bloghoved christian schmidt

Datatilsynet undersøger Den Blå Avis

Jeg vågnede i dag til nyheden om, at Datatilsynet vil indlede en undersøgelse af Den Blå Avis og deres indhentning af samtykke. Det var en god start på ugen.

Tilsynet skriver, at nu har virksomhederne haft tid nok til at tilpasse deres websites til de nye retningslinjer. Så når en virksomhed siger, at »vi arbejder på sagen« og »det er altså et stort arbejde at tilpasse sådan et stort website som vores«, så kan man fremover henvise til Data­tilsynets udtalelse om, at den undskyldning nu har passeret sidste salgsdato.

Fremadrettet kunne man ønske sig, at tilsynet allerede ved offentliggørelsen af nye vejled­ninger og principielle afgørelser anførte en implementeringsfrist, så såvel virksomheder som borgere får en konkret dato at forholde sig til. Virksomhederne kan ikke udskyde tilpasningen i evigheder, men omvendt er de fri for at skulle besvare klager fra utålmodige borgere før fristens udløb.

Desuden tolker jeg dagens udmelding som et udtryk for, at Datatilsynet ønsker at gøre noget ved de lovløse tilstande, der hersker omkring indhentning af samtykke på websites. I den forbindelse er Den Blå Avis et interessant valg til en undersøgelse. Dels viser de annoncer ligesom de nyhedsmedier, jeg før har omtalt her på bloggen, dels køber de selv målrettede annoncer på andre websites. Rollen som annoncør kan muligvis give anledning til nogle nye betragtninger, der ikke kom frem i DMI-afgørelsen.

Samtykkebanner på dba.dk. Illustration: Christian Schmidt

Jeg tør godt spå, at den nuværende samtykke­løsning på www.dba.dk ikke tilfredsstiller Datatilsynet. Det bliver til gengæld spændende at se, om de slipper med en advarsel ligesom DMI, eller om tiden efterhånden er moden til at give en bøde.

Den nye samtykkeboks på dba.dk, som vises til en mindre del af de besøgende i A/B-testen. Illustration: Christian Schmidt

Den Blå Avis har faktisk implementeret hele to forskellige løsninger til indhentning af samtykke, der kører parallelt i en A/B-test. Hvis man indlæser siden gentagne gange, vil man se to helt forskellige samtykkebokse, henholdsvis en mørkegrå og en hvid variant.

Den mørkegrå variant har kørt i månedsvis og vises til hovedparten af brugerne i testen. Den savner den obligatoriske knap til at afvise at give samtykke, og teksten i boksen fortæller endda, at uanset hvor på siden man klikker, så bliver det tolket som et samtykke. Den holder ikke i byretten, men Den Blå Avis har åbenbart vurderet, at det nok går an at køre videre med denne variant lidt endnu.

Vi får snart at se, om de havde ret i den vurdering.

Relateret indhold

Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Tobias Thaastrup-Leth

Mon ikke der skal statueres et eksempel denne gang? Hvis de går fri, så fortsætter det blot med at være det vilde vesten, hvor man kan slippe med tilnærmelsesvis (eller slet ikke) at overholde lovgivningen på området.

  • 7
  • 0
#3 Peter Jørgensen

Jeg er ikke helt skarp i de der regler vedr. "Cookie-warning/indsamling af oplysninger", men betyder det så, at samtykkeboksene som fx. dem på eb.dk, bt.dk, fck.dk og lego.dk også er "ulovlige", fordi at man ikke med et enkelt klik kan vælge "Afvis alle/Kun nødvendige" cookies?

Hvis ja, så betyder det jo, at tusindvis af danske hjemmesider har ulovlige samtykkebokse... :/

  • 0
  • 0
#4 Tobias Thaastrup-Leth

Der ER tusindvis af samtykkebokse, som ikke 100% overholder reglerne. Også mange større virksomheder og nyhedsmedier i DK.

En vigtig ting der ofte overses (læs: ignoreres) er, at det skal være lige så let at afvise, som at acceptere funktionelle, statistik og marketing cookies. Netop dette overholder mange af de større medier og virksomheder ikke, selvom flere dog har forbedret cookiebannerne.

  • 5
  • 0
#5 Henning Liljendahl

Indledende information om mulighed for tilbagetrækkelse af samtykke skal gives inden samtykke lovligt kan afgives "Information om, at et samtykke kan trækkes tilbage og måden, hvorpå dette kan ske, skal være givet, inden den registreredes samtykke indhentes. Er der ikke givet tilstrækkelig information om muligheden for at trække samtykket tilbage, kan selve samtykket ikke anses for gyldigt". [1] (side 14, andet tekstafsnit efter Eksempel 13).

Mine kommentarer: Kravet må vel forstås således, at der overhovedet ikke må sættes cookies (undtagen de, der er nødvendige til rent tekniske formål) førend der er informeret om: a) at tilbagetrækning af samtykke er mulig, samt b) hvordan denne tilbagetrækning skal foregå.

Afgivelse af et gyldigt samtykke kræver at kun teknisk nødvendige cookies må være forudafkrydset "… et forudafkrydset felt ikke kan udgøre et gyldigt samtykke, fordi brug af cookies på internetsider kræver en aktiv handling hos brugeren.". [2], Kapitel 5, afsnittet Samtykke kræver en aktiv handling fra brugeren.

Et tidligere afgivet samtykke skal kunne trækkes tilbage ”Den registrerede kan på et hvilket som helst tidspunkt trække sit samtykke tilbage. Det er den dataansvarliges opgave at sikre sig, at de registrerede kan trække deres samtykke tilbage på en enkel og lettilgængelig måde. Det skal være lige så let at trække sit samtykke tilbage som at give det, men det er ikke et krav, at tilbagekaldelse skal ske på samme måde, som samtykket oprindeligt er givet.”. [1] (side 14, første tekstafsnit).

Cookietyper Tekniske cookies: ”Det er ikke et krav, at hjemmesider giver information om brugen af tekniske cookies eller beder om dit samtykke til at bruge disse.”. Statistikcookies: ” Det er dog et krav, at hjemmesidens ejer informerer om og beder om samtykke”. Personaliserede cookies: ”En hjemmeside, der indsamler oplysninger ved hjælp af cookies for at skabe personaliseret indhold, skal informere om dette og indhente dit samtykke hertil.”. Markedsføringscookies: ”En hjemmeside skal informere om og indhente samtykke, når der bruges markedsføringscookies.”. [3].

Brugeren skal have oplysninger om udløbsdato for cookies ”… brugeren skal have oplysninger om cookies funktionsvarighed (udløbsdato)”. [2], Kapitel 5, afsnittet Krav om oplysning om cookiers funktionsvarighed.

En hjemmeside kan anvendes uden at samtykke er afgivet ”… den fortsatte anvendelse af en hjemmeside kan derimod ikke opfattes som et aktivt tilvalg og kan derfor ikke udgøre et gyldigt samtykke”. [4] (afsnit 2.4.4, tredje tekstafsnit).

EU-domstolens afgørelse Hele dommen som ligger til grund for vejledningerne kan læses på [5].

Referencer [1] Datatilsynets publikation: Vejledning – Samtykke – September 2019 (https://www.datatilsynet.dk/media/6562/samtykke.pdf) angiver i afsnit 3 - Retten til at tilbagekalde et samtykke.

[2] Erhvervsstyrelsens vejledning af 2019-12-10, version 3.0, Bekendtgørelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr, ”Cookiebekendtgørelsen” (https://erhvervsstyrelsen.dk/vejledning-cookiebekendtgoerelse).

[3] Mød de væsentligste cookietyper (https://erhvervsstyrelsen.dk/mod-de-vaesentligste-cookietyper).

[4] Datatilsynets publikation: Behandling af personoplysninger om hjemmesidebesøgende - Vejledning - Februar 2020 (https://www.datatilsynet.dk/media/7958/vejledning-om-behandling-af-perso...).

[5] EU-dommen, som ligger til grund for vejledningerne kan læses på: http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pa....

  • 3
  • 0
#8 Peter Hansen

I skulle prøve deres app til iOS. Den er hvad angår GDPR-brugervenlighed, uduelig. Det er de færreste der ved det men hvis man ikke aktivt klikker ind på Min DBA > Om DBA appen > Datasamtykke og slår samtlige 4 mia flueben fra så høstes der data.

Og når man så har slået alle 4 mia flueben fra så går der ca 14 dage så bliver man spurgt om man vil acceptere betingelserne. Her kan man så vælge 'Ok' (alle 4 mia flueben enables igen), eller 'Datasamtykke' hvor man så føres ind i samme billede men hvor alle 4 mia flueben nu er enabled. Så kan man vasgo at slå dem alle fra igen.

Sådan var det ihvertfald for 6 måneder siden. Jeg ved ikke om der er sket ændringer.

  • 1
  • 0
Log ind eller Opret konto for at kommentere