Cookie walls

Cookie walls

Siden Datatilsynet i begyndelsen af 2020 satte fokus på behandling af personoplysninger om hjemmesidebesøgende, har tilsynet modtaget en række henvendelser om brugen af såkaldte cookie walls.

Cookies benyttes generelt af hjemmesideejere til at indsamle de besøgendes personoplysninger til en lang række formål. Ofte er et af disse formål markedsføring. Det drejer sig specifikt om målrettet markedsføring, hvor de besøgendes personoplysninger bruges til at personalisere de annoncer, som de pågældende får vist på hjemmesiden.

Brug af cookies kræver som udgangspunkt, at den besøgende giver sit samtykke.

En cookie wall er en fremgangsmåde, hvor en virksomhed gør adgangen til sin hjemmeside eller tjeneste betinget af, at den besøgende giver sit samtykke til behandling af sine personoplysninger – oftest til brug for markedsføring.

I nogle tilfælde gives den besøgende – som et alternativ til samtykke – mulighed for at få adgang til indholdet eller tjenesten mod betaling.

Det er Datatilsynets indtryk, at det er en fremgangsmåde, som i stigende omfang benyttes af navnlig virksomheder, som helt eller delvist finansieres af annonceindtægter. Ved brug af cookie walls kan virksomhederne kompensere for den eventuelle mistede indtægt ved, at de besøgende ikke giver samtykke til indsamling af personoplysninger til markedsføringsformål.

Databeskyttelsesreglerne stiller nogle krav til det samtykke, som de besøgende bliver bedt om at give. Disse krav skal bidrage til, at de besøgende har en effektiv og faktisk kontrol over sine personoplysninger, og at kontrollen ikke bliver illusorisk.

Et af disse krav er, at et samtykke skal være frivilligt. Spørgsmålet er derfor, om en fremgangsmåde, hvor de besøgende – som et alternativ til samtykke – eksempelvis kan betale for adgang til indhold eller en tjeneste, opfylder dette frivillighedskrav, og hvilke krav denne fremgangsmåde i så fald skal opfylde.

På baggrund af flere konkrete sager – og den generelle uklarhed, der har været forbundet med brugen af sådanne fremgangsmåder – har Datatilsynet udarbejdet en række generelle kriterier for vurderingen af brugen af cookie walls. Kriterierne vil være udgangspunktet for Datatilsynets vurdering af, om brugen af en cookie wall i de konkrete tilfælde sker i overensstemmelse med databeskyttelsesreglerne.

Som nævnt kan den omstændighed, at adgang til indhold eller en tjeneste er betinget af, at de besøgende giver sit samtykke til behandling af sine personoplysninger påvirke, i hvilket omfang dette samtykke kan anses som afgivet frivilligt.

Vurderingen af, om det pågældende samtykke er gyldigt, skal derfor først og fremmest ses i lyset af, om de besøgende tilbydes et tilfredsstillende alternativ.

Som et vejledende udgangspunkt har Datatilsynet opstillet nedenstående fire kriterier, der vil danne grundlag for tilsynets vurdering af fremgangsmåder, hvor en virksomhed betinger adgang til sit indhold af de besøgendes samtykke.

1. Et rimeligt alternativ

Det er Datatilsynets opfattelse, at virksomheder, der ønsker at benytte en cookie wall, samtidigt skal tilbyde de besøgende, der ikke ønsker at give samtykke til behandling af deres personoplysninger, et rimeligt alternativ hertil.

Et rimeligt alternativ kan eksempelvis være, at de besøgende – i stedet for adgang mod samtykke – tilbydes adgang mod betaling.

At alternativet skal være rimeligt indebærer, at indholdet eller tjenesten, som virksomheden tilbyder, i vidt omfang skal være tilsvarende, uanset om den besøgende giver samtykke til behandling af sine personoplysninger eller eksempelvis betaler for at få adgang til indholdet eller tjenesten.

Hvis den alternative tjeneste afviger væsentligt fra den tjeneste, som virksomheden tilbyder mod den besøgendes samtykke, vil samtykket efter Datatilsynets opfattelse ikke kunne anses for frivilligt. Det kan eksempelvis være tilfældet, hvor de besøgende ved betaling får adgang til væsentligt mere indhold, end de besøgende der giver samtykke.

2. En rimelig pris

Det er Datatilsynets opfattelse, at virksomheder, der ønsker at benytte en cookie wall, hvor alternativet til de besøgendes samtykke er betaling, ikke må fastsætte en urimelig høj pris for betalingsalternativet.

Virksomheder er dermed ikke afskåret fra at tilbyde adgang mod betaling som et alternativ til de besøgendes samtykke. Prissætningen af dette alternativ må dog ikke være så høj, at de besøgendes valgfrihed i praksis gøres illusorisk. Prisen skal med andre ord være rimelig.

Datatilsynet bemærker, at det ikke tilkommer tilsynet at gå nærmere ind i prisfastsættelsen af indhold, tjenester mv. Virksomheder har derfor et vidt skøn ved vurderingen og fastsættelsen af det specifikke beløb, der skal udgøre et betalingsalternativ til den besøgendes samtykke til behandling af personoplysninger. Det er dog som nævnt et krav, at prisfastsættelsen ikke gøres så høj, at den registrerede reelt og i praksis ikke har et valg mellem betalingsalternativet og at give sit samtykke.

3. Begrænset til det nødvendige

Når virksomheder tilbyder valget mellem betaling eller samtykke til indsamling af personoplysninger med hensyn til adgang til virksomhedens indhold eller tjeneste, skal virksomhederne kunne påvise, at alle de formål, som virksomheden anmoder om samtykke til, udgør en nødvendig del af dette alternativ.

Ofte er det de besøgendes samtykke til behandling af personoplysninger i markedsføringsøjemed, der udgør den ønskede fordel for virksomheden. I så fald er det kun samtykke til dette formål, der er en nødvendig del af alternativet til adgang mod betaling.

Det er dog dermed ikke udelukket, at de besøgendes samtykke til behandling af personoplysninger til statistiske og/eller personaliseringsformål også kan udgøre en del af alternativet til adgang mod betaling. I så fald skal virksomheden imidlertid kunne påvise, at behandling af personoplysninger til disse formål – henset til princippet om dataminimering – er en nødvendig del af alternativet til adgang mod betaling.

Hvis virksomheden vurderer, at behandling til flere formål ikke er en nødvendig del af alternativet til adgang mod betaling, skal virksomheden gøre det muligt for de besøgende at give særskilt samtykke til behandling af personoplysninger til disse formål.

4. Behandling af personoplysninger når de besøgende har betalt

I de tilfælde, hvor de besøgende betaler for adgang til indholdet eller tjenesten, må virksomheden naturligvis behandle de oplysninger, der er nødvendige for at levere indholdet eller tjenesten. Det kan eksempelvis være tilfældet, hvor leveringen af tjenesten forudsætter oprettelsen af en konto eller brugerprofil. Her kan virksomheden behandle de personoplysninger, der er nødvendige for at administrere brugerprofilen og levere den pågældende tjeneste.

Hvis de besøgende har betalt for adgang til indholdet eller tjenesten, må virksomheden derimod som udgangspunkt ikke behandle personoplysninger til flere formål end det, der er nødvendigt for, at den pågældende tjeneste kan leveres. Det kan eksempelvis være personalisering eller markedsføring.

Det udelukker dog ikke, at den besøgende – også i sådanne tilfælde – kan beslutte efterfølgende (også) at give samtykke til behandling af sine oplysninger til disse formål.