Behandling af oplysninger om hjemmesidebesøgende

Cookies og lignende teknologier

Cookies og lignende teknologier anvendes til at indsamle og analysere oplysninger om brugere af online tjenester. Der kan være forskellige formål med indsamlingen eksempelvis for at:

  • forbedre brugernes oplevelse af tjenesten ved at gemme indstillinger om sprog, login mv.
  • følge brugernes færden på tværs af hjemmesiden eller appen og danne grundlag for statistik,
  • følge brugerne på tværs af platforme og tjenester med henblik på at foretage målrettet markedsføring over for brugerne, og
  • til teknisk nødvendige formål fx tilstrækkelig sikkerhed på tjenesten.

Hvis man tilbyder hjemmesider eller en app og i den forbindelse benytter cookies eller lignende teknologier, skal man sikre sig, at man overholder de databeskyttelsesretlige regler og reglerne i cookiebekendtgørelsen.

Datatilsynet har i samarbejde med Digitaliseringsstyrelsen udarbejdet en vejledning rettet mod ejere og udbyderen af f.eks. hjemmesider og apps, som indsamler oplysninger, herunder personoplysninger om brugere af tjenesten ved brug af cookies eller lignende teknologier. I vejledningen kan du læse nærmere om, hvad der skal til for at du lovligt kan benytte cookies og lignende teknologier. 

Nedenfor kan du læse om en række udvalgte teknologier, hvor du skal være opmærksom på de databeskyttelsesretlige regler og cookiebekendtgørelsen. Det bemærkes, at der ikke er tale om en udtømmende liste, og at der findes øvrige/flere teknologier, hvor reglerne også skal iagttages.

Vil du vide mere?

Læs Datatilsynets vejledning om cookies og lignende teknologier her

Hvad er en cookie?

En cookie består af en lille tekstfil med data, som placeres på brugerens udstyr, når brugeren besøger en hjemmeside. Hjemmesideindehaveren kan herefter indsamle oplysninger om brugeren ved enten at lagre eller opnå adgang til oplysninger i disse cookies.

”Førstepartscookies” sættes af tjenesten selv, mens ”tredjepartscookie” sættes af en tredjepart. Cookies kan have varierende levetid, hvor nogle slettes så snart brugeren lukker sit browservindue, mens andre cookies kan være aktive i flere år.

Cookies benyttes ofte til markedsføringsformål, hvor de besøgendes personoplysninger bruges til at personalisere de annoncer, som de pågældende får vist på hjemmesiden. 

Anvendelse  af cookies kræver som udgangspunkt, at den besøgende giver sit samtykke.

Cookie walls

Siden Datatilsynet i begyndelsen af 2020 satte fokus på behandling af personoplysninger om hjemmesidebesøgende, har tilsynet modtaget en række henvendelser om brugen af såkaldte cookie walls.

Cookies benyttes generelt af hjemmesideejere til at indsamle de besøgendes personoplysninger til en lang række formål. Ofte er et af disse formål markedsføring. Det drejer sig specifikt om målrettet markedsføring, hvor de besøgendes personoplysninger bruges til at personalisere de annoncer, som de pågældende får vist på hjemmesiden.

Brug af cookies kræver som udgangspunkt, at den besøgende giver sit samtykke.

En cookie wall er en fremgangsmåde, hvor en virksomhed gør adgangen til sin hjemmeside eller tjeneste betinget af, at den besøgende giver sit samtykke til behandling af sine personoplysninger – oftest til brug for markedsføring.

I nogle tilfælde gives den besøgende – som et alternativ til samtykke – mulighed for at få adgang til indholdet eller tjenesten mod betaling.

Det er Datatilsynets indtryk, at det er en fremgangsmåde, som i stigende omfang benyttes af navnlig virksomheder, som helt eller delvist finansieres af annonceindtægter. Ved brug af cookie walls kan virksomhederne kompensere for den eventuelle mistede indtægt ved, at de besøgende ikke giver samtykke til indsamling af personoplysninger til markedsføringsformål.

Databeskyttelsesreglerne stiller nogle krav til det samtykke, som de besøgende bliver bedt om at give. Disse krav skal bidrage til, at de besøgende har en effektiv og faktisk kontrol over deres personoplysninger, og at kontrollen ikke bliver illusorisk.

Et af disse krav er, at et samtykke skal være frivilligt. Spørgsmålet er derfor, om en fremgangsmåde, hvor de besøgende – som et alternativ til samtykke – eksempelvis kan betale for adgang til indhold eller en tjeneste, opfylder dette frivillighedskrav, og hvilke krav denne fremgangsmåde i så fald skal opfylde.

På baggrund af flere konkrete sager – og den generelle uklarhed, der har været forbundet med brugen af sådanne fremgangsmåder – har Datatilsynet udarbejdet en række generelle kriterier for vurderingen af brugen af cookie walls. Kriterierne vil være udgangspunktet for Datatilsynets vurdering af, om brugen af en cookie wall i de konkrete tilfælde sker i overensstemmelse med databeskyttelsesreglerne.

Som nævnt kan den omstændighed, at adgang til indhold eller en tjeneste er betinget af, at de besøgende giver sit samtykke til behandling af sine personoplysninger påvirke, i hvilket omfang dette samtykke kan anses som afgivet frivilligt.

Vurderingen af, om det pågældende samtykke er gyldigt, skal derfor først og fremmest ses i lyset af, om de besøgende tilbydes et tilfredsstillende alternativ.

Som et vejledende udgangspunkt har Datatilsynet opstillet nedenstående fire kriterier, der vil danne grundlag for tilsynets vurdering af fremgangsmåder, hvor en virksomhed betinger adgang til sit indhold af de besøgendes samtykke.

1. Et rimeligt alternativ

Det er Datatilsynets opfattelse, at virksomheder, der ønsker at benytte en cookie wall, samtidigt skal tilbyde de besøgende, der ikke ønsker at give samtykke til behandling af deres personoplysninger, et rimeligt alternativ hertil.

Et rimeligt alternativ kan eksempelvis være, at de besøgende – i stedet for adgang mod samtykke – tilbydes adgang mod betaling.

At alternativet skal være rimeligt indebærer, at indholdet eller tjenesten, som virksomheden tilbyder, i vidt omfang skal være tilsvarende, uanset om den besøgende giver samtykke til behandling af sine personoplysninger eller eksempelvis betaler for at få adgang til indholdet eller tjenesten.

Hvis den alternative tjeneste afviger væsentligt fra den tjeneste, som virksomheden tilbyder mod den besøgendes samtykke, vil samtykket efter Datatilsynets opfattelse ikke kunne anses for frivilligt. Det kan eksempelvis være tilfældet, hvor de besøgende ved betaling får adgang til væsentligt mere indhold, end de besøgende der giver samtykke.

2. En rimelig pris

Det er Datatilsynets opfattelse, at virksomheder, der ønsker at benytte en cookie wall, hvor alternativet til de besøgendes samtykke er betaling, ikke må fastsætte en urimelig høj pris for betalingsalternativet.

Virksomheder er dermed ikke afskåret fra at tilbyde adgang mod betaling som et alternativ til de besøgendes samtykke. Prissætningen af dette alternativ må dog ikke være så høj, at de besøgendes valgfrihed i praksis gøres illusorisk. Prisen skal med andre ord være rimelig.

Datatilsynet bemærker, at det ikke tilkommer tilsynet at gå nærmere ind i prisfastsættelsen af indhold, tjenester mv. Virksomheder har derfor et vidt skøn ved vurderingen og fastsættelsen af det specifikke beløb, der skal udgøre et betalingsalternativ til den besøgendes samtykke til behandling af personoplysninger. Det er dog som nævnt et krav, at prisfastsættelsen ikke gøres så høj, at den registrerede reelt og i praksis ikke har et valg mellem betalingsalternativet og at give sit samtykke.

3. Begrænset til det nødvendige

Når virksomheder tilbyder valget mellem betaling eller samtykke til indsamling af personoplysninger med hensyn til adgang til virksomhedens indhold eller tjeneste, skal virksomhederne kunne påvise, at alle de formål, som virksomheden anmoder om samtykke til, udgør en nødvendig del af dette alternativ.

Ofte er det de besøgendes samtykke til behandling af personoplysninger i markedsføringsøjemed, der udgør den ønskede fordel for virksomheden. I så fald er det kun samtykke til dette formål, der er en nødvendig del af alternativet til adgang mod betaling.

Det er dog dermed ikke udelukket, at de besøgendes samtykke til behandling af personoplysninger til statistiske og/eller personaliseringsformål også kan udgøre en del af alternativet til adgang mod betaling. I så fald skal virksomheden imidlertid kunne påvise, at behandling af personoplysninger til disse formål – henset til princippet om dataminimering – er en nødvendig del af alternativet til adgang mod betaling.

Hvis virksomheden vurderer, at behandling til flere formål ikke er en nødvendig del af alternativet til adgang mod betaling, skal virksomheden gøre det muligt for de besøgende at give særskilt samtykke til behandling af personoplysninger til disse formål.

4. Behandling af personoplysninger når de besøgende har betalt

I de tilfælde, hvor de besøgende betaler for adgang til indholdet eller tjenesten, må virksomheden naturligvis behandle de oplysninger, der er nødvendige for at levere indholdet eller tjenesten. Det kan eksempelvis være tilfældet, hvor leveringen af tjenesten forudsætter oprettelsen af en konto eller brugerprofil. Her kan virksomheden behandle de personoplysninger, der er nødvendige for at administrere brugerprofilen og levere den pågældende tjeneste.

Hvis de besøgende har betalt for adgang til indholdet eller tjenesten, må virksomheden derimod som udgangspunkt ikke behandle personoplysninger til flere formål end det, der er nødvendigt for, at den pågældende tjeneste kan leveres. Det kan eksempelvis være personalisering eller markedsføring.

Det udelukker dog ikke, at den besøgende – også i sådanne tilfælde – kan beslutte efterfølgende (også) at give samtykke til behandling af sine oplysninger til disse formål.

En pixel/web beacon er en lille grafik eller et billede, der er usynlig for brugeren. Pixels kan placeres på hjemmeside, hvor de b.la. giver hjemmesideindehaveren mulighed for at indsamle oplysninger om, hvilke undersider en bruger besøger på hjemmesiden.

Fingerprinting er en metode, der kan anvendes til at identificere og spore brugere ved at indsamle tekniske oplysninger om brugernes udstyr. Oplysningerne bruges typisk til at sikre, at hjemmesiden eller appen vises i korrekt format og med korrekt indhold i forhold til brugernes udstyr. Oplysningerne kan dog sættes sammen og summen af oplysningerne vil ofte være unik og gøre det muligt at udpege enkelte brugere.

En app er en forkortelse for applikation, som er et softwareprogram designet til at udføre specifikke opgaver på en digital enhed fx mobiltelefon, computer eller tablet. Når brugeren henter en app vil enhedens identifikatorer benyttes til at indsamle data og kan spore brugerens aktivitet inden for appen og på tværs af andre apps og hjemmesider, der benytter samme identifikator.