Datatilsynet har den 17. februar 2020 offentliggjort en ny vejledning, der angiver retningslinjer for behandling af personoplysninger om hjemmesidebesøgende. I vejledningen gennemgås og forklares de væsentligste regler, som er vigtige at være særligt opmærksom på. Tilvejebringelsen af vejledningen er sket på baggrund af en konkret afgørelse fra Datatilsynet.

Afgørelsen omhandler i hovedtræk en klage over Danmarks Meteorologiske Institut (DMI) og deres behandling af personoplysninger i forbindelse med bannerannoncevisning på DMI’s hjemmeside.

Klagen vedrørte konkret det forhold, at DMI ved at vise bannerannoncer på deres hjemmeside, navnlig fra bl.a. Googles annonceplatform, bidrager til indsamling af personoplysninger om hjemmesidens besøgende med samtidig videregivelse til Google.

Datatilsynet fastslår i afgørelsen, at DMI’s procedure for indhentning af samtykke til behandling af personoplysninger ikke opfyldte kravene efter persondataforordningen. Det grundlæggende princip om lovlighed, rimelig og gennemsigtighed efter persondataforordningen heller ikke var overholdt.

Datatilsynet fastslår endvidere, at DMI ikke havde et tilstrækkeligt behandlingsgrundlag for de indsamlede personoplysninger. På baggrund heraf udtalte Datatilsynet således alvorlig kritik af DMI’s behandling af personoplysninger om hjemmesidebesøgende, da behandlingen var i direkte strid med persondataforordningen.

Vejledningen skal i kølvandet på denne afgørelse bidrage til at klarlægge reglerne på området. Vejledningen behandler hovedsageligt reglerne om rollefordelingen mellem databehandler og dataansvarlig, rette behandlingsgrundlag og betingelserne for samtykke.

Rollefordeling

Behandling af personoplysninger kan både ske i rollen som dataansvarlig og databehandler. Der kan ligeledes være tale om, at flere virksomheder eller organisationer agerer som fælles dataansvarlige.

Når en virksomhed behandler oplysninger om hjemmesidebesøgende vil dette ofte ske i rollen som dataansvarlig, idet virksomheden selv fastlægger formålet med behandlingen. Vejledningen angiver specifikke retningslinjer for, hvordan man som virksomhed definerer sin rolle.

Rette behandlingsgrundlag

Efter persondataforordningen, er det den dataansvarlige, der skal sikre et tilstrækkeligt behandlingsgrundlag for behandlingen af personoplysninger.

Vejledningen angiver retningslinjer for, hvordan man som dataansvarlig bestemmer sit relevante behandlingsgrundlag. Ligeledes giver vejledningen konkrete anvisninger for, hvordan man fastlægger behandlingsgrundlaget i den situation, hvor flere virksomheder eller organisationer til sammen er fælles dataansvarlige.

Betingelser for gyldigt samtykke

Når man som virksomhed behandler personoplysninger om de brugere, der besøger virksomhedens hjemmeside, vil det retlige grundlag som hovedregel være med afsæt i virksomhedens legitime interesse eller brugerens samtykke.

Vejledningen bidrager til at fastlægge, hvornår et samtykke er gyldigt. Der angives således retningslinjer for, hvordan man som virksomhed sikrer sig, at samtykke er frivilligt, specifikt, informeret, dokumenteret og erklæret ved utvetydig viljestilkendegivelse.

Men også at der er givet adgang til, at den registrerede til en enhver tid, kan afstå fra at give samtykke eller trække sit samtykke tilbage.

Du kan læse hele vejledningen vedrørende behandling af personoplysninger om hjemmesidebesøgende her

Har du spørgsmål til ovenstående eller brug for kompetent sparring og rådgivning i forbindelse med behandling af personoplysninger om hjemmesidebesøgende eller andre persondataretlige problemstillinger+

Du er altid velkommen til at kontakte CLEMENS Advokatfirmas persondatateam, der står parat til at hjælpe dig.