Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att JP/Politiken A/S behandling av personuppgifter inte har skett i enlighet med reglerna i dataskyddsförordningen (GDPR).
Av ärendet framgår att Datatilsynet inlett en skriftlig tillsyn av bland annat JP/Politiken A/S:s behandling av personuppgifter om besökare på www.eb.dk. JP/Politiken använde en samtyckeslösning som gav besökarna tre alternativ; Endast nödvändiga, Anpassa inställningar och Acceptera allt.
I samtyckeslösningens första lage angavs att JP/Politiken behandlar personuppgifter för statistiska ändamål och marknadsföringsändamål. I det andra lagret av samtyckeslösningen, som besökaren kunde komma åt genom att klicka på Anpassa inställningar, kunde besökaren välja att godkänna behandling av preferenser, statistik och marknadsföring.
Datatilsynet ansåg efter en genomgång av ärendet att besökare på www.eb.dk inte lämnat ett informerat samtycke, eftersom besökare som klickat på Acceptera allt inte fått information om alla behandlingsändamål, eftersom information om det önskade ändamålet endast fanns i det andra lagret.
I beslutet slog Datatilsynet fast att det finns stora frihetsgrader för användningen av färgval och designelement, så länge designen inte pressar användaren till val som leder till olagliga scenarier eller undergräver den registrerades rättigheter. I det särskilda fallet där alternativet Acceptera allt ledde till att samtycke saknades ansåg Datatilsynet att detta stred mot principerna om laglighet, rättvisa och öppenhet.
Mot bakgrund av ovanstående framförde Datatilsynet allvarlig kritik mot att JP/Politikens behandling av personuppgifter på webbplatsen www.eb.dk inte har skett i enlighet med artikel 6.1 GDPR, jfr med artikel 4.11 GDPR och artikel 5.1 (a) GDPR.
Förutom själva samtyckeslösningen behandlade Datatilsynet också generellt samspelet mellan dataskyddsreglerna och Cookieförordningen (förordning nr 1148 av den 9 december 2011), som faller inom den danska näringslivsmyndighetens ansvarsområde. I detta sammanhang noterade Datatilsynet att behandling av personuppgifter som sker på grundval av undantagsregeln om nödvändiga cookies i Cookieförordningen, enligt Datatilsynets uppfattning, faller utanför myndighetens behörighet.
Datatilsynet, som anser sig vara behörig för en eventuell vidare behandling av de berörda personuppgifterna, noterade dock i detta sammanhang att myndigheten endast med svårighet ser en handlingsmarginal för personuppgiftsansvariga att vidare behandla personuppgifter som behandlas på grundval av undantagsregeln om nödvändiga cookies i andra syften än den handlingsmarginal som föreskrivs i samband med nödvändiga cookies.
Därutöver behandlade Datatilsynet även frågan om gemensamt personuppgiftsansvar. När det gäller det gemensamma ansvaret noterade Datatilsynet att ett sådant samarbete måste regleras av en överenskommelse som fastställer varje parts respektive ansvar i förhållande till dataskyddsreglerna och att överenskommelsen måste meddelas tydligt till den registrerade.
I detta sammanhang påpekade Datatilsynet att myndigheten i framtiden kommer att fokusera mer på situationer där det finns ett gemensamt personuppgiftsansvar.