Nyheder

DMI’s cookiepolitik kritiseres i ny, principiel afgørelse fra Datatilsynet

Sagens omstændigheder og vigtige spørgsmål

Danmarks Meteorologiske Institut (DMI) har siden 2004 haft bannerannoncer på deres hjemmeside. DMI har bl.a. gennem disse bannerannoncer bidraget til indsamling og videregivelse af personoplysninger om hjemmesidens besøgende til Google.

På DMI’s hjemmeside blev de besøgende mødt med en samtykkeløsning, hvor brugerne fik to valgmuligheder: ”OK" og ”Vis detaljer”.

Ved at klikke ”OK” gav de besøgende deres samtykke til flere forskellige behandlingsformål, herunder indsamling af personoplysninger med henblik på at danne statistik af de besøgendes brug af DMI’s hjemmeside samt til brug for adfærdsbasseret markedsføring, så hjemmesidens annoncer kunne målrettes til den enkelte besøgende. Ved at klikke på ”Vis detaljer” fik de besøgende mulighed for at klikke på ”Opdater samtykke” for på den måde at afslå at give sit samtykke.

DMI’s bannerannoncer fra blandt andet Google Ad Exchange og DMI’s måde at indhente samtykket på resulterede i en klage til Datatilsynet.

Klageren anførte, at DMI måtte anses som fælles dataansvarlig med Google for indsamlingen og videregivelsen af personoplysninger om besøgende på DMI’s hjemmeside. Derudover var det klagerens opfattelse, at DMI’s samtykkeløsning ikke opfylder databeskyttelsesforordningens krav til et samtykke, blandt andet fordi det ikke fremgår hvilke tredjeparter, herunder Google, personoplysningerne videregives til. Desuden anførte klageren, at samtykkeløsningen gjorde brug af forudafkrydsede felter.

Datatilsynet tager med afgørelsen stilling til:

  • DMI’s fremgangsmåde til indhentelse af samtykke for behandling af personoplysninger om klager
  • DMI’s behandling af personoplysninger om besøgende på deres hjemmeside.

Sagens resultat

Datatilsynet udtaler alvorlig kritik af DMI’s behandling af personoplysninger om besøgende på deres hjemmeside og konstaterer, at den benyttede samtykkeløsning ikke opfylder databeskyttelsesforordningens krav til et gyldigt samtykke eller det grundlæggende princip om lovlighed, rimelighed og gennemsigtighed. 

I afgørelsen lagde Datatilsynet vægt på, at meddelelseseffekten for at afgive sit samtykke eller afslå at afgive sit samtykke ikke var ligevægtigt. Den besøgende skulle gennem en ”ét-klik-væk”løsning for at afslå at give sit samtykke. Denne løsning er ifølge Datatilsynets afgørelse hverken tydelig eller gennemsigtig nok for hjemmesidens besøgende. De besøgende må altså med andre ord ikke indirekte skubbes mere i retningen af at give sit samtykke end til at afslå at give sit samtykke. 

Endvidere fandt Datatilsynet, at DMI’s behandling af personoplysninger om klageren ved indsamling og videregivelse til Google var i strid med databeskyttelsesforordningen, da hverken DMI eller Google har haft behandlingsgrundlag hertil, fordi de besøgende ikke havde givet deres samtykke dertil, og der ikke kunne etableres et andet gyldigt behandlingsgrundlag. 

Den omtalte afgørelse kan læses i sin fulde længde her

Sagens praktiske betydning, herunder Datatilsynets nye vejledning

Datatilsynets afgørelse får konsekvenser for alle de hjemmesider, som behandler personoplysninger om deres besøgende. Når der behandles personoplysninger om besøgende på en hjemmeside, vil det retlige grundlag for behandlingen som oftest være et samtykke. Dette samtykke skal opfylde betingelserne for et gyldigt samtykke efter databeskyttelsesforordningen.  

Nogle af de væsentligste punkter, der følger af Datatilsynets afgørelse og den nye vejledning på området, er:

  • Når en besøgende på din hjemmeside giver lov til, at personens oplysninger må behandles af dig eller af en tredjepart, skal det være et aktivt valg.
  • Det skal være klart, hvilke forskellige formål du eller den pågældende tredjepart vil behandle oplysningerne til.
  • Hvis der er flere forskellige formål, skal det være let for den besøgende at give samtykke til nogle formål og ikke til dem alle.
  • Det skal være nemt at afslå at give sit samtykke - også rent visuelt i form af samtykke pop-up, samtykkebokse mv. ”Ét-klik-væk-løsninger” er med andre ord ikke længere brugbare.
  • Du skal kunne dokumentere, hvad en besøgende har givet samtykke til - og hvordan samtykket er indhentet hos den besøgende.

Datatilsynets vejledning om behandling af personoplysninger om besøgende på hjemmesider kan findes her

Som supplement og introduktion til vejledningen har Datatilsynet lavet en podcast, som du kan høre her.

Har du brug for vores hjælp?

Har du spørgsmål til din behandling af personoplysninger om dine hjemmesidebesøgende eller til databeskyttelse generelt, er du altid velkommen til at kontakte en af DAHLs eksperter. Vi yder professionel rådgivning på området.

Tilmeld dig nyhedsbrevet DAHL Nyt

Modtag vores nyhedsbrev og bliv opdateret på juridiske emner og nye kurser.

Læs betingelser

Vilkår for modtagelse af nyhedsbrev 

Hvem udsender nyhedsbrevet?

Nyhedsbrevet er en service, der udbydes af DAHL Advokatfirma. Vores fulde kontaktoplysninger er:

DAHL Advokatpartnerselskab
Lundborgvej 18
8800 Viborg
CVR. nr.: 37 31 00 85

Hvilke oplysninger indsamles om mig?

DAHL Advokatfirma indsamler alene din oplyste e-mailadresse og dit navn – dette er alt, vi behøver for at kunne sende dig nyhedsbreve.

Vores it-system indsamler i anonymiseret form oplysninger om dit brug af nyhedsbrevet – herunder om vores nyhedsbrev bliver åbnet, hvor lang tid mailen er åben, om der klikkes på links samt hvornår e-mailen slettes igen.

Du skal herudover være opmærksom på, at hvis du klikker på links i nyhedsbrevet til vores hjemmeside, kan vi indsamle yderligere oplysninger om dig, hvis du accepterer at vores hjemmeside bruger cookies.

Hvad bruger vi dine oplysninger til?

Når du tilmelder dig vores nyhedsbrev, bruger vi din e-mailadresse til at udsende nyhedsbreve, tilbud og andet markedsføringsmateriale til dig. Vi kan endvidere bruge din e-mailadresse til at udsende orienterende e-mails omkring DAHL Advokatfirma eller vores nyhedsbrev.

Herudover anvender vi ikke din e-mailadresse og dit navn.

Vores brug sker alene på grundlag af dit samtykke, jf. Databeskyttelsesforordningen art. 6(1)(a).

De oplysninger vi indsamler om din brug af nyhedsbrevet bruger vi til at forbedre vores service, så vi i fremtiden kan blive endnu bedre til at målrette og tilpasse indholdet efter dine interesser.

Oplysninger om din brug af nyhedsbrevet bruger vi herudover til statistiske formål i anonymiseret form.

Dine oplysninger behandles fortroligt og sikkert

Vi opbevarer dine oplysninger fortroligt og sikkert. Vi har implementeret de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at dine oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondatalovgivningen.

Vi bruger en underleverandør til vores drift af IT. Vi har sikret, at vores IT-udbyder er underlagt samme forpligtelse, og at de alene handler på vores instruks.

Hvor ofte udsendes nyhedsbreve?

Vi udsender vores nyhedsbrev, når vi mener, at vi har noget vigtigt eller nyt at fortælle dig. Nyhedsbrevet udkommer ikke med faste intervaller, og det er derfor forskelligt, hvor ofte du kan forvente at modtage nyhedsbreve fra os. Vi bestræber os dog på at begrænse antallet, så vores nyhedsbreve ikke fylder hele din indbakke.

Vi videregiver ikke dine oplysninger

Vi videregiver ikke dine oplysninger til andre i kommerciel henseende. Vi videregiver kun oplysninger, hvis vi er forpligtet til det efter loven, eller hvis vi forpligtet til det efter en retskendelse.

Du kan altid rette eller ændre dine kontaktoplysninger

Du kan til enhver tid ændre eller rette i dine kontaktoplysninger (din e-mailadresse og navn) ved at afmelde dig nyhedsbrevet, og derefter tilmelde dig igen eller ved at sende en e-mail til tvc@dahllaw.dk

Det er beskrevet nedenfor, hvordan du framelder dig vores nyhedsbrev.

Du kan altid afmelde dig yderligere henvendelser

Du kan til enhver tid trække dit samtykke tilbage og framelde dig nyhedsbrevet. Når du har frameldt dig nyhedsbrevet, modtager du ikke yderligere fra os, medmindre du har givet andet samtykke til, at vi må henvende os til dig. Vi sender dig dog en bekræftelse på, at vi sletter dig fra modtagerlisten for vores nyhedsbrev, og vi sletter derefter din e-mailadresse og dit navn i vores modtagerliste af nyhedsbrevet.

Nyhedsbrevet kan afmeldes ved at klikke på ”afmeld nyhedsbrev” linket, som er indeholdt i hvert nyhedsbrev, du modtager fra os. Du kan også afmelde nyhedsbrevet ved at sende en e-mail til tvc@dahllaw.dk, hvori du oplyser navn og e-mailadresse.   

Hvor længe opbevarer I oplysningerne om mig?

Vi opbevarer og behandler din e-mailadresse og dit navn lige så længe, som du er tilmeldt vores nyhedsbrev. Hvis du afmelder dig fra nyhedsbrevet, sletter vi din e-mailadresse og dit navn.

Hvis du framelder dig vores nyhedsbrev, anonymiseres alle statistiske data om din brug af nyhedsbrevet. Anonymiseringen sker på en sådan måde, at det ikke efterfølgende er muligt at deanonymisere oplysningerne igen.

Dine øvrige rettigheder efter persondatalovgivningen

Efter persondatalovgivningen kan du anmode os om indsigt i, hvilke oplysninger vi behandler om dig.

Hvis du er uenig, i den måde vi behandler oplysninger om dig på, kan du klage til Datatilsynet.

Du modtager nu DAHL Nyt

Forretningsområder du ønsker info om:

  • Intet valgt

Din information

Accepter betingelserne