Journalnummer: 2023-431-0010.
Resumé
Den 14. februar 2024 traf Datatilsynet afgørelse om Berlingskes brug af en cookie wall på berlingske.dk. Tilsynet fandt, at Berlingskes fremgangsmåde, hvor brugerne på berlingske.dk alene kunne få adgang til indlejret indhold ved at give samtykke til behandling af personoplysninger til statistiske og markedsføringsformål, ikke opfyldte databeskyttelsesforordningens krav til et gyldigt samtykke. Årsagen var, at brugerne ikke reelt blev præsenteret for et frit valg, idet Berlingske ikke tilbød brugerne en alternativ måde at tilgå indholdet på i sammenhæng med samtykkeafgivelse. Tilsynet fandt derfor grundlag for at meddele Berlingske et påbud om at sikre, at det indhentede samtykke fra brugerne på berlingske.dk, opfylder kravene i databeskyttelsesforordningen.
Som opfølgning på Datatilsynets påbud traf tilsynet den 4. september 2024 – efter forelæggelse for Datarådet – en yderligere afgørelse i sagen. Dette skete i forbindelse med, at Berlingske var vendt tilbage i forhold til tilsynets afgørelse fra februar 2024. Datatilsynet fandt, at Berlingske fortsat ikke havde påvist at virksomheden tilbød et rimeligt alternativ i forbindelse med samtykkeafgivelse på berlingske.dk. Datatilsynets påbud var ikke efterlevet.
Berlingske oplyste herefter i løbet af efteråret 2024, at virksomheden havde iværksat nye tiltag og justeringer for at efterleve Datatilsynets påbud.
Datatilsynet vurderer, at Berlingske nu efterlever tilsynets påbud
I en afgørelse af 17. januar 2025 konkluderer Datatilsynet, at Berlingske nu i tilstrækkeligt omfang har sikret sig, at det samtykke, der bliver indhentet fra brugerne på berlingske.dk, opfylder databeskyttelsesforordningens krav til et gyldigt samtykke.
Datatilsynet bemærker i afgørelsen, at brugere, der afslår at give samtykke til behandling af personoplysninger til statistiske og markedsføringsformål kan opnå adgang til delindhold, som i vidt omfang svarer til det indhold, der er tilgængeligt for brugere, der giver samtykke. Tilsynet bemærker også, at Berlingske tilbyder brugerne et alternativ til samtykkeafgivelse, der i det væsentlige indeholder de samme funktioner og er af en tilsvarende kvalitet.
Et rimeligt alternativ
Efter Datatilsynets opfattelse skal virksomheder, der ønsker at benytte en cookie wall, samtidig tilbyde brugerne, der ikke ønsker at give samtykke til behandling af deres personoplysninger, et rimeligt alternativ. Det indebærer, at det indhold eller den tjeneste, som virksomheden tilbyder, i det væsentlige skal være tilsvarende, uanset om brugeren giver samtykke til behandling af sine personoplysninger eller vælger den alternative version uden behandling af personoplysninger.
Det Europæiske Databeskyttelsesråd (EDPB) har i sin udtalelse om store onlineplatformes brug af ’consent or pay’ -løsninger fastslået, at alternativet kan anses for tilsvarende, så længe det i det væsentlige indeholder de samme elementer og funktioner og bevarer den kvalitet, som brugeren får adgang til ved at give samtykke. Det er imidlertid ikke et krav, at de to versioner er helt identiske.
1. Datatilsynets afgørelse
Datatilsynet vender hermed tilbage i sagen, hvor tilsynet på baggrund af flere konkrete henvendelser af egen drift besluttede nærmere at undersøge Berlingske Media A/S’ (herefter Berlingske) behandling af personoplysninger om brugerne på www.berlingske.dk.
Datatilsynet traf den 14. februar 2024 afgørelse i sagen. Datatilsynet fandt, at Berlingskes fremgangsmåde på berlingske.dk ikke skete i overensstemmelse med databeskyttelsesforordningens[1] artikel 6, stk. 1, litra a, og artikel 4, nr. 11, idet brugerne ikke reelt blev præsenteret for et frit valg.
Datatilsynet fandt derfor grundlag for at meddele Berlingske påbud om at sikre, at det samtykke, der blev indhentet fra brugerne på berlingske.dk, opfyldte databeskyttelsesforordningens krav til et gyldigt samtykke, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a, jf. artikel 4, nr. 11.
Som opfølgning på Datatilsynets påbud traf tilsynet den 4. september 2024 – efter forelæggelse for Datarådet – en yderligere afgørelse i sagen. Datatilsynet fandt, at Berlingske ikke havde påvist at virksomheden tilbød et rimeligt alternativ i sammenhæng med samtykkeafgivelse på berlingske.dk. Det skyldtes, at brugerne (fortsat) var afskåret fra tilgå alt delindhold, herunder videoafspillere og blogindlæg, der var indlejret fra tredjepartstjenester på berlingske.dk, medmindre de gav samtykke til behandling af personoplysninger til statistiske og markedsføringsformål ved brug af cookies.
Berlingske oplyste herefter den 25. september 2024, at virksomheden havde iværksat nye tiltag og tilpasninger med henblik på at efterleve Datatilsynets påbud. I forlængelse heraf efterspurgte Datatilsynet en yderligere redegørelse fra Berlingske med henblik på at virksomheden kunne påvise, at påbuddet var efterlevet. Den 9. januar 2025 fremsendte Berlingske sine supplerende bemærkninger.
Efter en gennemgang af Berlingskes udtalelser har Datatilsynet ikke fundet grundlag for at tilsidesætte, at Berlingske har sikret sig, at det samtykke, som virksomheden indhenter fra brugerne på berlingske.dk, opfylder databeskyttelsesforordningens krav til et gyldigt samtykke, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a, jf. artikel 4, nr. 11.
2. Berlingskes bemærkninger
Berlingske har i sine udtalelser af henholdsvis 25. september 2024 og 9. januar 2025 overordnet anført, at en række af de mest benyttede tredjeparter – i modsætning til tidligere – ikke længere placerer cookies til statistiske og markedsføringsformål, når virksomheden indlejrer indhold herfra. Det betyder, at en meget betydelig del af det indhold, der bliver indlejret fra tredjeparter på berlingske.dk, herunder X, Facebook, Instagram, YouTube og Infogram, er frit tilgængeligt for brugerne af berlingske.dk. Ifølge Berlingske er det således muligt at tilbyde brugerne en i vidt omfang tilsvarende løsning, uanset om brugerne vælger at give samtykke eller ej.
Det er herefter kun ganske få tredjeparter, der fortsat betinger adgang til delindholdet af, at brugeren giver samtykke til placering af cookies til statistiske og markedsføringsformål. For disse tredjeparter tilbyder Berlingske en mulighed for, at brugerne – ledsaget af en informationsskrivelse – selv kan tilgå indholdet direkte hos den pågældende tredjepartsleverandør eller -tjeneste, hvor indholdet stammer fra og er tilgængeligt.
Berlingske har derudover oplyst, at virksomheden har implementeret en række procedurer og kontroller, således at Berlingske regelmæssigt følger op på tredjeparternes praksis med henblik på at sikre, at tredjeparterne ikke ændrer på, hvorvidt der placeres cookies. Berlingske vil desuden løbende være opmærksom på, om de få tredjeparter, der fortsat betinger adgang til delindhold af samtykke til statistiske og/eller markedsføringsformål ved brug af cookies, implementerer lignende løsninger, og dermed begrænser omfanget af behandlingen af personoplysninger ved indlejring af indhold på berlingske.dk.
3. Datatilsynets vurdering
Efter en gennemgang af Berlingskes bemærkninger finder Datatilsynet, at Berlingske i tilstrækkeligt omfang har sikret sig, at det samtykke på berlingske.dk, der indhentes fra brugerne på berlingske.dk, opfylder databeskyttelsesforordningens krav til et gyldigt samtykke, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a, og artikel 4, nr. 11.
Datatilsynet har herved navnlig lagt vægt på, at Berlingske benytter en fremgangsmåde, hvor brugere der afslår at give samtykke til behandling af personoplysninger til statistiske og markedsføringsformål ved brug af cookies kan opnå adgang til delindhold, som i det væsentlige er tilsvarende delindholdet, som brugerne kan opnå adgang til mod at give samtykke. Det er Datatilsynets opfattelse, at Berlingske tilbyder brugerne et alternativ i sammenhæng med samtykkeafgivelse, der i det væsentlige indeholder de samme funktioner og bevarer en tilsvarende kvalitet.
Datatilsynet har endvidere lagt vægt på, at Berlingske har implementeret procedurer og kontroller for at sikre, at Berlingske regelmæssigt og løbende følger op på, at tredjeparterne ikke ændrer deres praksis og placerer cookies via indlejret indhold på berlingske.dk i strid med databeskyttelsesreglerne.
Det følger i den forbindelse af Datatilsynets praksis, at et rimeligt alternativ indebærer, at indholdet eller tjenesten, som virksomheden tilbyder, i vidt omfang skal være tilsvarende, uanset om brugeren giver samtykke til behandling af sine personoplysninger eller vælger alternativet uden behandling af personoplysninger. Hvis alternativet afviger væsentligt fra den adgang som virksomheden tilbyder mod den besøgendes samtykke, vil samtykket imidlertid ikke kunne anses for frivilligt. Det kan eksempelvis være tilfældet, hvor brugere, der giver samtykke, får adgang til væsentligt mere indhold, end de besøgende der vælger alternativet.[2]
Endvidere fremgår det af Det Europæiske Databeskyttelsesråds (EDPB) udtalelse 08/2024 om betingelsen om et rimeligt alternativ ved brug af ’consent or pay’ -løsninger[3], at vurderingen afhænger af, om alternativet i det væsentlige indeholder de samme elementer og funktioner og bevarer den kvalitet, som brugeren får adgang til mod at give samtykke. Så længe begge versioner i princippet indeholder de samme funktioner og kvaliteten ikke forringes, er det ikke et krav, at de to versioner er helt identiske.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Datatilsynet henviser i det hele til tilsynets afgørelser i sagerne om Jysk Fynske Mediers (Datatilsynets j.nr. 2021-31-5553) og GulogGratis’ (Datatilsynets j.nr. 2021-31-4871) brug af cookie walls, og Datatilsynets retningslinjer om brug af cookie walls
[3] Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms, adopted on 17 april 2024, afsnit 4.2.1.4.1.