DIU alm. del - svar på spm. 99 om konsekvenser af tredjepartscookies og digitalt adfærdsdesign

Stormgade 2-6
1470 København K
Telefon 72 28 24 00
digmin@digmin.dk
Endeligt svar på spørgsmål fra Lisbeth Bech-Nielsen (SF) stillet den 14. juni 2023
Spørgsmål nr. 99:
”Vil ministeren besvare følgende med henvisning til artiklen »Fra begejstring til skepsis – blan-
dede reaktioner på regeringens bud på at redde os fra techgiganter«, den 12. juni 2023 på po-
litiken.dk, herunder forholde sig til udtalelserne fra Jan Trzaskowski, juraprofessor på CBS, om
manglen på forståelse for konsekvenser af tredjepartscookies og digitalt adfærdsdesign, og
hvorvidt der foreligger frivilligt og informeret samtykke til den behandling af personoplysnin-
ger, og at det fremgår af artiklen, at der er anlagt sager ved EU-Domstolen:
– Er det Datatilsynets vurdering, at der foreligger et frivilligt og informeret samtykke, eller er
Datatilsynet enig med Jan Trzaskowski?
– Hvilke sager er anlagt ved EU-Domstolen? Ministeren bedes redegøre kort for indholdet i
sagerne.
– Hvornår forventes de pågældende sager ved EU-Domstolen afgjort?
– Har Danmark afgivet indlæg i nogle af sagerne ved EU-Domstolen?”
Svar:
Jeg skal beklage den sene besvarelse. Til brug for besvarelsens første del er der indhentet ud-
talelse fra Digitaliseringsstyrelsen og Datatilsynet.
Digitaliseringsstyrelsen oplyser følgende:
”Digitaliseringsstyrelsen fører tilsyn med reglerne i cookiebekendtgørelsen, som regulerer
brugen af cookies og lignende teknologier, herunder tredjepartscookies. Det er kun tilladt at
anvende cookies og lignende teknologier på hjemmesider, apps mv., hvis udbyderen af tjene-
sten har indhentet brugerens informerede samtykke hertil. Der stilles således krav om, at tje-
nesteudbyderen forud for samtykke skal give brugeren fyldestgørende oplysninger om formå-
let med at anvende cookies og lignende teknologier til indsamling af oplysninger, ligesom der
skal gives fyldestgørende oplysninger om hvilke tredjeparter, som indsamler oplysninger på
tjenesten via brugen af sådanne.”
Datatilsynet oplyser følgende:
”Brug af cookies og lignende teknologier skal – foruden cookiebekendtgørelsen – også ske i
overensstemmelse med de generelle databeskyttelsesregler, hvis sådanne teknologier bruges
til at indsamle personoplysninger.
Sagsnr.
2023 - 2291
Doknr.
35249
Dato
28-09-2023
Folketingets Udvalg for Digitalisering og It
Offentligt
DIU Alm.del - endeligt svar på spørgsmål 99
Udvalget for Digitalisering og It 2022-23 (2. samling)
2
Efter databeskyttelsesreglerne kan behandling af personoplysninger bl.a. ske, hvis den regi-
strerede har givet sit samtykke hertil. Det følger af databeskyttelsesforordningens artikel 6,
stk. 1, litra a.
Samtykket skal være frivilligt, specifikt, informeret og udtryk for en utvetydig viljestilkendegi-
velse, for at samtykket kan anses for gyldigt, jf. forordningens artikel 4, nr. 11, ligesom sam-
tykket skal opfylde de krav, der fremgår af forordningens artikel 7.
Ad kravet om frivillighed
Ved et frivilligt samtykke forstås, at den registrerede skal have et reelt valg og kontrol over
personoplysninger om sig selv. Et samtykke anses derfor ikke for at være afgivet frivilligt, hvis
den registrerede ikke kan foretage et reelt valg, hvis den registrerede føler sig tvunget til at
give sit samtykke, eller hvis det vil få negative konsekvenser for den registrerede, hvis ved-
kommende ikke samtykker. Det betyder bl.a. også, at den virksomhed eller organisation (den
dataansvarlige), der ønsker at behandle personoplysninger til flere formål, skal give den regi-
strerede mulighed for frit at kunne vælge, hvilke formål vedkommende ønsker at give sam-
tykke til (granularitet).
Datatilsynet har endvidere i en afgørelse af 11. februar 2020 vurderet, at det generelt også
skal være tilsvarende let at afstå fra at give samtykke, som det er at give det. I konteksten af
brug af cookies og lignende teknologier betyder det, at samtykkeløsningen skal designes og
formuleres sådan, at muligheden for at afstå har samme meddelelseseffekt som muligheden
for at give samtykke. Med andre ord må den registrerede, f.eks. ved brug af specifikke farver
eller formuleringer, ikke skubbes i retning af at give samtykke.
Kravet om frivillighed indebærer også, at et samtykke ikke anses for at være givet frivilligt,
hvis der er en klar skævhed (magtubalance) mellem den registrerede og den dataansvarlige.
I tilknytning til kravet om frivillighed gælder et særskilt krav om, at der ved vurderingen af, om
et samtykke er givet frivilligt, også skal tages hensyn til, om samtykket knyttes til accept af be-
tingelser og vilkår, eller er gjort betinget af opfyldelse af en kontrakt eller en tjenesteydelse,
som ikke er nødvendig for opfyldelsen af kontrakten eller tjenesteydelsen. Det følger af data-
beskyttelsesforordningens artikel 7, stk. 4. Med andre ord er et samtykke ikke frivilligt, hvis
f.eks. en serviceydelse afhænger af et samtykke, selvom et sådant samtykke ikke er nødven-
digt for levering af serviceydelsen. Tilsvarende er et samtykke ikke givet frivilligt, hvis den re-
gistrerede ikke kan sige nej til eller trække sit samtykke tilbage, uden at det er til skade for
vedkommende.
I den forbindelse har EU-Domstolen den 4. juli 2023 i sagen C-252/21, Bundeskartellamt, ud-
talt sig om, hvorvidt et samtykke, som en bruger af et socialt onlinenetværk har afgivet til
operatøren af et sådant netværk, kan anses for at opfylde navnlig betingelsen om, at dette
samtykke skal afgives frivilligt, når denne operatør har en dominerende stilling på markedet
for sociale onlinenetværk.
EU-Domstolen udtalte, at den omstændighed, at en operatør af et socialt onlinenetværk har
en dominerende stilling på markedet for sociale onlinenetværk, ikke som sådan er til hinder
for, at brugerne af et sådant netværk gyldigt kan give samtykke som omhandlet i databeskyt-
telsesforordningen, til denne operatørs behandling af deres personoplysninger. Denne om-
stændighed er imidlertid et vigtigt element med henblik på at afgøre, om dette samtykke fak-
tisk er afgivet gyldigt, og navnlig frivilligt, hvilket det påhviler nævnte operatør at påvise.
3
Ad kravet om informeret samtykke
Ved et informeret samtykke efter databeskyttelsesforordningen forstås, at den registrerede
skal være klar over, hvad der gives samtykke til. Hvis den dataansvarlige ikke giver den regi-
strerede de fornødne informationer, bliver den registreredes kontrol illusorisk, og samtykket
bliver ugyldigt.
For at et samtykke er informeret, skal den dataansvarlige som minimum afgive følgende op-
lysninger for at opnå et gyldigt samtykke:
a) den dataansvarliges identitet,
b) formålet med den påtænkte behandling,
c) hvilke oplysninger der behandles, og
d) retten til at trække samtykket tilbage.
Den dataansvarlige skal altid tilpasse informationen til den enkelte situation og skal derfor
gøre sig klart, hvilke oplysninger der indsamles og anvendes, formålet med behandlingen,
eventuelle modtagere af oplysningerne, og hvordan den registrerede kan gøre brug af sine
rettigheder, herunder om tilbagekaldelse.
Hvis et samtykke gives i en skriftlig erklæring, der også vedrører andre forhold, skal anmod-
ningen om samtykke endvidere forelægges på en måde, som klart kan skelnes fra de andre
forhold. Det betyder, at anmodningen om samtykke ikke må være skjult i almindelige betin-
gelser og vilkår. Samtykket skal også være formuleret i et klart og enkelt sprog i en letforståe-
lig og lettilgængelig form. Det følger af databeskyttelsesforordningens artikel 7, stk. 2.
Det betyder, at den dataansvarlige ikke generelt er afskåret fra at indhente et gyldigt sam-
tykke fra de registrerede, så længe kravene i databeskyttelsesforordningens artikel 4, nr. 11,
og artikel 7 er opfyldt, herunder ovennævnte krav om information og frivillighed.
Det vil altid bero på en konkret vurdering af omstændighederne i hvert enkelt tilfælde, hvor-
vidt der foreligger et gyldigt samtykke i overensstemmelse med de ovennævnte krav.
Med hensyn til de såkaldte techgiganter bemærker Datatilsynet afslutningsvis, at disses be-
handling af personoplysninger ikke altid sker på baggrund af brugernes samtykke. I nogle til-
fælde behandler techgiganter brugernes oplysninger under henvisning til, at behandlingen er
nødvendig af hensyn til opfyldelse af en kontrakt med brugerne i form af virksomhedens ge-
nerelle vilkår og betingelser.
Der kan bl.a. henvises til Det Europæiske Databeskyttelsesråds afgørelser af 5. december
2022, hvor rådet traf bindende afgørelse om, at Meta Ireland ikke kunne behandle brugernes
personoplysninger med henblik på målrettet markedsføring under henvisning til virksomhe-
dens generelle vilkår og betingelser.
Senest har EU-Domstolen i sin dom af 4. juli 2023 i sagen C252/21 udtalt sig om, i hvilket om-
fang behandling af personoplysninger kan ske under henvisning til, at behandlingen er nød-
vendig af hensyn til opfyldelse af en kontrakt. I denne forbindelse fandt EU-Domstolen, at
nødvendighed af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, kun kan
begrunde behandling af personoplysninger, hvis behandlingen er objektivt uundværlig, såle-
des at kontraktens hovedformål ikke vil kunne opfyldes uden denne behandling. ”
Til brug for besvarelsen af de resterende dele af spørgsmålet vedrørende sager anlagt ved EU-
domstolen, er der indhentet en udtalelse fra Justitsministeriet.
4
”Justitsministeriet har med udgangspunkt i artiklen umiddelbart identificeret sagerne C-
446/21, Schrems og C-604/22, IAB Europe, der omhandler tredjepartscookies og digitalt ad-
færdsdesign. Begge præjudicielle sager verserer på nuværende tidspunkt ved EU-Domstolen.
I sagen C-446/21, Schrems skal EU-Domstolen bl.a. tage stilling til, i hvilket omfang indsamling
og analyse af personoplysninger til målrettet reklame skal ske på baggrund af den registrere-
des samtykke, samt hvordan forpligtelsen til dataminimering i databeskyttelsesforordningen
skal fortolkes, herunder om der er nogle begrænsninger i forhold til opbevaring af personop-
lysninger, når personoplysningerne er indhentet og behandlet med henblik på målrettet mar-
kedsføring. EU-Domstolen skal desuden tage stilling til, hvornår følsomme oplysninger såsom
politisk anskuelse og seksuel orientering kan behandles med henblik på at reklamere på per-
sonaliseret vis. Sagen blev indleveret til EU-Domstolen den 20. juli 2021. Sagen har været ud-
sat indtil domsafsigelsen i C-252/21 den 4. juli 2023.
I sagen C-604/22, IAB Europe skal EU-Domstolen bl.a. tage stilling til under hvilke nærmere
omstændigheder cookies udgør personoplysninger, men også under hvilke omstændigheder
den dataansvarlige kan blive ansvarlig for tredjeparters behandling af personoplysninger. Sa-
gen blev indleveret til EU-Domstolen den 19. september 2022.
Det er på nuværende tidspunkt ikke muligt at skønne over, hvornår sagerne forventes afgjort.
Justitsministeriet kan oplyse, at Danmark ikke har afgivet indlæg i sagerne, men at ministeriet
følger begge sager til orientering.”
Med venlig hilsen
Marie Bjerre