Journalnummer: 2023-431-0010.
Resumé
Den 14. februar 2024 traf Datatilsynet afgørelse om Berlingskes brug af en cookie wall på berlingske.dk. Tilsynet fandt, at Berlingskes fremgangsmåde, hvor brugerne på berlingske.dk alene kunne få adgang til indlejret indhold ved at give samtykke til behandling af personoplysninger til statistiske og markedsføringsformål, ikke opfyldte databeskyttelsesforordningens krav til et gyldigt samtykke. Årsagen var, at brugerne ikke reelt blev præsenteret for et frit valg, idet Berlingske ikke tilbød brugerne en alternativ måde at tilgå indholdet på i sammenhæng med samtykkeafgivelse. Tilsynet fandt derfor grundlag for at meddele Berlingske et påbud om at sikre, at det indhentede samtykke fra brugerne på berlingske.dk, opfylder kravene i databeskyttelsesforordningen.
Som opfølgning på Datatilsynets påbud traf tilsynet den 4. september 2024 – efter forelæggelse for Datarådet – en yderligere afgørelse i sagen. Dette skete i forbindelse med, at Berlingske var vendt tilbage i forhold til tilsynets afgørelse fra februar 2024. Datatilsynet fandt, at Berlingske fortsat ikke havde påvist at virksomheden tilbød et rimeligt alternativ i forbindelse med samtykkeafgivelse på berlingske.dk. Datatilsynets påbud var ikke efterlevet.
Afgørelse
1. Datatilsynet vender tilbage
Datatilsynet vender hermed tilbage i sagen, hvor tilsynet på baggrund af flere konkrete henvendelser af egen drift besluttede nærmere at undersøge Berlingske Media A/S’ (herefter Berlingske) behandling af oplysninger om brugerne på www.berlingske.dk.
Datatilsynet traf den 14. februar 2024 afgørelse i sagen. Datatilsynet fandt, at Berlingskes fremgangsmåde på berlingske.dk, hvor brugerne alene kan få adgang til delindhold, der er indlejret på berlingske.dk, herunder videoafspillere og blogindlæg, ved at give samtykke til behandling af personoplysninger til statistiske og markedsføringsformål, ikke opfyldte databeskyttelsesforordningens krav til et gyldigt samtykke, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a, og artikel 4, nr. 11.
Datatilsynet fandt derfor grundlag for at meddele Berlingske påbud om at sikre, at det samtykke, der blev indhentet fra brugerne på berlingske.dk, opfyldte databeskyttelsesforordningens krav til et gyldigt samtykke, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a, jf. artikel 4, nr. 11.
Som opfølgning på Datatilsynets påbud, har Berlingske fremsendt to udtalelser til Datatilsynet.
Sagen har været behandlet i Datarådet i forlængelse af udtalelserne.
2. Berlingskes bemærkninger
Berlingske har den 14. marts 2024 fremsendt en udtalelse til Datatilsynet. Berlingske har overordnet anført, at virksomheden har implementeret en teknisk løsning, der muliggør, at Berlingske kan efterleve tilsynets påbud. Løsningen giver mulighed for, at der gives adgang til liveblogs for alle brugere af berlingske.dk, uden at det er et krav, at brugerne samtykker til behandling af personoplysninger til statistiske og markedsføringsformål ved brug af cookies.
Den 21. maj 2024 har Berlingske fremsendt opfølgende bemærkninger om omfanget af den tekniske løsning. Berlingske har overordnet anført, at løsningen giver brugere af berlingske.dk mulighed for at tilgå liveblogs, uden at brugerne har accepteret behandling af personoplysninger til de nævnte formål, hvis der er tale om egenproduceret redaktionelt indhold. Hvis der derimod er tale om delindhold, herunder videoafspillere, som er indlejret fra tredjeparter, kan indholdet (fortsat) kun tilgås ved at brugeren giver samtykke til statistiske- og markedsføringsformål.
3. Datatilsynets vurdering
Efter en gennemgang af Berlingskes udtalelser, finder Datatilsynet, at Berlingske ikke har sikret sig, at det samtykke, som virksomheden indhenter fra brugerne på berlingske.dk, opfylder kravene i databeskyttelsesforordningens krav til et gyldigt samtykke, jf. databeskyttelsesforordningens artikel 6, stk.1, litra a, jf. artikel 4, nr. 11.
Datatilsynet har herved navnlig lagt vægt på, at Berlingske – ved alene at tilgængeliggøre egenproducerede liveblogs – (fortsat) ikke tilbyder et rimeligt alternativ i sammenhæng med samtykkeafgivelse, idet det indlejrede delindhold fra tredjeparter udgør en meget betydelig del af den samlede mængde af indlejret indhold. Brugerne mødes således fortsat af en cookie wall, der afskærer dem fra at tilgå alt delindhold, der er indlejret fra tredjepartstjenester på berlingske.dk.
Datatilsynet kan i den forbindelse også konstatere, at Berlingske, hvis brugeren ønsker at se indlejrede indhold fra tredjeparter, (fortsat) betinger adgangen til dette indhold af, at brugere giver samtykke til behandling af personoplysninger til samtlige statistiske og markedsføringsformål, herunder fra samtlige tredjeparter.
Datatilsynet fastholder derfor tilsynets påbud af 14. februar 2024. Datatilsynet forudsætter, at Berlingske herefter tilpasser sin løsning til indhentning af samtykke, således at det opfylder databeskyttelsesforordningens krav til et gyldigt samtykke, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a, jf. artikel 4, nr. 11.
Sagen har givet Datatilsynet anledning til at overveje nogle tiltag, som Berlingske kan inddrage med henblik på at efterleve Datatilsynets påbud. Datatilsynet skal dog bemærke, at der inden for rammerne af databeskyttelsesforordningen er metodefrihed.
Som nævnt i tilsynets afgørelse af 14. februar 2024 kan påbuddet efterkommes ved, at Berlingske tilbyder brugerne et mindre privatlivsindgribende og rimeligt alternativ, f.eks. et betalingsalternativ, og/eller et alternativ, der indebærer en anden form for markedsføring – enten uden eller med en mere begrænset behandling af personoplysninger. Det er i den forbindelse afgørende, at brugerne – ved at vælge det mindre privatlivsindgribende alternativ – opnår adgang til indhold, der i vidt omfang svarer til indholdet, som brugerne kan få adgang til ved at give samtykke.[1]
Alternativt kan Berlingske – inden for rammerne af den nuværende løsning til indhentelse af samtykke på berlingske.dk – sikre, at brugeren får mulighed for at give samtykke til henholdsvis statistisk og markedsføring til hver af de tredjepartstjenester, som Berlingske gør brug af, således at en bruger, hvis denne ønsker at se indhold indlejret af en tredjepart, alene giver samtykke til behandling af personoplysninger ved placering af tredjepartscookies fra denne specifikke tredjepart. Brugerens eventuelle ønske om at tilgå indlejret delindhold må således ikke systematisk betinges af samtykke til behandling af personoplysninger til statistiske- og markedsføringsformål, herunder for delindhold som brugeren ikke nødvendigvis ønsker at tilgå[2].
Påbuddet kan også, hvis Berlingske ikke ser sig i stand til at indrette sin hjemmeside således, at der indhentes et gyldigt samtykke, efterkommes ved, at Berlingske indretter sin hjemmeside på en sådan måde, at Berlingske begrænser behandlingen af personoplysninger ved brug af cookies, herunder eventuelt ved at Berlingske tilbyder brugerne at følge et link direkte til den enkelte tredjeparts egen hjemmeside.
Datatilsynet bemærker for god ordens skyld, at man som dataansvarlig, der indlejrer indhold fra en tredjepartsudbyder på sin hjemmeside, oftest – navnlig henset til EU-Domstolens praksis[3] – vil agere fælles dataansvarlig med tredjepartsudbyderen, jf. databeskyttelsesforordningens artikel 26, stk. 1. De fælles dataansvarlige skal i den forbindelse fastlægge, hvordan de forskellige forpligtelser og rettigheder for de registrerede, vil blive håndteret af parterne, og det væsentligste indhold af ordningen mellem parterne skal gøres tilgængeligt for de registrerede.
Datatilsynet skal bede Berlingske senest den 25. september 2024 om at bekræfte, at påbuddet er efterlevet.
Ifølge databeskyttelseslovens § 41, stk. 2, nr. 4, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
[1] Se også Det Europæiske Databeskyttelsesråds (EDPB) udtalelse 08/2024, afsnit 4.2.1.1 om muligheden for at tilbyde et alternativ, der ikke involverer adfærdsbaseret markedsføring.
[2] Se også EDPB’s Opinion 08/2024 on valid consent in the context of consent or pay models implemented by large online platforms, afsnit 4.2.1.5. om granularitet.
[3] Der henvises navnlig til EU-Domstolens dom i sag C-210/16, Wirtschaftsakademie Schleswig-Holstein, præmis 35-44 og EU-Domstolens dom i sag C-40/17, Fashion ID, præmis 67-85.