang behandlingen fortsat vil finde sted, skal Dating.dk indsende en kopi af virksomhedens samtykkeløsning inden for ovennævnte frist.

Datatilsynet gør opmærksom på, at det efter databeskyttelseslovens § 41, stk. 2, nr. 5, er strafbart at undlade at efterkomme et påbud meddelt efter forordningens artikel 58, stk. 2, litra d.

Datatilsynet finder herudover grundlag for at udtale alvorlig kritik af, at Dating.dk ApS har behandlet personoplysninger, herunder oplysninger om lokation og særlige kategorier af personoplysninger, uden at kunne påvise, at behandlingen er sket under hensyntagen til de risici, som behandlingen udgør for de registreredes rettigheder og frihedsrettigheder i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1 og stk. 2.

Nedenfor følger en gennemgang af sagens omstændigheder og en nærmere begrundelse for Datatilsynets afgørelse vedrørende Dating.dk ApS’ behandlingssikkerhed.

3. Sagsfremstilling

Ved brev af 10. september 2018 varslede Datatilsynet et tilsynsbesøg hos Dating.dk ApS (herefter Dating.dk) til afholdelse den 18. oktober 2018. Datatilsynet sendte sammen med varslingsbrevet et spørgeskema og anmodede Dating.dk om at sende fortegnelser over behandlingsaktiviteter, der angår tjenesten dating.dk. Tilsynet var rettet mod den behandling af personoplysninger, der finder sted i forbindelse med brugere af Dating.dk, og fokus var på emnerne behandlingsgrundlag og persondatasikkerhed. Datatilsynet anmodede i den forbindelse Dating.dk om senest den 17. september 2018 at bekræfte modtagelsen af brevet.

Efter Datatilsynets telefoniske rykker af 20. september 2018 bekræftede Dating.dk den 21. september 2018 modtagelsen af Datatilsynets brev.

Ved e-mail af 24. september 2018 sendte Dating.dk virksomhedens fortegnelse over behandlingsaktiviteter og ved brev af 26. september 2018 en udfyldt kopi af Datatilsynets spørgeskema. Dating.dk oplyste i den forbindelse, at databeskyttelsesforordningens artikel 7 efterleves ved, at ”der er flueben der SKAL sættes for man kan oprette sig, som har ordlyden "Jeg accepterer brugerbetingelserne og persondatapolitikken". Her kan man trykke på ordet "persondatapolitikken" for at læse denne. Ordet er ligeledes fremhævet med blå, så det er tydeligt man kan trykke på det.” [sic]

Dating.dk oplyste endvidere, at ”Brugeren bliver præsenteret muligheden for at læse om vor behandling af oplysninger før han/hun accepterer dem. (…) Vi har et flueben brugeren skal sætte for at oprette sig, med teksten ”Jeg accepterer brugerbetingelserne samt persondatapolitikken” Ordene ”brugerbetingelserne” og ”persondatapolitikken” er links til hhv. https://www.dating.dk/betingelser og https://www.dating.dk/persondatapolitik”. [sic]

Datatilsynet har på den baggrund lagt til grund, at Dating.dk behandler personoplysningerne på grundlag af samtykke, og at Dating.dk har angivet ”brugerbetingelserne” og ”persondatapolitikken” som virksomhedens efterlevelse af kravene til et gyldigt samtykke.

Ved e-mail af 25. oktober 2018 har Dating.dk oplyst, at virksomheden alene bruger samtykke som hjemmel til behandling af personoplysninger om brugere af dating.dk.

Den 30. oktober 2018 sendte Datatilsynet et udkast til referat over tilsynsbesøget til Dating.dk. Den 14. november 2018 oplyste Dating.dk telefonisk, at virksomheden ikke havde bemærkninger til referatet.

Datatilsynet sendte ved e-mail af 27. november 2018 en række opfølgende spørgsmål til Dating.dk. Ved e-mail af 28. november 2018 besvarede Dating.dk enkelte af tilsynets spørgsmål.

Datatilsynet anmodede endvidere ved e-mails af 10. og 12. december 2018 Dating.dk om yderligere oplysninger til sagen, herunder oplysninger om antallet af brugere af dating.dk på tidspunktet for varslingen af tilsynet den 10. september 2018.

Ved e-mail af 21. december 2018 sendte Dating.dk yderligere oplysninger til sagen. Dating.dk ønskede ikke at oplyse om antallet af brugere af dating.dk, idet virksomheden betragtede dette som en forretningshemmelighed.

Datatilsynet oplyste ved e-mail af 18. januar 2019 om baggrunden for tilsynets spørgsmål om antal brugere. Ved e-mail af 21. januar 2019 oplyste Dating.dk, at virksomheden ikke ville oplyse om antallet af brugere.

Ved brev af 23. januar 2019 anmodede Datatilsynet om politiets bistand til indsamling af oplysninger om bl.a. antal brugere for at belyse overtrædelsens omfang.

På baggrund heraf foretog politiet den 12. juni 2019 − i samarbejde med NC3 og en medarbejder fra Datatilsynet − ransagning på Dating.dks adresse. Datatilsynet modtog herefter dataudtræk af Dating.dks produktionssystem (det kørende it-system) og backup fra 1. marts 2019. Datatilsynet analyserede efterfølgende dataudtrækket med henblik på at fastslå, hvor mange brugere Dating.dk havde registreret i deres database.

Ved brev af 22. maj 2019 gjorde Dating.dk yderligere anbringender gældende.

Datatilsynet har den 23. juni 2021 konstateret, at nye brugere får præsenteret følgende tekst ved oprettelse:

Screenshot oprettelsesside på Dating.dk

Det fremgår således, at Dating.dk har tilføjet en ekstra tekst om samtykke til behandling af oplysningen om, hvilket køn man søger.

Endvidere har Datatilsynet konstateret, at Dating.dk løbende har opdateret og ændret virksomhedens persondatapolitik.

Datatilsynet har endelig konstateret, at Dating.dk i 2007 i overensstemmelse med den tidligere gældende persondatalov indgav en anmeldelse af behandlinger af oplysninger om rent private forhold til Datatilsynet. Af anmeldelsen fremgår, at Dating.dk behandler oplysninger om politisk overbevisning, helbredsforhold og seksuelle forhold.

4. Uddybende beskrivelse af behandlingen

4.1. Behandlingsgrundlag

Dating.dk har flere gange oplyst, herunder i det oplysningsskema, som virksomheden har udfyldt i forhold til samtlige behandlingsaktiviteter og sendt til Datatilsynet ved e-mail af 23. oktober 2019 og udleveret under Datatilsynets tilsynsbesøg den 18. oktober 2018, at artikel 6, stk. 1, litra a, vedrørende samtykke, er Dating.dks’ behandlingsgrundlag for behandling af oplysninger om brugerne.

Dating.dk har endvidere oplyst, at virksomhedens behandling af oplysninger om brugere oprettet før den 25. maj 2018 baserede sig på Dating.dks almindelige vilkår og betingelser, mens behandlingen af oplysninger om brugere oprettet efter den 25. maj 2018 baserer sig på Dating.dks persondatapolitik.

Datatilsynet har efterfølgende konstateret, at det af persondatapolitikken af 9. september 2018 fremgår, at oplysninger behandles på baggrund af samtykke, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a, og artikel 9, stk. 2, litra a.

4.1.1. Antal brugere

Datatilsynet fik med politiets hjælp foretaget et dataudtræk af Dating.dks produktionssystem (det kørende it-system på det pågældende tidspunkt). På baggrund af dette dataudtræk har Datatilsynet optalt, at der pr. 12. juni 2019 var i alt XX brugere.

4.1.2. Oplysningskategorier

Det fremgår af Dating.dks persondatapolitik af 9. september 2018, at den registrerede ikke kan benytte Dating.dk uden at oplyse følgende:

  • Fødselsdato
  • Køn
  • E-mail adresse
  • Postnummer
  • Højde
  • Vægt
  • Stjernetegn
  • IP adresser der anvendes
  • Log over aktivitet på tjenesten

Datatilsynet har endvidere noteret sig, at det fremgår af virksomhedens persondatapolitik af 1. maj 2020 og 1. juni 2021, at Dating.dk derudover bl.a. behandler oplysninger om brugernes lokation.

5. Dating.dk ApS’ behandling af oplysninger om identificerbare fysiske personer

5.1. Dating.dk ApS’ bemærkninger

Dating.dk ApS har efter tilsynsbesøget, ved brev af 22. maj 2019, gjort gældende, at virksomheden, for et stort antal brugeres vedkommende, ikke behandler oplysninger om identificerbare fysiske personer i databeskyttelsesforordningens forstand.

Dating.dk ApS har i den forbindelse anført, at alle profiler på dating.dk er anonyme, idet en profil på dating.dk oprettes ved et opfundet brugernavn, og at der ikke bliver opbevaret identificerbare oplysninger på brugerne i form af navn, adresse, cpr.nr. og lignende.

Endvidere har Dating.dk ApS anført, at brugerne først bliver identificerbare, når brugerne vælger at uploade et billede af sig selv. Virksomheden har herudover anført, at det ikke er et krav, at der er billede på en profil, og at de eneste krav til oprettelse af en profil er, at der oplyses køn, alder og en e-mail adresse, som ikke er tilgængelig for andre brugere. Det er Dating.dk ApS’ opfattelse, at en e-mail adresse ikke er tilstrækkelig til at identificere en person, medmindre personens fulde navn fremgår af e-mailadressen.

5.2. Datatilsynets vurdering

Uanset det af Dating.dk anførte, finder Datatilsynet, at Dating.dk behandler personoplysninger omfattet af databeskyttelsesforordningens anvendelsesområde, jf. databeskyttelsesforordningens artikel 4, stk. 1, nr. 1, hvoraf det fremgår, at personoplysninger er ”[…] enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.”

Datatilsynet lægger herved vægt på, at behandling af oplysninger om brugernavn, e-mailadresse og IP-adresse efter tilsynets opfattelse kan føres tilbage til en given fysisk person og derfor vil være at betragte som personoplysninger i databeskyttelsesforordningens forstand, jf. definitionen i forordningens artikel 4, stk. 1, nr. 1.

6. Dating.dk ApS’ behandling af særlige kategorier af personoplysninger

6.1. Dating.dk ApS’ bemærkninger

Dating.dk ApS har under tilsynsbesøget oplyst, at virksomheden er af den opfattelse, at Dating.dk ApS ikke behandler fortrolige eller særlige kategorier af personoplysninger, da dette i så fald alene vil ske sporadisk i form af oplysninger angivet af den registrerede selv i fritekstfelter.

Datatilsynet har den 12. december 2018 foreholdt Dating.dk ApS den anmeldelse af behandlinger af oplysninger om rent private forhold, som virksomheden i overensstemmelse med den tidligere gældende persondatalov indgav til Datatilsynet i 2007. Af anmeldelsen fremgår, at Dating.dk ApS behandler oplysninger om politisk overbevisning, helbredsforhold og seksuelle forhold. Datatilsynet har anmodet virksomheden om at oplyse, hvad der har ændret sig i forhold til behandlingen siden anmeldelsen i 2007.

Dating.dk ApS har den 21. december 2018 oplyst, at muligheden for at angive seksuelle forhold blev fjernet for minimum 5 år siden, ligesom at muligheden for at angive politisk og religiøs overbevisning blev fjernet i starten af 2018 et stykke tid inden 25. maj 2018. I den forbindelse slettede Dating.dk ApS alle data af den pågældende karakter.

6.2. Datatilsynets vurdering

Det er Datatilsynets vurdering – uagtet det af Dating.dk ApS fremførte – at virksomheden behandler særlige kategorier af personoplysninger om sine brugere, herunder oplysninger om seksuelle forhold eller seksuel orientering, i kraft af sin egenskab som datingsite.

Datatilsynet skal i tilknytning hertil bemærke, at det efter databeskyttelsesforordningens artikel 9 ikke er en forudsætning, at oplysninger om brugernes specifikke seksuelle orientering angives eller afsløres eksplicit, før der kan være tale om behandling af oplysninger om brugernes ”seksuelle forhold” eller ”seksuelle orientering”, jf. artikel 9, stk. 1.

Det forhold, at virksomheden 5 år forud for den 12. december 2018 fjernede en af mulighederne for at angive bl.a. seksuelle forhold, ikke i sig selv kan føre til den konklusion, at virksomheden ikke længere behandler oplysninger om brugernes seksuelle orientering eller seksuelle forhold.

Datatilsynet bemærker i den forbindelse, at Dating.dk også er dataansvarlig for behandlingen af personoplysninger, som brugere valgfrit skriver i fritekstfelter.[3] Datatilsynet henviser i den forbindelse til Dating.dk ApS’ egen persondatapolitik af 1. juni 2021.

Datatilsynet har i øvrigt lagt vægt på, at det af Dating.dks persondatapolitik af 1. juni 2021 fremgår, at ”behandlingen sker efter følgende retsgrundlag: at du har givet samtykke til behandlingen, jf. artikel 6, stk. 1, litra a i persondataforordningen samt du har givet samtykke til behandlingen af din seksuelle præference, jf. artikel 9, stk. 2, litra a i persondataforordningen”.

Dertil kommer, at Dating.dk under tilsynsbesøget har oplyst, at det ikke kan udelukkes, at der kan fremgå særlige kategorier af personoplysninger af fritekstfelter, hvori brugeren kan skrive, hvad denne har lyst til, og at Dating.dk efterfølgende – når en registreret opretter sig som bruger på tjenesten – har tilføjet en afkrydsningsboks, hvor brugeren skal give samtykke til ”behandling af oplysningen om, hvilket køn jeg søger”.

Datatilsynet finder på den baggrund, at Dating.dk behandler særlige kategorier af personoplysninger.

7. Behandlingsgrundlag

Det fremgår af databeskyttelsesforordningens artikel 6, stk. 1, at behandling kun er lovlig, hvis et af de i litra a-f anførte hjemmelsgrundlag gør sig gældende.

Herudover er der – efter databeskyttelsesforordningens artikel 9, stk. 1 – forbud mod at behandle særlige kategorier af personoplysninger, medmindre et af forholdene i artikel 9, stk. 2, gør sig gældende.

På baggrund af Dating.dks tidligere bemærkninger af 26. september 2018 og 23. oktober 2018, og Dating.dks egne persondatapolitikker af 25. maj 2018, 9. september 2018, 1. maj 2020 og 1. juni 2021 lægger Datatilsynet til grund, at virksomheden anvender samtykke som grundlag for behandling af personoplysninger og særlige kategorier af personoplysninger om brugere af Dating.dk, jf. forordningens artikel 6, stk. 1, litra a, og artikel 9, stk. 2, litra a.

Det følger af databeskyttelsesforordningens artikel 9, stk. 2, litra a, at hvis den registrerede har givet udtrykkeligt samtykke til behandling af særlige kategorier af personoplysninger, kan der ske behandling af sådanne oplysninger.

Forordningen forklarer ikke nærmere, hvad der skal forstås ved et udtrykkeligt samtykke, og formuleringen medfører ikke et yderligere skærpet krav til samtykket, men understreger vigtigheden af, at der ikke må være tvivl om, at der er afgivet samtykke. Den dataansvarlige skal endvidere kunne påvise, at der foreligger et udtrykkeligt samtykke, jf. forordningens artikel 7, stk. 1.

Et samtykke er efter databeskyttelsesforordningens artikel 4, nr. 11, defineret som en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling. Det følger endvidere af forordningens artikel 7, stk. 2, at hvis den registreredes samtykke gives i en skriftlig erklæring, der også vedrører andre forhold, skal en anmodning om samtykke forelægges på en måde, som klart kan skelnes fra de andre forhold.

Endelig bemærkes, at et eksisterende samtykke, der er indhentet før den 25. maj 2018, som udgangspunkt skal være i overensstemmelse med databeskyttelsesforordningen for at kunne udgøre et lovligt behandlingsgrundlag efter den 25. maj 2018.[4]

Dating.dk har oplyst, at teksten ”Jeg accepterer brugerbetingelserne samt persondatapolitikken” er virksomhedens samtykkeerklæring. Ordene ”brugerbetingelserne” og ”persondatapolitikken” er links til henholdsvis betingelserne og politikken. Brugerne præsenteres for teksten i forbindelse med oprettelsen, og skal sætte et flueben for at kunne oprette sig som bruger.

Datatilsynet har noteret sig, at Dating.dk efterfølgende – af ukendt dato – har tilføjet teksten ”Jeg afgiver hermed samtykke til behandling af oplysningen om hvilket køn jeg søger”, som ligeledes skal accepteres forud for oprettelsen.

Datatilsynet finder, at en samtykkeerklæring, hvorved brugeren ved samme ”klik” skal acceptere hele persondatapolitikken og de øvrige brugerbetingelser, ikke kan føre til, at brugeren afgiver et gyldigt samtykke.

Nedenfor følger Datatilsynets begrundelse for denne vurdering.

7.1. Det er ikke tydeligt, at der er givet en utvetydig viljestilkendegivelse og et udtrykkeligt samtykke i databeskyttelsesforordningens forstand

Et samtykke kan både afgives mundtligt, skriftligt og digitalt. Det afgørende er, at den registreredes erklæring eller handling tydeligt tilkendegiver den registreredes hensigt, og et samtykke kan derfor ikke gives stiltiende eller være underforstået. Der må ikke være anledning til tvivl om, at den registrerede har givet sit samtykke.

Den dataansvarlige skal derfor også være opmærksom på, hvordan en samtykkeformular udformes. Hvis erklæringen også vedrører andre forhold – f.eks. handelsbetingelser for køb af en serviceydelse – skal anmodningen om samtykke klart kunne skelnes fra de andre forhold[5].

Når Dating.dk baserer virksomhedens samtykkeerklæring på, at brugeren accepterer virksomhedens brugerbetingelser og persondatapolitik, ved at klikke i samme boks er dette således i strid med forordningens krav, da det ikke er tydeligt for den registrerede, hvad vedkommende accepterer ved at klikke i boksen.

Dating.dk kan ikke, ved at henvise til virksomhedens brugerbetingelser og persondatapolitik, opnå en utvetydig viljestilkendegivelse ved klar bekræftelse fra den registrerede om, at denne giver et samtykke til den pågældende behandling af personoplysninger om vedkommende, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a, og artikel 9, stk. 2, litra a.

Det fremgår af databeskyttelsesforordningens præambelbetragtning nr. 32, at samtykke bør gives i form af en klar bekræftelse, der bl.a. indebærer utvetydig viljestilkendegivelse, og at en sådan tilkendegivelse kan foregå ved, at den registrerede sætter kryds i et felt ved besøg på et websted, ved valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklæring eller handling, der tydeligt i denne forbindelse tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Det skal i den forbindelse være tydeligt for den registrerede, at vedkommende har givet samtykke til den foreslåede behandling.

Det Europæiske Databeskyttelsesråd (EDPB) har endvidere fastslået, at et samtykke ikke kan opnås ved den handling, hvorved den registrerede indvilliger i en kontrakt eller accepterer almindelige vilkår og betingelser for en tjenesteydelse. Den registreredes generelle accept af almindelige betingelser og vilkår kan ikke opfattes som en klar bekræftelse, hvorved den registrerede giver sit samtykke til behandling af personoplysninger om vedkommende.[6]

Det er Datatilsynets vurdering, at såvel en henvisning til virksomhedens brugerbetingelser og vilkår som en henvisning til hele virksomhedens persondatapolitik fører til, at brugeren præsenteres for en større mængde af information på én gang, hvorved det ikke fremstår tydeligt for brugeren, at vedkommende giver samtykke til den foreslåede behandling af personoplysninger.[7]

Det fremgår af databeskyttelsesforordningens artikel 9, stk. 2, litra a, at den registrerede skal give sit udtrykkelige samtykke til behandling af særlige kategorier af personoplysninger. Den dataansvarlige skal således – foruden de øvrige betingelser for et gyldigt samtykke, herunder at opnå en utvetydig viljestilkendegivelse – gøre sig yderligere bestræbelser for at opnå et udtrykkeligt samtykke fra den registrerede.

Ordet ”udtrykkeligt” understreger vigtigheden af, at der ikke må herske tvivl om, at den registrerede har givet sit samtykke til den pågældende behandling.

Datatilsynet har noteret sig, at Dating.dk efterfølgende har tilføjet en afkrydsningsboks med teksten ”Jeg afgiver hermed samtykke til behandling af oplysningen om hvilket køn jeg søger”, som skal accepteres forud for oprettelsen som bruger. Endvidere er der i persondatapolitikken, som Datatilsynet er blevet bekendt med den 1. maj 2020, tilføjet information om, at der behandles oplysninger om seksuelle forhold ligesom artikel 9, stk. 2, litra a, er tilføjet som behandlingsgrundlag for behandlingen. Det er Datatilsynets opfattelse, at tilføjelserne er et forsøg på at imødekomme databeskyttelsesforordningens artikel 9, stk. 2, litra a, om udtrykkeligt samtykke ved behandling af særlige kategorier af personoplysninger.

7.2. Sammenfatning

Det er Datatilsynets vurdering, at Dating.dk ApS – ved at brugeren ved samme ”klik” skal acceptere virksomhedens brugerbetingelser og persondatapolitik – ikke har opnået en utvetydig viljestilkendegivelse fra brugerne af datingtjenesten til behandling af personoplysninger om dem, hvorfor Dating.dk ApS ikke har indhentet et gyldigt samtykke til behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a.

Det er endvidere Datatilsynets vurdering, at Dating.dk ApS – uanset at virksomheden efterfølgende, af ukendt dato, dels har tilføjet en afkrydsningsboks på hjemmesiden, og dels har lavet tilføjelser til senere persondatapolitikker – har behandlet særlige kategorier af personoplysninger i strid med databeskyttelsesforordningens artikel 9, stk.1, ved ikke at have identificeret en undtagelse i databeskyttelsesforordningens artikel 9, stk. 2.

På den baggrund finder Datatilsynet grundlag for at udtale alvorlig kritik af, at Dating.dk ApS har behandlet personoplysninger i strid med databeskyttelsesforordningens artikel 6, stk.1 og artikel 9, stk. 1, idet virksomhedens samtykkeløsning ikke har været udtryk for en utvetydig viljestilkendegivelse, og idet virksomheden har behandlet særlige kategorier af personoplysninger i strid med databeskyttelsesforordningens artikel 9, stk. 1.

8. Behandlingssikkerhed

Ved besvarelse af Datatilsynets oplysningsskema, der blev udsendt sammen med varsling af tilsynet, sendte Dating.dk ApS ved breve af 24. august, 21. og 26. september 2018 virksomhedens fortegnelse over behandlingsaktiviteter i henhold til databeskyttelsesforordningens artikel 30 i form af Dating.dk ApS’ persondatapolitik og en udfyldt kopi af Datatilsynets spørgeskema.

Dating.dk ApS oplyste under tilsynsbesøget, at Dating.dk ApS var i besiddelse af en skriftlig risikovurdering af 25. maj 2018 og en skriftlig konsekvensanalyse af 24. maj 2018. Det blev endvidere oplyst, at risikovurderingen omhandler risiciene ved behandling af personoplysninger, og at konsekvensanalysen indeholder oplysninger om, hvilke konsekvenser det har for de registrerede, hvis sikkerheden ikke er tilstrækkelig. Dating.dk ApS oplyste endvidere, at begge dokumenter indeholder oplysninger om, hvilke foranstaltninger Dating.dk ApS har gennemført på baggrund af de identificerede risici.

Efter tilsynsbesøget fremsendte Dating.dk ApS, på Datatilsynets anmodning, en kopi af virksomhedens risikovurdering. Dating.dk ApS fremsendte syv dokumenter, som svar på Datatilsynets anmodning om at se den skriftlige risikovurdering. Idet det ikke fremgik tydeligt af dokumenterne indhentede Datatilsynet efterfølgende en supplerende forklaring fra Dating.dk ApS, herunder med oplysning om, hvilke dokumenter der vedrørte Dating.dk ApS, og hvilke der vedrørte Freeway ApS.

Dating.dk ApS har herudover beskrevet en række forskellige scenarier som risikovurderingen tager stilling til, herunder trusler fra eksterne og medarbejderes forkerte behandling af data via autoriseret adgang. Dating.dk ApS har oplyst, at konsekvensanalysen har fokus på de registreredes rettigheder, og at virksomheden primært har haft fokus på, hvor der kan opstå datalæk.

I forhold til hackerangreb indeholder risikovurderingen en reference til Freeways egen risikoanalyse, som bl.a. berører PCI/DSS-krav – Payment Card Industri Data Security Standard. Dating.dk ApS bemærkede hertil, at Freeways risikoanalyse ikke er en del af virksomhedens risikovurdering eller konsekvensanalyse.

Dokumentet med titlen "Risikoanalyse Dating.dk" indeholder fire scenarier. Herunder har Datatilsynet angivet sine bemærkninger til dokumentet, og de fire scenarier. Derudover listes bemærkninger til de øvrige dokumenter.

Datatilsynet har gennemgået de af Dating.dk fremsendte dokumenter med henblik på at vurdere, om der igennem disse dokumenter kan påvises en risikovurdering i henhold til databeskyttelsesforordningens artikel 32.

8.1. Datatilsynets vurdering

Dating.dk ApS har fremsendt følgende syv dokumenter:

  • ”Dataopbevaring og adgang”
  • ”Nem Konsekvensanalyse – DPIA” med projektnavnet ”Freeway ApS”
  • ”Nødplan for nedbrud / angreb”
  • ”Nem Konsekvensanalyse – DPIA” med projektnavnet ”Dating.dk”
  • ”Note vedr. udviklere i risikovurdering for Dating.dk”
  • ”Politik for persondatasikkerhed”
  • ”Risikoanalyse Dating.dk”

Ved vurderingen af, hvilket sikkerhedsniveau der er passende, skal der navnlig tages hensyn til de risici, som behandlingen udgør, jf. databeskyttelsesforordningens artikel 32, stk. 2.

For at opnå et passende sikkerhedsniveau, er det derfor en forudsætning, at man har afdækket de risici, som en eventuel behandling af personoplysninger indebærer. Derudover skal der være identificeret og gennemført de foranstaltninger, der er nødvendige for at håndtere og mindske de identificerede risici tilstrækkeligt. Her er det risici for de registreredes rettigheder og frihedsrettigheder, som er afgørende, jf. forordningens artikel 32, stk. 1.

Dokumentet ”Dataopbevaring og adgang” ses primært at angive, hvilke data der indsamles, hvem der har adgang til dem og hvorfor. Dokumentet ses imidlertid ikke at angive foranstaltninger til beskyttelse af personoplysninger.

En gennemgang af dokumentet ”Nem Konsekvensanalyse – DPIA” med projektnavnet ”Freeway ApS” viser, at dokumentet alene angår personoplysninger om medarbejdere (medarbejders navn, virksomheds e-mailadresse og evt. mobilnummer, at Freeway ApS er angivet som dataansvarlig for behandlingerne af personoplysninger, og at det ikke berører PCI/DDS-krav, som oplyst under tilsynsbesøget.

Det er på den baggrund Datatilsynets vurdering, at dokumentet ikke er relevant i forhold til brugerne af datingtjenesten.

For så vidt angår dokumentet ”Nødplan for nedbrud / angreb” har Datatilsynet forstået det således, at dette er en del af Freeway ApS' risikoanalyse. Dokumentet lister en række foranstaltninger, som muligvis kunne påvirke risici for fysiske personers rettigheder, herunder virksomhedens brugere. Dokumentet synes imidlertid alene at have fokus på at beskytte medarbejdernes adgang til it-systemerne og sikre kontinuerlig drift af virksomhedens systemer.

Dokumentet indeholder således ingen vurdering af risici eller beskrivelse af, hvordan de listede foranstaltninger påvirker sandsynligheder eller konsekvenser for de registreredes rettigheder og frihedsrettigheder.

I forhold til dokumentet ”Nem Konsekvensanalyse – DPIA” med projektnavnet ”Dating.dk” har Dating.dk ApS har anført, at dokumentet indeholder oplysninger om, hvilke konsekvenser det har for de registrerede, hvis sikkerheden ikke er tilstrækkelig. Dokumentet skulle herudover have fokus på de registreredes rettigheder.

Dokumentet indeholder besvarelsen af spørgsmål fordelt på 27 punkter. De fleste af spørgsmålene er besvaret ved at oplyse om, hvilken behandling der foregår og evt. hvorfor. Flere af punkterne angår samtykke. Der er imidlertid ingen angivelse af risici af varierende sandsynlighed eller konsekvens, herunder alvor, for de registreredes rettigheder eller frihedsrettigheder.

Dokumentets punkt 18 angiver eksempelvis alene, hvilke konsekvenser der ikke bør være for den registrerede og det er således ikke beskrevet, hvilke konsekvenser der kan være ved behandlingen af personoplysninger. Herudover er det ikke forklaret, hvordan man er kommet frem til, at der ikke bør være konsekvenser i form af økonomisk eller fysisk skade. Der ses endvidere ikke en afdækning af andre relevante konsekvenser, f.eks. skade på omdømme eller sociale konsekvenser, jf. databeskyttelsesforordningens præambelbetragtning nr. 74.

Punkt 18 beskriver, at der ikke bør være konsekvenser ved, at personoplysninger kommer til uvedkommendes kendskab. Scenarierne beskrevet i dokumentet "Risikoanalyse Dating.dk" (systemfejl, 3. parts misbrug og medarbejders misbrug) kan eksempelvis resultere i konsekvenser som tab eller ændring af data, og dermed ses punkt 18 ikke fyldestgørende at behandle konsekvenser ved tre ud af de fire scenarier, som Dating.dk ApS har taget udgangspunkt i ved deres risikovurdering.

Datatilsynet kan ikke tilslutte sig vurderingen af, at der ikke foreligger konsekvenser for de registrerede, hvis personoplysninger, herunder oplysninger om lokation og særlige kategorier af personoplysninger, som behandles af Dating.dk ApS, som led i deres virksomhed som datingbureau, kommer til uvedkommendes kendskab.

Svaret til spørgsmål nr. 18 nævner mulige risici i forhold til nøgenfotos uploaded af brugeren selv, men der nævnes ikke andre typer af oplysninger eller eventuelle risici ved deres behandling. Eksempelvis ses ikke nævnt oplysninger om lokation om brugere, der anvender Dating.dk ApS' app. Det er dermed ikke dokumenteret, hvorvidt Dating.dk ApS har vurderet på risici af varierende sandsynlighed eller alvor ved behandling af GPS-oplysninger.

Ved besvarelse af spørgsmål nr. 4 oplyses om muligheden for behandling af særlige kategorier af personoplysninger omfattet af artikel 9. Det fremgår ikke, hvorledes dette har influeret på risikovurderingen.

Der ses ingen vurdering af sandsynligheden for, at de givne scenarier finder sted, ud over i punkt 18, hvor konsekvenser kun delvist ses behandlet. Således fremgår det ikke, hvordan eller hvorledes der er taget hensyn til risici af varierende sandsynlighed og alvor for brugernes rettigheder og frihedsrettigheder, jf. databeskyttelsesforordningens artikel 32. stk. 1.

Dating.dk ApS har oplyst, at dokumentet indeholder oplysninger om, hvilke foranstaltninger virksomheden har gennemført på baggrund af de identificerede risici. Disse foranstaltninger ses kun angivet i ganske få af punkterne (punkt 16, 17, 19, og evt. 25 og 26). Ved visse punkter (f.eks. 20 og 21) er det angivet, at der er udeladt bestemte foranstaltninger, uden at det er begrundet eller bundet til en vurdering af risici for de registreredes rettigheder.

Adspurgt har Dating.dk ApS oplyst, at dokumentet ”Note vedr. udviklere i risikovurdering for Dating.dk” er af samme dato som risikovurderingen, den 25. maj 2018. Det fremgår af noten, at Dating.dk ApS har valgt ikke at adressere udviklere i virksomhedens risikovurdering.

Databeskyttelsesforordningens artikel 32, stk. 1 giver hverken den dataansvarlige mulighed for, at undlade at tage hensyn til risici, behandlingen udgør, på baggrund af den dataansvarliges tiltro til personer, der foretager behandlingen, eller undlade at tage hensyn til risici, hvis det ikke er muligt at begrænse personernes adgang til persondata. Hvis en risikovurdering tilmed viser, at en konkret behandling vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, er der krav om udførsel af en konsekvensanalyse i henhold til artikel 35, samt evt. høring af tilsynsmyndigheden forud for behandlingen.

Relevante foranstaltninger kan desuden være andet end kontrol og adgangsbegrænsning, alt efter hvilke risici, man forsøger at begrænse ved foranstaltningen. Foranstaltninger kan være overvågning, ophør af ansættelsesforhold eller aftaler om tavshedspligt tilknyttet eventuelle sanktioner. På den baggrund ser Datatilsynet intet grundlag for, at Dating.dk ApS kan undlade at vurdere risici for de registreredes rettigheder ved behandlinger foretaget af udviklerne.

Datatilsynet finder, at den pågældende udeladelse af personer med adgang til alle personoplysninger om brugere af datingtjenesten, er en alvorlig mangel ved risikovurderingen.

Med hensyn til dokumentet ”Politik for persondatasikkerhed” forstår Datatilsynet dokumentet som en liste over organisatoriske foranstaltninger angående behandling af personoplysninger. Der henvises også til beskrivelser om adgang og sikkerhed, som skulle fremgå af en databehandleraftale mellem Freeway ApS og Dating.dk ApS. Det fremstår imidlertid ikke klart af dokumenterne om risikoanalyse og konsekvensanalyse, hvorvidt eller hvordan de organisatoriske foranstaltninger beskrevet i dokumentet "Politik for persondatasikkerhed" er anvendt i vurdering af risici for de registreredes rettigheder eller frihedsrettigheder.

Ifølge Dating.dk ApS skulle risikovurderingen omhandle risiciene ved behandling af personoplysninger. Det er imidlertid ikke beskrevet, hvilke risici behandlingen kan indebære for de registreredes rettigheder og frihedsrettigheder, og det fremgår dermed ikke, hvordan Dating.dk ApS er kommet frem til, at de beskrevne foranstaltninger er tilstrækkelige til at sikre et sikkerhedsniveau, der passer til risici, jf. artikel 32, stk. 1 og stk. 2.

Der ses ingen angivelse af konsekvenser (alvor) for de registrerede, hvilket Dating.dk ApS har oplyst skulle fremgå af konsekvensanalysen. Dette separate dokument kommenteres nedenfor. Der ses herudover ingen vurdering af sandsynligheder for, at scenarierne finder sted.

Dokumentet tager ikke hensyn til risici af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, hvorfor dokumentet efter Datatilsynets opfattelse ikke overholder kravet i databeskyttelsesforordningens artikel 32, stk. 1.

Dokumentet ”Risikoanalyse Dating.dk” skulle, ifølge Dating.dk ApS, omhandle risiciene ved behandling af personoplysninger. Det er imidlertid ikke beskrevet, hvilke risici behandlingen kan indebære for de registreredes rettigheder og frihedsrettigheder, og det fremgår dermed ikke, hvordan Dating.dk ApS er kommet frem til, at de beskrevne foranstaltninger er tilstrækkelige til at sikre et sikkerhedsniveau, der passer til risici, jf. databeskyttelsesforordningens artikel 32, stk. 1 og stk. 2.

Der ses ingen angivelse af konsekvenser (alvor) for de registrerede, hvilket Dating.dk ApS har oplyst skulle fremgå af konsekvensanalysen. Der ses herudover ingen vurdering af sandsynligheder for, at de scenarier, som er nævnt i dokumentet, finder sted.

Dokumentet tager ikke hensyn til risici af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, hvorfor dokumentet efter Datatilsynets opfattelse ikke overholder kravet i forordningens artikel 32, stk. 1.

8.2. Sammenfatning

Efter en gennemgang af sagen, herunder særligt de af Dating.dk ApS fremsendte dokumenter, er det Datatilsynets opfattelse, at Dating.dk ApS har behandlet personoplysninger, herunder oplysninger om lokation og særlige kategorier af personoplysninger, uden at kunne påvise, at behandlingen er sket under hensyntagen til de risici, som behandlingen udgør for de registreredes rettigheder og frihedsrettigheder, jf. databeskyttelsesforordningens artikel 32, stk. 1 og stk. 2.

Datatilsynet finder således, at der er grundlag for at udtale alvorlig kritik af, at Dating.dk ApS ikke har efterlevet databeskyttelsesforordningens artikel 32, stk. 1 og stk. 2.

Datatilsynet har i den forbindelse lagt vægt på, at Dating.dk ApS, i kraft af sin virksomhed som datingbureau, behandler særdeles beskyttelsesværdige oplysninger, herunder oplysninger om lokation og seksuelle forhold.

9. Konklusion

På baggrund af ovenstående finder Datatilsynet grundlag for at udtale alvorlig kritik af, at Dating.dk ApS har behandlet personoplysninger i strid med databeskyttelsesforordningens artikel 6, stk.1 og artikel 9, stk. 1, idet virksomhedens samtykkeløsning ikke har været udtryk for en utvetydig viljestilkendegivelse, og idet virksomheden har behandlet særlige kategorier af personoplysninger i strid med databeskyttelsesforordningens artikel 9, stk. 1.

Datatilsynet finder på den baggrund grundlag for at udstede et påbud i medfør af databeskyttelsesforordningens art. 58, stk. 2, litra d, om, at Dating.dk inden 16. november 2021 skal bringe behandlingen af personoplysninger om brugere af Dating.dk i overensstemmelse med databeskyttelsesforordningens bestemmelser, herunder særligt artikel 6, stk. 1, jf. artikel 9, stk. 1. I det omfang behandlingen fortsat vil finde sted, skal Dating.dk indsende en kopi af virksomhedens samtykkeløsning inden for ovennævnte frist.

Datatilsynet gør opmærksom på, at det efter databeskyttelseslovens § 41, stk. 2, nr. 5, er strafbart at undlade at efterkomme et påbud meddelt efter forordningens artikel 58, stk. 2, litra d.

Datatilsynet finder herudover grundlag for, at udtale alvorlig kritik af, at Dating.dk ApS har behandlet personoplysninger, herunder særlige kategorier af personoplysninger, uden at kunne påvise at behandlingen er sket under hensyntagen til de risici, som behandlingen udgør for de registreredes rettigheder og frihedsrettigheder, jf. databeskyttelsesforordningens artikel 32, stk. 1 og stk. 2.

 

[1] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[2] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[3] Dating.dk ApS har på tilsynsbesøget oplyst, at man ved oprettelse som bruger på dating.dk valgfrit kan skrive, hvad man har lyst i et fritekstfelt. Dating.dk ApS har endvidere oplyst, at Dating.dk ApS i en database registrerer oplysninger om de beskeder, som brugerne sender til hinanden. Dating.dk ApS har hertil oplyst, at behandlingen af disse personoplysninger ikke foregår systematisk, idet behandlingen alene sker som led i automatiserede processer, hvor en maskine automatisk opfanger enkelte ord eller sætninger, hvorefter beskeden tages under nærmere eftersyn af hensyn til bl.a. bekæmpelse af bedrageri.

[4] Det følger af præambelbetragtning nr. 171 i databeskyttelsesforordningen, at et samtykke indhentet i overensstemmelse med persondatalovens regler fortsat er gyldigt, hvis samtykket er i overensstemmelse med betingelserne i forordningen. Det nye krav om, at den dataansvarlige skal informere om muligheden for at trække et samtykke tilbage, inden samtykket afgives, antages ikke at være en gyldighedsbetingelse for et eksisterende samtykke, der er indhentet inden den 25. maj 2018, jf. s. 17 i Datatilsynets og Justitsministeriet vejledning om samtykke fra november 2017. Revideret udgave maj 2021.

[5] Datatilsynets vejledning om samtykke af maj 2021, s. 10

[6] EDPB - Retningslinjer 5/2020 vedrørende samtykke i henhold til forordning 2016/679, version 1.1 af 4. maj 2020, s. 20

[7] Se hertil det Norske Datatilsyns forhåndsmeddelelse til Grindr LLC af 24. januar 2021 afsnit 5.1.4., herunder med henvisning til afsnit 5.1.1. Det bemærkes, at meddelelsen ikke er en endelig afgørelse.