“De fleste tænker ikke over, at cookies er indsamling af personoplysninger. Men kernen i det her er, at personoplysninger er en vare, der kan sælges. Og derfor er det noget, som både virksomheder og private skal tage alvorligt,” siger Malene Løkkegaard, advokat hos Advodan Slagelse.
Bruger din virksomhed cookies til statistiske formål eller til markedsføring, kan det kun ske lovligt på baggrund af et specifikt og informeret samtykke.
Et specifikt og informeret samtykke for hvert formål
Afgørelsen fra Datatilsynet er sket på baggrund af en klage over dmi.dk (Danmarks Meteorologiske Institut). Her har man givet klager ret i, at det krævede for mange klik, at sige nej tak til behandling af personoplysninger.
“Førhen kunne man nøjes med et forudfyldt samtykke, men efter denne afgørelse står det klart, at samtykket skal være klart defineret. Det betyder, at det skal være lige så nemt at sige ja, som nej. Derfor må man ikke manipulere med eksempelvis at lave den ene knap større end den anden - eller som det er for mange hjemmesider; at man skal klikke sig videre for at kunne sige nej. Du skal kunne sige ja og nej lige nemt fra start,” siger Malene Løkkegaard.
Samtidig må du heller ikke slå tingene sammen, når du beder dine besøgende om et samtykke: “Der skal indhentes særskilt samtykke til hvert formål brugerne skal kunne sige ja til noget, og nej til andet. Eksempelvis skal brugeren kunne sige nej til tredjeparts virksomheder, som f.eks. Facebook og Google.”
Derfor har det konsekvenser for din webside
Størstedelen af alle hjemmesider overholder ikke de nye regler fra Datatilsynet, og derfor gør din sikkert heller ikke. Derfor skal du gennemgå dine cookieindstillinger og din cookiepolitik og ændre dem, så de lever op til de nye krav.
“Helt overordnet må du ikke smide en cookie hos besøgende på din hjemmeside uden at have oplyst om det. Derfor skal virksomhederne nu gennemgå, hvad de egentlig indsamler, oplyse deres brugere om indsamlingen- og give brugerne muligheden for at afslå,” siger Malene Løkkegaard.
Især skal man være opmærksom på tredjeparts virksomheder, som mange virksomheder benytter uden at tænke nærmere over det.
“Integration af værktøjer og andre digitale platform fra tredjepartsvirksomheder kan medføre, at der opstår fælles dataansvar mellem din virksomhed og tredjepartsvirksomheden. Derfor har det konsekvenser for dig som virksomhed, hvis du bruger Googles værktøjer på din hjemmeside, eller hvis du har linket din hjemmeside sammen med Facebook, som mange gør. For det første må du ikke dele persondata med Google og Facebook uden særskilt samtykke. Hvis brugerne ikke får mulighed for at afslå delingen af data via f.eks. Google og Facebook er der tale om ulovlig behandling,” siger Malene Løkkegaard. For det andet skal du være opmærksom på, om der opstår fælles dataansvar, så har din virksomhed nemlig pligt til at indgå en aftale om dette.
Det er vigtigt, at du som virksomhed tager de nye retningslinjer alvorligt, og sætter dig ordentlig ind i, hvad I faktisk indsamler, bruger og deler. “Nu er vejledningen kommet ud, og så skal virksomhederne rette ind. Hvis du ignorerer vejledningen og fortsætter som hidtil, kan du risikere at få bøde.”
Det kan derfor være en god idé at få hjælp til leve op til Datatilsynets nye vejledning, så du er sikker på at overholde de nye retningslinjer.
Det skal du være opmærksom på:
- Du kan ikke bede om et samlet samtykke for flere ting på én gang. Brugerne skal kunne sige ja til nogle formål, og nej til andre
- Det skal være lige så nemt at afslå, som at samtykke
- Du må ikke manipulere med farver eller størrelser på Ja/Nej-boksene
- Det skal være klart og tydeligt for brugeren, hvad der gives samtykke til - især omkring tredjeparts virksomheder som eksempelvis Facebook og Google
- Cookies til tekniske funktioner, der skal sikre, at din hjemmeside virker, kræver ikke samtykke
Fordi afgørelsen er så principiel, har Datatilsynet offentliggjort en ny vejledning, som du kan læse her.
0 kommentar