Gul og Gratis' brug af cookie walls

Dato: 08-02-2023
Afgørelse Private virksomheder Påbud Ingen kritik Klage Behandlet af Datarådet Behandlingsgrundlag Cookies / behandling af personoplysninger om hjemmesidebesøgende

Datatilsynet har truffet to principielle afgørelse vedrørende brug af såkaldte cookie walls. Den ene vedrører brugen af cookie walls på Gul og Gratis' hjemmeside.

Journalnummer: 2021-31-4871

Resume

Siden Datatilsynet i begyndelsen af 2020 satte fokus på behandling af personoplysninger om hjemmesidebesøgende, har tilsynet modtaget en række henvendelser om brugen af såkaldte cookie walls.

På baggrund af to konkrete klager har Datatilsynet taget stilling til, i hvilket omfang Gul og Gratis’ og Jysk Fynske Mediers brug af såkaldte cookie walls var inden for rammerne af databeskyttelsesreglerne.

Sagerne er blevet behandlet i Datarådet.

Datatilsynet fandt overordnet, at en fremgangsmåde, hvor den hjemmesidebesøgende kan tilgå indholdet på en hjemmeside eller tjeneste mod enten at give samtykke til behandling af sine personoplysninger eller mod betaling, opfylder databeskyttelsesreglernes krav til et gyldigt samtykke.

Gul og Gratis’ brug af cookie walls

Med hensyn til Gul og Gratis fandt Datatilsynet specifikt, at

  • Virksomheden tilbyder et alternativ til at give samtykke i form af adgang mod betaling
  • Betaling giver adgang til en tjeneste, der i vidt omfang er tilsvarende den tjeneste, man kan få adgang til gennem samtykke
  • Prissætningen af betalingsalternativet er ikke urimelig høj, dvs. at prissætningen ikke er så høj, at den registrerede reelt og i praksis ikke har et valg mellem betalingsalternativet og at give sit samtykke

Datatilsynet fandt dog, at Gul og Gratis ikke havde påvist, at behandling af personoplysninger til statistiske formål også var en nødvendig del af alternativet til betaling.

Virksomheden blev derfor meddelt et påbud om enten at kunne påvise, at dette formål er en nødvendig del af alternativet til betaling, eller at tilpasse samtykkeløsningen så de besøgende kunne give særskilt samtykke til dette formål.

Find afgørelsen vedrørende Jysk Fynske Mediers brug af cookie walls her.

Afgørelse

Datatilsynet vender hermed tilbage i sagen, hvor [X] (herefter klager) den 5. april 2021 har klaget til tilsynet over GULOGGRATIS.DK A/S’ (herefter GulogGratis) behandling af personoplysninger på hjemmesiden guloggratis.dk, idet han alene kan tilgå hjemmesidens indhold ved at give samtykke til behandling af sine personoplysninger eller mod betaling.

Datatilsynet bemærker indledningsvis, at det ikke fremgår af sagen, hvorvidt GulogGratis har behandlet klagers personoplysninger i forbindelse med vedkommendes besøg på guloggratis.dk, og i givet fald hvornår.

Datatilsynet tager derfor med denne afgørelse stilling til, hvorvidt GulogGratis’ nuværende behandling af personoplysninger om besøgende på guloggratis.dk sker inden for rammerne af databeskyttelsesforordningen[1].

I den forbindelse tager Datatilsynet udelukkende stilling til spørgsmålet om, hvorvidt GulogGratis’ fremgangsmåde til indhentelse af samtykke til behandling af oplysninger om hjemmesidebesøgende på guloggratis.dk opfylder databeskyttelsesforordningens krav om samtykkets frivillighed, jf. forordningens artikel 4, nr. 11.

Sagen har været behandlet i Datarådet.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at GulogGratis ikke har påvist, at virksomhedens behandling af personoplysninger sker i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra a, og artikel 4, nr. 11, jf. forordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra a.

Datatilsynet finder derfor grundlag for at meddele GulogGratis påbud om at kunne påvise, at det samtykke, der indhentes fra de besøgende på guloggratis.dk, opfylder databeskyttelsesforordningens krav om frivillighed, jf. databeskyttelsesforordningens artikel 4, nr. 11.

GulogGratis skal kunne påvise, at behandling af personoplysninger til statistiske formål er en nødvendig del af alternativet til adgang mod betaling. Alternativt skal GulogGratis tilpasse sin løsning til indhentning af samtykke, således at det er muligt for de hjemmesidebesøgende at give særskilt samtykke til behandling af personoplysninger til statistiske formål.

Fristen for efterlevelse af påbuddet er den 8. marts 2023. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet.

Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Ifølge databeskyttelseslovens § 41, stk. 2, nr. 4, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Endelig finder Datatilsynet henset til de principielle spørgsmål i sagen, som Datatilsynet ikke tidligere har haft lejlighed til at tage stilling til, at der ikke er grundlag for at udtale kritik af GulogGratis i anledning af ovenstående.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at klager ved et besøg på hjemmesiden guloggratis.dk blev anmodet om samtykke til behandling af personoplysninger via en løsning med følgende ordlyd:

Privatlivs- og cookiepolitik

GulogGratis anvender cookies og indsamler persondata om IP, ID og din browser til statistik og marketingformål. Oplysninger videregives til samarbejdspartnere, der opbevarer og/eller tilgår oplysninger på din enhed med henblik på at vise tilpassede annoncer og annoncemåling, tilpasset indhold, indholdsmåling, målgruppeindsigter og produktudvikling. Se yderligere info under indstillinger og persondatapolitik.

Du kan altid ændre dine indstillinger herunder eller trække dit samtykke tilbage ved at klikke på linket til ”Cookieindstillinger” nederst på siden.

Vi gør opmærksom på at fravalg af cookies eller personlig tilpasning af cookieindstillinger er forbeholdt betalende brugere. Ved at klikke ”OK” accepteres alle cookies og der gives gratis adgang til websitet. Ved at klikke ”Afvis alle” gives der mulighed for løb af login.”

Klager blev herunder præsenteret for valgmulighederne ”OK”, ”Afvis alle” og ”Indstillinger”.

Ved valget ”Afvis alle” blev klager ledt videre til en tekstboks med overskriften ”GulogGratis ønsker at give dig indhold af god kvalitet”, som blev ledsaget af følgende ordlyd: 

”Vi kan desværre ikke drive en markedsplads, af høj kvalitet, gratis. Vi er derfor afhængige af annonceindtægter baseret på data. Vil du ikke have, at vi indsamler dine data, kan du i stedet betale dig til adgang.”

Klager havde herunder valgmulighederne ”Cookie Indstillinger” eller ”Køb adgang”.

Ved valget ”Køb adgang” blev klager tilbudt adgang til indholdet på guloggratis.dk mod betaling af 29 kr./md. og kunne samtidig undlade at give samtykke til alle cookies.

Ved valget ”Cookie indstillinger” blev klager ledt til en side, hvor klager ved at vælge ”Tillad alle cookies” kunne ændre sit oprindelige valg og acceptere alle cookies. På siden kunne klager også tilvælge forskellige formål (marketing, statistik, funktionelle og specielle formål) samt vælge ”Bekræft mine valg”.

Ved valget ”Bekræft mine valg”, uden i øvrigt at tilvælge alle formål, blev klager ledt tilbage til siden, hvor klager blev præsenteret for muligheden for at købe adgang til indholdet på guloggratis.dk.

2.1. GulogGratis’ bemærkninger

GulogGratis har oplyst, at hvis en bruger giver samtykke til brug af cookies på guloggratis.dk indsamles personoplysninger om IP-adresse, ID og tekniske oplysninger om den anvendte browser til statistiske formål og markedsføringsformål.

Når en besøgende tilgår GulogGratis’ hjemmeside, bliver vedkommende mødt af en pop-up, hvor vedkommende kan vælge at give samtykke til indsamling af personoplysninger ved brug af cookies. Hvis den besøgende ikke ønsker at give samtykke hertil, kan vedkommende benytte GulogGratis’ online markedsplads mod betaling.

Anvendelse af samtykke som behandlingsgrundlag, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a, forudsætter, at der er tale om en frivillig, specifik, informeret og utvetydig viljestilkendegivelse. I relation til GulogGratis’ fremgangsmåde er det virksomhedens opfattelse, at tvivlen først og fremmest vedrører, hvorvidt betingelsen om frivillighed er opfyldt.

GulogGratis har anført, at betingelsen om frivillighed skal ses i lyset af, at den besøgende skal have et valg og kontrol over oplysninger om sig selv. Et samtykke kan derfor ikke anses som frivilligt, hvis den besøgende ikke har et reelt eller frit valg.

Brugen af en samtykkeløsning, hvor adgang til indholdet er betinget af, at den besøgende skal give samtykke til persondatabehandling, der ikke er strengt nødvendig for, at udbyderen kan levere den pågældende tjeneste til den besøgende, opfylder ifølge Det Europæiske Databeskyttelsesråd ikke databeskyttelsesforordningens krav om et gyldigt samtykke. Anderledes forholder det sig, hvis den hjemmesidebesøgende tilbydes et reelt valg og fx kan tilgå det samme indhold uden at skulle give samtykke til behandling af personoplysninger. GulogGratis har i den forbindelse henvist til et eksempel fra Det Europæiske Databeskyttelsesråds retningslinjer om samtykke[2].

Det er GulogGratis’ vurdering, at den fremgangsmåde til behandling af oplysninger om hjemmesidebesøgende, som GulogGratis har implementeret, opfylder kravet om frivillighed. GulogGratis har i den forbindelse lagt vægt på følgende:

  • Fremgangsmåden oplyser klart og tydeligt om de to valgmuligheder
  • Der placeres ikke cookies, før den besøgende har samtykket hertil
  • Betalingen, der kræves for adgangen, er ikke uforholdsmæssig dyr (29 kr./md.)
  • Der er tale om tilsvarende indhold med og uden samtykke
  • Der er mulighed for, at besøgende kan vælge mellem flere formål
  • Det er ikke forbundet med skade eller ulempe at afvise eller tilbagetrække et samtykke

GulogGratis har herunder anført, at virksomhedens vurdering endvidere understøttes af en afgørelse fra det østrigske datatilsyn vedrørende nyhedsmediet ”Der Standard”. Idet databeskyttelsesforordningen gælder i hele EU, og der tilsigtes ensartet praksis i hele EU, bør reglerne anvendes konsekvent og ensartet overalt i Unionen som beskrevet i forordningens præambelbetragtning nr. 10.

Afgørelsen fra det østrigske datatilsyn omhandlede et nyhedsmedie, der ikke tilbød gratis adgang til indhold uden samtykke til indsamling af personoplysninger til markedsføringsformål, men i stedet gav de besøgende et valg mellem at give samtykke eller at betale for adgang uden brug af cookies. Det østrigske datatilsyn fandt, at nyhedsmediet Der Standards samtykkeløsning opfyldte kravet om frivillighed og lagde i afgørelsen vægt på:

  • at der blev oplyst klart og tydeligt om de to muligheder
  • at der ikke blev placeret cookies, førend brugeren havde sagt ja til cookies
  • at betalingen var proportionel og ikke uforholdsmæssig høj
  • at der var tale om tilsvarende ydelser med og uden samtykke
  • at den betalte adgang ikke indebar målrettet annoncering.

Endelig har GulogGratis anført, at et manglende samtykke ikke må medføre skade eller ulempe, fx i form af negative konsekvenser for en registreret, der ikke vil give samtykke. Hvis prisen for den betalte adgang er uforholdsmæssig høj, vil dette kunne være en hindring for, at samtykket kan anses som gyldigt. GulogGratis har desuden ikke mulighed for at drive en online markedsplads af høj kvalitet gratis. GulogGratis er derfor afhængig af indtægter. En del af disse indtægter kommer fra annonceindtægter. Ønsker en bruger adgang til GulogGratis’ service uden at give samtykke, er betaling for adgang uden indsamling af personoplysninger ved brug af cookies sat til 29. kr./md., hvilket virksomheden betragter som en beskeden og proportionel betaling for en måneds adgang til alt indhold på hjemmesiden.

2.2. Klagers bemærkninger

Klager har overordnet anført, at han mener, at fremgangsmåden, som GulogGratis anvender på guloggratis.dk, ikke er lovlig, idet virksomheden efter klagers opfattelse tvinger besøgende til at acceptere alle hjemmesidens cookies, såfremt de besøgende vil benytte hjemmesiden uden betaling.

Det er klagers opfattelse, at GulogGratis tvinger hjemmesidebesøgende til enten at ”sælge” sine private oplysninger eller at betale med penge, og at samtykket af den grund ikke kan anses for frivilligt.

3. Begrundelse for Datatilsynets afgørelse

3.1. Relevante retsregler

Det fremgår af databeskyttelsesforordningens artikel 6, stk. 1, litra a, at behandling af personoplysninger er lovlig, hvis den registrerede har givet samtykke til behandling af oplysninger om vedkommende til et eller flere specifikke formål.

Et samtykke defineres i databeskyttelsesforordningens artikel 4, nr. 11, som enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.

Et samtykke vil ikke være afgivet frivilligt, hvis den registrerede ikke har et reelt eller frit valg og kontrol over oplysninger om sig selv. Enhver form for upassende pres på eller påvirkning af den registreredes frie vilje medfører, at samtykket er ugyldigt.

En dataansvarlig kan i et vist omfang motivere de registrerede til at give samtykke ved, at der er en fordel forbundet med at samtykke. Indmeldelse i en forretnings fordelsprogram kan fx indebære rabatter, som motiverer kunden til at give samtykke til at modtage reklamemateriale fra forretningen. Den rabat eller de fordele, som et samtykke til et fordelsprogram medfører, udelukker ikke, at samtykket kan anses for at være frivilligt.

Det er dog vigtigt at være opmærksom på, om manglende samtykke medfører negative konsekvenser for den registrerede, som ikke vil give samtykke, fx i form af meromkostninger.[3]

Af Det Europæiske Databeskyttelsesråds retningslinjer 5/2020[4] fremgår bl.a. følgende om betingelsen om frivillighed:

”37. Den dataansvarlige kan hævde, at hans eller hendes organisation giver de regi-strerede et reelt valg, hvis de kan vælge mellem en tjeneste, der indebærer samtykke til anvendelse af personoplysninger til yderligere formål, og en tilsvarende tjeneste ud-budt af den samme dataansvarlige, som ikke indebærer samtykke til behandling af per-sonoplysninger til yderligere formål. Så længe der er en mulighed for at få kontrakten opfyldt eller den af en kontrakt omfattede tjenesteydelse leveret af den dataansvarlige uden at give samtykke til den anden eller yderligere anvendelse af personoplysnin-gerne, er der ikke tale om en betinget tjeneste. De to tjenester skal dog være helt iden-tiske.

38. Databeskyttelsesrådet mener ikke, at samtykke kan anses for at være givet frivilligt, hvis en dataansvarlig hævder, at der kan vælges mellem den dataansvarliges tjeneste, der inkluderer samtykke til anvendelse af personoplysninger til yderligere formål, og en tilsvarende tjeneste, som udbydes af en anden dataansvarlig. I dette tilfælde ville valgfriheden afhænge af, hvad andre markedsaktører gør, og om den registrerede fin-der den anden dataansvarliges tjenester helt identiske. Det ville endvidere forpligte de dataansvarlige til at overvåge markedsudviklingen for at sikre, at samtykke til deres da-tabehandlingsaktiviteter bliver ved med at være gyldigt, da konkurrenterne eventuelt efterfølgende kan ændre deres tjenester. På grundlag af dette argument er samtykke, som er baseret på et alternativ udbudt af en tredjepart, ikke i overensstemmelse med databeskyttelsesforordningen, hvilket betyder, at en tjenesteyder ikke kan forhindre registrerede i at få adgang til en tjeneste med den begrundelse, at de ikke har givet samtykke.

39. For at samtykke kan anses for at gives frivilligt, må adgangen til tjenester og funk-tioner ikke være betinget af en brugers samtykke til, at oplysninger lagres, eller at der opnås adgang til oplysninger, der allerede er lagret, i en brugers terminaludstyr (så-kaldte cookie walls).

40. Eksempel 6a: En udbyder af et websted opretter et script, som forhindrer indhold i at være synligt, med undtagelse af en anmodning om at acceptere cookies og oplys-ninger om, hvilke cookies der indsættes, og i hvilke øjemed dataene vil blive behand-let. Det er ikke muligt at få adgang til indholdet, medmindre man klikker på "Accepter cookies"-knappen. Eftersom den registrerede ikke har et reelt valg, er hans eller hen-des samtykke ikke givet frivilligt.

41. Der er ikke tale om et gyldigt samtykke, da tjenestens levering afhænger af, om den registrerede klikker på "Accepter cookies"-knappen. Den registrerede har ikke et reelt valg.”

3.2. Indhentes et gyldigt samtykke?

Det er Datatilsynets overordnede vurdering, at GulogGratis’ fremgangsmåde, hvorved den hjemmesidebesøgende – enten ved at give samtykke til behandling af personoplysninger eller mod betaling – kan tilgå indholdet på guloggratis.dk, opfylder databeskyttelsesforordningens krav til et frivilligt samtykke, jf. forordningens artikel 6, stk. 1, litra a, jf. artikel 4, nr. 11.

Datatilsynet har herved navnlig lagt vægt på, at GulogGratis med den pågældende fremgangsmåde tilbyder et alternativ til samtykke til behandling af personoplysninger i form adgang mod betaling af 29 kr./md, at betaling giver adgang til en tjeneste, der i vidt omfang er tilsvarende den tjeneste, de besøgende kan få adgang til mod samtykke, og at prissætningen af betalingsalternativet ikke er urimelig høj, dvs. at prissætningen ikke er så høj, at den registrerede reelt og i praksis ikke har et valg mellem betalingsalternativet og at give sit samtykke.                                                                                   

Undladelse af at give samtykke indebærer derfor efter Datatilsynets opfattelse ikke negative konsekvenser for de besøgende, og fremgangsmåden, som GulogGratis benytter til at indhente de besøgendes samtykke, må således anses for at opfylde kravet om frivillighed.

Datatilsynet finder dog, at GulogGratis ikke har påvist, at de hjemmesidebesøgendes samtykke til behandling af personoplysninger også til statistiske formål er en nødvendig del af alternativet til adgang mod betaling.

Datatilsynet har herved lagt vægt på, at GulogGratis alene har anført, at GulogGratis er afhængig af indtægter for at kunne drive en online markedsplads af høj kvalitet, og at en del af disse indtægter kommer fra annonceindtægter, og at GulogGratis ikke har begrundet, i hvilket omfang behandling af personoplysninger til statistiske formål også er nødvendige hertil.

Henset til, at GulogGratis ikke har vurderet og påvist, i hvilket omfang det er nødvendigt – som alternativ til adgang mod betaling – at indhente samtykke til behandling af personoplysninger til statistiske formål, finder Datatilsynet, at GulogGratis ikke har påvist, at databeskyttelsesforordningens krav om samtykkets frivillighed er opfyldt og dermed at behandlingen er lovlig, jf. forordningens artikel 6, stk. 1, litra a, og artikel 4, nr. 11, jf. forordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra a.

På den baggrund finder Datatilsynet grundlag for at meddele GulogGratis påbud om at kunne påvise, at det samtykke, der indhentes fra de besøgende på guloggratis.dk, opfylder databeskyttelsesforordningens krav om samtykkets frivillighed, jf. databeskyttelsesforordningens artikel 4, nr. 11.

GulogGratis skal kunne påvise, at behandling af personoplysninger til statistiske formål er en nødvendig del af alternativet til adgang mod betaling. Alternativt skal GulogGratis tilpasse sin løsning til indhentning af samtykke, således at det er muligt for de hjemmesidebesøgende at give særskilt samtykke til behandling af personoplysninger til statistiske formål.

Fristen for efterlevelse af påbuddet er den 8. marts 2023. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet.

Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Ifølge databeskyttelseslovens § 41, stk. 2, nr. 4, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Endelig finder Datatilsynet henset til de principielle spørgsmål i sagen, som Datatilsynet ikke tidligere har haft lejlighed til at tage stilling til, at der ikke er grundlag for at udtale kritik af GulogGratis i anledning af ovenstående.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Det Europæiske Databeskyttelsesråd, Retningslinjer 5/2020 vedrørende samtykke i henhold til forordning 2016/679, v. 1.1

[3] Datatilsynets vejledning om samtykke, afsnit 2.3.

[4] Retningslinjer 05/2020 vedrørende samtykke i henhold til forordning 2016/679, v. 1.1., side 12.