Journalnummer: 2021-41-0149
Resume
Datatilsynet havde i 2021 særligt fokus på bl.a. behandling af personoplysninger om hjemmesidebesøgende. På den baggrund indledte Datatilsynet et skriftligt tilsyn med bl.a. JP/Politiken A/S’ behandling af personoplysninger om besøgende på www.eb.dk.
JP/Politiken anvendte en samtykkeløsning, der gav besøgende tre valgmuligheder (Kun nødvendige, Tilpas Indstillinger og Acceptér alle).
Af samtykkeløsningens ”første lag” fremgik det, at JP/Politiken behandlede personoplysninger til statistik- og markedsføringsformål.
I samtykkeløsningens ”andet lag”, som den besøgende kunne tilgå ved at klikke på Tilpas Indstillinger, kunne den besøgende tilvælge behandlingsformålene præferencer, statistik og markedsføring.
Datatilsynet vurderede, at besøgende på www.eb.dk ikke afgav et informeret samtykke, idet besøgende, som klikkede på Acceptér alle, ikke modtog information om alle behandlingsformål – da information om præferenceformålet først fremgik af ”andet lag”.
Med afgørelsen fastslog tilsynet, at der er store frihedsgrader for brug af farvevalg og designelementer, så længe designet ikke ”skubber” brugeren i retning af valg, der fører til ulovlige scenarier eller undergraver den registreredes rettigheder. I det konkrete tilfælde, hvor valgmuligheden Acceptér alle førte til et mangelfuldt samtykke, fandt tilsynet, at det stred mod princippet om lovlighed, rimelighed og gennemsigtighed.
Datatilsynet udtalte på baggrund af ovenstående alvorlig kritik af JP/Politikens behandling af oplysninger om hjemmesidebesøgende.
Databeskyttelsesreglernes samspil med cookiebekendtgørelsen
Udover selve samtykkeløsningen forholdt Datatilsynet sig også overordnet til databeskyttelsesreglernes samspil med cookiebekendtgørelsen (bekendtgørelse nr. 1148 af 9. december 2011), som falder under Erhvervsstyrelsens område. Datatilsynet bemærkede i den sammenhæng, at den behandling af personoplysninger, som foretages med hjemmel i undtagelsesreglen om Nødvendige cookies i cookiebekendtgørelsen – efter Datatilsynets opfattelse – falder uden for tilsynets kompetence.
Datatilsynet, der anser sig kompetent for en eventuel viderebehandling af de pågældende personoplysninger, bemærkede dog i den forbindelse, at tilsynet kun vanskeligt ser et råderum for, at dataansvarlige kan viderebehandle personoplysninger, som behandles på baggrund af undtagelsesreglen om Nødvendige cookies, til andre formål, end det råderum der er tiltænkt i forhold til Nødvendige cookies.
Situationer med fælles dataansvar
For så vidt angår et fælles dataansvar, bemærkede Datatilsynet, at et sådant samarbejde skal være reguleret af en ordning, der fastlægger de enkelte parters respektive ansvar i forhold til databeskyttelsesreglerne, og at ordningen skal være klart kommunikeret til den registrerede.
Hertil påpegede Datatilsynet, at tilsynet fremadrettet vil have større fokus på situationer, hvor der er fælles dataansvar.
Afgørelse
JP/Politikkens Hus A/S (herefter ’JP’) var blandt de virksomheder, som Datatilsynet i andet halvår af 2021 førte tilsyn med.
Tilsynet var et skriftligt tilsyn, som fokuserede på JP’s behandling af personoplysninger om hjemmesidebesøgende via hjemmesiden www.eb.dk.
JP ændrede under sagens behandling den samtykkeløsning, som fremgik af www.eb.dk, og som tilsynet indledte tilsynet på baggrund af.
Datatilsynet har derfor besluttet at begrænse tilsynets undersøgelse, således at nærværende afgørelse alene vedrører JP’s tidligere samtykkeløsning, og tilsynet har af den grund ikke forholdt sig til lovligheden af JP’s nye samtykkeløsning på www.eb.dk.
1. Datatilsynets afgørelse
Efter en gennemgang af sagen udtaler Datatilsynet alvorlig kritik af, at JP’ behandling af personoplysninger på hjemmesiden www.eb.dk ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 6, jf. artikel 4, nr. 11, samt artikel 5, stk. 1, litra a.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagens omstændigheder
2.1. JP havde på tidspunktet for Datatilsynets opstart af nærværende tilsynssag implementeret en samtykkeløsning på www.eb.dk. Af løsningen fremgik følgende:
”Det er dit valg
Vi indsamler og bruger data for at kunne levere og finansiere tidssvarende journalistisk indhold til dig.
Vi og vores samarbejdspartnere ønsker at anvende cookies og persondata om IP, ID og browser-oplysninger til brug for statistik og marketingformål. Det vil sige, at vi opbevarer og/eller tilgår oplysninger på din enhed for at vise tilpassede annoncer og annoncemåling, tilpasset indhold, indholdsmåling, målgruppeindsigter og produktudvikling. Der anvendes desuden præcise geoplaceringsoplysninger og aktiv scanning af enhedskarakteristika til identifikation.
Under ”Tilpas indstillinger” kan du vælge hvem og til hvilke formål, der må blive sat cookies og behandlet persondata. Se også vores persondatapolitik.
Du kan altid trække dit samtykke tilbage og rette indstillinger ved at klikke på ”Administrér samtykke” på siderne.”
Samtykkeløsningen gav de besøgende mulighed for at klikke på tre forskellige bokse ”Kun nødvendige” (i et rødt felt), ”Tilpas Indstillinger” (i et gråt felt) og ”Acceptér alle” (i et grønt felt).
Klikkede den besøgende på ”Tilpas Indstillinger”, blev den besøgende ledt over på et ”andet lag” af samtykkeløsningen. På ”andet lag” af samtykkeløsningen havde den besøgende mulighed for at til- og/eller fravælge de enkelte formål.
Datatilsynet varslede ved brev af 29. november 2021 tilsynet med JP’s hjemmeside www.eb.dk og anmodede i den forbindelse JP om en udtalelse til sagen.
Plesner Advokatpartnerselskab (herefter ’Plesner’) fremsendte den 5. januar 2022 på vegne af JP en udtalelse til sagen.
Den 1. februar 2022 anmodede Datatilsynet om en supplerende udtalelse, som Plesner den 22. februar 2022 fremsendte.
2.2. JPs bemærkninger
Plesner har på vegne af JP oplyst, at JP er ansvarlig for behandling af personoplysninger om hjemmesidebesøgende, der finder sted på baggrund af cookies, som JP selv placerer.
JP behandler oplysninger til forskellige formål som f.eks. til brug for hjemmesidens funktionalitet, fastlægge de besøgendes præferencer, statistik og markedsføring.
Oplysningerne, som behandles til hjemmesidens funktionalitet, er cookie-ID, device-oplysninger (oplysninger om styresystem, enhed, browser, sprog) og IP-adresse. Oplysningerne, som behandles til de øvrige formål, er cookie-ID, device-oplysninger, IP-adresse, oplysninger om tekniske valg/indstillinger og adfærdsdata.
Behandling af personoplysninger til brug for hjemmesidens funktionalitet sker alene ved brugen af ”nødvendige cookies” og efter databeskyttelsesforordningens artikel 6, stk. 1, litra f.
Behandling af personoplysninger til de øvrige formål – præferencer, statistik og markedsføring – sker i medfør af forordningens artikel 6, stk. 1, litra a.
Det er overordnet JP’s vurdering, at samtykkeløsningen, som tidligere fremgik af www.eb.dk, levede op til betingelserne i databeskyttelsesforordningens artikel 4, nr. 11, og artikel 7, idet samtykket var frivilligt, specifikt, informeret og udtryk for en utvetydig viljestilkendegivelse.
I forhold til kravet om frivillighed (herunder granularitet) har JP anført, at de besøgende – i overensstemmelse med bl.a. Datatilsynets vejledning om behandling af personoplysninger om hjemmesidebesøgende – blev tilbudt en mulighed for at give et differentieret samtykke, idet besøgende i samtykkets første lag blev præsenteret for mulighederne ”Kun nødvendige”, ”Tilpas Indstillinger” og ”Acceptér alle”.
Det er efter JP’s opfattelse uden betydning, at besøgende, som klikkede på ”Tilpas Indstillinger” ledtes over til et yderligere lag af samtykkeløsning, idet besøgende fik præsenteret muligheden på samtykkeløsningens første lag, og da besøgende havde mulighed for at til- eller fravælge de forskellige formål på samtykkeløsningens andet lag.
JP bemærker hertil, at hverken Datatilsynets eller EDPB’s vejledninger beskriver, hvordan eller hvornår besøgende skal gives mulighed for at give et differentieret samtykke, mens det irske datatilsyns vejledning åbner op for, at hjemmesidebesøgendes mulighed for enten at acceptere eller afvise en hjemmesides behandling af oplysninger kan forekomme i en samtykkeløsnings ”andet lag”.
I tillæg hertil har JP anført, at spørgsmålet om, hvorvidt besøgende har mulighed for at give et differentieret samtykke, hænger sammen med spørgsmålet om gennemsigtighed, og at dataansvarlige skal gøre brug af den mest hensigtsmæssige måde at give informationen på. JP har henvist til Artikel 29-Gruppens vejledning om gennemsigtighed[1], hvor det bl.a. fremføres, at dataansvarlige skal have mulighed for at teste forskellige moduler med henblik på at komme frem til, hvilken løsning der mest hensigtsmæssigt giver registrerede oplysninger om databehandlingen.
Det er derfor JP’s vurdering, at JP’s tidligere samtykkeløsning gav registrerede mulighed for at give et differentieret samtykke som forudsat i tilsynets egen vejledning.
Herudover var det muligt for registrerede at afstå fra at give samtykke samt at tilbagetrække et samtykke via indstillingerne på www.eb.dk. JP var herudover i stand til at påvise samtykkets gyldighed.
Samlet er det derfor JP’s opfattelse, at det samtykke, som JP ved brug af den tidligere samtykkeløsning indsamlede fra besøgende på www.eb.dk, var i overensstemmelse med databeskyttelsesforordningens artikel 4, nr. 11, og artikel 7.
Til støtte for ovenstående, har JP undersøgt, om der er en målbar forskel på samtykkeraterne for henholdsvis JP’s gamle og ny samtykkeløsning. Undersøgelsen er foretaget for at belyse, om det gør en forskel, at registrerede kan tilpasse formål i ”første lag” eller i ”andet lag”. Undersøgelsen viste, at JP’s gamle samtykkeløsning medførte flere ”tilpassede” samtykker end den nuværende samtykkeløsning.
JP har i forhold til behandling af personoplysninger om hjemmesidebesøgende efter databeskyttelsesforordningens artikel 6, stk. 1, litra f, anført, at JP har en legitim interesse i at behandle oplysninger om cookie-ID, device-oplysninger og IP-adresse til brug for hjemmesidens funktionalitet med henblik på at levere en hjemmeside, som fungerer. JP har i den forbindelse lagt vægt på, at de personoplysninger, der indsamles og behandles i denne forbindelse, ikke kræver samtykke efter cookiebekendtgørelsen.
Der er efter JP’s opfattelse tale om en begrænset mængde oplysninger, og oplysningerne er nødvendige for at JP kan forfølge den legitime interesse. Den pågældende behandling initieres i øvrigt af den registreredes eget besøg på www.eb.dk.
JP har endvidere anført, at JP’s legitime interesse overstiger den registreredes interesser, grundlæggende rettigheder og frihedsrettigheder, da der ikke er tale om en indgribende og/eller omfattende behandling af personoplysninger, og da placering af de cookies, som oplysningerne behandles i forbindelse med, ikke forudsætter samtykke efter cookie-bekendtgørelsens regler.
JP bemærker, at behandlingen i øvrigt ikke medfører negative konsekvenser for registrerede, og at det derfor er JP’s vurdering, at behandling af personoplysninger til funktionelle formål kan ske inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra f.
JP har anført, at JP er fælles dataansvarlig, når der placeres tredjepartscookies. JP’s ansvar består imidlertid alene i at videreformidle information om tredjeparternes indsamling og viderebehandling, og JP er derfor ikke ansvarlig for tredjeparternes behandling i øvrigt, herunder hvorvidt tredjeparterne har et gyldigt behandlingsgrundlag.
JP har i den forbindelse forklaret, at JP’s hjemmeside er sat op således, at indsamling af personoplysninger på baggrund af cookies sat af tredjeparter sker direkte til tredjepartens server – altså direkte fra den besøgendes udstyr til tredjepartens server. JP videregiver derfor ikke personoplysninger til tredjeparter.
Afslutningsvis har JP bemærket, at beslutningen om at ændre samtykkeløsningen på www.eb.dk ikke skyldtes bekymring om den tidligere samtykkeløsnings gyldighed.
3. Datatilsynets vurdering
3.1. Af databeskyttelsesforordningens artikel 6, stk. 1, litra a, følger det, at behandling af personoplysninger er lovlig, hvis den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
Et samtykke fra den registrerede defineres i databeskyttelsesforordningens artikel 4, nr. 11, som: ”Enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.”
Samtykke skal for at være frivilligt give registrerede et frit valg og kontrol over personoplysninger om sig selv. Et samtykke anses ikke for frivilligt, hvis registrerede ikke har et reelt eller frit valg, og enhver form for upassende pres på eller påvirkning af registreredes frie vilje vil medføre, at samtykket er ugyldigt.
Samtykke kan herudover ikke anses for frivilligt, hvis proceduren for opnåelse af samtykke ikke giver registrerede mulighed for at give særskilt samtykke til forskellige behandlingsformål, og derved tvinger registrerede til at samtykke til flere og/eller samtlige formål, hvilket – udover det definitoriske indhold i databeskyttelsesforordningens artikel 4, nr. 11, også fremgår af artikel 7, stk. 4. Et gyldigt samtykke skal derfor granuleres.[2]
Et gyldigt samtykke forudsætter endvidere, at det er specifikt. Det må derfor ikke være generelt udformet og/eller uden præcis angivelse af de formål, hvortil personoplysninger behandles, samt hvilke personoplysninger der behandles.
Specifikationskravet skal ses i sammenhæng med princippet om formålsbegrænsning jf. databeskyttelsesforordningens artikel 5, stk.1, litra b, hvilket betyder, at personoplysninger altid skal indsamles til udtrykkeligt angivne og legitime formål, ligesom at oplysningerne ikke må viderebehandles på en måde, der er uforenelig med disse formål.
Samtykke skal herudover være informeret, hvilket betyder, at registrerede skal være klar over, hvad der gives samtykke til. Registrerede skal derfor som minimum have information om den dataansvarliges identitet, formålet med behandlingen, hvilke oplysninger der behandles, og retten til at trække samtykke tilbage.
3.2. Datatilsynet lægger – i overensstemmelse med det af JP forklarede – til grund, at der på baggrund af registreredes samtykke behandles personoplysninger til præference-, statistik- og markedsføringsformål.
Det fremgår af teksten til det ”første lag” i den fremsendte kopi af samtykkeløsningen, at der indsamles oplysninger til ”statistik og marketingformål”. Det fremgår yderligere, at registrerede har 3 mulige valg, ”Kun nødvendige” i et rødt felt, ”Tilpas indstillinger” i et gråt felt og ”Acceptér alle” i et grønt felt.
Datatilsynet lægger – efter JP’s egne oplysninger herom – til grund, at formålet præferencer alene kunne ses ved at benytte ”Tilpas indstillinger”, og derved tilgå et yderligere lag af samtykkeløsningen.
JP har oplyst, at 72-75 % af de, der besøgte hjemmesiden, valgte ”Acceptér alle” knappen.
Det er Datatilsynets opfattelse, at de hjemmesidebesøgende, der på baggrund af teksten i ”første lag” valgte ”Acceptér alle” knappen, ikke har været fornødent informeret om, at dette også inkluderede behandlinger til formålet præferencer, fordi informationen herom, ikke fremgår af samtykkeløsningens første lag.
Da alle krav i forordningens artikel 4, nr. 11, ikke er opfyldt, og da der derfor ikke er tale om et gyldigt samtykke, kan dette ikke danne grundlag for behandling af personoplysninger i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra a.
Det er i den forbindelse uden betydning, at registrerede kunne fremfinde information om præferenceformålet, såfremt disse klikkede ”Tilpas Indstillinger” eller tilgik persondatapolitikken, da information om det pågældende behandlingsformål – ved den hyppigt forekommende interaktion ”Acceptér alle” i samtykkeløsningens ”første lag” – ikke ville blive præsenteret for de registrerede.
Datatilsynet finder – henset til JP’s bemærkninger herom – anledning til at bemærke, at det efter tilsynets opfattelse som udgangspunkt ikke – i sig selv – strider mod kravet om frivillighed, herunder kravet om granularitet, at anvende en løsning, hvorved registrerede på samtykkeløsningens ”første lag” præsenteres for ”Tilpas Indstillinger”, mens registrerede på ”andet lag” udøver valget mellem de forskellige formål.
Anvendelse af en sådan løsning forudsætter imidlertid, at registrerede i tilknytning til de valg, der kan udøves, modtager information om, hvordan de kan til- og/eller fravælge de enkelte formål, og at det benyttede lag i samtykkeløsningen i øvrigt ikke påvirker eller besværliggør valget mellem de forskellige formål.
Mulighederne for at acceptere eller afvise alle formål skal dog – som anført i Datatilsynets sag med j. nr. 2018-32-0357 – altid fremgå af samme ”lag”.
3.3. Det er Datatilsynets opfattelse, at brugen af farver ved valg af responsknapper – alt efter omstændighederne – kan påvirke besøgende til at foretage bestemte valg. Særligt er det tilsynets opfattelse, at brugen af et trafiklys lignende system kan udgøre en form for ”føring” (nudging), der ikke er forenelig med princippet i databeskyttelsesforordningens artikel 5, stk. 1, litra a. Datatilsynet tillader generelt en betydelig designmæssig frihed i lay-out og indhold, så længe dette ikke fører til ugennemsigtighed eller urimelige behandlingssituationer.
Det fremgår af den daværende samtykkeløsning, at de tre valgmuligheder var angivet; ”Kun nødvendige” i et rødt felt, ”Tilpas indstillinger” i et gråt felt og ”Acceptér alle” i et grønt felt. Idet valget af den knap, der var udformet med den grønne farve, som ovenfor anført – efter Datatilsynets opfattelse – medfører, at den registreredes muligheder for at udøve et informeret valg kan omgås, er det tilsynets opfattelse, at farvevalg og designskema under disse konditioner udgør en overtrædelse af Databeskyttelsesforordningens artikel 5, stk. 1, litra a.
For de konstaterede overtrædelser af databeskyttelsesforordningens artikel 6, jf. artikel 4, nr. 11, samt artikel 5, stk. 1, litra a, udtaler Datatilsynet alvorlig kritik af JP’s behandling af personoplysninger på hjemmesiden www.eb.dk.
3.4. Det Datatilsynets opfattelse, at den behandling, der alene foregår efter § 4 i bekendtgørelse nr. 1148 af 9. december 2011, falder uden for tilsynets umiddelbare kompetenceområde. Eventuelle videre behandlinger af personoplysninger, der måtte være lagret på en slutbrugers terminaludstyr, falder derimod under Datatilsynets kompetence.
Datatilsynet skal henlede opmærksomheden på, at tilsynet – kun vanskeligt – ser et råderum, for en dataansvarlig til at viderebehandle personoplysninger, som er lagret på den registreredes terminaludstyr i medfør af bekendtgørelsens § 4, efter bestemmelsen i databeskyttelsesforordningens artikel 6, stk. 1, litra f. Dette skyldes, at bekendtgørelsens § 4, stk. 2, definerer, hvornår behandlingen er påkrævet, og § 4, stk. 1, hvornår det i disse situationer er muligt at foretage de to behandlingsformer (lagring- og adgang til lagrede oplysninger på slutbrugernes terminaludstyr) uden samtykke, jf. bekendtgørelsens § 3.
Datatilsynet lægger til grund, at JP for de personoplysninger, der er indsamlet ved brug af såkaldte ”nødvendige cookies”, alene behandler disse som en teknisk forudsætning for at kunne levere den tjeneste, besøgende udtrykkeligt har efterspurgt, og at oplysningerne ikke bliver behandlet videre herudover.
På den baggrund finder Datatilsynet, at behandlingerne alene falder indenfor § 4, af bekendtgørelse 1148 af 9. december 2011.
Tilsynet har herefter ikke vurderet disse behandlinger yderligere.
3.5. Det følger af databeskyttelsesforordningens artikel 26, at hvis to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling, er de fælles dataansvarlige.
Foreligger et fælles dataansvar, skal de involverede parter på en gennemsigtig måde fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til databeskyttelsesforordningen ved hjælp af en ordning mellem dem.
En sådan ordning skal på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af ordningen skal herudover gøres tilgængeligt for de registrerede.[3]
JP har oplyst, at JP er fælles dataansvarlig, når der via www.eb.dk placeres tredjepartscookies på den hjemmesidebesøgendes enhed. JP’s ansvar består alene i at videreformidle information om tredjeparternes indsamling og videre behandling af personoplysninger.
Datatilsynet har i denne afgørelse ikke forholdt sig til JP’s fælles dataansvar med andre.
Tilsynet vil gerne indskærpe, at disse konstruktioner forudsætter en betydelig kommunikeret klarhed til de registrerede, og at JP i overensstemmelse med forordningens artikel 26 har indgået en ordning med de samarbejdspartnere, som placerer tredjepartscookies, således at parternes respektive ansvar for overholdelsen af forpligtelserne efter databeskyttelsesforordningen er aftalt, og at de væsentligste dele af aftalen i øvrigt – på en gennemsigtig måde – er tilgængeliggjort for registrerede, som besøger www.eb.dk. Datatilsynet skal påpege, at tilsynet fremadrettet forventer at foretage en dyberegående prøvelse af også situationer, hvor der er fælles dataansvar.
[1] Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, April 2018
[2] Dette følger også af EDPB’s vejledning om samtykke, version 1.1., vedtaget den 4. maj 2020.
[3] Se også EU-Domstolens afgørelse af 29. juli 2019, Fashion ID GmbH & Co. KG mod Verbraucherzentrale NRW eV, præmis 67-85.