I starten af 2020 afgjorde Datatilsynet en sag vedrørende DMI’s behandling af personoplysninger om hjemmesidebesøgende. I den forbindelse opdaterede Datatilsynet ligeledes sin vejledning om emnet, ligesom Erhvervsstyrelsen også opdaterede sin vejledning på området. Her blev særligt kravene til et gyldigt samtykke skærpet. For yderligere uddybning af emnet kan du læse vores nyhed fra marts her.
Datatilsynet udtalte dengang, at man ved de kommende tilsyn ville tage hensyn til, at det var helt nyt, at Datatilsynet tog stilling til dette område. Eftersom der er gået mange måneder siden da, må det antages, at Datatilsynet ikke længere vil tage særligt hensyn til de dataansvarlige på dette område.
Derfor er det vigtigt, at du som dataansvarlig sikrer dig, at du rent faktisk overholder reglerne på området.
Overordnet set findes der 4 forskellige typer af cookies.
Når du som dataansvarlig indsamler samtykke til behandling af personoplysninger, er det ikke lige meget, hvordan det sker. Samtykket skal være en frivillig, specifik, informeret og utvetydig viljestilkendegivelse.
Frivillighed
Kravet om frivillighed ved afgivelsen af samtykket indebærer, at der for den besøgende på hjemmesiden skal være et reelt valgt. Hvis der eksempelvis alene er mulighed for at acceptere, men ikke afslå, har det ikke været et frit valg, og et samtykke givet i en sådan situation vil derfor ikke være gyldigt.
Det gælder endvidere, at det skal være muligt at acceptere hvert enkelt formål hver for sig. Hvis man som hjemmeside benytter sig af alle 4 ovenstående typer af cookies, skal det altså være muligt at acceptere/afslå brugen af dem hver for sig.
Specifik
At samtykke skal være specifikt betyder, at det skal være præcist og velafgrænset. Hvis du ved indsamling af samtykke har udformet din tekst mere generel, således at angivelsen af formålet med indsamlingen og behandlingen af oplysninger er upræcis, vil kravene til samtykket ikke være opfyldt. Når du indhenter samtykke til indsamling af oplysninger om hjemmesidebesøgende, er det derfor vigtigt, at du gør det specifikt til dette formål, i stedet for at samle det sammen med en masse andre informationer.
Informeret
Inden den hjemmesidebesøgende giver sit samtykke, skal du som dataansvarlig give en række oplysninger.
For det første skal der gives oplysninger om den dataansvarliges identitet. Hvis der benyttes plug-ins fra tredjeparter, er de ligeledes dataansvarlige, hvorfor de også skal nævnes. Alle dataansvarlige skal nævnes ved navn. Det er vigtigt at være opmærksom på, at det er den dataansvarliges identitet, der skal fremgå. Man kan derfor ikke angive eventuelle hjemmesider, kaldenavne eller produktnavne.
Denne information skal indgå i det første informationslag, som brugeren møder.
Der skal endvidere gives oplysninger om formålet med den påtænkte behandling, og disse oplysninger skal ligeledes gives i det første informationslag. Det er vigtigt, at selve formålet fremgår klart. Det er ikke tilstrækkeligt at oplyse om, at der sker indsamling, registrering eller anden behandling af personoplysninger.
Derudover skal det oplyses hvilke typer oplysninger. der behandles, ligesom der skal oplyses om retten til at trække samtykket tilbage.
Hvis det er relevant for behandlingen af personoplysningerne, skal der ligeledes informeres om risici ved overførsler til usikre tredjelande, samt om anvendelse af automatiske afgørelser.
Der er endvidere en række krav til, hvordan selve informationen skal udformes. Informationen skal være klar og kortfattet, i et sprog som ikke give mulighed for fortolkning eller uklarheder. Sproget skal derudover være enkelt og almindeligt. Det betyder. at man skal undgå komplekse sætnings- og sprogstrukturer, ligesom man skal undgå unødvendig teknisk eller juridisk sprogbrug.
Informationen skal gives særskilt, og må derfor ikke være ”skjult” som en del af nogle almindelige betingelser/brugervilkår.
Man må derimod gerne benytte sig af såkaldt lagdelt information. Det kan f.eks. ske ved, at brugeren indledningsvist bliver mødt med de vigtigste informationer, og derefter har mulighed for at få yderligere oplysninger i en rul-ud boks. Ofte vil dette være en god måde at gøre det på, da det gør informationen mere overskuelig for brugeren.
Utvetydig viljestilkendegivelse
Endelig skal samtykket kunne siges at være en såkaldt utvetydig viljestilkendegivelse. Der er her, der er sket ændringer.
For at opfylde denne betingelse kræves det, at brugeren af hjemmesiden foretager en aktiv handling. Det betyder, at man eksempelvis ikke må benytte sig af forud afkrydsede bokse, hvor brugeren skal foretage en aktiv handling for at afslå samtykke. Man må heller ikke længere benytte sig af metoden, hvor en fortsat benyttelse af hjemmesiden anses for et samtykke.
For afgivelse af samtykke kan det endvidere generelt siges, at det skal være lige så nemt at afstå fra at give samtykke, som det er at give det. Hvis det kræver ét enkelt klik at give samtykke, mens det kræver to klik at afslå, er denne betingelse ikke opfyldt. Man må heller ikke skubbe brugere i retning af at give samtykke, eksempelvis ved at boksen til accept er meget stor, mens boksen til at afslå er meget lille. Det skal ligeledes være lige så nemt at tilbagetrække et samtykke, som det er at give samtykket.
For hvert enkelt samtykke du indhenter, skal du kunne dokumentere en række forhold. For det første skal tidspunktet for samtykkets afgivelse dokumenteres, ligesom formålet med behandlingen skal dokumenteres. Hvis du benytter eller har benyttet forskelige løsninger til indhentelse af samtykke, skal selve samtykkeløsningen også dokumenteres. Dokumentationen af forskellige samtykkeløsninger kan eksempelvis foreligge i form af skærmbilleder.
Hvis du har brug for hjælp til at overholde reglerne om indsamling af personoplysninger om hjemmesidebesøgende, er du meget velkommen til at kontakte os.