Journalnummer: 2020-431-0085

Resumé

Datatilsynet iværksatte i slutningen af juni 2020 en egendriftssag mod Den Blå Avis’ (DBA) behandling af personoplysninger om hjemmesidebesøgende. Efter Datatilsynet indledte undersøgelsen, valgte DBA at ændre sin samtykkeløsning på www.dba.dk. Datatilsynet har derfor taget stilling til to forskellige samtykkeløsninger i afgørelsen.

Datatilsynet har som led i undersøgelsen bl.a. vurderet, om de betingelser der stilles til et databeskyttelsesretligt samtykke, har været, og er, opfyldt i forbindelse med DBA’s behandling af personoplysninger.

DBA anførte i forbindelse med sagens behandling, at behandling af oplysninger om hjemmesidebesøgende til analytiske og statistiske formål kan baseres på baggrund af selskabets legitime interesser. I den forbindelse benytter DBA sig af statistik- og analyseværktøjet Google Analytics.

Datatilsynet fandt – efter sagen havde været behandlet på et møde i Datarådet – anledning til at udtale alvorlig kritik af, at hverken DBA’s tidligere eller nuværende samtykkeløsning til behandling af personoplysninger om de besøgende på www.dba.dk opfylder databeskyttelsesforordningens krav til samtykke.

Datatilsynet fandt endvidere, at DBA’s nuværende samtykkeløsning til behandling af personoplysninger ikke opfylder det grundlæggende princip om lovlighed, rimelighed og gennemsigtighed i databeskyttelsesforordningen.

Datatilsynet fandt herudover, at DBA’s behandling af personoplysninger til statistiske formål ikke er i overensstemmelse med databeskyttelsesforordningen.

1. Afgørelse

Datatilsynet vender hermed tilbage til sagen, som tilsynet af egen drift har iværksat vedrørende Den Blå Avis A/S’ (DBA) behandling af personoplysninger om hjemmesidebesøgende. Datatilsynets afgørelse angår navnlig, hvorvidt DBA’s samtykkeløsning på https://www.dba.dk/ før den 25. juni 2020 og hjemmesidens nuværende samtykkeløsning er i overensstemmelse med de databeskyttelsesretlige regler.

Datatilsynet finder – efter sagen har været forelagt Datarådet - at hverken DBA’s tidligere eller nuværende samtykkeløsning til behandling af personoplysninger om de besøgende på https://www.dba.dk/ opfylder databeskyttelsesforordningens^[1] krav til samtykke i artikel 4, nr. 11.

Endvidere finder Datatilsynet, at DBA’s nuværende samtykkeløsning til behandling af personoplysninger ikke opfylder det grundlæggende princip om lovlighed, rimelighed og gennemsigtighed i databeskyttelsesforordningens artikel 5, stk. 1, litra a.

Herudover finder Datatilsynet, at DBA’s behandling af personoplysninger til statistiske formål ikke er i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra f. 

Datatilsynet finder på ovennævnte baggrund, at der er grundlag for at udtale alvorlig kritik af, at DBA’s behandling af personoplysninger om de besøgende på https://www.dba.dk/ ikke sker i overensstemmelse med databeskyttelsesforordningen.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Datatilsynet har som opfølgning på udstedelsen af tilsynets vejledning fra februar 2020 om behandling af personoplysninger om hjemmesidebesøgende valgt at sætte fokus på, om reglerne på dette område overholdes.

Datatilsynet har i den anledning besluttet at undersøge bl.a. hjemmesiden https://www.dba.dk/ nærmere af egen drift, og tilsynet har ved breve af henholdsvis 18. juni 2020, 30. juli 2020 og 18. juni 2021 stillet DBA en række spørgsmål med henblik på Datatilsynets behandling af sagen.

Datatilsynet har i forbindelse med sagens behandling undersøgt to forskellige samtykkeløsninger på hjemmesiden https://www.dba.dk/, idet DBA ændrede sin oprindelige samtykkeløsning den 25. juni 2020.

Samtykkeløsningen hos DBA var før den 25. juni 2020 formuleret på følgende vis:

”Ved at klikke ”Accepter” eller ved at klikke på et link eller billede på siden, så du anvender vores side, samtykker du til brugen af cookies og andre teknologier, som for eksempel cookieidentifikatorer, der behandler adfærdsdata og persondata, med det formål at forbedre og personalisere din oplevelse på tværs af brands og sider drevet af eBay, herunder også tredjeparts annoncering, der er skræddersyet til dig på og udenfor siden her. Derudover samtykker du også til, at tredjepartsselskaber, som vi samarbejder med, må anvende cookies og tilsvarende teknologier på din enhed, som du besøger siden fra, til at samle og bruge informationer til skræddersyet målrettet markedsføring/bannere på tredjepart sites, måling og analyse. Du kan til enhver tid tilbagekalde dit samtykke.”

DBA har efterfølgende den 25. juni 2020 ændret sin samtykkeløsning til behandling af personoplysninger. Af samtykkeløsningen fremgår en tekst, hvor blandt andet følgende oplyses:

”Ved at klikke ”OK” samtykker du til brugen af cookies og tilsvarende teknologier (samlet benævnt ’cookies’), som vi benytter med det formål at lave målrettet annoncering, herunder på tredjepartssider, ved brug af segmentering, markedsundersøgelser/målgruppeanalyser og statistik genereret i forbindelse med din adfærd på vores hjemmesider (DBA og BilBasen) samt forbedring af annonceringsydelser.

Derudover samtykker du til, at visse tredjepartsselskaber som vi arbejder med, må anvende cookies til ovennævnte formål her på hjemmesiden.

I forbindelse med vores brug af cookies behandler vi, og de ovennævnte tredjeparter, følgende personoplysninger: IP-adresse og øvrige cookie-ID, Facebook-ID (i visse tilfælde) samt oplysninger om din browser, din enhed, dit operativsystem og din adfærd i forbindelse med brug af vores tjenester.”

DBA’ nuværende samtykkeløsning giver de besøgende mulighed for at trykke ”OK” eller ”Accepter ikke” til hjemmesidens behandling af personoplysninger. Derudover præsenteres muligheden for at trykke ”Indstillinger”, hvor de besøgende kan tilgå mere information om de formål, hvortil oplysningerne behandles. Under ”Indstillinger” fremgår et afsnit om annoncering, som er opdelt i hhv. IAB-partnere og Ikke IAB-partnere (IAB er en brancheorganisation).

Datatilsynet har som led i sagens behandling undersøgt, hvilke cookies DBA benytter sig af til analytiske og statistiske formål på https://www.dba.dk/.

DBA har i sin udtalelse af 11. september 2020 oplyst, at DBA har tilpasset sin samtykkeløsning i forlængelse af DBA’s besvarelse af 14. juli 2020, og løbende arbejder på forbedringer heraf i lyset af gældende praksis og standarder for at forbedre gennemsigtigheden.

Under afsnittet om statistikcookies i dba.dk’s samtykkeløsning fremgik blandt andet følgende om en af de cookies, der benyttes til statistik:

”Dette er en af de fire vigtigste cookies, der er fastsat af Google Analytics-tjenesten, som gør det muligt for webstedsejere at spore besøgendes adfærd og måle webstedets ydeevne. Denne cookie varer som standard i 2 år og skelner mellem brugere og sessioner. Det bruges til at beregne nye og tilbagevendende besøgende statistik. Cookien opdateres hver gang der sendes data til Google Analytics. Cookiens levetid kan tilpasses af webstedsejere”

Et andet eksempel på en cookie, der bruges til udførelse af statistik på dba.dk, er beskrevet på følgende måde:

”This is a pattern type cookie set by Google Analytics, where the pattern element on the name contains the unique identity number of the account or website it relates to. It appears to be a variation of the _gat cookie which is used to limit the amount of data recorded by Google on high traffic volume websites.”

DBA har endvidere i sin persondatapolitik beskrevet brugen af analyseværktøjet Google Analytics. Af persondatapolitikken fremgår bl.a. følgende:

”VI bruger Google Analytics, et analyseværktøj fra Google LLC og Google Ireland Ltd. (”Google”) til løbende at forbedre vores tjenester. Brugen gør det muligt at tildele data, sessioner og interaktioner til et pseudonym bruger-ID og dermed analysere en brugers aktiviteter på vores websted. Google Analytics bruger cookies, der er gemt på din enhed, og som gør det muligt for os at analysere din brug af vores tjenester. De data, der er indsamlet af cookies, om brugen af vores tjenester (inklusive din IP-adresse) overføres normalt til en Google-server i USA og opbevares der (se yderligere oplysninger til brugere i Det Europæiske Økonomiske Samarbejdsområde nedenfor i dette afsnit).

På vores vegne behandler Google disse data for at evaluere brugen af vores tjenester, til at udarbejde rapporter om brugsaktiviteter og for at give os yderligere tjenester, der er forbundet med brugen af vores tjenester. Din IP-adresse, der sendes i forbindelse med Google Analytics, kombineres ikke med andre data fra Google.

[…]

Vi vil gerne påpege, at Google Analytics på vores websted er blevet udvidet med koden ”gat._anonymizeIp ();” for at garantere en anonymiseret samling af IP-adresser (såkaldt IP-maskering). Det betyder, at den, før din IP-adresse overføres til Googles servere i USA, sendes til en Google-server i EU (eller i en anden EØS-stat), hvor den forkortes, så den ikke kan spores til en bestemt person. Først efter at IP-adressen er blevet anonym, sendes den korte IP-adresse til en Google-server i USA og gemmes der.

Hvis personoplysninger overføres til USA, sker dette på grundlag af Europa-Kommissionens tilstrækkelighedsafgørelse under EU-USA’s privatlivsbeskyttelse.”

DBA er den 26. juni, 14. juli, 11. september 2020 og 9. juli 2021 fremkommet med udtalelser til Datatilsynet, og afsnit 2.1. nedenfor omhandler DBA’s bemærkninger.

2.1. DBA’s bemærkninger

2.1.1. DBA’s samtykkeløsning før den 25. juni 2020

DBA har oplyst, at selskabet ved sin tidligere samtykkeløsning behandlede oplysninger om hjemmesidebesøgende omfattet af databeskyttelsesforordningen. DBA valgte i forlængelse af Datatilsynets nye retningslinjer om behandling af personoplysninger om hjemmesidebesøgende at ændre samtykkeløsningen, idet hjemmesiden den 25. juni 2020 implementerede en ny løsning med henblik på at imødekomme Datatilsynets vurdering af retstilstanden og for at øge gennemsigtigheden over for de hjemmesidebesøgende.

DBA’s tidligere samtykkeløsning var indrettet således, at hjemmesidebesøgende blev præsenteret for en samtykkeløsning ved første besøg på hjemmesiden. Brugeren havde herefter mulighed for at give samtykke ved enten at klikke på et link på hjemmesiden, et indslag eller ved at trykke på boksen ”Accepter” i samtykkeløsningen. På den baggrund har DBA anført, at samtykke krævede en aktiv handling fra brugeren, og at brugeren var oplyst om dette ved besøg på hjemmesiden.

2.1.2. DBA’s nuværende samtykkeløsning

DBA har overordnet anført, at selskabet med sin nuværende samtykkeløsning behandler oplysninger om hjemmesidebesøgende, herunder oplysninger om IP-adresse, oplysninger om den besøgendes browser og operativsystem og oplysninger om den besøgendes adfærd i forbindelse med brug af hjemmesiden.

DBA har endvidere oplyst, at virksomheden behandler personoplysninger om hjemmesidebesøgende med det formål at målrette markedsføring og annoncering samt til rent analytiske formål. De oplysninger, der indsamles om besøgende på dba.dk, anvendes til at lave statistik, der kan give DBA en bedre forståelse for, hvordan hjemmesiden anvendes af brugerne. Oplysningerne er afgørende for virksomhedens mulighed at forbedre deres ydelser og produkter, herunder analyse af om de besøgende viser interesse for nye funktioner. Oplysningerne giver endvidere DBA en forståelse af, om hjemmesiden leverer værdier til de annoncører, der har betalt for dem.

2.1.2.1. Behandlingshjemmel

Ad interesseafvejningsreglen

Under henvisning til behandlingens karakter og de registreredes rimelige forventninger har DBA anført, at de oplysninger, hjemmesiden behandler til analytiske formål, kan ske på baggrund af interesseafvejningsreglen i databeskyttelsesforordningens artikel 6, stk. 1, litra f.

DBA har i den forbindelse lagt vægt på, at der ikke behandles følsomme oplysninger, at behandlingen sker til analytiske formål, og at behandlingens omfang er af beskeden karakter, som ikke vil påvirke den registrerede. Behandlingen har alene det sigte at optimere hjemmesiden på baggrund af analyser af anonymt aggregeret data, der kan vise, hvordan hjemmesiden anvendes og faciliterer levering af data til DBA’s annoncører, så værdien af dba.dk som annonceplatform synliggøres og brugerbetalingen holdes på et minimum.

DBA har til støtte herfor henvist til databeskyttelsesforordningens præambelbetragtning nr. 47, hvor det fremgår, at behandling af personoplysninger til direkte markedsføring kan anses for at være foretaget i en legitim interesse. Med henvisning hertil har DBA anført, at en behandling, der alene retter sig mod at generere anonymt aggregeret data til brug for drift og udvikling af hjemmesiden, kan baseres på en legitim interesse. Behandling til rent analytiske formål må anses for at være mindre indgribende over for den registrerede end behandling af oplysninger om en navngiven person til direkte markedsføring, hvorfor behandlingen af den besøgendes oplysninger må anses for at ske i overensstemmelse med dennes rimelige forventninger.

DBA har endvidere henvist til Datatilsynets vejledning om behandling af personoplysninger om hjemmesidebesøgende og en af tilsynet tidligere udtalelse om Nuuday A/S[2]’ behandling af personoplysninger til analytiske formål, hvor tilsynet fandt, at behandlingen kunne ske i relation til udarbejdelse af prediktive modeller med henblik på at målrette eventuel senere markedsføring på baggrund af databeskyttelsesforordningens artikel 6, stk. 1, litra f.

DBA har gjort gældende, at virksomhedens legitime interesse i at behandle oplysningerne til analytiske formål ved brug cookies, så der opnås en bedre forståelse for de besøgendes behov og adfærd på hjemmesiden, forstærkes af, at DBA er i intensiv konkurrence med flere store online platforme blandt andet i form af Facebook og Marketplace.

Disse virksomheder er i stand til at opnå en meget detaljeret forståelse af deres brugeres adfærd uden brug af cookies. På den baggrund har DBA anført, at hvis DBA afskæres fra at behandle oplysninger om hjemmesidebesøgende til analytiske formål på baggrund af en legitim interesse, vil den deraf manglende viden om de besøgende svække DBA’s konkurrenceevne og forvride konkurrencen på markedet.

Det fremgår af DBA’s nuværende samtykkeløsning, at hjemmesiden bruger værktøjet Google Analytics til indsamling af personoplysninger til statistiske formål. DBA har hertil forklaret, at Google LLC  i forbindelse med Google Analytics behandler data på vegne af DBA, og derfor er at anse som databehandler for DBA. Der behandles alene data, der hidrører fra DBA’s egne tjenester (hjemmeside og app) og de sammenkøres ikke med data fra andre kilder. Google LLC anvender ikke de indsamlede data fra DBA til sine egne eller tredjeparters formål.

DBA har endvidere uddybet brugen af Google Analytics og oplyst, at DBA anvender versionen Universal Google Analytics. Konfigurationen af analyseværktøjet fungerer på den måde, at det er muligt at fravælge visse af Google Analytics’ funktioner (såkaldte features) ved implementering på hjemmesiden. DBA har aktivt gjort brug af den mulighed og konfigureret Google Analytics, så behandlingen af personoplysninger om de hjemmesidebesøgende begrænses mest muligt.

DBA har deaktiveret muligheden for ”Data sharing for Google Products”, hvilket medfører, at DBA ikke indsamler eller på anden vis behandler oplysninger om den besøgende, der måtte være tilgængelige via dennes Google-konto. DBA har endvidere deaktiveret Googles såkaldte ”Cross device tracking via User ID”-funktion, hvorfor DBA ikke sammenkører data om de besøgende på tværs af disses forskellige enheder (computer, iPhone, tablets osv.), når en besøgende ikke er logget ind på sin DBA-konto. DBA har endvidere deaktiveret Googles ”Anonymize IP”-funktion, så IP-adressen alene opbevares på et aggregeret niveau uden de sidste tre cifre. Dette medfører, at IP-adressen ikke kan henføres til en konkret person eller husstand.

Til spørgsmålet om DBA ved benyttelse af Google Analytics udveksler oplysninger om besøgende med Google LLC og i givet fald hvilke, har DBA anført, at Google LLC, på vegne af DBA, indsamler oplysninger om den besøgendes IP-adresse, cookie-ID samt oplysninger om den besøgendes browser, operativsystem og adfærd på dba.dk. Hvis den besøgende er logget ind på dennes DBA-konto, vil vedkommendes bruger-id (i krypteret form) og e-mailadresse tillige blive overført af DBA til Google Analytics. IP-adressen behandles alene på et aggregeret niveau, idet de sidste tre cifre i IP-adressen slettes øjeblikkeligt, efter at Google modtager den. IP-adressen kan herefter ikke spores til en bestemt person eller husstand, men kan alene bruges til at udlede hvilket geografisk område, siden tilgås fra.

Ad samtykke

For så vidt angår DBA’s behandling af oplysninger om hjemmesidebesøgende til markedsførings- og annonceringsformål har DBA oplyst, at selskabet indhenter samtykke fra deres brugere, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a.

DBA har gjort gældende, at den hjemmesidebesøgende bliver præsenteret for en samtykkeløsning, når siden tilgås første gang, og hver gang der foretages ændringer i samtykkeløsningen. Den besøgende har mulighed for både at give samtykke til behandlingen og afstå fra at give samtykke.

Af samtykkeløsningen fremgår det endvidere, hvem den dataansvarlige er, hvilke af den dataansvarliges sider, der indsamles oplysninger på, til hvilket formål behandlingen sker, og at samtykke kan tilbagekaldes til enhver tid. Ved at klikke på knappen ”Indstillinger” har den besøgende mulighed for at tilpasse samtykket. Endvidere indeholder samtykkeløsningen et link til DBA’s cookiepolitik.

På den baggrund er det DBA’s opfattelse, at samtykkeløsningen giver den hjemmesidebesøgende mulighed for at give et samtykke, der er frivilligt, specifikt, informeret og udtryk for en utvetydig viljestilkendegivelse, jf. databeskyttelsesforordningens artikel 4, nr. 11.

Det nuværende system er indrettet således, at der rent teknisk ikke kan blive gemt cookies i relation til målrettet markedsføring på hjemmesidebesøgendes enhed, medmindre den hjemmesidebesøgende har givet et aktivt samtykke ved at klikke ”OK” i samtykkeløsningen. Hvis den besøgende vælger denne løsning, sendes der en tekststreng tilbage til dba.dk, der indikerer, om der er givet samtykke eller ej. På den måde bliver det sikret, at der ikke behandles personoplysninger, medmindre den besøgende forinden har givet samtykke til behandlingen. Der placeres også en cookie på den besøgendes enhed, der har til formål at huske, om der er givet samtykke eller ej.  

I kraft heraf kan det dokumenteres, at det ikke er muligt for DBA at behandle personoplysninger om hjemmesidebesøgende til målrettet markedsføring, uden brugerne har givet samtykke. Da DBA samtidig informerer den besøgende om, at samtykket kan tilbagekaldes eller ændres til enhver tid i overensstemmelse med databeskyttelsesforordningens artikel 7, stk. 3, er det DBA’s vurdering, at samtykket er i overensstemmelse med databeskyttelsesforordningens artikel 7.

DBA har anført, at hjemmesiden målretter sin annoncering ved brug af statistik genereret ved den besøgendes adfærd på hjemmesiden for at kunne udvælge relevant indhold til annoncerne. Den målrettede annoncering og den pågældende behandling i relation til statistik er derfor forbundne, hvorfor både hovedformålet (målrettet annoncering) og den underliggende behandling (statistik til annonceringsformål) er fremhævet i samtykkeløsningen af hensyn til gennemsigtigheden over for brugerne.

På den baggrund har DBA anført, at en besøgendes klik på ”OK” alene udløser samtykke til ét formål men to forbundne behandlinger. Hvis den besøgende trykker på knappen ”Accepter ikke” kan hjemmesiden fortsat benyttes uden begrænsninger. Det er derfor DBA’s opfattelse, at samtykkeløsningen opfylder betingelsen om frivillighed i henhold til databeskyttelsesforordningens artikel 4, nr. 11.

2.1.2.2. Behandlingsprincipper

Ad lovlighed, rimelighed og gennemsigtighed

DBA har oplyst, at hvis en besøgende på dba.dk alene ønsker at give samtykke til visse behandlinger, kan den besøgende klikke på ”Indstillinger” i samtykkeløsningen og herefter foretage en tilpasning af sit samtykke for så vidt angår målrettet annoncering. Informationerne er givet i et lettilgængeligt og letforståeligt sprog.

På den baggrund har DBA anført, at selskabet benytter en samtykkeløsning med flere ”lag” med det formål at sikre frivillighed og gennemsigtighed og for at forhindre, at der medtages for meget information i samtykkeløsningen, så den hjemmesidebesøgende får svært ved at forstå, hvad der gives samtykke til. Samtykkeløsningen skal endvidere være egnet til visning på enheder med forskellige skærmstørrelser, og at der på visse enheder er grænser for mængden af information, der kan gives.

Ved at give den besøgende mulighed for enten at give eller afvise samtykke i løsningens første ”lag” og mulighed for et tilpasset samtykke i andet ”lag” er det DBA’s opfattelse, at løsningen er i overensstemmelse med de databeskyttelsesretlige regler. Til støtte herfor har DBA henvist til Det Europæiske Databeskyttelsesråds (EDPB) retningslinjer om samtykke fra maj 2020 og det irske datatilsyns retningslinjer fra april 2020.

Samlet set er det DBA’s vurdering, at en samtykkeløsning med flere lag, der er umiddelbart tilgængelig for den hjemmesidebesøgende (ét klik væk), og som giver denne mulighed for at tilpasse sit samtykke, er i overensstemmelse med databeskyttelsesforordningens princip om gennemsigtighed, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra a.

3. Begrundelse for Datatilsynets afgørelse

I det følgende gennemgås DBA’s behandling af personoplysninger om virksomhedens hjemmesidebesøgende både før og efter den 25. juni 2020, hvor hjemmesidens samtykkeløsning blev ændret.

3.1. DBA’s behandling af personoplysninger før den 25. juni 2020

Betingelserne for et gyldigt samtykke

Det fremgår, at DBA før den 25. juni 2020 behandlede personoplysninger om hjemmesidebesøgende ved at indhente samtykke via en samtykkeløsning, som præsenterede hjemmesidebesøgende for enten at trykke ”Indstillinger” eller ”Accepter”.

Af databeskyttelsesforordningens artikel 6, stk. 1, litra a, følger det, at behandling af personoplysninger er lovlig, hvis den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.

Det følger af databeskyttelsesforordningens artikel 4, nr. 11, at samtykke skal være udtryk for en frivillig, specifik, informeret og en utvetydig viljestilkendegivelse fra den registrerede. 

Alle fire betingelser skal være opfyldt for, at et samtykke er gyldigt efter databeskyttelsesforordningen.

Herudover findes i databeskyttelsesforordningens artikel 7 yderligere betingelser, herunder betingelsen i stk. 3, om tilbagekaldelse af samtykke.

Frivilligt

Et samtykke skal således blandt andet være frivilligt for at være gyldigt efter de databeskyttelsesretlige regler.

EDPB har vedtaget retningslinjer om samtykke[3], hvor forståelsen af definitionen af et samtykke er beskrevet.

Ifølge EDPB’s retningslinjer indebærer kravet om frivillighed, at den registrerede har et reelt frit valg. Der foreligger en frivillig viljestilkendegivelse, hvis følgende fire kriterier er opfyldt: i) den registrerede skal frit kunne vælge, hvilke formål der gives samtykke til (granularitet), ii) den registrerede skal kunne afvise at give eller tilbagekalde sit samtykke uden, at det er til skade for den pågældende, iii) opfyldelse af en kontrakt må ikke gøres betinget af et samtykke til behandling af personoplysninger, som ikke er nødvendig for kontraktens opfyldelse, og iv) der må ikke være en klar skævhed (et ulige forhold) mellem den registrerede og den dataansvarlige

Det følger endvidere af præambelbetragtning nr. 32 til databeskyttelsesforordningen, at:

”Samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål. Når behandlingen tjener flere formål, bør der gives samtykke til dem alle.”

I præambelbetragtning nr. 43 er herudover følgende anført:

”Samtykke formodes ikke at være givet frivilligt, hvis det ikke er muligt at give særskilt samtykke til forskellige behandlingsaktiviteter vedrørende personoplysninger, selvom det er hensigtsmæssigt i det enkelte tilfælde […].”

Specifikt

Et samtykke skal endvidere være specifikt. Det må derfor ikke være generelt udformet eller uden en præcis angivelse af formålene med behandlingen af personoplysninger og hvilke personoplysninger, der vil blive behandlet. Et samtykke skal med andre ord være konkretiseret på en sådan måde, at det klart og tydeligt fremgår, hvad der meddeles samtykke til.

Kravet om specifikt samtykke hænger sammen med princippet om formålsbegrænsning, der betyder, at personoplysninger altid skal indsamles til udtrykkeligt angivne og legitime formål, og ikke må viderebehandles på en måde, der er uforenelig med disse formål. De registreredes samtykke skal derfor i overensstemmelse med dette princip altid indhentes til specifikt angivne formål.

Ifølge EDPB’s retningslinjer[4] skal en dataansvarlig, som indhenter samtykke til behandling af personoplysninger til flere forskellige formål sørge for, at den registrerede får mulighed for at til- eller fravælge de forskellige behandlingsformål.

Datatilsynet vurderer, at de forskellige behandlinger, som en besøgende ved at vælge ”Accepter” gav samtykke til, udgjorde flere forskellige behandlingsformål, herunder markedsføring, indsamling af oplysninger med henblik på at forbedre og personalisere brugerens oplevelse på hjemmesiden samt videregivelse af oplysninger til tredjepartsselskaber med henblik på disse selskabers behandling af oplysningerne. Formålene var derfor ikke opdelte og præcist angivet.

Endvidere var tredjepartsselskaberne ikke specifikt angivet i samtykkeløsningen, og der fremgik heller ikke et link eller fold-ud menu i nær tilknytning til det formål, hvortil oplysningerne blev videregivet[5].

Det er desuden Datatilsynets vurdering, at et samtykke ikke kan antages at være givet frivilligt, hvis proceduren til opnåelse af samtykke ikke giver den registrerede mulighed for at give særskilt samtykke til forskellige behandlingsaktiviteter vedrørende personoplysninger og den registrerede dermed tvinges til at samtykke til samtlige formål. Ved at få præsenteret funktionen ”Accepter” i samtykkeløsningen fik brugerne ikke mulighed for at til- og fravælge de forskellige behandlingsformål.

På den baggrund finder Datatilsynet, at det samtykke, som DBA indsamlede fra virksomhedens brugere før den 25. juni 2020 ikke opfyldte betingelserne om at være frivilligt og specifikt.

Informeret

At et samtykke skal være informeret, betyder, at den registrerede skal være klar over, hvad der gives samtykke til. Den dataansvarlige skal give den registrerede en række informationer, som skal sikre, at den registrerede kan træffe sin beslutning på et oplyst grundlag.

Informationen skal som minimum bestå af oplysninger om:

• den dataansvarliges identitet,
• formålet med den påtænkte behandling,
• hvilke oplysninger der behandles, og
• retten til at trække samtykket tilbage.

Datatilsynet finder, at det samtykke, som DBA indhentede ved sin tidligere samtykkeløsning, ikke var tilstrækkeligt informeret.

Datatilsynet har herved lagt vægt på, at der ikke fremgik tilstrækkelig tydelig information om de tredjepartsselskaber i samarbejde med hvem personoplysninger blev indsamlet, og hvortil personoplysninger blev videregivet, og at det ikke var tilstrækkeligt klart for de registrerede, hvilke personoplysninger der blev indsamlet og videregivet til disse tredjepartsselskaber.

Datatilsynet skal i den forbindelse bemærke, at det er tilsynets opfattelse, at det – for så vidt angår samtykke til behandling af personoplysninger – er nødvendigt, at det af en samtykkeløsning eller -erklæring i en letforståelig og lettilgængelig form og i et klart og enkelt sprog fremgår, hvilke dataansvarlige der eksempelvis videregives personoplysninger til. Det tilføjes i den forbindelse, at det er identiteten på den dataansvarliges organisation, der skal fremgå, og ikke den dataansvarliges eventuelle websites, kaldenavne eller produktnavne, som den dataansvarlige benytter, da det ikke er letforståeligt og lettilgængeligt for den registrerede.

Utvetydig viljestilkendegivelse

Den registreredes samtykke skal meddeles i form af en utvetydig viljestilkendegivelse. Det betyder, at det samtykke, der er givet, ikke må give anledning til tvivl.

En sådan tilkendegivelse kan bestå i, at den registrerede ved en erklæring eller ved en aktiv handling klart tilkendegiver en accept af, at personoplysninger om vedkommende behandles.

Datatilsynet bemærker, at en hjemmesidebesøgendes passivitet, tavshed eller fortsatte anvendelse af en hjemmeside ikke anses for et aktivt tilvalg, og at en sådan løsning derfor heller ikke kan udgøre et gyldigt samtykke efter de databeskyttelsesretlige regler. Datatilsynet henviser herved til pkt. 75 og 79 i EDPB’s retningslinjer om samtykke[6] på side 18.

Datatilsynet finder, at det samtykke, som DBA indsamlede fra virksomhedens brugere før den 25. juni 2020, ikke var udtryk for en utvetydig viljestilkendegivelse.

Datatilsynet har herved lagt vægt på, at et samtykke, som brugeren kan give både ved faktisk at acceptere behandling af personoplysninger men også ved at klikke på et link eller billede på siden, ikke er en utvetydig viljestilkendegivelse fra den registrerede.

På den baggrund finder Datatilsynet samlet, at DBA gennem den tidligere samtykkeløsning ikke indhentede samtykke fra besøgende på dba.dk i overensstemmelse med databeskyttelsesforordningens artikel 4, nr. 11, og derfor behandlede personoplysninger i strid med databeskyttelsesforordningens artikel 6, stk. 1, litra a.

3.2. DBA’s behandling af personoplysninger med sin nuværende samtykkeløsning

Samtykke

Det fremgår, at DBA behandler oplysninger om hjemmesidebesøgende til målrettet markedsføring og annoncering på baggrund brugernes samtykke, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a, og at DBA behandler oplysninger om hjemmesidebesøgende til målrettet markedsføring ved at bruge statistik geneneret i forbindelse med den hjemmesidebesøgendes adfærd på hjemmesiden. Oplysningerne videregives endvidere til andre virksomheder med henblik på disse selskabers behandling af oplysninger. 

Uanset at DBA’s forretningsmæssige sigte med disse behandlingsaktiviteter er markedsføring, er det Datatilsynets opfattelse, at DBA i databeskyttelsesretlig sammenhæng behandler hjemmesidebesøgendes personoplysninger til flere og andre formål end dette ene formål.

Formålet skal endvidere være veldefineret og afgrænset, så der skabes tilstrækkelig klarhed og åbenhed om behandlingen og angivelsen af markedsføring som det eneste formål indebærer efter Datatilsynets opfattelse en upræcis beskrivelse af de formål, der er knyttet til de behandlinger, som DBA foretager ved brug af de hjemmesidebesøgendes oplysninger.

Datatilsynet finder på baggrund af det i sagen oplyste, at det samtykke som DBA indhenter fra virksomhedens brugere ved sin nuværende samtykkeløsning ikke er granuleret, og derfor ikke opfylder betingelsen om frivillighed, idet brugerne ved at få præsenteret funktionen ”OK” i samtykkeløsningen ikke gives mulighed for at til- og fravælge de forskellige behandlingsformål.

Datatilsynet har herved lagt vægt på det tidligere anførte om, at et samtykke ikke kan antages at være givet frivilligt, hvis proceduren til opnåelse af samtykke ikke giver den registrerede mulighed for at give særskilt samtykke til forskellige behandlingsaktiviteter vedrørende personoplysninger, og dermed tvinges til at samtykke til samtlige formål.

Datatilsynet vurderer, at DBA med sin nuværende samtykkeløsning behandler oplysninger til forskellige formål, som ikke er opdelte og præcist angivet.

Det er på den baggrund endvidere Datatilsynets vurdering, at det samtykke som DBA indsamler ved sin nuværende samtykkeløsning er i strid med princippet om formålsbegrænsning, og betingelsen om at et samtykke skal være specifikt.

Endvidere fremgår det ikke, at oplysningerne videregives til tredjepartsselskaber med henblik på disses markedsføring på DBA’s hjemmeside, herunder hvilke selskaber og til hvilket formål der er tale om. Visse oplysninger herom får brugeren kun ved at gennemlæse DBA’s persondata- og cookiepolitik. Tilsvarende fremgår det ikke, til hvilke tredjepartsselskaber der sker videregivelse, og den besøgende skal endvidere langt ned i persondata- og cookiepolitikkens tekst for at finde en oversigt over tredjeparterne.

Derudover burde udarbejdelse af statistik/analyser af besøgendes adfærd på hjemmesiden have været omfattet af samtykkeløsningen, jf. nedenfor om anvendelse af databeskyttelsesforordningens artikel 6, stk. 1, litra f.

Samlet finder Datatilsynet, at DBA’s behandling af personoplysninger med sin nuværende samtykkeløsning til målrettet markedsføring er i strid med databeskyttelsesforordningens artikel 6, stk. 1, litra a, da der ikke indhentes et gyldigt samtykke fra de registrerede, jf. artikel 4, nr. 11.

Behandling af personoplysninger til statistik- og analyseformål

DBA har anført, at behandlingen af personoplysninger til rent analytiske og statistiske formål sker på baggrund af databeskyttelsesforordningens artikel 6, stk. 1, litra f, og at DBA i den forbindelse anvender Google Analytics til indsamling af personoplysninger til statistiske formål.

Det følger af forordningens artikel 6, stk. 1, litra f, at behandling af personoplysninger er lovlig, hvis behandlingen er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder går forud herfor.

Databeskyttelsesforordningens præambelbetragtning nr. 47 supplerer bestemmelsen, hvor følgende blandt andet fremgår:

”En dataansvarliges legitime interesser, herunder en dataansvarlig, som personoplysninger kan videregives til, eller en tredjemands legitime interesser kan udgøre et retsgrundlag for behandling, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder går forud herfor under hensyntagen til registreredes rimelige forventninger på grundlag af deres forhold til den dataansvarlige.

[…]

I alle tilfælde kræver tilstedeværelsen af en legitim interesse en nøje vurdering, herunder af, om en registreret på tidspunktet for og i forbindelse med indsamling af personoplysninger med rimelighed kan forvente, at behandling med dette formål kan finde sted.”

Endvidere fremgår det af DBA’s privatlivspolitik, at de data, der er indsamlet af cookies, om brugen af DBA’s tjenester normalt overføres til en Google-server i USA, og opbevares der.  Det oplyses i privatlivspolitikken, at hvis personoplysninger overføres til USA, sker dette på grundlag af Europa-Kommissionens tilstrækkelighedsafgørelse under EU-USA’s privatlivsbeskyttelse. 

På den baggrund lægger Datatilsynet til grund, at der ved DBA’s brug af Google Analytics til statistikformål sker overførsel af personoplysninger til Google LLC i USA. 

Datatilsynet finder herefter, at DBA’s behandling af personoplysninger til statistiske formål ikke kan ske på baggrund af interesseafvejningsreglen i databeskyttelsesforordningens artikel 6, stk. 1, litra f.

Datatilsynet har lagt vægt på, at DBA ved at integrere indhold fra Google i form af webanalyseværktøjet Google Analytics giver Google mulighed for at indsamle personoplysninger om hjemmesidebesøgende, idet denne mulighed opstår fra det tidspunkt, hvor hjemmesiden benyttes. 

Datatilsynet har endvidere lagt vægt på, at Europa-Kommissionens tilstrækkelighedsafgørelse under EU-USA’s privatlivsbeskyttelse, som DBA har peget på som overførselsgrundlag, blev erklæret ugyldigt ved EU-dommen af 16. juli 2020, i sagen C-311/18 (Schrems II). Datatilsynet er vidende om, at overførsler til Google LLC i USA, efter denne dato sker på baggrund EU-Kommissionens Standardkontrakt (SCC).

DBA har ikke på det foreliggende grundlag godtgjort, at der skulle være implementeret foranstaltninger, ud over det aftalte i de pågældende SCC’er, der samlet set giver de registrerede en beskyttelse af disses rettigheder, der er på et niveau, der er essentielt lig med beskyttelsen i EU.

Datatilsynet vurderer, at dette i sig selv medfører, at DBA’s legitime interesser i at opnå en bedre forståelse for de besøgendes adfærd på hjemmesiden og for at kunne danne sig et grundlag for produkt- og ydelsesforbedringer på dba.dk ikke overstiger hensynet til hjemmesidens brugere, da de hjemmesidebesøgende ikke med rimelighed kan forvente, at deres oplysninger, udover at blive gjort til genstand for analyser og statistik på dba.dk, også videregives til Google LLC’s servere i USA.

Datatilsynet finder derfor, at hensynet til de hjemmesidebesøgendes interesser og rettigheder overstiger hensynet til DBA’s legitime interesser i at behandle oplysningerne til statistiske formål, og at DBA’s behandling af oplysninger om hjemmesidebesøgende til dette formål derfor ikke kan ske på baggrund af databeskyttelsesforordningens artikel 6, stk. 1, litra f.

Datatilsynet tilføjer endvidere under henvisning til DBA’s bemærkning om tilsynets udtalelse i en sag om Nuuday A/S, at Datatilsynet ikke i den omhandlede afgørelse udtalte, at artikel 6, stk. 1, litra f, kunne finde anvendelse i forhold til anvendelse af prediktive modeller.

Datatilsynet har med nærværende afgørelse ikke taget stilling til det af DBA anførte om, at Google LLC i forbindelse med Google Analytics behandler oplysninger om hjemmesidebesøgende på vegne af DBA, og at Google LLC derfor er at anse som databehandler for DBA.

Ad opbygningen af samtykkeløsningen

Af databeskyttelsesforordningens artikel 5, stk. 1, litra a, fremgår det, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede.

Betingelserne i databeskyttelsesforordningens artikel 4, nr. 11, om at et samtykke skal være frivilligt, specifikt, informeret og udtryk for en utvetydig viljestilkendegivelse fra den registrerede betyder bl.a., at det skal fremgå, til hvilke formål der behandles oplysninger, der er omfattet af samtykket.

Dette betyder, at i det omfang en behandling foretages på grundlag af artikel 6, stk. 1, litra f, om interesseafvejning, bør denne behandling ikke fremgå som en del af det, som samtykket omhandler. Samtykketeksten bør efter Datatilsynets opfattelse alene omfatte den/de behandlinger, som samtykket skal omfatte. Den dataansvarlige bør derfor gøre sig klart, hvilket grundlag for behandlingen af personoplysninger, der er relevant ved udformningen af samtykketeksten.

Som angivet i sagsfremstillingen, fremgår følgende af DBA’s nuværende samtykkeløsning:

”Ved at klikke OK” samtykker du til brugen af cookies og tilsvarende teknologier (samlet benævnt ’cookies’), som vi benytter med det formål at lave målrettet annoncering, herunder på tredjepartssider, ved brug af segmentering, markedsundersøgelser/målgruppeanalyser og statistik generet i forbindelse med din adfærd på vores hjemmesider (DBA og BilBasen) samt forbedring af annonceringsydelser.

Derudover samtykker du til, at visse tredjepartsselskaber som vi arbejder med, må anvende cookies til ovennævnte formål her på hjemmesiden.”

Det er Datatilsynets vurdering, at formuleringen gør det uklart for de hjemmesidebesøgende, hvilke(t) behandlingsgrundlag, der reelt ligger til grund for DBA’s behandling af personoplysninger i forhold til statistik, da behandlingsformålet her nævnes i tilknytning til, hvad brugerne giver samtykke til.

Tilsvarende er det Datatilsynets vurdering, at information om tilbagetrækning af samtykke ikke fremgår tilstrækkeligt klart i DBA’s nuværende samtykkeløsning, idet oplysningen herom hverken er fremhævet, eller på anden vis henleder den besøgendes opmærksomhed på denne mulighed.

På den baggrund finder Datatilsynet, at DBA’s nuværende samtykkeløsning til behandling af personoplysninger ikke opfylder det grundlæggende princip om lovlighed, rimelighed og gennemsigtighed i databeskyttelsesforordningens artikel 5, stk. 1, litra a.

Datatilsynet finder på ovennævnte baggrund, at der er grundlag for at udtale alvorlig kritik af, at DBA’s behandling af personoplysninger om de besøgende på hjemmesiden dba.dk ikke sker i overensstemmelse med databeskyttelsesforordningen.

Datatilsynet skal på baggrund af ovenstående bemærkninger til den nye samtykkeløsning opfordre DBA til at genoverveje udformningen af DBA’s nuværende samtykkeløsning.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2]   Afgørelsen er offentliggjort på Datatilsynets hjemmeside den 2. juni 2020 (2019-31-1713)

^[3]    EDPB, Guidelines on 05/2020 on consent, Version 1.1., vedtaget den 4. maj 2020.

^[4]    Ibid. para. 60.

[5]   Ibid. para. 45, example 7.

^[6]    Ibid. para. 75 og 79