Datatilsynet undersøger Den Blå Avis

tv2.dk har i hvert fald modtaget memoet.

Det var gået min næse forbi, at Datatilsynet i januar 2022 traf afgørelse i sagen.

Det gamle samtykkebanner fra før juni 2020 (øverste screenshot) blev fundet ulovligt. Det var ikke overraskende, idet det var i klar strid med Datatilsynets retningslinjer fra februar 2020. Lidt mere overraskende er det, at Den Blå Avis slipper med “alvorlig kritik” (inkl. fed skrift). Man kan åbenbart stadig slippe omkostningsfrist fra at bryde klokkeklare retningslinjer. Jeg havde faktisk forventet, at Datatilsynet ville benytte denne sag til at smide fløjshandskerne.

DBA's nye samtykkeboks er også fundet ulovlig (at dømme efter afgørelsen er den vurderede løsning dog ikke identisk med screenshottet herover). Det har tidligere været fremme, at Datatilsynet trods det generelle forbud mod forudafkrydsede felter ikke partout finder en Acceptér alle-knap ulovlig. I denne afgørelse præciseres det, at en sådan knap skal ledsages af flueben for hver enkelt behandlingsaktivet (Statistik, Marketing, mv.). Jeg mindes ikke, at dette har været nævnt så udtrykkeligt før. tv2.dk har i hvert fald modtaget memoet.

Tilsynet slår desuden fast, at DBA ikke kan benytte Google Analytics uden samtykke med henvisning til interesseafvejningsreglen (legitim interesse), idet “de hjemmesidebesøgende ikke med rimelighed kan forvente, at deres oplysninger, udover at blive gjort til genstand for analyser og statistik på dba.dk, også videregives til Google LLC’s servere i USA”. Det er en lidt anden problemstilling end den, som for nylig fik det østrigste datatilsyn til at sende Google Analytics på bænken.

DBA får kritik for, at det ikke fremgår tilstrækkeligt tydeligt, hvordan man trækker sit samtykke tilbage. Den kritik kan overføres til mange andre websites. Prøv fx at trække dit samtykke tilbage på bt.dk – det kræver en smule detektivarbejde.

Endelig får DBA kritik for ikke at beskrive de forskellige behandlingsformål og deres hjemmel samt de involverede trejdeparter tilstrækkeligt tydeligt, samt at bede om samtykke til en behandling, som iflg. dem selv sker med legitim interesse som behandlingshjemmel. Jeg tvivler på, at der er mange, der læser disse tekster, men det er selvfølgelig vigtigt, at informationen er tilgængelig og retvisende.

I skulle prøve deres app til iOS. Den er hvad angår GDPR-brugervenlighed, uduelig. Det er de færreste der ved det men hvis man ikke aktivt klikker ind på Min DBA > Om DBA appen > Datasamtykke og slår samtlige 4 mia flueben fra så høstes der data.

Og når man så har slået alle 4 mia flueben fra så går der ca 14 dage så bliver man spurgt om man vil acceptere betingelserne. Her kan man så vælge 'Ok' (alle 4 mia flueben enables igen), eller 'Datasamtykke' hvor man så føres ind i samme billede men hvor alle 4 mia flueben nu er enabled. Så kan man vasgo at slå dem alle fra igen.

Sådan var det ihvertfald for 6 måneder siden. Jeg ved ikke om der er sket ændringer.

Jeg er ikke sikker på, hvornår det er sket, men i skrivende stund ser A/B-testen ud til at være afsluttet, og den nye, mere lovlige samtykkeboks (den hvide variant) vises nu til alle brugere.

..og nu vi er i gang, kan det også nævnes at eventuelle afkrydsningsbokse for præference-, statistik- og marketingcookies ikke må være pre-afkrydsede, som de fx ironisk nok er her på version2.dk i skrivende stund :)

Indledende information om mulighed for tilbagetrækkelse af samtykke skal gives inden samtykke lovligt kan afgives"Information om, at et samtykke kan trækkes tilbage og måden, hvorpå dette kan ske, skal være givet, inden den registreredes samtykke indhentes.
Er der ikke givet tilstrækkelig information om muligheden for at trække samtykket tilbage, kan selve samtykket ikke anses for gyldigt". [1] (side 14, andet tekstafsnit efter Eksempel 13).

Mine kommentarer: Kravet må vel forstås således, at der overhovedet ikke må sættes cookies (undtagen de, der er nødvendige til rent tekniske formål) førend der er informeret om: a) at tilbagetrækning af samtykke er mulig, samt b) hvordan denne tilbagetrækning skal foregå.

Afgivelse af et gyldigt samtykke kræver at kun teknisk nødvendige cookies må være forudafkrydset"… et forudafkrydset felt ikke kan udgøre et gyldigt samtykke, fordi brug af cookies på internetsider kræver en aktiv handling hos brugeren.". [2], Kapitel 5, afsnittet Samtykke kræver en aktiv handling fra brugeren.

Et tidligere afgivet samtykke skal kunne trækkes tilbage”Den registrerede kan på et hvilket som helst tidspunkt trække sit samtykke tilbage. Det er den dataansvarliges opgave at sikre sig, at de registrerede kan trække deres samtykke tilbage på en enkel og lettilgængelig måde. Det skal være lige så let at trække sit samtykke tilbage som at give det, men det er ikke et krav, at tilbagekaldelse skal ske på samme måde, som samtykket oprindeligt er givet.”. [1] (side 14, første tekstafsnit).

CookietyperTekniske cookies: ”Det er ikke et krav, at hjemmesider giver information om brugen af tekniske cookies eller beder om dit samtykke til at bruge disse.”.Statistikcookies: ” Det er dog et krav, at hjemmesidens ejer informerer om og beder om samtykke”.Personaliserede cookies: ”En hjemmeside, der indsamler oplysninger ved hjælp af cookies for at skabe personaliseret indhold, skal informere om dette og indhente dit samtykke hertil.”.Markedsføringscookies: ”En hjemmeside skal informere om og indhente samtykke, når der bruges markedsføringscookies.”. [3].

Brugeren skal have oplysninger om udløbsdato for cookies”… brugeren skal have oplysninger om cookies funktionsvarighed (udløbsdato)”. [2], Kapitel 5, afsnittet Krav om oplysning om cookiers funktionsvarighed.

En hjemmeside kan anvendes uden at samtykke er afgivet”… den fortsatte anvendelse af en hjemmeside kan derimod ikke opfattes som et aktivt tilvalg og kan derfor ikke udgøre et gyldigt samtykke”. [4] (afsnit 2.4.4, tredje tekstafsnit).

EU-domstolens afgørelseHele dommen som ligger til grund for vejledningerne kan læses på [5].

Referencer[1] Datatilsynets publikation: Vejledning – Samtykke – September 2019 (https://www.datatilsynet.dk/media/6562/samtykke.pdf) angiver i afsnit 3 - Retten til at tilbagekalde et samtykke.

[2] Erhvervsstyrelsens vejledning af 2019-12-10, version 3.0, Bekendtgørelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr, ”Cookiebekendtgørelsen” (https://erhvervsstyrelsen.dk/vejledning-cookiebekendtgoerelse).

[3] Mød de væsentligste cookietyper (https://erhvervsstyrelsen.dk/mod-de-vaesentligste-cookietyper).

[4] Datatilsynets publikation: Behandling af personoplysninger om hjemmesidebesøgende - Vejledning - Februar 2020 (https://www.datatilsynet.dk/media/7958/vejledning-om-behandling-af-personoplysninger-om-hjemmesidebesoegende.pdf).

[5] EU-dommen, som ligger til grund for vejledningerne kan læses på: http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=DA&mode=req&dir=&occ=first&part=1&cid=527313.

Der ER tusindvis af samtykkebokse, som ikke 100% overholder reglerne. Også mange større virksomheder og nyhedsmedier i DK.

En vigtig ting der ofte overses (læs: ignoreres) er, at det skal være lige så let at afvise, som at acceptere funktionelle, statistik og marketing cookies. Netop dette overholder mange af de større medier og virksomheder ikke, selvom flere dog har forbedret cookiebannerne.

Jeg er ikke helt skarp i de der regler vedr. "Cookie-warning/indsamling af oplysninger", men betyder det så, at samtykkeboksene som fx. dem på eb.dk, bt.dk, fck.dk og lego.dk også er "ulovlige", fordi at man ikke med et enkelt klik kan vælge "Afvis alle/Kun nødvendige" cookies?

Hvis ja, så betyder det jo, at tusindvis af danske hjemmesider har ulovlige samtykkebokse... :/

Mon ikke der skal statueres et eksempel denne gang? Hvis de går fri, så fortsætter det blot med at være det vilde vesten, hvor man kan slippe med tilnærmelsesvis (eller slet ikke) at overholde lovgivningen på området.

Mon de også har prikket til TV2.dk ? Timingen med at de pludselig har knap til at afvise fremme er i hvert fald lidt påfaldende.