Datatilsynet og Datarådet kritiserer DMI's cookieløsning - det får stor betydning for netbutikker

Datatilsynet og Datarådet har kritiseret DMI's cookieløsning. FDIH og mange andre private og offentlige websites bruger en tilsvarende cookieløsning. FDIH's cookieløsning er nu lavet om for at imødekomme de nye krav fra Datatilsynet.

Lyt til FDIH's nye podcast, hvor Tina Morell kommenterer afgørelsen. Det er 10 minutter inde i podcasten.

Datatilsynet og Datarådet har kritiseret DMI's ”cookieløsning”, hvor man i selve banneret kun kan klikke OK til cookies eller vælge ”vis detaljer”, hvis man ikke ønsker at give samtykke til alle cookies. En sådan løsning opfylder ikke kravene til et gyldigt samtykke.

Datatilsynet har samtidig fundet anledning til at udarbejde en vejledning om behandling af personoplysninger om hjemmesidebesøgende og en Podcast, hvori Datatilsynet forklarer, hvad man skal være opmærksom på, når man behandler oplysninger om besøgende på en hjemmeside.

Hvad er det nye?

Det nye er først og fremmest, at muligheden for at give samtykke til cookies og behandling af personoplysninger skal være lige så tydelig som muligheden for at fravælge alle eller nogle cookies. Det er derfor ikke i orden, at den sidste mulighed præsenteres et klik væk.

"Afgørelsen har stor betydning for rigtig mange netbutikker og websites, da det er de færreste, der lever op til dette nye krav. Derfor skal mange nu i gang med at ændre på deres cookieløsning," siger Tina Morell, juridisk chefkonsulent i FDIH.

Datatilsynet har i øvrigt udtalt, at behandling af personoplysninger om besøgende på en hjemmeside i mange tilfælde kræver samtykke fra den registrerede.

"Det betyder, at man også skal indhente samtykke til behandling af personoplysninger om de besøgende på siden," forklarer Tina Morell.

Er oplysninger om besøgende på en hjemmeside personoplysninger?

Hvis man er i stand til at ”udpege” eller skelne en bestemt persons færden fra andre personers færden på en hjemmeside eller på tværs af hjemmesider, behandler man personoplysninger om den pågældende – også selvom man ikke kender personens nøjagtige navn og identitet.

Samtykke til cookies og til behandling af personoplysninger

Lagring og indsamling af cookies kræver samtykke fra den registrerede. Det ved vi allerede, men ofte bliver den information, der gemmes i en cookie, sendt videre fra brugerens udstyr til hjemmesideejeren eller tredjeparter. Når informationen udgør persondata, gælder GDPR for denne videre behandling.

Datatilsynet udtaler, at denne videre behandling kræver et behandlingsgrundlag. Behandlingsgrundlaget kan i nogle tilfælde være ”Interesseafvejningsreglen”, men i andre tilfælde vil ”interesseafvejningsreglen” ikke kunne bruges som behandlingsgrundlag. Det er fx tilfældet, hvis der indhentes detaljerede oplysninger om personen eller personen profileres.

I så fald kan disse personoplysninger kun behandles og videregives med et samtykke fra den registrerede.

Samtykke til cookies og samtykke til behandling og videregivelse af personoplysninger kan indhentes samtidig, hvis samtykket er gyldigt og dækkende for begge behandlinger.

Kravene til et samtykke

Det skal sikres, at samtykket er en frivillig, specifik, informeret og utvetydig viljestilkendegivelse. Hvis personoplysninger anvendes til flere formål, skal den registrerede kunne vælge, hvilke formål han eller hun ønsker at give samtykke til.

Muligheden for at acceptere cookies og behandling af personoplysninger eller at afvise cookies skal gives ligeværdigt og med samme meddelelseseffekt. Det er ikke godt nok, når man skal et eller flere klik ned for at fravælge cookies/videregivelse af personoplysninger.

 

Hvad gør vi nu:

  • Alle skal i gang med at se på deres cookieløsninger. Er muligheden for at afvise eller acceptere cookies ligeværdigt fremstillet?
  • Alle skal vurdere hvilke personoplysninger, der indsamles om hjemmesidebesøgende, hvilken rolle hjemmesiden har i den forbindelse og hvilket behandlingsgrundlag, der er for at behandle oplysninger om de besøgende. I den forbindelse bør oplysningerne i persondatapolitikken revurderes.

Foreningen for Dansk Internethandel er i gang med øvelsen nu. Cookieinformation er også i gang med at opdatere deres cookieløsninger, som allerede nu kan hentes på hjemmesiden.

 Datatilsynets vejledning om behandling af personoplysninger om hjemmesidebesøgende

Lyt til podcasten hos Datatilsynet

Læs afgørelsen i sagen mod DMI

 

Hvad med os, der bruger FDIH’s cookieløsning hos Cookie Information?

FDIH er i dialog med Cookie Information. Her er, hvad de skriver til os.

Datatilsynets nye vejledning ’Behandling af personoplysninger om hjemmesidebesøgende’ udstikker nye og klare retningslinjer for samtykke pop-up’en. Den nye vejledning kræver en opdatering af den samtykkeløsning, som mange FDIH-medlemmer har på deres websites.

Til dette formål er Cookie Information i gang med at lave nye samtykke pop-ups, der overholder den nye vejledning. Der vil blive udsendt mere information om disse løbende. Et eksempel på en sådan løsning kan ses på cookieinformation.com

Det vil være muligt for alle FDIHs medlemmer at skifte til den nye standard pop-up inde fra Cookie Informations platform her  - hvis der er nogle udfordringer med at logge ind her kan man skrive til support@cookieinformaion.com

Den nye cookie pop-up hedder “Overlay v2”. Man kan se hvordan man skifter til denne template her

Denne vil dog ikke blive tilpasset det design jeres nuværende pop-up har hvis I har fået lavet et specialdesign. Ønsker i den nye pop-up med et special design kan I kontakte Cookie Information på customer@cookieinformation.com  

Desuden vil Cookie Information løbende afholde webinarer som man kan tilmelde sig her. 

Hvis der er nogle spørgsmål er alle selvfølgelig altid velkommen til at skrive til Cookie Informations support på support@cookieinformation.com

Kommentarer

19. feb 2020 Karsten

Interessant. Spørgsmålet er så - den information der er indsamlet på den "gamle" måde - skal det så slettes?

19. feb 2020 Tina Nielsen

Hej Karsten Det er et godt spørgsmål. Mit umiddelbare svar vil være ja, for de samtykker, der allerede er indsamlet er alligevel ikke gyldige, hvis samtykkerne ikke har levet op til kravene. Det er noget vi vil se nærmere på.

19. feb 2020 Kasper

Hvad skal der specifikt ske når en besøgende trykker på "accepter ikke"? Hvordan skal vi rent teknisk lade dem fortsætte på sitet? Eller skal de bare ikke tillades adgang hvis ikke de accepterer cookies?

19. feb 2020 Tina Nielsen

Hvis en besøgende afviser cookies, skal I holde alle cookies tilbage - bortset fra de cookies, der får siden til at fungere. I må dog godt sætte en cookie, der husker kundens valg. Nej, I må formentlig ikke lave cookiewalls, for man må ikke betinge salg af varer og ydelse af, at kunden giver samtykke til cookies eller behandling af persondata.

19. feb 2020 Karsten

@Tina - Det er spændende, hvor har man styr på de data:) . Dertil så hvis man sletter alt, så måske kommunikere med kunden, hvis man kan.... det må få stor betydning for targetted add at man skal slette alt previous data. ..... Det kan jo være folk har sagt ja, og er ok........ spændende.

19. feb 2020 Berit Brinell

Hvis ikke kunden accepterer at vi behandler persondata, så er vi vel ikke i stand til at betjene kunden (levere en vare/ydelse og fakturere for denne)? I.f.t. regnskabsloven skal vi vel også opbevare regnskabsmateriale (herunder information om kunden) i 5 år, eller hvad?

19. feb 2020 Tina Nielsen

Hej Berit Den nye udtalelse fra Datatilsynet vedrører kun de oplysninger I indsamler via cookies og andre teknologier om besøgende på jeres side . De personoplysninger, I indsamler, når en kunde køber jeres varer, har I nogle andre "lovgrundlag" for at behandle. De grundlag kan være "opfyldelse af aftalen" og "fordi det er et krav efter fx bogføringsloven". Her vil det være uhensigtsmæssigt at bruge samtykke. Jeg vil gerne forklare det nærmere, når vi på et tidspunkt taler sammen. :-)

24. feb 2020 Chr. H. Brix

Har man nogen idé om, hvad "fristen" er for at overholde de nye retningslinjer? Går ikke ud fra, at der er nogen officiel deadline, men kan man sige noget om, hvad man ellers har oplevet af tidshorisonten for at rette ind efter retningslinjer i den slags sager?

24. feb 2020 Tina Nielsen

Det er svært at sige. Datatilsynet siger selv, at de ikke vil fare ud med det samme for at kontrollere, om de dataansvarlige lever op til reglerne. Det har jo været en vanskelig vurdering, og det vil tage noget tid at få på plads. Jeg vil umiddelbart gætte på, at der vil gå et halvt års tid før Datatilsynet på eget initiativ vil kontrollere, om der er styr på det. Men når det er sagt, så må man også huske på, at der kan komme en klage til Datatilsynet, som gør, at de tager sagen op alligevel.

Skriv kommentar
Har du brug for hjælp?
?
Send os et spørgsmål

Hvis du har et spørgsmål, så efterlad os en besked og vi vil svare tilbage hurtigst muligt.

Tak for din besked! Der skete en fejl, prøv igen
Vores persondatapolitik