Opfylder du de fire kriterier, der sikrer, at dine cookie walls er lovlige?
Datatilsynet har udarbejdet fire kriterier for lovlig brug af cookie walls, som I skal være opmærksomme på. Derudover finder I her en tjekliste, der kan bruges til at sikre, at I lever op til kriterierne.
En cookie wall er en samtykkeløsning, hvor virksomheder betinger adgangen til deres hjemmeside/tjeneste af, at besøgende giver samtykke til at få behandlet personoplysninger. Samtykket skal opfylde de almindelige samtykkekrav, herunder frivillighed. Virksomheder indhenter typisk personoplysninger til brug for målrettet markedsføring, hvor oplysningerne bliver anvendt til at personalisere de annoncer, som den besøgende får vist på virksomhedens hjemmeside. Virksomheder skal dog sørge for, at besøgende, der ikke ønsker at give samtykke til behandling af deres personoplysninger kan få adgang på en anden måde, fx ved betaling.
Datatilsynet har udarbejdet fire kriterier, som tilsynet vil tage udgangspunkt i når det skal vurdere, om brug af en cookie wall er lovlig:
- Er der et tilfredsstillende alternativ til at give samtykke, fx betaling?
- Er prisen for et betalingsalternativ rimelig?
- Er formål begrænset til en nødvendig del af alternativet?
- Behandles personoplysninger til flere formål end nødvendigt, når den besøgende har betalt?
Betingelserne er uddybet lige nedenfor. I bunden af artiklen kan du desuden finde en tjekliste, som din virksomhed kan gennemgå, hvis den anvender/ønsker at anvende cookie walls.
1. Et rimeligt alternativ
Hvis en besøgende ikke ønsker at give samtykke til behandling af sine personoplysninger, skal den besøgende tilbydes et “rimeligt alternativ”, der giver adgang til virksomhedens hjemmeside, fx adgang mod betaling. Der skal gives adgang til tilsvarende indhold, uanset om den besøgende får adgang til indholdet ved at give samtykke eller ved brug af et rimeligt alternativ, fx betaling. Får besøgende ved betaling adgang til væsentligt mere indhold, end de besøgende der giver samtykke, er samtykket ikke frivilligt.
2. En rimelig pris
Tilbyder virksomheden betaling som alternativ, må prisen ikke være urimelig høj. En urimelig høj pris betyder ifølge Datatilsynet, at den besøgende ikke kan anses for at have valgfrihed, og samtykket derfor ikke er frivilligt. Det er op til din virksomhed at fastsætte prisen.
3. Formål skal være en nødvendig del af alternativet
Anvender din virksomhed cookie walls, skal I være opmærksomme på, hvilke formål I vælger at indhente samtykke til. I skal kunne påvise, at de formål, I beder om samtykke til, er en nødvendig del af alternativet, fx betaling.
Er formålet med at indhente den besøgendes samtykke til behandling af personoplysninger markedsføring, vil det kun være samtykke til dette formål, der er en nødvendig del af alternativet. De besøgendes samtykke til behandling af personoplysninger til statistiske og/eller personaliseringsformål kan dog også være en del af alternativet til adgang mod betaling, hvis din virksomhed kan påvise, at behandlingen er en nødvendig del af alternativet til adgang mod betaling. I modsat fald skal den besøgende have mulighed for at give særskilt samtykke til de forskellige formål.
4. Behandling af personoplysninger, når besøgende har betalt
Har den besøgende betalt for adgang til din virksomheds hjemmeside, må din virksomhed behandle de oplysninger, der er nødvendige for at levere indholdet, fx hvis leveringen forudsætter, at den besøgende opretter en konto. Din virksomhed må derimod ikke behandle personoplysninger til andre formål end det, der er nødvendigt for, at indholdet leveres, fx markedsføring, medmindre den besøgende giver særskilt samtykke hertil.
Du kan læse Datatilsynets vejledning om cookie walls her: Cookie walls (datatilsynet.dk)
To nye afgørelser fra Datatilsynet
Datatilsynet har fornyelig behandlet to sager om anvendelse af cookie walls på to hjemmesider. For at få adgang til indholdet på hjemmesiderne skulle de besøgende enten give samtykke til behandling af deres personoplysninger eller betale for adgangen. Datatilsynet vurderede, at denne fremgangsmåde opfylder databeskyttelsesreglernes krav til et gyldigt samtykke.
I de konkrete sager indsamlede virksomhederne både personoplysninger til statistiske formål og markedsføringsformål. Datatilsynet vurderede, at virksomhederne bag hjemmesiderne ikke kunne påvise, at de hjemmesidebesøgendes samtykke til behandling af personoplysninger til statistiske formål var en nødvendig del af alternativet til adgang mod betaling. Datatilsynet lagde vægt på, at behandling af personoplysninger til statistiske formål ikke er nødvendigt for at genere indtægt gennem annoncer som alternativ til betaling for adgang til indholdet. Fsva. den ene hjemmeside fandt Datatilsynet desuden, at det indhold, som der blev givet adgang til mod samtykke, ikke var tilsvarende det indhold, den besøgende fik adgang til ved betaling.
Tjekliste, hvis I anvender cookie walls
Nedenfor er en tjekliste, som din virksomhed kan følge, hvis den anvender/ønsker at anvende cookie walls på hjemmesiden:
- Giver din virksomhed besøgende en alternativ måde at tilgå indholdet på, eksempelvis betaling?
- I det tilfælde, at din virksomhed tilbyder betaling som alternativ til samtykke, er prisen så rimelig?
- Er det indhold, din virksomhed giver adgang til ved betaling, tilsvarende med det indhold, der gives adgang til ved samtykke?
- Kan din virksomhed påvise, at de personoplysninger din virksomhed indhenter og behandler er nødvendige til formålet?
- Behandler din virksomhed kun de personoplysninger, der er nødvendige for at levere indholdet til de besøgende, som har betalt for adgangen?