Europæiske datatilsyn stiller skarpt på cookieløsninger og brug af Google Analytics

Det danske datatilsyn og andre europæiske datatilsyn har i øjeblikket stort fokus på, om virksomheders cookieløsninger lever op til reglerne i GDPR. Det omfatter bl.a. løsninger med Google Analytics og IAB’s standardløsning for cookies og annoncer, Transparency and Consent Framework (TCF), hvor meget tyder på, at danske virksomheder skal forberede sig på alternative løsninger.
Nyhed
GDPR

Cookieløsninger lever ikke op til GDPR

Virksomheder bruger i dag cookies til at måle kampagner og aktiviteter, målrette annoncer, lave statistikker mm. Mange virksomheder har stor gavn af de personoplysninger, der indsamles via cookies, og andre virksomheder af at sælge oplysningerne til tredjeparter, der kan benytte oplysningerne til bl.a markedsføring og statistik. Indsamlingen af personoplysninger via cookies har i øjeblikket stor opmærksomhed hos databeskyttelsesmyndighederne i Danmark og andre EU-medlemslande, hvor der nu er kommet flere afgørelser om, at cookie- og samtykkeløsninger, der ellers har været anerkendt som standardframeworks i Europa, ikke lever op til kravene i GDPR.

Europæiske afgørelser om Google Analytics og TCF vil også få betydning i Danmark

Det østrigske datatilsyn har for nyligt truffet afgørelse om, at virksomheders brug af Google Analytics ikke lever op til GDPR’s regler for tredjelandsoverførsler. Afgørelsen fra det østrigske datatilsyn, som bl.a. henviser til EU-Domstolens afgørelse i Schrems II-sagen, begrundes med, at Google ikke leverer en tilstrækkelig grad af supplerende foranstaltninger til at sikre, at personoplysninger behandles med et beskyttelsesniveau, der i det væsentlige svarer til beskyttelsesniveauet i EU. Brugen af Google Analytics kan ifølge det østrigske datatilsyn derfor ikke betragtes som lovlig i lande, der er omfattet GDPR-reglerne.

To nye afgørelser fra henholdsvis det belgiske og hollandske datatilsyn kan desuden få vidtrækkende konsekvenser for virksomheders fremtidige brug af det såkaldte TCF-framework udviklet af IAB Europe, som er en brancheforening for digitale annoncefirmaer i Europa. TCF-frameworket benyttes bl.a. til indsamling og formidling af samtykker til annoncering, herunder samtykker til brug af cookies og deling af data med tredjeparter.

Ifølge den belgiske afgørelse medfører brugen af TCF-frameworket en række overtrædelser af GDPR, herunder overholder løsningen ikke de grundlæggende principper for behandling af personoplysninger, hjemmelsgrundlag, oplysningspligt og behandlingssikkerhed. Det hollandske og franske datatilsyn bakker op om den belgiske afgørelse og har i den forbindelse anbefalet, at alle virksomheder omgående bør stoppe med at anvende TCF-løsningen.

Datatilsynet opfordrer til brug af alternativ løsning

I kølvandet på det belgiske datatilsyns afgørelse har det danske datatilsyn offentliggjort en udtalelse, hvor Datatilsynet opfordrer virksomheder til at få afklaret, om virksomhedens hjemmeside eller reklameplatform benytter TCF-frameworket. Hvis det er tilfældet, opfordrer Datatilsynet virksomheden til, sammen med sine annonceleverandører, at få skiftet til en løsning, der lever op til databeskyttelsesforordningen.

Datatilsynet understreger i den forbindelse, at man som dataansvarlig vil have ansvar for, at virksomhedens hjemmeside er indrettet i overensstemmelse med GDPR, herunder i forhold til anvendelse af cookies, indsamling af samtykker mv., også selvom man benytter samtykkeløsninger udviklet af en ekstern leverandør.

Datatilsynet erklærer DBA’s samtykkeløsning for cookies ugyldig

I takt med det øgede tilsyn har det danske datatilsyn for nyligt udtalt alvorlig kritik af DBA’s samtykkeløsning for cookies på deres hjemmeside, som ifølge Datatilsynet ikke lever op til de databeskyttelsesretlige regler. Det sker i forbindelse med, at der i februar kom nye retningslinjer på området. Afgørelsen begrundes i, at DBA bl.a.:

  • Behandlede personoplysninger via cookies til flere formål, og at det ikke var muligt for brugerne at klikke ”ok” til forskellige formål.
  • Ikke via samtykkeløsningen havde oplyst brugerne om, at deres personoplysninger blev videregivet til tredjeparter til brug for markedsføring.
  • Ikke klart og tydeligt i samtykketeksten i pop-up-vinduet havde angivet, på hvilket retsgrundlag personoplysningerne blev behandlet.
  • Ikke havde berettet om via samtykkeløsningen, hvordan brugerne tilbagekaldte deres samtykke.

Datatilsynet behandler løbende klager om behandling af personoplysninger på hjemmesider, men tager også selv sager som DBA-sagen op.

Du kan læse mere om afgørelsen her.

Lund Elmer Sandagers kommentar

Afgørelserne fra det belgiske og hollandske datatilsyn vil med stor sandsynlighed få konsekvenser for danske virksomheders fremtidige brug af Google Analytics og TCF-løsningen til indsamling af samtykker, og det er derfor vigtigt at undersøge, om din virksomhed benytter disse løsninger, og i givet fald overveje alternativer.  

Datatilsynet vil i 2022 føre aktivt tilsyn med bl.a. iagttagelse af oplysningspligt ved uanmodet henvendelse og behandling af personoplysninger om hjemmesidebesøgende. Det omfatter bl.a. behandling af personoplysninger via cookies og ved bannerreklamer.

Vi opfordrer derfor til, at virksomheder undersøger, om deres eksisterende persondata- og cookiepolitikker lever op til oplysningskravene i GDPR, herunder dækker behandling af personoplysninger til brug for markedsføring og annoncering via cookies.

Har du spørgsmål til de to nye afgørelser, eller har du brug for rådgivning om en løsning til din virksomhed, der lever op til kravene i GDPR, er du velkommen til at kontakte vores specialister  i IT-ret og GDPR partner, advokat Torsten Hylleberg, advokat Anders Linde Reislev eller advokat Emilie Ipsen.