Datatilsynets nye vejledning om 'Behandling af personoplysninger om hjemmesidebesøgende' skærper krav til hjemmesideejere – Bird & Bird har udarbejdet en tjekliste

I sidste uge barslede Datatilsynet med en længe ventet vejledning om Behandling af personoplysninger om hjemmesidebesøgende. Vejledningen har særligt fokus på den indsamling og behandling, der sker på hjemmesider ved brug af cookies og andre lignende teknologier.

I dette spændfelt kompliceres overholdelsen af reglerne af, at det er to forskellige regelsæt, der sætter kravene, og to forskellige myndigheder, der påser reglernes overholdelse.

Brugen af cookies og lignende teknologier reguleres af 'Cookiebekendtgørelsen' og påses af Erhvervsstyrelsen, mens den behandling af personoplysninger, der sker ved hjælp af cookies mm. reguleres af Databeskyttelsesforordningen (GDPR) og Databeskyttelsesloven, og påses af Datatilsynet.

Med Datatilsynets egne ord, vil det ofte være relevant at forholde sig til begge regelsæt samtidigt, da det omhandlede samtykke i praksis indhentes på en og samme tid.

Datatilsynets – måske lidt for bastante - holdning er nemlig, at "Henset til de(t) typiske formål med behandling af personoplysninger om hjemmesidebesøgende er den registreredes samtykke efter Datatilsynets opfattelse oftest det mest passende behandlingsgrundlag i denne sammenhæng".

Resultatet er, at hjemmesideejere i mange tilfælde i et og samme samtykke skal opfylde både Erhvervsstyrelsens og Datatilsynets krav. Og det er ikke nødvendigvis en nem opgave.

På den baggrund er det ikke hensigtsmæssigt, at de to myndigheder synes at fortolke samtykkekravet forskelligt. Lige så uheldigt er det, at ingen af de forslag til samtykketekster, som de to myndigheder fremhæver i deres respektive vejledninger forekommer at opfylde kravene i begge regelsæt.

Tjeklisten over ting du som hjemmesideejer skal overholde for at være sikker på at opfylde begge regelsæt er hverken blevet kortere eller nemmere at leve op til:

1. Skab et overblik over hvilke cookies din hjemmeside sætter eller tilgår, når en bruger besøger siden. Brug gerne et af de tilgængelige værktøjer til scanning af hjemmesiden. Mange bliver overrasket over, hvor mange cookies deres hjemmeside sætter, og hvem der sætter dem. Få også et overblik over hvilke andre teknologier hjemmesiden gør brug af til indsamling og behandling af personoplysninger.
    
2. Sætter siden cookies, der ikke er brug for, eller indsamler siden personoplysninger, der ikke er nødvendige, så bring det til ophør
   
   
3. Skab et overblik over hvem – udover dig selv – der sætter eller læser cookies fra din side – og ikke mindst hvad formålet er. Ved du ikke, hvem der sætter en cookie eller til hvilket formål – så bloker den.
   
   
4. Få overblik over om- og i så fald hvilke personoplysninger, der indsamles ved hjælp af cookies eller andre teknologier.
   
   
5. Vurder om de tredjeparter, der sætter cookies også indsamler personoplysninger, og om de i så fald gør det som databehandler for dig – eller som fælles dataansvarlig.
   
   
6. Du skal sikre dig at der er indgået databehandleraftaler med dine databehandlere og aftaler om fælles dataansvar med de tredjeparter du giver adgang til at indsamle personoplysninger på din hjemmeside.
   
   
7. Adgangen til at placere og tilgå cookies vil altid være brugernes samtykke – men overvej om den behandling af persondata, der sker, kan begrundes på andet retsgrundlag end samtykke.
   
   
8. Hvis din indsamling og behandling af persondata også kræver brugernes samtykke, så skal du sikre at din samtykkeløsning opfylder både cookiekravene og persondatakravene.
    
9. Opdater informationen i din samtykketekst, så den både opfylder kravene efter Cookiebekendtgørelsen og Databeskyttelsesreglerne, så der som minimum i et klart sprog oplyses om:
   
   1. Din identitet – oplys dit CVR.nr.
   2. At du bruger cookies og behandler personoplysninger. Pas på med de eksisterende samtykkeløsninger, som næsten undtagelsesvist udelukkende signalerer, at der er tale om samtykke til cookies.
   3. Formålet med de cookies, der sættes eller tilgås, og formålet med de personoplysninger, der indsamles og viderebehandles – Alle formål skal oplyses.
   4. Hvilke oplysninger, der vil blive behandlet til hvert formål
   5. Hvem sætter og tilgår cookies – både dig selv og de tredjeparter, der sætter eller tilgår cookies via din side – identificer alle tredjeparter der sætter eller tilgår cookies.
   6. Oplys om tredjeparter er fælles dataansvarlige med dig.
   7. Funktionsvarigheden af de cookies din side sætter – anfør udløbstidspunkt.
   8. Oplys om retten til at trække samtykke tilbage – og fortæl hvordan en bruger, der har givet samtykke til cookies, kan trække sit samtykke tilbage. Det skal være lige så nemt at trække samtykke tilbage, som at give samtykke.
   9. Skal samtykket også være grundlag for automatisk behandling af personoplysninger (GDPR art. 22, stk. 2 litra c), eller for overførsel til usikre tredjelande (GDPR art. 49, stk. 1 litra a), skal der også oplyses om det.

   Alle disse oplysninger skal gives i samtykketeksten. Datatilsynet vil dog acceptere at oplysninger om tredjeparter, der er dataansvarlige kan gives i et 'mouse over' eller i et link, højst 'et-klik-væk'. Oplysning om cookies funktionsvarighed kan også gives via link

    

10. Sørg for at give informationen, inden du indhenter samtykke – og at informationen efterfølgende fortsat er tilgængelig på hjemmesiden.
     
11. Sørg for at din hjemmeside ikke sætter den første cookie og ikke indsamler og behandler personoplysninger før end den enkelte bruger har givet samtykke. Det er dog ok at sætte nødvendige funktionscookies inden der gives samtykke.
     
12. Samtykket skal indhentes ved en aktiv viljestilkendegivelse – f.eks. ved at der sættes et hak i et samtykkefelt. Undlad brug af passivt samtykke: Den blotte fortsatte brug af siden er ikke nok til at udgøre et samtykke.
    
    1. Undlad brug af på forhånd afkrydsede felter, der gør at brugeren skal fjerne et hak for at undgå, at der sættes eller tilgås cookies.
    2. Det skal være let for brugeren at give samtykke til nogle formål og ikke give samtykke til andre. Du må altså ikke nøjes med at indsamle et samtykke dækkende flere formål. Behandling til analyse og til målrettet markedsføring er eksempelvis to forskellige formål.
    3. Det skal være nemt ikke at give samtykke - også rent visuelt. Der skal med samme meddelelseseffekt gives adgang til at afslå visse eller alle formål. Du skal med andre ord have en 'Nej tak' mulighed, der er ligeså iøjnefaldende som din 'Accept' mulighed. Det indebærer brug af samme skrifttype og skriftstørrelse og ligeså iøjnefaldende farve og placering.
    4. Bruger du 'skydeknapper' så sørg for at det er klart for brugeren i hvilken position skyderen signalere ja og i hvilken skyderen signalerer nej.
        
13. Giv dine brugere en lige så nem adgang til at trække samtykke tilbage, som det var at give det. F.eks. ved at have et tydeligt og sigende link i toppen eller bunden af hjemmesiden, hvor hjemmesidebesøgende når som helst kan trække et samtykke tilbage.
    
    
14. Sørg for at du kan dokumentere det afgivne samtykke. Det indebærer at du skal registrere:
    1. tidspunktet, hvor samtykke blev givet,
    2. hvilken type eller version af samtykkeløsningen, der blev benyttet til at indhente samtykket, og
    3. hvilke(t) formål med behandlingen af personoplysninger, den registrerede har givet samtykke til.

Vær opmærksom på at hovedparten af de samtykkeløsninger, der i dag gøres brug af på hjemmesider – endnu – ikke opfylder de anførte krav. Tag fat i din leverandør, hvis de ikke allerede har taget fat i dig.

Uanset at der ikke er sket ændringer i de bagvedliggende regler, udtaler Datatilsynet at det er nyt, at Datatilsynet tager specifikt stilling til området og at Datatilsynet i tilrettelæggelsen af den kommende tilsynsplan, vil tage højde for at hjemmesideejere skal have en fair chance for at læse vejledningen og indarbejde eventuelle ændringer. Det er ikke oplyst hvor lang denne fredningsperiode varer, og alle hjemmeside ejere opfordres til at implementere løsninger, der opfylder kravene. Derudover har Datatilsynet ikke afskåret sig fra at håndhæve reglerne i forbindelse med konkrete klagesager, hvor tilsynet kan komme frem til, at reglerne er blevet overtrådt.

Kontakt Bird & Bird for en drøftelse af, hvorvidt din hjemmeside lever op til kravene.