Datatilsynet udgiver nye retningslinjer om behandling af personoplysninger om hjemmesidebesøgende

Datatilsynet har på baggrund af en konkret sag, hvor Datatilsynet udtalte alvorlig kritik af en hjemmesides brug af bannerannoncer og cookies til brug for markedsføring, udgivet nye retningslinjer om behandling af personoplysninger om hjemmesidebesøgende, der giver anledning til at følge op på, om din virksomheds hjemmeside efterlever reglerne om cookies på internetsider.
Nyhed
GDPR

Den konkrete sag

Datatilsynets nye retningslinjer kommer efter Datatilsynets principielle afgørelse af 11. februar 2020 om DMI’s behandling af personoplysninger og visning af bannerannoncer på instituttets hjemmeside, der opstod efter en konkret klage fra en besøgende på hjemmesiden.

Datatilsynet udtaler i afgørelsen alvorlig kritik af, at DMI’s hjemmeside var indrettet på en måde, så de besøgende skulle igennem flere undermenuer for at afslå at give samtykke til indsamling og videregivelse af brugernes personoplysninger til Google bl.a. til brug for målrettet markedsføring.

Datatilsynets afgørelse om DMI’s brug af bannerannoncer og cookies kan læses her.

EU-Domstolens domme 

Datatilsynets afgørelse er fin i tråd med EU-Domstolens præjudicielle domme af hhv. 29. juli 2019 (”Fashion ID”) og 1. oktober 2019 (”Planet49”). I sidstnævnte sag fastslog EU-Domstolen, at et gyldigt indhentet samtykke til cookies forudsætter en aktiv handling fra besøgende på hjemmesiden side, og altså ikke blot de besøgendes brug af hjemmesiden (Lund Elmer Sandager har tidligere udgivet en nyhedsartikel om EU-Domstolens afgørelse i Planet49-sagen, som du kan læse her).

Datatilsynets nye retningslinjer

Datatilsynet har i de nye retningslinjer konkretiseret, hvad der skal til for, at et samtykke kan anses for gyldigt efter GDPR og Databeskyttelsesloven i relation til behandling af personoplysninger om hjemmesidebesøgende, hvor det bl.a. indskærpes, at det skal være nemt at afslå at give sit samtykke, f.eks. i form af pop-up-vinduer, samtykkebokse mv. ”Ét-klik-væk-løsninger” er ikke længere tilstrækkeligt.

Lund Elmer Sandagers kommentarer

I lyset af Datatilsynets nye retningslinjer anbefaler vi, at alle virksomheder, der anvender cookies på deres hjemmeside, gennemgår virksomhedens proces for at indhente (aktivt) samtykke fra brugerne af hjemmesiden til hjemmesidens brug af cookies og til videregivelse af brugernes personoplysninger, hvor det er påkrævet. I den forbindelse er det vigtigt at huske, at det er en forudsætning for at indhente gyldigt samtykke, at brugerne har modtaget de relevante oplysninger om hjemmesidens brug af cookies. Det kan f.eks. ske ved at oplyse om hjemmesidens brug af cookies i ”cookie-banneret” på hjemmesiden i kombination med en henvisning til udbyderens persondatapolitik. Det er også vigtigt, at hjemmesiden er indrettet på en måde, så brugerne af hjemmesiden let kan fravælge de cookies igen, som ikke er teknisk nødvendige. Mange virksomheder anvender i dag ”Ét-klik-væk-løsninger”, men det er altså ikke længere nok.

Datatilsynets nye retningslinjer er tilgængelige på Datatilsynets hjemmeside her.  

Har du brug for rådgivning om GDPR og for hjælp til at sikre, at du overholder reglerne i forhold til cookies på internetsider, er du velkommen til at kontakte Lund Elmer Sandagers specialister i GDPR og databeskyttelse, advokat Anders Linde Reislev eller associeret partner, advokat Torsten Hylleberg.