I februar fik DMI skældud af Datatilsynet for at vise målrettede bannerannoncer på www.dmi.dk uden at have indhentet et gyldigt samtykke hos brugerne.
Det vakte opsigt og det med rette. For næsten alle danske websites, der viser bannerannoncer, gjorde det samme som DMI.
Hovedparten af al onlineannoncering i Danmark skete på et ulovligt grundlag.
DMI rettede hurtigt ind. Men hvad gjorde alle de andre danske udgivere?
For at besvare det spørgsmål vil jeg skrue tiden til maj 2018, hvor GDPR lige var trådt i kraft.
Der havde været megen snak om store bøder, og der herskede stor forvirring om, hvordan GDPR skulle fortolkes i alle mulige konkrete sammenhænge.
Hvad gjorde de danske udgivere dengang? Nogle opgraderede deres cookiesamtykkeboks med mere tekst og flere flueben. Mange gjorde ingenting.
Dengang skrev jeg til en lang række medier og påpegede, at deres behandling af personoplysninger for besøgende på deres hjemmeside var ulovlig.
Medierne svarede i øst og i vest. Jeg fik næsten ikke to enslydende svar på, hvorfor reglerne ikke gjaldt for dem.
Nogle af svarene gjorde mig klogere på, hvordan reglerne skulle forstås, mens andre var helt hen i vejret. Ingen nævnt, ingen glemt. Men det gennemgående svar var, at jeg var galt afmarcheret.
Det er min opfattelse, at udgiverne var oprigtigt forvirrede. Der var ikke megen hjælp at hente hos myndighederne. I den situation ville de fleste nok vælge at tolke reglerne på en måde, der ikke er alt for ubehagelig for dem selv.
Jeg udvalgte en enkelt udgiver, DMI, der efter min opfattelse handlede klart ulovligt. Mit mål var at få Datatilsynet til træffe en afgørelse, der kunne kaste lys over, hvordan reglerne skulle tolkes.
Jeg skrev til DMI flere gange og gav dem en chance for at rette ind. Det afviste de. Så i august 2018 klagede jeg til Datatilsynet.
Alt godt kommer til den, der venter. Og en dag i februar 2020 dumpede omsider et langt brev fra Datatilsynet ind i min e-boks. De gav mig ret i, at DMI ikke overholdt reglerne.
Derudover rummede tilsynets afgørelse en detaljeret og konkret stillingtagen til, hvor man indhenter et gyldigt samtykke fra en besøgende på en hjemmeside. Det førte til, at Datatilsynet samtidig udgav et sæt retningslinjer for indhentning af samtykke.
Kort fortalt må det ikke være mere bøvlet at sige nej end at sige ja.
Så langt, så godt. Nu ved vi meget mere om, hvordan man skal indhente et gyldigt samtykke. Ikke blot til behandling af personoplysninger i henhold til GDPR, men (formentlig) også til at bruge cookies i henhold til cookiebekendtgørelsen. Erhvervsstyrelsen opdaterede da også kort efter sin vejledning til denne.
Stort set ingen onlinemedier lever op til reglerne. Endnu.
Ligesom i 2018 har jeg skrevet rundt til en række af dem og spurgt, hvad der sker. Ingen vil sætte dato på, hvornår de har en løsning parat. Men modsat i 2018 anerkender alle som en, at deres nuværende løsning ikke er lovlig.
Derfor tror og håber jeg, at vi inden længe vil se en række udgivere ændre deres samtykkeindhentning, så man nu har en fair chance for at sige nej tak.
Fortsættelse følger …
Det er fantasktisk hvad det allerede har betydet. Rigtig mange tak for din indsats ...jeg kan i hvert fald se forbedringer, om end af svingende kvalitet. Håber på at myndighederne vil slå hårdere ned på det nu med den dom.
Det er jo tankevækkende at netop DETTE medie, der burde være på forkant, stadig har alle krydserne sat, så man skal tage et AKTIVT fravalg for at undgå markedsføring. Også selvom det faktisk har været bragt på banen tidligere. ;-)
Tak for at du gad at kæmpe. :-)
Velkommen til Christian.. Super dejligt du tog dig tiden til at gøre verden lidt bedre for os alle..
Skulle netop til at skrive det. Men kan se de da trods alt har lavet lidt om siden i går, da der nu er een (sort) knap til aktivt at vælge fra. Men default indstillingen er fortsat at statistik og reklamer er tilvalgt, og default knappen er den tydelige grønne.
Håber på at myndighederne vil slå hårdere ned på det nu med den dom.
Tjah ---- domstol.dk har kun en valgmulighed, nemlig OK:
Cookies på www.domstol.dk Der benyttes cookies på www.domstol.dk for at forbedre din brugeroplevelse. OK
For en måned siden indeholdt version2 og ing.dk en cookiepulje på 305! nu er den så faldet til: 9 nødvendige, 11 statistik, og 20 marketing cookies. men det er vel stadigvæk i overkanten?
domstol.dk har kun en valgmulighed, nemlig OK
Herfra mobiltelefonen kan jeg ikke undersøge det, men hvis alle deres cookies er funktionelle kan det være ok. Så behøver de faktisk slet ikke have en cookie popup. Noget for mange unødigt irriterer deres besøgende med.
Jeg ville ønske at diverse vejledninger også indeholder en sektion om alternativet til at indhente samtykke, nemlig helt at undlade unødvendige ikke funktionelle cookies. Diverse statistik kan ofte ligeså godt laves på baggrund af webserverens logfiler. Det var sådan vi gjorde i gamle dage.
Jeg ville ønske at diverse vejledninger også indeholder en sektion om alternativet til at indhente samtykke, nemlig helt at undlade unødvendige ikke funktionelle cookies. Diverse statistik kan ofte ligeså godt laves på baggrund af webserverens logfiler. Det var sådan vi gjorde i gamle dage.
De sider jeg laver er alle sådan og har været det i en del år. Ingen snageri = ingen cookie popup. Desværre bruger de fleste frygtiglige ting som cookiebot (som i deres test funktion påstår sider uden det mindste analysescript eller tracking cookies ikke er lovlige så de kan sælge deres løsning).
Jeg har personligt skrevet til op til flere sites og de er alle gået fra "blah blah vi er en undtagelse" til "vi arbejder på x y z". Nu mangler vi bare bøder for ikke at rette ind.
Kan desværre ikke tilslutte mig velkomsten til den nye blogger. Klapjagt på offentlige og evt også private hjemmesider for inderligt ligegyldige detaljer kan ikke være en heltegerning. GDPR blev sat i verden for at stække Big Tech, men deres advokater er generelt dygtige. I stedet kaster privacy aktivisterne sig over det lette mål. Især offentlige organisationer, hvor forbruget af sikkerhedskonsulenter og DPO'er ingen ende vil tage og fjerner ressourcer fra velfærdssamfundets kerneydelser. Håber på en kort karriere ved dette medie.
Hej Torben,
Det er godt nok sjældent, man hører staten omtalt som et let offer i juridiske slagsmål :-)
Det er en misforståelse, at GDPR kun er lavet for at regulere Google og Facebook. Og det er en misforståelse, at den danske mediebranche opererer uafhængigt af big tech. Når DMI sælger målrettede annoncer, sker det via Googles infrastruktur. Det tager Google sig godt betalt for.
Den danske mediebranche ynder at udstille sig selv som ofre for tech-giganternes indtog, og det er der en vis sandhed i. Men samtidig sender de masser af penge og brugerdata i giganternes retning og giver derved dette økosystem næring. Derfor er der fornuft i at sikre, at alle led i fødekæden følger landets love – ikke kun de helt store fisk.
Forbyd alle former for reklamer, de gavner intet og gør kun produkterne dyrere.
