En afgørelse fra Datatilsynet den 27. oktober 2022 fastslår endnu en gang kravene til et gyldigt samtykke, og især grænserne for hvordan tilstrækkelig information behandles.
Datatilsynet har udtalt alvorlig kritik af JP/Politikens Hus A/S for deres behandling af personoplysninger om hjemmesidebesøgende på Ekstra Bladet der ikke levede op til de databeskyttelsesretlige regler om samtykke. På hjemmesiden blev brugeren introduceret for en samtykkeløsning, der gav mulighed for enten at acceptere alle cookies, tilpasse indstillinger eller kun at tilvælge nødvendige cookies. Mulighederne var anført i henholdsvis en grøn, en grå og en rød farve. Samtykkeløsningen indeholdt ligeledes i første led en beskrivelse af de forskellige behandlingsformål. Valgte brugeren muligheden for at tilpasse indstillinger, var det muligt at til- og fravælge behandlingsformål i samtykkeløsningens andet led.
Databeskyttelsesforordningen stiller krav om, at et samtykke skal være en frivilligt, specifikt, informeret og en utvetydig viljetilkendegivelse fra den registrerede, der i dette tilfælde var de hjemmesidebesøgende. Det indebærer blandt andet, at den registrerede skal afgive samtykket aktivt og af egen fri vilje, samt at samtykket skal være formålsbegrænset. Derudover gælder, at den registrerede skal være tilstrækkeligt informeret om, hvad der samtykkes til, inden denne samtykker. Heriblandt om formålet med behandlingen.
Datatilsynet fandt, at samtykket ikke var tilstrækkelig informeret, da den hjemmesidebesøgende ikke fik information om alle behandlingsformålene i samtykkeløsningens første led. Af løsningens andet led fremgik et præferenceformål, som brugeren kun blev bekendt med, hvis denne valgte at tilpasse indstillinger, og dermed ikke hvis brugeren valgte at acceptere alle cookies uden at læse oplysningerne i andet led.
Datatilsynet redegjorde desuden for gældende regler ved valg af forskellig farve og design i samtykkeløsningerne, der kan være afgørende for brugerens til- eller fravalg af cookies - såkaldt nudging. Tilsynet fastslog, at der er stor frihed, men at det ikke må skubbe brugeren i retningen af et ulovligt scenarie. I den pågældende sag, hvor en accept af alle cookies var angivet i en grøn farve (i en samtykkeløsning med et trafiklyslignende design), ville farven skubbe brugeren i retning af et samtykke, der ikke var tilstrækkeligt informeret, og farvevalget var derfor ikke tilladt. Afgørelsen illustrerer de strenge krav, databeskyttelsesretten stiller til et samtykke.
Tag fat i en af vores eksperter, hvis du vil sikre, at de samtykker, som du får fra kunder er lovlige. Forskellen på lovlige og ikke-lovlige samtykker kan have stor betydning