Europæiske datatilsyn stiller skarpt på cookieløsninger og brug af Google Analytics

Det danske datatilsyn og andre europæiske datatilsyn har i øjeblikket stort fokus på, om virksomheders cookieløsninger lever op til reglerne i GDPR. Det omfatter bl.a. løsninger med Google Analytics og IAB’s standardløsning for cookies og annoncer, Transparency and Consent Framework (TCF), hvor meget tyder på, at danske virksomheder skal forberede sig på alternative løsninger.
Nyhed
GDPR

Cookieløsninger lever ikke op til GDPR

Virksomheder bruger i dag cookies til at måle kampagner og aktiviteter, målrette annoncer, lave statistikker mm. Mange virksomheder har stor gavn af de personoplysninger, der indsamles via cookies, og andre virksomheder af at sælge oplysningerne til tredjeparter, der kan benytte oplysningerne til bl.a markedsføring og statistik. Indsamlingen af personoplysninger via cookies har i øjeblikket stor opmærksomhed hos databeskyttelsesmyndighederne i Danmark og andre EU-medlemslande, hvor der nu er kommet flere afgørelser om, at cookie- og samtykkeløsninger, der ellers har været anerkendt som standardframeworks i Europa, ikke lever op til kravene i GDPR.

Europæiske afgørelser om Google Analytics og TCF vil også få betydning i Danmark

Det østrigske datatilsyn har for nyligt truffet afgørelse om, at virksomheders brug af Google Analytics ikke lever op til GDPR’s regler for tredjelandsoverførsler. Afgørelsen fra det østrigske datatilsyn, som bl.a. henviser til EU-Domstolens afgørelse i Schrems II-sagen, begrundes med, at Google ikke leverer en tilstrækkelig grad af supplerende foranstaltninger til at sikre, at personoplysninger behandles med et beskyttelsesniveau, der i det væsentlige svarer til beskyttelsesniveauet i EU. Brugen af Google Analytics kan ifølge det østrigske datatilsyn derfor ikke betragtes som lovlig i lande, der er omfattet GDPR-reglerne.

To nye afgørelser fra henholdsvis det belgiske og hollandske datatilsyn kan desuden få vidtrækkende konsekvenser for virksomheders fremtidige brug af det såkaldte TCF-framework udviklet af IAB Europe, som er en brancheforening for digitale annoncefirmaer i Europa. TCF-frameworket benyttes bl.a. til indsamling og formidling af samtykker til annoncering, herunder samtykker til brug af cookies og deling af data med tredjeparter.

Ifølge den belgiske afgørelse medfører brugen af TCF-frameworket en række overtrædelser af GDPR, herunder overholder løsningen ikke de grundlæggende principper for behandling af personoplysninger, hjemmelsgrundlag, oplysningspligt og behandlingssikkerhed. Det hollandske og franske datatilsyn bakker op om den belgiske afgørelse og har i den forbindelse anbefalet, at alle virksomheder omgående bør stoppe med at anvende TCF-løsningen.

Datatilsynet opfordrer til brug af alternativ løsning

I kølvandet på det belgiske datatilsyns afgørelse har det danske datatilsyn offentliggjort en udtalelse, hvor Datatilsynet opfordrer virksomheder til at få afklaret, om virksomhedens hjemmeside eller reklameplatform benytter TCF-frameworket. Hvis det er tilfældet, opfordrer Datatilsynet virksomheden til, sammen med sine annonceleverandører, at få skiftet til en løsning, der lever op til databeskyttelsesforordningen.

Datatilsynet understreger i den forbindelse, at man som dataansvarlig vil have ansvar for, at virksomhedens hjemmeside er indrettet i overensstemmelse med GDPR, herunder i forhold til anvendelse af cookies, indsamling af samtykker mv., også selvom man benytter samtykkeløsninger udviklet af en ekstern leverandør.

Datatilsynet erklærer DBA’s samtykkeløsning for cookies ugyldig

I takt med det øgede tilsyn har det danske datatilsyn for nyligt udtalt alvorlig kritik af DBA’s samtykkeløsning for cookies på deres hjemmeside, som ifølge Datatilsynet ikke lever op til de databeskyttelsesretlige regler. Det sker i forbindelse med, at der i februar kom nye retningslinjer på området. Afgørelsen begrundes i, at DBA bl.a.:

  • Behandlede personoplysninger via cookies til flere formål, og at det ikke var muligt for brugerne at klikke ”ok” til forskellige formål.
  • Ikke via samtykkeløsningen havde oplyst brugerne om, at deres personoplysninger blev videregivet til tredjeparter til brug for markedsføring.
  • Ikke klart og tydeligt i samtykketeksten i pop-up-vinduet havde angivet, på hvilket retsgrundlag personoplysningerne blev behandlet.
  • Ikke havde berettet om via samtykkeløsningen, hvordan brugerne tilbagekaldte deres samtykke.

Datatilsynet behandler løbende klager om behandling af personoplysninger på hjemmesider, men tager også selv sager som DBA-sagen op.

Du kan læse mere om afgørelsen her.

Lund Elmer Sandagers kommentar

Afgørelserne fra det belgiske og hollandske datatilsyn vil med stor sandsynlighed få konsekvenser for danske virksomheders fremtidige brug af Google Analytics og TCF-løsningen til indsamling af samtykker, og det er derfor vigtigt at undersøge, om din virksomhed benytter disse løsninger, og i givet fald overveje alternativer.  

Datatilsynet vil i 2022 føre aktivt tilsyn med bl.a. iagttagelse af oplysningspligt ved uanmodet henvendelse og behandling af personoplysninger om hjemmesidebesøgende. Det omfatter bl.a. behandling af personoplysninger via cookies og ved bannerreklamer.

Vi opfordrer derfor til, at virksomheder undersøger, om deres eksisterende persondata- og cookiepolitikker lever op til oplysningskravene i GDPR, herunder dækker behandling af personoplysninger til brug for markedsføring og annoncering via cookies.

Har du spørgsmål til de to nye afgørelser, eller har du brug for rådgivning om en løsning til din virksomhed, der lever op til kravene i GDPR, er du velkommen til at kontakte vores specialister  i IT-ret og GDPR partner, advokat Torsten Hylleberg, advokat Anders Linde Reislev eller advokat Emilie Ipsen.

Relaterede nyheder

Se alle nyheder
Nyhed

Datatilsynet sætter spot på behandling af personoplysninger ved internetkonkurrencer

Datatilsynet har i en nylig sag taget stilling til en virksomheds behandling og videregivelse af personoplysninger i forbindelse med udbud af internetkonkurrencer og spørgeskemaer.
GDPR
Nyhed

Lund Elmer Sandager styrker partnerkredsen med partnerudnævnelser fra egne rækker

Det er en stor glæde, at advokat Sebastian Rungby og advokat Torsten Hylleberg begge indtræder som ejerpartnere i Lund Elmer Sandager med tilbagevirkende kraft fra den 1. januar 2022.
GDPR
Nyhed

Datatilsynet indstiller til store GDPR-bøder

I løbet af sommeren 2021 har Datatilsynet indstillet bøder til tre offentlige myndigheder og to private virksomheder i niveauet 150.000-600.000 kr. for overtrædelse af GDPR-lovgivningen. Den nye størrelse af bødeindstillingerne udstikker vigtigheden af, at virksomheder sikrer et tilstrækkeligt sikkerhedsniveau ved behandling af personoplysninger.
GDPR
Nyhed

Nye Standard Contractual Clauses ved overførsler af persondata ud af EU/EØS

EU-Kommission har den 4. juni 2021 udstedt nye Standard Contractual Clauses (”SCC”) til brug ved overførsler af persondata ud af EU/EØS, hvilket f.eks. kan være til en (under)databehandler i USA.
GDPR
Nyhed

De europæiske datatilsyn fører nu tilsyn med overførsler af persondata til USA

Den 15. marts 2021 kom der en opsigtsvækkende afgørelse fra Tyskland i en sag om en tysk virksomhed, som benyttede det amerikanskejede nyheds- og marketingsselskab ”Mailchimp” til udsendelse af nyhedsbreve. Afgørelsen indebar, at virksomheden ved overførsel af deres abonnenters e-mailadresser til Mailchimp på ulovlig vis overførte persondata til et tredjeland – USA – da virksomheden ikke havde sikret tilstrækkelige ”supplerende foranstaltninger” for at beskytte personoplysningerne.
GDPR
Nyhed

Nye regler om whistleblowerordning sendt i høring

Lovforslaget om beskyttelse af whistleblowere er sendt i høring. Lovforslaget indebærer blandt andet, at alle danske virksomheder med 50 eller flere medarbejdere bliver forpligtet til at etablere en intern whistleblowerordning. Whistleblowerordningen skal leve op til en række krav og procedurer. Virksomheder med eksisterende whistleblowerordninger skal derfor også vurdere, om deres nuværende ordning lever op til de nye krav.
GDPR