Datatilsynet havde i 2021 særligt fokus på bl.a. behandling af personoplysninger om hjemmesidebesøgende. På den baggrund indledte Datatilsynet et skriftligt tilsyn med bl.a. JP/Politiken A/S’ behandling af personoplysninger om besøgende på www.eb.dk.
JP/Politiken anvendte en samtykkeløsning, der gav besøgende tre valgmuligheder (Kun nødvendige, Tilpas Indstillinger og Acceptér alle).
Af samtykkeløsningens ”første lag” fremgik det, at JP/Politiken behandlede personoplysninger til statistik- og markedsføringsformål.
I samtykkeløsningens ”andet lag”, som den besøgende kunne tilgå ved at klikke på Tilpas Indstillinger, kunne den besøgende tilvælge behandlingsformålene præferencer, statistik og markedsføring.
Datatilsynet vurderede, at besøgende på www.eb.dk ikke afgav et informeret samtykke, idet besøgende, som klikkede på Acceptér alle, ikke modtog information om alle behandlingsformål – da information om præferenceformålet først fremgik af ”andet lag”.
Med afgørelsen fastslog tilsynet, at der er store frihedsgrader for brug af farvevalg og designelementer, så længe designet ikke ”skubber” brugeren i retning af valg, der fører til ulovlige scenarier eller undergraver den registreredes rettigheder. I det konkrete tilfælde, hvor valgmuligheden Acceptér alle førte til et mangelfuldt samtykke, fandt tilsynet, at det stred mod princippet om lovlighed, rimelighed og gennemsigtighed.
Datatilsynet udtalte på baggrund af ovenstående alvorlig kritik af JP/Politikens behandling af oplysninger om hjemmesidebesøgende.
Databeskyttelsesreglernes samspil med cookiebekendtgørelsen
Udover selve samtykkeløsningen forholdt Datatilsynet sig også overordnet til databeskyttelsesreglernes samspil med cookiebekendtgørelsen (bekendtgørelse nr. 1148 af 9. december 2011), som falder under Erhvervsstyrelsens område. Datatilsynet bemærkede i den sammenhæng, at den behandling af personoplysninger, som foretages med hjemmel i undtagelsesreglen om Nødvendige cookies i cookiebekendtgørelsen – efter Datatilsynets opfattelse – falder uden for tilsynets kompetence.
Datatilsynet, der anser sig kompetent for en eventuel viderebehandling af de pågældende personoplysninger, bemærkede dog i den forbindelse, at tilsynet kun vanskeligt ser et råderum for, at dataansvarlige kan viderebehandle personoplysninger, som behandles på baggrund af undtagelsesreglen om Nødvendige cookies, til andre formål, end det råderum der er tiltænkt i forhold til Nødvendige cookies.
Situationer med fælles dataansvar
For så vidt angår et fælles dataansvar, bemærkede Datatilsynet, at et sådant samarbejde skal være reguleret af en ordning, der fastlægger de enkelte parters respektive ansvar i forhold til databeskyttelsesreglerne, og at ordningen skal være klart kommunikeret til den registrerede.
Hertil påpegede Datatilsynet, at tilsynet fremadrettet vil have større fokus på situationer, hvor der er fælles dataansvar.
Læs mere
Læs afgørelsen her.
Læs mere om behandling af oplysninger om hjemmesidebesøgende her – og lyt til podcastepisoden her.
Læs mere om reglerne for samtykke her.