Danmark: JP/Politiken får allvarlig kritik för samtyckeslösning på webbplats

Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att JP/Politiken A/S behandling av personuppgifter inte har skett i enlighet med reglerna i dataskyddsförordningen (GDPR).

Av ärendet framgår att Datatilsynet inlett en skriftlig tillsyn av bland annat JP/Politiken A/S:s behandling av personuppgifter om besökare på www.eb.dk. JP/Politiken använde en samtyckeslösning som gav besökarna tre alternativ; Endast nödvändiga, Anpassa inställningar och Acceptera allt.

I samtyckeslösningens första lage angavs att JP/Politiken behandlar personuppgifter för statistiska ändamål och marknadsföringsändamål. I det andra lagret av samtyckeslösningen, som besökaren kunde komma åt genom att klicka på Anpassa inställningar, kunde besökaren välja att godkänna behandling av preferenser, statistik och marknadsföring.

Datatilsynet ansåg efter en genomgång av ärendet att besökare på www.eb.dk inte lämnat ett informerat samtycke, eftersom besökare som klickat på Acceptera allt inte fått information om alla behandlingsändamål, eftersom information om det önskade ändamålet endast fanns i det andra lagret.

I beslutet slog Datatilsynet fast att det finns stora frihetsgrader för användningen av färgval och designelement, så länge designen inte pressar användaren till val som leder till olagliga scenarier eller undergräver den registrerades rättigheter. I det särskilda fallet där alternativet Acceptera allt ledde till att samtycke saknades ansåg Datatilsynet att detta stred mot principerna om laglighet, rättvisa och öppenhet.

Mot bakgrund av ovanstående framförde Datatilsynet allvarlig kritik mot att JP/Politikens behandling av personuppgifter på webbplatsen www.eb.dk inte har skett i enlighet med artikel 6.1 GDPR, jfr med artikel 4.11 GDPR och artikel 5.1 (a) GDPR.

Förutom själva samtyckeslösningen behandlade Datatilsynet också generellt samspelet mellan dataskyddsreglerna och Cookieförordningen (förordning nr 1148 av den 9 december 2011), som faller inom den danska näringslivsmyndighetens ansvarsområde. I detta sammanhang noterade Datatilsynet att behandling av personuppgifter som sker på grundval av undantagsregeln om nödvändiga cookies i Cookieförordningen, enligt Datatilsynets uppfattning, faller utanför myndighetens behörighet.

Datatilsynet, som anser sig vara behörig för en eventuell vidare behandling av de berörda personuppgifterna, noterade dock i detta sammanhang att myndigheten endast med svårighet ser en handlingsmarginal för personuppgiftsansvariga att vidare behandla personuppgifter som behandlas på grundval av undantagsregeln om nödvändiga cookies i andra syften än den handlingsmarginal som föreskrivs i samband med nödvändiga cookies.

Därutöver behandlade Datatilsynet även frågan om gemensamt personuppgiftsansvar. När det gäller det gemensamma ansvaret noterade Datatilsynet att ett sådant samarbete måste regleras av en överenskommelse som fastställer varje parts respektive ansvar i förhållande till dataskyddsreglerna och att överenskommelsen måste meddelas tydligt till den registrerade.

I detta sammanhang påpekade Datatilsynet att myndigheten i framtiden kommer att fokusera mer på situationer där det finns ett gemensamt personuppgiftsansvar.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 5 GDPR, art. 6 GDPR, art. 26 GDPR

Sanktionsavgift: N/A

Mottagare: JP/Politiken A/S

Beslutsnummer: 2021-41-0149

Beslutsdatum: 2022-10-27

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.