Alle blogindlæg

Datatilsynets nye vejledninger & DMI-afgørelse

Persondataforordningen (GDPR) og ePrivacy Direktivet (ePR) påvirker hvordan din hjemmeside må bruge cookies til at spore dine besøgende fra EU.

9. marts 2020.

Datatilsynets nye vejledninger til hjemmesiders behandling af persondata skærper kravene til cookieløsninger og samtykkebannere på danske domæner.

Samtidig har Datatilsynet udtalt alvorlig kritik af DMI’s håndtering af persondata på deres hjemmeside i forbindelse med bannerannoncer gennem Google.

I denne artikel ser vi på hvad Datatilsynets nye vejledninger betyder for din hjemmesides behandling af persondata, brug af cookies og valg af samtykkeløsning.

Datatilsynets vejledning – hvad er nyt?

Datatilsynet udsendte i februar nye retningslinjer for behandling af personoplysninger om hjemmesidebesøgende. De nye vejledninger stiller skarpere krav til hjemmesider og gør det tydeligt, hvordan cookieløsninger og samtykkebannere skal se ud og kunne fungere i Danmark.

Kort opsummeret, så skal hjemmesider ifølge de nye retningslinjer sikre –

  • at samtykke sker ved frivilligt og aktivt tilvalg fra brugeren (dvs. ingen i forvejen afkrydsede felter),
  • at tydeligt informere brugeren om hvilke forskellige formål persondata bliver behandlet til,
  • at det er let for brugeren at give samtykke til nogle formål og ikke andre (granulært samtykke),
  • at det er nemt at afstå fra at give samtykke (også rent visuelt),
  • at dokumentere hvad brugeren har givet samtykke til og hvordan dette er blevet indhentet.
Logo banner powered by Cookiebot by Usercentrics
Cookiebot samtykkebanner, der lever op til Datatilsynets retningslinjer.

Cookiebot gør din hjemmeside i stand til at overholde Datatilsynets nye vejledning og Databeskyttelsesforordningen (GDPR).

Cookiebots teknologi scanner din hjemmeside og finder alle cookies og trackere, autoblokerer dem og giver dig og dine slutbrugere fuld kontrol over indsamlingen af persondata gennem granuleret samtykke.

Cookiebot sikrer at du –

  • kender til alle cookies og trackers på dit domæne,
  • blokerer alt indtil dine brugere har afgivet forudgående samtykke,
  • tilbyder granuleret samtykke til dine brugere,
  • informerer dine brugere klart og tydeligt om hvilken persondata, din hjemmeside indsamler og hvem du deler det med,
  • gør det let for dine brugere at afstå fra at give samtykke,
  • dokumenterer alle opnåede samtykker og regelmæssigt fornyer samtykker.

Prøv Cookiebot gratis i dag.

Datatilsynet og Data­beskyt­telsesfor­ordningen

Datatilsynet er Danmarks nationale myndighed på databeskyttelsesområdet, der på linje med andre nationale datatilsyn i Europa har til opgave at vejlede i – og håndhæve Databeskyttelsesforordningen (GDPR), samt Danmarks egen Databeskyttelseslov.

Databeskyttelsesforordningen (GDPR) trådte i kraft i maj 2018, er bindende lov i alle europæiske lande og kræver, at hjemmesider indhenter informeret, aktivt, frivilligt samtykke fra brugere før de må behandle persondata.

Databeskyttelsesforordningen definerer persondata som enhver form for information om en identificeret eller identificerbar fysisk person, dvs. navn, personnummer, lokaliseringsdata, fysiske som psykiske, økonomiske, kulturelle og sociale oplysninger.

Dette gælder også såkaldte onlineidentifikatorer såsom IP-adresser og cookies, samt teknikker som ”device fingerprinting”, der er i stand til at samle information om brugeres computere, mobiltelefoner og tablets for at kunne identificere brugere på tværs af platforme.

Datatilsynets cookie vejledninger stiller nye krav til hjemmesider
Din hjemmeside videregiver persondata til tredjeparter, hvis du fx bruger Google Analytics.

Hvis din hjemmeside indsamler, behandler eller videregiver persondata om dine brugere, er du forpligtet til at leve op til Databeskyttelsesforordningens krav og det er ifølge loven dig som hjemmesideejer, der er ansvarlig for at sikre at indsamling og behandling af persondata sker indenfor lovenes grænser.

Det er desuden Datatilsynets opfattelse at ”der ved registrering af oplysninger om hjemmesidebesøgende ofte vil være tale om behandling af personoplysninger”.

En god tommelfingerregel er derfor, at der ofte er tale om behandling af personoplysninger ved registrering af oplysninger om hjemmesidebesøgende.

Med andre ord, når din hjemmeside registrerer oplysninger om dine brugere, er der som regel tale om personoplysninger, som kræver brugeres forudgående samtykke.

Flere nationale datatilsyn har i det seneste år skærpet deres vejledninger til hvordan deres landes hjemmesider må indhente persondata, særligt hvordan deres samtykkeløsninger og cookiebannere må se ud.

Fælles for de strammere retningslinjer har været kritik af forudafkrydsede felter og bannere uden knapper til at afstå fra at give samtykke.

Datatilsynets nye retningslinjer er i direkte tråd med disse, og skærper kravene til hvordan danske hjemmesider indhenter samtykke til cookies.

Med den nye vejledning er det tydeligt hvordan et cookiebanner må se ud og ikke må se ud på danske hjemmesider, og disse følger i høj grad retningslinjerne fra bl.a. ICO i Storbritannien og CNIL i Frankrig.

Datatilsynets nye retningslinjer – i detaljer

Datatilsynets vejledning om behandling af personoplysninger om hjemmesidebesøgende gennemgår først de grundlæggende regler i Databeskyttelsesforordningen (GDPR), for at hjælpe virksomheder og organisationer med at sikre lovlig behandling af deres hjemmesidebrugeres personoplysninger.

De nye retningslinjer, beskrevet nedenfor, er fordelt under de vigtigste principper, som ligger til grund for lovlig persondatabehandling.

Frivilligt samtykke

Databeskyttelsesforordningen (GDPR) kræver som sagt at du giver din hjemmesides brugere kontrol over deres egen persondata og et valg om at give deres frivillige, specifikke, informerede og utvetydige accept af at deres oplysninger bliver indsamlet og behandlet.

Samtykke skal indhentes inden den dataansvarlige påbegynder behandling af de oplysninger, som samtykket angår.

Din hjemmeside må altså ikke begynde at indsamle eller videregive oplysninger til tredjeparter, før dine brugere har givet deres samtykke hertil.

Men en vigtig del af lovligheden af samtykke beror på frivilligheden af samtykket.

Det vil sige, at hvis det ikke er muligt for dine brugere at afstå fra at give samtykke, er der ikke tale om frivillighed og derfor ikke gyldigt grundlag for behandling af persondata.

Datatilsynet skærper i deres nye retningslinjer, at et samtykke ikke kan ses som frivilligt givet, hvis din hjemmeside ikke giver dine brugere et reelt valg.

Aktivt samtykke

En utvetydig viljestilkendegivelse er en aktiv handling, dvs. en erklæring eller klar bekræftelse fra din hjemmesides brugere om samtykke til at du behandler deres persondata.

Det kan fx være at skulle sætte et kryds i et felt på et cookiebanner.

Dette betyder også, at i forvejen afkrydsede felter på cookiebannere ikke er lovlige. Det er på linje med den europæiske domstols afgørelse i sagen om Planet49, samt lignende vejledninger fra de franske og britiske datatilsyn.

Passivitet, tavshed eller fortsat anvendelse af din hjemmeside er ikke gyldigt samtykke.

Datatilsynets nye cookie retningslinjer stiller hårdere krav til hjemmesider
Dine brugere skal sætte kryds i et felt, når de giver samtykke – ikke blot acceptere et allerede afkrydset felt.

Forudafkrydsede felter eller sliders der er sat på ”on” er ikke lovlige, da det ikke udgør utvetydig samtykke. Hvis dine brugere ikke interagerer med dit samtykkebanner, har de ikke afgivet samtykke.

Datatilsynet kommer også med konkret vejledning til udførslen af din hjemmesides cookiebanner. Din samtykkeløsning skal være lettilgængelig uanset hvilken enhed dine brugere benytter for at besøge din hjemmeside.

Det kan være nødvendigt, skriver Datatilsynet, at samtykkeanmodninger ”til en vis grad forstyrrer brugeroplevelsen”, hvis anmodningen skal være effektiv.

Opgaven for den dataansvarlige er således at vælge en løsning, der rammer den rigtige balance.

Logo banner powered by Cookiebot by Usercentrics
Cookiebots samtykkeløsning, der lever op til Datatilsynets nye retningslinjer og GDPR.

Det kan fx være tilfældet, hvis din hjemmesides cookiebanner eller lignende samtykkeløsning ikke giver brugeren mulighed for at afstå fra at give samtykke i lige så let og overskuelig grad som de kan give samtykke.

Bannere, der kun har ”OK”-knapper, eller hvor knappen for at afstå fra at give samtykke ligger gemt i andet eller tredje lag (fx under en ”Vis detaljer”-knap), er altså ikke gyldige samtykkeløsninger til din hjemmeside.

Princip om granularitet

Hvis din hjemmeside behandler persondata til flere formål, er det desuden et krav fra Datatilsynet at dine brugere skal være i stand til at kunne vælge og fravælge samtykke til disse.

Logo banner powered by Cookiebot by Usercentrics
Datatilsynet kræver granuleret samtykke, som anvist her.

Selv hvis din hjemmeside giver brugerne et valg mellem enten at ”sige ja eller nej”, er dette ikke et gyldigt grundlag for behandling af persondata, hvis din hjemmeside indsamler persondata til forskellige formål.

Informeret samtykke

Datatilsynets nye retningslinjer understreger også, at din hjemmeside skal præcisere de forskellige formål, persondata bliver behandlet til.

Det er ikke nok at du blot oplyser at du ”benytter persondata til personalisering af hjemmesiden”.

Dine brugere skal være klar over hvad de giver samtykke til, og til hvilke forskellige formål.

Brugeren skal som minimum oplyses om følgende, for at det opnåede samtykke er gyldigt:

  • den dataansvarliges identitet (hvis fælles ansvar så både er din hjemmeside og tredjeparter)
  • formålet med den påtænkte behandling,
  • hvilke typer af oplysninger, der vil blive behandlet,
  • retten til at trække samtykke tilbage.

Den dataansvarliges identitet kan, ifølge Datatilsynet, gives i en fold-ud menu (som er ”et-klik-væk”) i tæt tilknytning til beskrivelsen af formålet med behandlingen. Det er derimod ikke tilstrækkeligt blot at sige at ”der sker indsamling og behandling”.

Information på din hjemmeside skal være tilstrækkelig specifik, så brugeren er klar over, hvad der gives samtykke til, men informationen skal samtidigt gives på en måde, der ikke er uforståelig for brugeren eller ikke er unødigt forvirrende.

En god tommelfingerregel er, at information på fx cookiebanneret skal være klar og kortfattet, særskilt og separat.

Afstå fra samtykke

Din hjemmeside skal sikre at samtykke kan afslås lige så let som det kan gives.

Ifølge Datatilsynets retningslinjer skal dine brugere kunne sige ja så let som de kan sige nej.
Dine brugere skal kunne sige nej lige så let som de kan sige ja.

Det vil sige, at dit cookiebanner skal – udover at opfylde alle de andre kriterier som beskrevet ovenfor – tilbyde brugeren at kunne afslå alle ikke-nødvendige cookies i lige så let og tydelig grad som at kunne acceptere valgte og/eller acceptere alle cookies.

Trække samtykke tilbage

Datatilsynet gør klart at dine brugere skal kunne trække deres samtykke tilbage lige så let som vedkommende har givet det.

Du kan fx tydeligt placere et link i toppen eller bunden af din hjemmeside, hvor dine brugere kan tilgå muligheden for at trække deres samtykke tilbage.

Det skal være lige så let at afstå fra at give samtykke til behandling af persondata, som det er at give det, skriver Datatilsynet.

Det vil sige, at din samtykkeløsning ikke må have en meget stor knap for ”accepter alle cookies” og en lille, næsten skjult knap for ”kun nødvendige cookies”.

Informationen skal gives i et klart og enkelt sprog, på en så enkel måde som muligt, så der undgås komplekse sætnings- og sprogstrukturer.

Informationen bør være konkret og bør ikke være formuleret i abstrakte eller tvetydige vendinger, eller give mulighed for forskellige fortolkninger.

Sproget må heller ikke være unødigt teknisk eller juridisk.

Dokumentationskravet

Du skal kunne påvise, at dine brugere har givet deres samtykke til at din hjemmeside indsamler og behandler deres persondata.

Datatilsynet kræver derfor at du skal:

  • være i stand til at fremvise dokumentation for det enkelte samtykke, der er blevet indhentet.
  • være i stand til at påvise at din hjemmesides samtykkeløsning opfylder alle de betingelser, der skal til for at kunne tale om et gyldigt samtykke.

Du skal dokumentere –

  • tidspunkt for afgivet samtykke.
  • hvilken type eller version af samtykkeløsningen, du har brugt til at indhente samtykke.
  • hvilke formål med behandlingen af personoplysninger, dine brugere har givet samtykke til.

Cookiebots samtykkeløsning gør dig i stand til at leve top til alle Datatilsynets skærpede krav, samt de allerede eksisterende krav fra den europæiske databeskyttelsesforordning (GDPR).

Cookiebot sikrer at du –

  • kender til alle cookies og trackers på dit domæne,
  • blokerer alt indtil dine brugere har afgivet forudgående samtykke,
  • tilbyder granuleret samtykke til dine brugere,
  • informerer dine brugere klart og tydeligt om hvilken persondata, din hjemmeside indsamler og hvem du deler det med,
  • gør det let for dine brugere at afstå fra at give samtykke,
  • dokumenterer alle opnåede samtykker og regelmæssigt fornyer samtykker.

Prøv Cookiebot gratis i dag.

Datatilsynet og DMI

Datatilsynet udtalte i februar 2020 alvorlig kritik af Danmarks Meteorologiske Instituts (DMI) behandling af persondata på deres hjemmeside.

Det skete på baggrund af en klage over, at DMI tillod Google at behandle persondata og vise målrettede annoncer på DMI’s hjemmeside uden brugeres informerede og aktive samtykke.

Datatilsynet retter alvorlig kritik mod DMI for –

  • ikke at have indhentet informeret og aktivt samtykke fra brugere før behandling og videregivelse af persondata til Google,
  • ikke at have oplyst om at have fælles dataansvar med Google for indsamling og videregivelse af persondata på deres hjemmeside,
  • ikke at have gjort det muligt for brugere at give samtykke til nogle formål og ikke til andre.

DMI har siden 2004 brugt Googles annonceplatforme (DoubleClick, AdSense m.fl.) som et led i sin finansiering, men har ikke indhentet og videregivet persondata (såsom IP-adresser) på en lovlig måde.

På DMI’s hjemmeside har det ikke været muligt for brugere at afstå fra at give samtykke til tredjepartscookies fra Google ved besøg på hjemmesiden uden først at klikke ”Vis detaljer”.

Det er ifølge Datatilsynet ikke lovligt at gemme muligheden for at afstå fra at give samtykke væk i andet eller tredje lag af en cookieløsning, ligesom det ikke er lovligt at ”nudge” eller skubbe brugere i retning af et ja tak til marketing-cookies.

Cookiebot implementeres i din hjemmesides kildekode, hvorefter vi scanner hele dit domæne og finder alle cookies og trackere.

Vores teknologi blokerer automatisk alle trackers og præsenterer dine brugere for et granuleret cookiebanner, der gør dem i stand til frit og specifikt at afgive forudgående samtykke.

Cookiebot gør al dette ved at simulere virkelige brugere, der besøger din hjemmeside og klikker og scroller alt, hvad der kan klikkes og scrolles.

På den måde sikrer vores teknologi at alle cookies og trackers, der ligger og venter på dine brugere, bliver aktiveret.

Vores scanner finder alt, også trojanske heste, der kan gemme sig helt nede i ottende lag af en cookie.

Prøv Cookiebot gratis i dag.

Kilder

Datatilsynet

Datatilsynets nye vejledning til behandling af personoplysninger på hjemmesider

Europas Databeskyttelsesforordning (GDPR)

Danmarks Databeskyttelseslov

    Hold dig informeret

    Bliv en del af vores voksende community af databesky­ttelses­entusiaster nu. Tilmeld dig Cookiebot™-nyhedsbrevet for at få alle de seneste opdateringer direkte i din indbakke.

    Ved at klikke på "Abonner" bekræfter jeg, at jeg ønsker at abonnere på Cookiebot™-nyhedsbrevet. Jeg kan nemt opsige mit abonnement på Cookiebot™-nyhedsbrevet og tilbagekalde mit samtykke til at bruge mine data ved at klikke på afmeldingslinket. Alternativt kan jeg skrive til [email protected] for at fremsætte anmodningen. Privatlivspolitik.