I februar fik DMI skældud af Datatilsynet for at vise målrettede bannerannoncer på www.dmi.dk uden at have indhentet et gyldigt samtykke hos brugerne.
Det vakte opsigt og det med rette. For næsten alle danske websites, der viser bannerannoncer, gjorde det samme som DMI.
Hovedparten af al onlineannoncering i Danmark skete på et ulovligt grundlag.
DMI rettede hurtigt ind. Men hvad gjorde alle de andre danske udgivere?
For at besvare det spørgsmål vil jeg skrue tiden til maj 2018, hvor GDPR lige var trådt i kraft.
Oprigtig forvirring
Der havde været megen snak om store bøder, og der herskede stor forvirring om, hvordan GDPR skulle fortolkes i alle mulige konkrete sammenhænge.
Hvad gjorde de danske udgivere dengang? Nogle opgraderede deres cookiesamtykkeboks med mere tekst og flere flueben. Mange gjorde ingenting.
Dengang skrev jeg til en lang række medier og påpegede, at deres behandling af personoplysninger for besøgende på deres hjemmeside var ulovlig.
Medierne svarede i øst og i vest. Jeg fik næsten ikke to enslydende svar på, hvorfor reglerne ikke gjaldt for dem.
Nogle af svarene gjorde mig klogere på, hvordan reglerne skulle forstås, mens andre var helt hen i vejret. Ingen nævnt, ingen glemt. Men det gennemgående svar var, at jeg var galt afmarcheret.
Det er min opfattelse, at udgiverne var oprigtigt forvirrede. Der var ikke megen hjælp at hente hos myndighederne. I den situation ville de fleste nok vælge at tolke reglerne på en måde, der ikke er alt for ubehagelig for dem selv.
Jeg udvalgte en enkelt udgiver, DMI, der efter min opfattelse handlede klart ulovligt. Mit mål var at få Datatilsynet til træffe en afgørelse, der kunne kaste lys over, hvordan reglerne skulle tolkes.
Jeg skrev til DMI flere gange og gav dem en chance for at rette ind. Det afviste de. Så i august 2018 klagede jeg til Datatilsynet.
18 måneder senere …
Alt godt kommer til den, der venter. Og en dag i februar 2020 dumpede omsider et langt brev fra Datatilsynet ind i min e-boks. De gav mig ret i, at DMI ikke overholdt reglerne.
Derudover rummede tilsynets afgørelse en detaljeret og konkret stillingtagen til, hvor man indhenter et gyldigt samtykke fra en besøgende på en hjemmeside. Det førte til, at Datatilsynet samtidig udgav et sæt retningslinjer for indhentning af samtykke.
Kort fortalt må det ikke være mere bøvlet at sige nej end at sige ja.
Så langt, så godt. Nu ved vi meget mere om, hvordan man skal indhente et gyldigt samtykke. Ikke blot til behandling af personoplysninger i henhold til GDPR, men (formentlig) også til at bruge cookies i henhold til cookiebekendtgørelsen. Erhvervsstyrelsen opdaterede da også kort efter sin vejledning til denne.
Stort set ingen onlinemedier lever op til reglerne. Endnu.
Ligesom i 2018 har jeg skrevet rundt til en række af dem og spurgt, hvad der sker. Ingen vil sætte dato på, hvornår de har en løsning parat. Men modsat i 2018 anerkender alle som en, at deres nuværende løsning ikke er lovlig.
Derfor tror og håber jeg, at vi inden længe vil se en række udgivere ændre deres samtykkeindhentning, så man nu har en fair chance for at sige nej tak.
Fortsættelse følger …
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
