Gå til ejendomsadministration en Menu
Menu

Indhentelse af samtykke til brug af cookies

Indhentelse af samtykke til brug af cookies

Langt de fleste hjemmesideindehavere benytter sig af cookies til at indsamle og analysere oplysninger om de hjemmesidebesøgendes online færden og adfærd. Forinden der gøres brug af cookies er det vigtigt, at man som hjemmesideindehaver har forholdt sig til reglerne i både cookiebekendtgørelsen og persondataforordningen.

Formålet med cookies

En cookie er en datafil som lagres på en elektronisk enhed, når en bruger logger på en hjemmeside. Cookien bruges til at indsamle og gemme oplysninger om brugerens adfærd på hjemmesiden. Oplysningerne giver bl.a. hjemmesideindehaveren mulighed for at skabe bedre brugeroplevelser og mere målrettede ydelser.

Lovgrundlaget

Brugen af cookies er primært reguleret i den såkaldte cookiebekendtgørelse, som fastslår, at brug af cookies forudsætter, at der indhentes et forudgående samtykke fra den hjemmesidebesøgende.

Ved brug af cookies vil der imidlertid ofte også ske indsamling af personoplysninger. F.eks. betragtes en IP-adresse som udgangspunkt som en personoplysning, idet hjemmesideindehaveren ofte vil være i besiddelse af, eller let vil kunne komme i besiddelse af, andre oplysninger, som i kombination med IP-adressen gør hjemmesideindehaveren i stand til at identificere en konkret, fysisk person. 

Når der indsamles personoplysninger, betragtes hjemmesideindehaveren som dataansvarlig i persondataforordningens forstand, og skal derfor også forholde sig til de persondataretlige regler, forinden der gøres brug af cookies.

Retningslinjerne for indhentelse af samtykke til behandling af personoplysninger

Enhver indsamling og behandling af personoplysninger forudsætter, at der foreligger et hjemmelsgrundlag i henhold til persondataforordningens regler. Det relevante hjemmelsgrundlag i relation til indsamling af cookies, er som udgangspunkt indhentelse af et samtykke til behandlingen fra den registrerede.

Datatilsynet har udstedt en vejledning om behandling af personoplysninger om hjemmesidebesøgende. I vejledningen er der fastsat en række krav som skal være opfyldte, før en besøgendes samtykke til behandling af dennes personoplysninger kan ses for gyldigt.  

Ifølge vejledningen skal samtykket være:

  • Frivillighedskriteriet indebærer, at et samtykke fra en registeret ikke er gyldigt, hvis ikke den registrerede har haft et reelt og frit valg. I den sammenhæng gælder et princip om granulering, som indebærer, at der ved behandling af personoplysninger, som tjener flere formål, skal indhentes særskilt samtykke til hvert enkelt formål. Hvis dette ikke er sket, kan samtykket ikke antages at være afgivet frivilligt.
  • At samtykket skal være specifikt, indebærer ifølge Datatilsynets vejledning, at samtykket skal være præcist og velafgrænset. Et samtykkebanner må derfor ikke være generelt udformet, uden en præcis angivelse af, hvilke oplysninger der behandles og med hvilket formål de behandles.
  • Kravet om at samtykket skal være informeret indebærer, at den besøgende som minimum skal oplyses om den dataansvarliges identitet, formålet med den påtænkte behandling, hvilken type oplysninger, der vil blive behandlet og retten til at trække samtykket tilbage.
  • At samtykket skal være utvetydigt indebærer, at brugeren skal afgive sit samtykke ved en aktiv handling. Det kan f.eks. være ved afkrydsning af en boks. Passivitet, tavshed eller fortsat anvendelse af en hjemmeside kan ikke opfattes som en aktiv handling, og kan derfor ikke udgøre et gyldigt samtykke. Tilsvarende kan der ikke gøres brug af forudafkrydsede tilvalgsfelter i et samtykkebanner.

Krav om samme meddelelseseffekt – DMI-afgørelsen

Foruden ovenstående punkter er det et krav, at den besøgendes mulighed for at afstå fra at give samtykke, meddeles med samme effekt som muligheden for at give samtykke. Med andre ord skal det være tilsvarende let for den hjemmesidebesøgende at afslå som at samtykke.

Som illustrerende eksempel herpå, kan der henvises til, at Datatilsynet i februar 2020 udtalte kritik af den måde, hvorpå DMI indhentede samtykke til behandling af personoplysninger fra hjemmesidebesøgende. En af kritikpunkterne var, at den besøgendes mulighed for at afslå at give samtykke, ikke var meddelt med samme effekt, som muligheden for at give samtykke.

I sagen kunne den besøgende i et samtykkebanner vælge mellem at trykke ”OK” og ”Vis detaljer”. Hvis den besøgende trykkede på ”Vis detaljer” kom brugerne videre til en ny side, hvor vedkommende kunne trykke ”Opdater samtykke” for herefter at afslå at give samtykke.

Denne løsning var ifølge Datatilsynet ikke i overensstemmelse med princippet om gennemsigtighed.

Kontakt

For yderligere spørgsmål vedrørende persondataret, er du velkommen til at kontakte vores afdeling inden for generel erhvervsret:

Partner og advokat Nikolaj Jalili-Trudslev

Nikolaj Jalili-Trudslev
Partner og advokat (L)
Mail: nj@haugaardbraad.dk
Telefon: +45 31 10 07 17

 

Advokatfuldmægtig Mette Thejl

Mette Thejl
Advokatfuldmægtig
Mail: met@haugaardbraad.dk
Telefon: +45 40 80 16 59

Seneste nyheder

Webinarrække Teaser2 21.08.24

Gratis webinarrække med emner inden for miljøvurdering

I efteråret afholder Haugaard|Braad Advokatfirma og NIRAS en ny webinarrække med emner inden for miljøvurdering.

Læs mere
AI Forordning Teaser 08.07.24

AI-forordning vedtaget i EU

Europa-Parlamentet og Rådet for Den Europæiske Union vedtog den 21. maj 2024 den længe ventede AI-forordning.

Læs mere
DBU Vs. Power Teaser 17.06.24

Østre Landsret: Power krænkede ikke DBU’s rettigheder

Østre Landsret fastslår, at den danske elektronikkæde Power ikke har krænket DBU's rettigheder til landholdets navn og kendetegn ved EM-slutrunden i 2021.

Læs mere