Dette indlæg er alene udtryk for skribentens egen holdning.

Datatilsynet undersøger Den Blå Avis

22. juni 2020 kl. 19:4410
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Jeg vågnede i dag til nyheden om, at Datatilsynet vil indlede en undersøgelse af Den Blå Avis og deres indhentning af samtykke. Det var en god start på ugen.

Tilsynet skriver, at nu har virksomhederne haft tid nok til at tilpasse deres websites til de nye retningslinjer. Så når en virksomhed siger, at »vi arbejder på sagen« og »det er altså et stort arbejde at tilpasse sådan et stort website som vores«, så kan man fremover henvise til Data­tilsynets udtalelse om, at den undskyldning nu har passeret sidste salgsdato.

Fremadrettet kunne man ønske sig, at tilsynet allerede ved offentliggørelsen af nye vejled­ninger og principielle afgørelser anførte en implementeringsfrist, så såvel virksomheder som borgere får en konkret dato at forholde sig til. Virksomhederne kan ikke udskyde tilpasningen i evigheder, men omvendt er de fri for at skulle besvare klager fra utålmodige borgere før fristens udløb.

Desuden tolker jeg dagens udmelding som et udtryk for, at Datatilsynet ønsker at gøre noget ved de lovløse tilstande, der hersker omkring indhentning af samtykke på websites. I den forbindelse er Den Blå Avis et interessant valg til en undersøgelse. Dels viser de annoncer ligesom de nyhedsmedier, jeg før har omtalt her på bloggen, dels køber de selv målrettede annoncer på andre websites. Rollen som annoncør kan muligvis give anledning til nogle nye betragtninger, der ikke kom frem i DMI-afgørelsen.

Artiklen fortsætter efter annoncen

Samtykkebanner på dba.dk.

Jeg tør godt spå, at den nuværende samtykke­løsning på www.dba.dk ikke tilfredsstiller Datatilsynet. Det bliver til gengæld spændende at se, om de slipper med en advarsel ligesom DMI, eller om tiden efterhånden er moden til at give en bøde.

Den nye samtykkeboks på dba.dk, som vises til en mindre del af de besøgende i A/B-testen.

Den Blå Avis har faktisk implementeret hele to forskellige løsninger til indhentning af samtykke, der kører parallelt i en A/B-test. Hvis man indlæser siden gentagne gange, vil man se to helt forskellige samtykkebokse, henholdsvis en mørkegrå og en hvid variant.

Den mørkegrå variant har kørt i månedsvis og vises til hovedparten af brugerne i testen. Den savner den obligatoriske knap til at afvise at give samtykke, og teksten i boksen fortæller endda, at uanset hvor på siden man klikker, så bliver det tolket som et samtykke. Den holder ikke i byretten, men Den Blå Avis har åbenbart vurderet, at det nok går an at køre videre med denne variant lidt endnu.

Vi får snart at se, om de havde ret i den vurdering.

10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
1. marts kl. 21:47

Det var gået min næse forbi, at Datatilsynet i januar 2022 traf afgørelse i sagen.

Det gamle samtykkebanner fra før juni 2020 (øverste screenshot) blev fundet ulovligt. Det var ikke overraskende, idet det var i klar strid med Datatilsynets retningslinjer fra februar 2020. Lidt mere overraskende er det, at Den Blå Avis slipper med “alvorlig kritik” (inkl. fed skrift). Man kan åbenbart stadig slippe omkostningsfrist fra at bryde klokkeklare retningslinjer. Jeg havde faktisk forventet, at Datatilsynet ville benytte denne sag til at smide fløjshandskerne.

DBA's nye samtykkeboks er også fundet ulovlig (at dømme efter afgørelsen er den vurderede løsning dog ikke identisk med screenshottet herover). Det har tidligere været fremme, at Datatilsynet trods det generelle forbud mod forudafkrydsede felter ikke partout finder en Acceptér alle-knap ulovlig. I denne afgørelse præciseres det, at en sådan knap skal ledsages af flueben for hver enkelt behandlingsaktivet (Statistik, Marketing, mv.). Jeg mindes ikke, at dette har været nævnt så udtrykkeligt før. tv2.dk har i hvert fald modtaget memoet.

Tilsynet slår desuden fast, at DBA ikke kan benytte Google Analytics uden samtykke med henvisning til interesseafvejningsreglen (legitim interesse), idet “de hjemmesidebesøgende ikke med rimelighed kan forvente, at deres oplysninger, udover at blive gjort til genstand for analyser og statistik på dba.dk, også videregives til Google LLC’s servere i USA”. Det er en lidt anden problemstilling end den, som for nylig fik det østrigste datatilsyn til at sende Google Analytics på bænken.

DBA får kritik for, at det ikke fremgår tilstrækkeligt tydeligt, hvordan man trækker sit samtykke tilbage. Den kritik kan overføres til mange andre websites. Prøv fx at trække dit samtykke tilbage på bt.dk – det kræver en smule detektivarbejde.

Endelig får DBA kritik for ikke at beskrive de forskellige behandlingsformål og deres hjemmel samt de involverede trejdeparter tilstrækkeligt tydeligt, samt at bede om samtykke til en behandling, som iflg. dem selv sker med legitim interesse som behandlingshjemmel. Jeg tvivler på, at der er mange, der læser disse tekster, men det er selvfølgelig vigtigt, at informationen er tilgængelig og retvisende.

8
27. juli 2020 kl. 09:55

I skulle prøve deres app til iOS. Den er hvad angår GDPR-brugervenlighed, uduelig. Det er de færreste der ved det men hvis man ikke aktivt klikker ind på Min DBA > Om DBA appen > Datasamtykke og slår samtlige 4 mia flueben fra så høstes der data.

Og når man så har slået alle 4 mia flueben fra så går der ca 14 dage så bliver man spurgt om man vil acceptere betingelserne. Her kan man så vælge 'Ok' (alle 4 mia flueben enables igen), eller 'Datasamtykke' hvor man så føres ind i samme billede men hvor alle 4 mia flueben nu er enabled. Så kan man vasgo at slå dem alle fra igen.

Sådan var det ihvertfald for 6 måneder siden. Jeg ved ikke om der er sket ændringer.

7
26. juli 2020 kl. 20:51

Jeg er ikke sikker på, hvornår det er sket, men i skrivende stund ser A/B-testen ud til at være afsluttet, og den nye, mere lovlige samtykkeboks (den hvide variant) vises nu til alle brugere.

6
23. juni 2020 kl. 19:49

..og nu vi er i gang, kan det også nævnes at eventuelle afkrydsningsbokse for præference-, statistik- og marketingcookies ikke må være pre-afkrydsede, som de fx ironisk nok er her på version2.dk i skrivende stund :)

5
23. juni 2020 kl. 18:15

Indledende information om mulighed for tilbagetrækkelse af samtykke skal gives inden samtykke lovligt kan afgives"Information om, at et samtykke kan trækkes tilbage og måden, hvorpå dette kan ske, skal være givet, inden den registreredes samtykke indhentes.
Er der ikke givet tilstrækkelig information om muligheden for at trække samtykket tilbage, kan selve samtykket ikke anses for gyldigt". [1] (side 14, andet tekstafsnit efter Eksempel 13).

Mine kommentarer: Kravet må vel forstås således, at der overhovedet ikke må sættes cookies (undtagen de, der er nødvendige til rent tekniske formål) førend der er informeret om: a) at tilbagetrækning af samtykke er mulig, samt b) hvordan denne tilbagetrækning skal foregå.

Afgivelse af et gyldigt samtykke kræver at kun teknisk nødvendige cookies må være forudafkrydset"… et forudafkrydset felt ikke kan udgøre et gyldigt samtykke, fordi brug af cookies på internetsider kræver en aktiv handling hos brugeren.". [2], Kapitel 5, afsnittet Samtykke kræver en aktiv handling fra brugeren.

Et tidligere afgivet samtykke skal kunne trækkes tilbage”Den registrerede kan på et hvilket som helst tidspunkt trække sit samtykke tilbage. Det er den dataansvarliges opgave at sikre sig, at de registrerede kan trække deres samtykke tilbage på en enkel og lettilgængelig måde. Det skal være lige så let at trække sit samtykke tilbage som at give det, men det er ikke et krav, at tilbagekaldelse skal ske på samme måde, som samtykket oprindeligt er givet.”. [1] (side 14, første tekstafsnit).

CookietyperTekniske cookies: ”Det er ikke et krav, at hjemmesider giver information om brugen af tekniske cookies eller beder om dit samtykke til at bruge disse.”.Statistikcookies: ” Det er dog et krav, at hjemmesidens ejer informerer om og beder om samtykke”.Personaliserede cookies: ”En hjemmeside, der indsamler oplysninger ved hjælp af cookies for at skabe personaliseret indhold, skal informere om dette og indhente dit samtykke hertil.”.Markedsføringscookies: ”En hjemmeside skal informere om og indhente samtykke, når der bruges markedsføringscookies.”. [3].

Brugeren skal have oplysninger om udløbsdato for cookies”… brugeren skal have oplysninger om cookies funktionsvarighed (udløbsdato)”. [2], Kapitel 5, afsnittet Krav om oplysning om cookiers funktionsvarighed.

En hjemmeside kan anvendes uden at samtykke er afgivet”… den fortsatte anvendelse af en hjemmeside kan derimod ikke opfattes som et aktivt tilvalg og kan derfor ikke udgøre et gyldigt samtykke”. [4] (afsnit 2.4.4, tredje tekstafsnit).

EU-domstolens afgørelseHele dommen som ligger til grund for vejledningerne kan læses på [5].

Referencer[1] Datatilsynets publikation: Vejledning – Samtykke – September 2019 (https://www.datatilsynet.dk/media/6562/samtykke.pdf) angiver i afsnit 3 - Retten til at tilbagekalde et samtykke.

[2] Erhvervsstyrelsens vejledning af 2019-12-10, version 3.0, Bekendtgørelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr, ”Cookiebekendtgørelsen” (https://erhvervsstyrelsen.dk/vejledning-cookiebekendtgoerelse).

[3] Mød de væsentligste cookietyper (https://erhvervsstyrelsen.dk/mod-de-vaesentligste-cookietyper).

[4] Datatilsynets publikation: Behandling af personoplysninger om hjemmesidebesøgende - Vejledning - Februar 2020 (https://www.datatilsynet.dk/media/7958/vejledning-om-behandling-af-personoplysninger-om-hjemmesidebesoegende.pdf).

[5] EU-dommen, som ligger til grund for vejledningerne kan læses på: http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=DA&mode=req&dir=&occ=first&part=1&cid=527313.

4
23. juni 2020 kl. 14:30

Der ER tusindvis af samtykkebokse, som ikke 100% overholder reglerne. Også mange større virksomheder og nyhedsmedier i DK.

En vigtig ting der ofte overses (læs: ignoreres) er, at det skal være lige så let at afvise, som at acceptere funktionelle, statistik og marketing cookies. Netop dette overholder mange af de større medier og virksomheder ikke, selvom flere dog har forbedret cookiebannerne.

3
23. juni 2020 kl. 14:20

Jeg er ikke helt skarp i de der regler vedr. "Cookie-warning/indsamling af oplysninger", men betyder det så, at samtykkeboksene som fx. dem på eb.dk, bt.dk, fck.dk og lego.dk også er "ulovlige", fordi at man ikke med et enkelt klik kan vælge "Afvis alle/Kun nødvendige" cookies?

Hvis ja, så betyder det jo, at tusindvis af danske hjemmesider har ulovlige samtykkebokse... :/

2
23. juni 2020 kl. 08:32

Mon ikke der skal statueres et eksempel denne gang? Hvis de går fri, så fortsætter det blot med at være det vilde vesten, hvor man kan slippe med tilnærmelsesvis (eller slet ikke) at overholde lovgivningen på området.

1
22. juni 2020 kl. 20:04

Mon de også har prikket til TV2.dk ? Timingen med at de pludselig har knap til at afvise fremme er i hvert fald lidt påfaldende.