Alvorlig kritik af Leadwises samtykkeløsning på letfinans.dk

Dato: 23-12-2022

Afgørelse Private virksomheder Alvorlig kritik Klage Cookies / behandling af personoplysninger om hjemmesidebesøgende Behandlingsgrundlag

Datatilsynet har udtalt alvorlig kritik af, at Leadwise indsamlede personoplysninger på letfinans.dk uden gyldigt samtykke. Tilsynet fandt bl.a., at samtykkeløsningen ikke levede op til reglerne, da samtykket ikke var tilstrækkeligt informeret.

Journalnummer: 2021-31-5282

Resume

På baggrund af en konkret klage indledte Datatilsynet i 2021 en sag vedrørende placering af cookies på Leadwise A/S’ hjemmeside letfinans.dk.

Klager blev på hjemmesiden præsenteret for en samtykkeløsning med afkrydsningsmulighederne: ABSOLUT NØDVENDIGE, YDEEVNE, MÅLRETNING, FUNKTIONALITET, UKLASSIFICEREDE. ABSOLUT NØDVENDIGE var forud-afkrydset, mens de øvrige muligheder ikke var afkrydsede på forhånd.

Nedenfor fremgik mulighederne ”ACCEPTER ALLE”, ”AFVIS ALLE” OG ”VIS DETALJER”.

Klager kunne i forbindelse med besøget på hjemmesiden konstatere, at der inden interaktionen med samtykkeløsningen blev placeret en række cookies på hans computer, herunder fra tredjeparter som Google og Facebook.

Datatilsynet lagde i afgørelsen vægt på, at der blev behandlet personoplysninger om klager, inden han havde givet sit samtykke til behandlingen. Derudover fandt tilsynet, at samtykkeløsningen ikke levede op til kravene til et gyldigt samtykke, da det bl.a. ikke var tilstrækkeligt informeret, og da der ikke blev oplyst om muligheden for at trække samtykket tilbage.

På baggrund af ovenstående udtalte tilsynet alvorlig kritik.

Ved et besøg på hjemmesiden letfinans.dk den 20. juni 2022 kunne Datatilsynet konstatere, at Leadwise har ændret samtykkeløsningen. Tilsynet har med nærværende afgørelse ikke taget stilling til den ændrede samtykkeløsnings gyldighed.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor klager den 5. juli og 9. august 2021 har klaget til tilsynet over behandling af oplysninger om ham, som Leadwise A/S har foretaget på hjemmesiden www.letfinans.dk.

Datatilsynet skal bemærke, at tilsynet alene kan tage stilling til databeskyttelsesretlige spørgsmål. Datatilsynet har derfor med denne afgørelse ikke taget stilling til reglerne i bekendtgørelse nr. 1148 af 9. december 2011 om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr (cookiebekendtgørelsen).

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Leadwises behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens^[1] artikel 6.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at klager besøgte hjemmesiden www.letfinans.dk. Han blev i den forbindelse mødt med en samtykkeløsning, hvoraf følgende fremgik:

”Denne hjemmeside bruger cookies

Denne hjemmeside bruger cookies til at forbedre brugeroplevelsen. Ved at bruge vores hjemmeside giver du samtykke til alle cookies i overensstemmelse med vores cookiepolitik. Læs mere”

Neden for teksten fremgik afkrydsningsmulighederne, ABSOLUT NØDVENDIGE, YDEEVNE, MÅLRETNING, FUNKTIONALITET, UKLASSIFICEREDE.

ABSOLUT NØDVENDIGE var forud-afkrydset, mens de øvrige muligheder ikke var afkrydsede på forhånd.

Neden for afkrydsningsmulighederne fremgik mulighederne ”ACCEPTER ALLE”, ”AFVIS ALLE” og ”VIS DETALJER”.

I forbindelse med besøget på www.letfinans.dk konstaterede klager, at der – inden klagers interaktion med samtykkeløsningen – blev placeret en række cookies, herunder cookies fra tredjeparter som Facebook og Google.

Klager kontaktede Leadwise og gjorde opmærksom på, at han mente, at Leadwise behandlede oplysninger om ham i strid med databeskyttelsesreglerne.

Leadwise besvarede henvendelsen den 26. juli 2021. Følgende fremgår af besvarelsen:

”Vi behandler ingen persondata og sender ingen personoplysninger på vores hjemmeside, når man blot besøger denne uden at lave en låneansøgning. (Laver man en låneansøgning skal man give samtykke) De eksempler du fremsender er blot til en besøgstæller i Google Analytics, der tæller antal besøgende på hjemmesiden helt anonymt, og Trustpilot eksemplet er blot en widget på hjemmesiden, der viser vores Trustpilot anmeldelser uden at sende nogen form for persondata.”

Klager indgav herefter en klage til Datatilsynet den 9. august 2021. Datatilsynet sendte klagen i høring den 10. september 2021 og anmodede Leadwise om en udtalelse.

Den 30. september 2021 sendte Leadwise en udtalelse til sagen, hvori Leadwise redegjorde for virksomhedens behandling af oplysninger samt brug af cookies på hjemmesiden www.letfinans.dk.

Udtalelsen blev sendt til klager den 13. oktober 2021, hvorefter klager samme dag sendte bemærkninger. Bemærkningerne blev sendt til Leadwise den 1. november 2021. Leadwise oplyste den 15. november 2021, at klagers bemærkninger ikke gav Leadwise anledning til yderligere.

2.1. Klagers bemærkninger

Klager har overordnet anført, at Leadwise har behandlet oplysninger om ham på hjemmesiden www.letfinans.dk i strid med databeskyttelsesreglerne.

Klager har som begrundelse herfor anført, at Leadwise har indsamlet oplysninger om hans besøg på hjemmesiden www.letfinans.dk uden hans samtykke, idet Leadwise – forinden klagers eventuelle samtykke – placerede cookies og dermed behandlede en række oplysninger om ham.

Klager har i den forbindelse henvist til en video, som kan tilgås på www.youtube.com [2], hvor klager har dokumenteret Leadwises placering af cookies, inden klager har accepteret eller afvist at samtykke hertil.

2.2. Leadwises bemærkninger

Leadwise har overordnet anført, at alle hjemmesidebesøgende på www.letfinans.dk bliver bedt om at tage stilling til cookies, og at behandling af oplysninger om hjemmesidebesøgende, herunder klager, således sker på baggrund af de(n) registreredes samtykke.

Leadwise har i forhold til den nærmere behandling af personoplysninger ved brugen af cookies henvist til virksomhedens privatlivs- og cookiepolitik, hvoraf følgende fremgår:

”For at kunne forbedre brugeroplevelsen og generelt forbedre Letfinans som tjeneste, indsamler og behandler vi også data der viser din brugeradfærd på siden og tidspunkt herfor.

Vi anvender forskellige typer cookies og andre lignende teknologier på websitet. Cookies er en standardfunktion på websites, der giver os mulighed for at gemme små mængder data på din computer, som fortæller om dig eller dit besøg på websitet. Cookies hjælper med info om hvilke områder af websitet der er nyttige, og hvilke der skal forbedres samt til brug for statistik og markedsføring. Du kan læse mere om vores cookie-politik her”.

3. Begrundelse for Datatilsynets afgørelse

3.1.

Det fremgår af databeskyttelsesforordningens artikel 4, nr. 1, at der ved en personoplysning forstås enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

Uddybende fremgår det herom af præambelbetragtning nr. 30 til databeskyttelsesforordningen, at fysiske personer kan tilknyttes onlineidentifikatorer, som tilvejebringes af deres enheder, applikationer, værktøjer og protokoller, såsom IP-adresser og cookieidentifikatorer, eller andre identifikatorer, såsom radiofrekvensidentifikationsmærker. Dette kan efterlade spor, der, navnlig når de kombineres med unikke identifikatorer og andre oplysninger, som serverne modtager, kan bruges til at oprette profiler om fysiske personer og identificere dem.

Af databeskyttelsesforordningens artikel 6, stk. 1, fremgår det, at behandling af personoplysninger kun er lovlig, hvis og i det omfang mindst ét af forholdene i litra a-f gør sig gældende.

Af litra a fremgår det, at personoplysninger kan behandles, hvis den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.

Ved et samtykke forstås der efter databeskyttelsesforordningens artikel 4, nr. 11, enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.

Ud over betingelserne i artikel 4, nr. 11, skal et samtykke for at være gyldigt endvidere leve op til kravene i databeskyttelsesforordningens artikel 7. Det betyder bl.a., at den registrerede til enhver tid har ret til at trække sit samtykke tilbage, og at den registrerede oplyses herom, inden der gives samtykke, jf. artikel 7, stk. 3.

3.2.

Datatilsynet lægger til grund, at Leadwise behandler personoplysninger om hjemmesidebesøgende ved brug af cookies på hjemmesiden www.letfinans.dk, og at oplysningerne behandles til flere forskellige formål, herunder bl.a. til statistik og markedsføring.

Datatilsynet lægger endvidere på baggrund af sagens oplysninger, herunder videoen, som klager har tilgængeliggjort på Youtube, til grund, at Leadwise placerede egne og tredjeparters cookies – og dermed indsamlede personoplysninger – inden klager havde mulighed for eventuelt at samtykke hertil.

Datatilsynet finder på den baggrund, at Leadwises behandling af oplysninger om klager i forbindelse med hans besøg på hjemmesiden www.letfinans.dk ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra a. Der er ved vurderingen lagt vægt på, at oplysninger om klager, som blev indsamlet ved brugen af cookies, blev indsamlet, inden fornødent samtykke hertil var indhentet.

Datatilsynet har endvidere lagt vægt på, at samtykkeløsningen, som fremgik af www.letfinans.dk, i øvrigt ikke lever op til de krav, der i artikel 4, nr. 11 og artikel 7 stilles til et gyldigt samtykke.

Datatilsynet har i den forbindelse særligt lagt vægt på, at samtykket, som fremgik af www.letfinans.dk, ikke lever op til det informationskrav, der stilles efter databeskyttelsesforordningens artikel 4, nr. 11, samt at det ikke fremgår, at den hjemmesidebesøgende til enhver tid har ret til (og mulighed for) at trækket sit samtykke tilbage.

Samtykket, som Leadwise indhentede på www.letfinans.dk, kunne derfor allerede af den grund ikke udgøre hjemmel til behandling af personoplysninger efter databeskyttelsesforordningens artikel 6, stk. 1, litra a, og Datatilsynet finder som en følge deraf, at der er grundlag for at udtale alvorlig kritik af Leadwises behandling af oplysninger om klager foretaget ved brug af cookies på www.letfinans.dk.

Datatilsynet bemærker afslutningsvis, at tilsynet ved et besøg på hjemmesiden www.letfinans.dk den 20. juni 2022 kan konstatere, at Leadwise har ændret samtykkeløsningen. Datatilsynet har med nærværende afgørelse ikke taget stilling til den ændrede samtykkeløsnings gyldighed.

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] https://www.youtube.com/watch?v=9rzaWhEwTfU