Som nævnt kan den omstændighed, at adgang til indhold eller en tjeneste er betinget af, at de besøgende giver sit samtykke til behandling af sine personoplysninger påvirke, i hvilket omfang dette samtykke kan anses som afgivet frivilligt.
Vurderingen af, om det pågældende samtykke er gyldigt, skal derfor først og fremmest ses i lyset af, om de besøgende tilbydes et tilfredsstillende alternativ.
Som et vejledende udgangspunkt har Datatilsynet opstillet nedenstående fire kriterier, der vil danne grundlag for tilsynets vurdering af fremgangsmåder, hvor en virksomhed betinger adgang til sit indhold af de besøgendes samtykke.
1. Et rimeligt alternativ
Det er Datatilsynets opfattelse, at virksomheder, der ønsker at benytte en cookie wall, samtidigt skal tilbyde de besøgende, der ikke ønsker at give samtykke til behandling af deres personoplysninger, et rimeligt alternativ hertil.
Et rimeligt alternativ kan eksempelvis være, at de besøgende – i stedet for adgang mod samtykke – tilbydes adgang mod betaling.
At alternativet skal være rimeligt indebærer, at indholdet eller tjenesten, som virksomheden tilbyder, i vidt omfang skal være tilsvarende, uanset om den besøgende giver samtykke til behandling af sine personoplysninger eller eksempelvis betaler for at få adgang til indholdet eller tjenesten.
Hvis den alternative tjeneste afviger væsentligt fra den tjeneste, som virksomheden tilbyder mod den besøgendes samtykke, vil samtykket efter Datatilsynets opfattelse ikke kunne anses for frivilligt. Det kan eksempelvis være tilfældet, hvor de besøgende ved betaling får adgang til væsentligt mere indhold, end de besøgende der giver samtykke.
2. En rimelig pris
Det er Datatilsynets opfattelse, at virksomheder, der ønsker at benytte en cookie wall, hvor alternativet til de besøgendes samtykke er betaling, ikke må fastsætte en urimelig høj pris for betalingsalternativet.
Virksomheder er dermed ikke afskåret fra at tilbyde adgang mod betaling som et alternativ til de besøgendes samtykke. Prissætningen af dette alternativ må dog ikke være så høj, at de besøgendes valgfrihed i praksis gøres illusorisk. Prisen skal med andre ord være rimelig.
Datatilsynet bemærker, at det ikke tilkommer tilsynet at gå nærmere ind i prisfastsættelsen af indhold, tjenester mv. Virksomheder har derfor et vidt skøn ved vurderingen og fastsættelsen af det specifikke beløb, der skal udgøre et betalingsalternativ til den besøgendes samtykke til behandling af personoplysninger. Det er dog som nævnt et krav, at prisfastsættelsen ikke gøres så høj, at den registrerede reelt og i praksis ikke har et valg mellem betalingsalternativet og at give sit samtykke.
3. Begrænset til det nødvendige
Når virksomheder tilbyder valget mellem betaling eller samtykke til indsamling af personoplysninger med hensyn til adgang til virksomhedens indhold eller tjeneste, skal virksomhederne kunne påvise, at alle de formål, som virksomheden anmoder om samtykke til, udgør en nødvendig del af dette alternativ.
Ofte er det de besøgendes samtykke til behandling af personoplysninger i markedsføringsøjemed, der udgør den ønskede fordel for virksomheden. I så fald er det kun samtykke til dette formål, der er en nødvendig del af alternativet til adgang mod betaling.
Det er dog dermed ikke udelukket, at de besøgendes samtykke til behandling af personoplysninger til statistiske og/eller personaliseringsformål også kan udgøre en del af alternativet til adgang mod betaling. I så fald skal virksomheden imidlertid kunne påvise, at behandling af personoplysninger til disse formål – henset til princippet om dataminimering – er en nødvendig del af alternativet til adgang mod betaling.
Hvis virksomheden vurderer, at behandling til flere formål ikke er en nødvendig del af alternativet til adgang mod betaling, skal virksomheden gøre det muligt for de besøgende at give særskilt samtykke til behandling af personoplysninger til disse formål.
4. Behandling af personoplysninger når de besøgende har betalt
I de tilfælde, hvor de besøgende betaler for adgang til indholdet eller tjenesten, må virksomheden naturligvis behandle de oplysninger, der er nødvendige for at levere indholdet eller tjenesten. Det kan eksempelvis være tilfældet, hvor leveringen af tjenesten forudsætter oprettelsen af en konto eller brugerprofil. Her kan virksomheden behandle de personoplysninger, der er nødvendige for at administrere brugerprofilen og levere den pågældende tjeneste.
Hvis de besøgende har betalt for adgang til indholdet eller tjenesten, må virksomheden derimod som udgangspunkt ikke behandle personoplysninger til flere formål end det, der er nødvendigt for, at den pågældende tjeneste kan leveres. Det kan eksempelvis være personalisering eller markedsføring.
Det udelukker dog ikke, at den besøgende – også i sådanne tilfælde – kan beslutte efterfølgende (også) at give samtykke til behandling af sine oplysninger til disse formål.