Datatilsynet udgiver vejledning til cookies og samtykke - Her er vores anbefalinger

Vi fik kun lige publiceret vores blog-post om cookie-reglerne i 2020, før at Datatilsynet omsider udgav en konkret vejledning for ”Behandling af personoplysninger om hjemmesidebesøgende” blot få dage senere. Indtil nu har vi kun haft en vejledning til selve det tekniske i at sætte cookies, og det er derfor meget velkomment, at der nu kommer konkrete retningslinjer for den behandling og videregivelse af persondata, som cookies i praksis muliggør. Selvom dette må bydes velkommen, er bagsiden af medaljen for dig som webansvarlig, at det alt andet lige gør det sværere at anvende de værktøjer og teknikker, som du plejer.

De vigtigste punkter i vejledningen er:

  • Samtykke for behandling af persondata – f.eks. indsamling af statistik
  • Samtykke for videregivelse af persondata – f.eks. brug af Facebook Pixel
  • Fælles dataansvarlig ved videregivelse af persondata – f.eks. Facebook Pixel
  • Dokumentation for indhentning af samtykke og formålet

Cookie-bannerets afløser: Samtykke-banneret

Datatilsynet gør det nu meget klart, at der skal indhentes et specifikt samtykke, til hver enkelt af de forskellige behandlinger af persondata, som du ønsker at foretage, med de besøgendes data. Tidligere har cookie-reglerne krævet, at der indhentes et samtykke til brug af cookies – det er nu ikke længere tilstrækkeligt med et fælles samtykke.

Til at forklare hvilke samtykker du skal hente, skal du forestille dig et website med følgende 3 funktioner:

  • Indkøbskurv
  • Google Analytics
  • Facebook Pixel

Alle 3 funktioner bruger cookies for at genkende brugeren på tværs af sidevisninger.

Først er det værd at bemærke, at cookies til indkøbskurven ikke kræver samtykke, da denne anses som teknisk nødvendig.

For at opfylde kravene i både cookie-reglerne og databeskyttelsesforordningen (GDPR), skal der indhentes 2 særskilte samtykker

  1. Behandling af persondata
  2. Videregivelse af persondata til 3.part

Google Analytics behandler persondata, da denne ved hver sidevisning sender data om brugeren (ip-adresse, browser, unikt besøgs-id) og hvilke sider de besøger til Google Analytics. I dette tilfælde foreskriver både cookie-reglerne og GDPR, at der skal indhentes et samtykke, før at disse data må behandles af dig som website-ejer.

Facebook Pixels behandler ligesom Google Analytics persondata ved at sende data om brugen og hvilke sider, der besøges til Facebook. Men dataene bruges ikke kun af dig som website-ejer, Facebook bruger også dataene til at målrette annoncer fra andre annoncører, til brugerne af dit website. Dermed sker en videregivelse og viderebehandling af persondata til Facebook. Dette kræver et nyt specifikt samtykke.

Dette stiller nye krav til, hvordan du designer dit cookie-banner. Med denne nye konkrete vejledning fra Datatilsynet, vil vi endda argumentere for, at du med fordel, kan betragte det som et samtykke-banner. Banneret skal nemlig leve op til reglerne for samtykke i GDPR. Den væsentligste pointe i Datatilsynets vejledning er her, at det skal være lige så nemt at sige ”nej tak” som ”ja tak”.

Så ikke nok med, at der skal indhentes mindst 2 samtykker, så skal dit samtykke-banner indeholde en ”nej tak”-knap, der er lige så fremtrædende som ”ja tak” knappen.

Datatilsynets eksempel på et samtykke-banner ser ud som følger:

Her er det også værd at bemærke, at der skal være en liste af alle de partnere – som f.eks. Facebook, LinkedIn, etc. – som data videregives til.

Det er vores vurdering at ved at bruge et samtykke-banner som ovenstående, lever man op til både cookie-reglerne og GDPR. Datatilsynet skriver i deres vejledning af indhentning af samtykke til brug af cookies og behandling af data ”i praksis indhentes på en og samme tid.” Vores fortolkning er her, at vejledningen i forbindelse med GDPR og videregivelse af persondata, rent faktisk definerer den praksis, der var den oprindelige hensigt med cookie-reglerne.

Vores anbefaling er at inkludere beskrivelsen af brugen af cookies i samtykke-banneret tekst og linke til websitets cookiedeklaration.

Fælles dataansvar

Du kan have en rolle som ene dataansvarlig og/eller være fælles dataansvarlig med de værktøjer, du benytter.

Anvender du Google Analytics til statistisk, skal du have en databehandleraftale med dem, da de behandler personoplysninger på dine vegne og efter instruks fra dig, og du er dermed ene dataansvarlig. 

Anvender du Facebook som analyseværktøj, skal du både have:

  • en databehandleraftale med Facebook, da de behandler personoplysninger på dine vegne og efter instruks fra dig
  • du skal også indgå en aftale om fælles dataansvar med Facebook, da de også anvender personoplysningerne til egne formål. Fordelingen af ansvaret skal analyseres i hvert enkelt tilfælde. Dette var fx tilfældet i dommen fra 2018, hvor EU-Domstolen slog fast, at der forelå et fælles dataansvar mellem Facebook og indehaveren af en fanside på Facebook.

Du skal således være opmærksom på din rolle i forbindelse med behandlingen af personoplysningerne. Du kan have en rolle som dataansvarlig – hvis behandlingen sker til egne formål, og du samtidig vurderer, hvordan behandlingen finder sted. Det kan dog også være tilfældet – som med Facebook - at flere virksomheder er fælles dataansvarlige. Efter databeskyttelsesforordningens artikel 26 foreligger der et fælles dataansvar, når to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling.

Endnu har Facebook ikke en aftale specifikt til deres Pixel, men kun en aftale om fælles dataansvar i forbindelse med fansider. Men du kan forberede dig ved at beskrive ansvarsfordelingen mellem din organisation og Facebook i jeres privatlivspolitik.

Dokumentation

Datatilsynet har også forsøgt at konkretisere dokumentationskravet. Det er dog desværre stadig svært at oversætte til praksis.

Dokumentationskravet består af 3 dele.

Formelt skal man for hvert enkelt indhentet samtykke kunne dokumentere:

  • at brugeren har givet sit samtykke
  • præcist hvad samtykket gælder
  • hvordan samtykket er afgivet

Der er hjælp at hente til dette i værktøjer som CookieBot og andre cookie-værktøjer, der giver en log af alle indhentede samtykker. Men hvordan Datatilsynet har forestillet sig, at vi skal koble et afgivet samtykke til en konkret bruger, det henstår i det uvisse? Hvis en bruger afgiver andet information – f.eks. logger ind, afgive en ordre eller tilmelder sig et nyhedsbrev – kan man koble samtykket til en konkret bruger. Det er teknisk muligt for nogle brugere, men da langt hovedparten af brugerne sandsynligvis er anonyme, giver det ikke meget praktisk mening.

Datatilsynet anbefaler, at man løbende dokumentere sin samtykkeløsning, ved at gemme skærmbilleder hver gang man ændrer hvad samtykket konkret dækker eller den tekniske løsning.

Som web-konsulenter ser vi ikke den store praktiske værdi i en standard samtykke-log. En løbende dokumentation af ændringer virker også temmelig bureaukratisk. Og uden at kunne koble det enkelte samtykke til en bruger, kan man heller ikke koble en bruger til en bestemt udgave af samtykket. Tilsammen betyder det en masse arbejde, som i praksis ikke har meget værdi. Den tekniske løsning, der skal laves, før at lovteksten kan udføres i praksis er omfattende.

Vores nuværende anbefaling for langt de fleste webansvarlige er dog at benytte et cookie-værktøj, og løbende dokumentere samtykke-løsningen. En samtykke-log er som sagt standard i de fleste cookie-værktøjer og et par datomærkede skærmbillede viser trods alt en intention om at følge vejledningen.

Det man skal huske på – og derfor vores anbefaling er til de fleste – er at man som webansvarlig skal kunne bevise samtykket i forbindelse med en evt. klage eller retssag. Den indsats man skal lægge i at leve op til dokumentationskravet, skal både stå mål med den risiko, man oplever som forretning, og den mulige krænkelse af brugernes privatliv. Som man forhåbentligt får indtrykket af, er det potentielt kompliceret at leve op til dette krav og derfor anbefaler vi at gøre noget nu, og så afvente hvad fremtiden viser af konkrete løsninger.

Hvad skal jeg gøre nu?

På den helt korte bane, anbefaler vi at du for det første følger vores anbefalinger fra vores blog-post om cookie-reglerne i 2020 og supplerer dette med at dokumentere din løsning. Anvender du ikke et cookie-værktøjer, kan du med fordelt begynde at implementere et – det giver bl.a. en samtykke-log ud af boksen.

Dernæst bør du afdække, hvorvidt dine benyttede værktøjer giver dig et fælles dataansvar med udbyderne – f.eks. Facebook, LinkedIn, Google Marketing Platform, etc. Vi har ikke set aftaler om fælles dataansvar fra udbyderne endnu, men du kan allerede nu selv opdaterer din privatlivspolitik med ansvarsfordelingen.

På lidt længere sigt forventer vi, at udbyderne af cookie-værktøjer kommer med en opdatering, der gør det lettere leve op til datatilsynets vejledning. Datatilsynet udtaler i deres podcast, at de – uden at udstede garantier – vil give virksomhederne tid til at tilpasse dig den nye vejledning.

På lang sigt anbefaler vi, at du gør dig klar til en virkelighed, hvor Facebook og lignende værktøjer ikke har en helt så fremtrædende plads i marketing-værktøjskassen som tidligere. Et eksempel på et modsvar, kunne være at fremskynde investeringer i permission-indhentning, owned channels og inden for løsninger, der giver dig kundens data i et tilgængeligt format i eksempelvis en Customer Data Platform (CDP).

Som altid er du velkommen til kontakte os for konkret sparring på din situation.