Cookies hiver tæppet væk under din online marketing

Hvis du ikke allerede har valgt NEJ TAK, så skal du tage individuel stilling til en række forskellige formål med at behandle nogle af dine personlige oplysninger. Formål som du både har svært ved at forstå og dermed forholde dig til. Vælger du så stadig JA TAK, eller hopper du med på NEJ TAK?

Når du og alle andre – med undtagelse af nogle få cookie-masochister – vælger NEJ TAK knappen, så betyder det helt konkret, at virksomheden bag hjemmesiden mister en masse muligheder for at blive klogere på dig og ramme dig med online markedsføring.

Kigger vi f.eks. på en af landets største ejendomsmæglerkæder, Home, så mister de med dit NEJ TAK mulighederne for:

• At indsamle statistik via Google Analytics om din adfærd på siden (hvad klikker du på, hvor længe er du der, hvor kommer du fra og millioner af andre oplysninger).

• At indsamle statistik via videoafspilningstjenesten Vimeo, så de kan se noget om, hvilke videoer du ser, hvor meget af videoen du har set, om du deler den og meget andet.

• At målrette annoncer til dig, når du bevæger dig rundt på internettet i øvrigt. Har du klikket på hesteejendomme hos Home, så kan du i princippet blive ramt af masser annoncer fra virksomheder, der vil sælge dig en hestetrailer. Eller jagte efter dig alle steder med annoncen for det hus, som du har kigget godt og grundigt på.

• At forfølge dig på sociale medier som Facebook og LinkedIn, fordi de ved noget mere om, hvad du er interesseret i.

• At få mulighed for at dele nogle af dine personoplysninger med online annonceplatforme, som bruger dem til formål, som bare er beskrevet som ”målrettet annoncering”.

Home er på ingen måde unik – alle virksomheder indsamler forskellige former for personoplysninger fra besøgende på deres hjemmesider. Og mange af dem deler lystigt oplysningerne med store mastodonter som Google, Facebook og LinkedIn samt alverdens forskellige annonceplatforme.

Uden de oplysninger om dig, så bliver Homes statistikker fra hjemmesiden ubrugelige og store dele af deres online marketing overflødig, fordi begge dele er baseret på din velvillighed til at dele nogle af dine personlige oplysninger med dem.

Ingen lever op til reglerne

Jeg har endnu ikke set én eneste hjemmeside, som lever op til de krav og regler, som Datatilsynet senest har præciseret i deres vejledning ”Behandling af personoplysninger om hjemmesidebesøgende” fra februar 2020. Og jeg tror heller ikke, at nogen kommer til det, hvis man skal tolke vejledningen bogstaveligt.

Skulle en virksomhed lykkes med at implementere en teknisk løsning, der kan leve op til kravene om samtykke fra den besøgende, så vil vejen til det hellige samtykke bliver så lang, indviklet og snørklet, at ingen nogensinde kommer igennem.

Derfor skal alle virksomheder indstille sig på, at fundamentet for deres statistik og online marketing forsvinder som dug for solen. Og samtidig kommer mange virksomheder også til at fjerne de cookies fra deres hjemmesider, som har at gøre med specielt online markedsføring og statistik, fordi de i praksis ikke kan leve op til at indhente samtykker fra de besøgende, som lever op til kravene.

Hvad er problemet?

Udgangspunktet for den helt grundlæggende problemstilling er, at din og andre virksomheder behandler personlige oplysninger, når hjemmesiden lægger cookies på computeren eller mobilen hos de besøgende. Det betyder, at I som virksomhed skal forholde jer til flere forskellige lovgivninger og regelsæt, som ovenikøbet kontrolleres forskellige instanser med forskellige opfattelser af, hvordan man i praksis skal overholde deres regler.

Eksempelvis er det Erhvervsstyrelsen, der fører tilsyn med cookiebekendtgørelsens regler, mens Datatilsynet holder styr på reglerne i databeskyttelsesforordningen. For ikke at tale om markedsføringsloven og andre supplerende lovgivninger.

Men hvilke personoplysninger taler vi så om?

Der er ikke tale om de mest oplagte personoplysninger, som navn, adresse, e-mail og telefonnummer. Men derimod nogle af de digitale aftryk, som vi alle efterlader os, når vi klikker rundt på internettet. Og som nemt kan udnyttes til at tegne et meget præcist billede af, hvem vi er – og måske i sidste ende faktisk gøre det muligt at identificere os entydigt.

Blandt vores digitale aftryk er vores IP-adresse, de hjemmesider vi har besøgt, vores digitale enhed (bærbar computer, tablet eller mobiltelefon) og meget mere fra samme skuffe. Men vores digitale aftryk bliver også udnyttet til at koble vores adfærd mellem forskellige platforme. Jeg kan f.eks. placere en oplysning på din computer, når du besøger min hjemmeside, som jeg kan genbruge, når du går på Facebook. Og på den måde fortsætter min marketing over for dig. Og den slags online identifikationer på kryds og tværs er blandt andet med til at tegne en meget præcis personprofil af dig. Og derfor rangerer Databeskyttelsesforordningen disse oplysninger som personoplysninger. Og i samme sekund stiller det krav til dig som virksomhed. Og her starter balladen.

Når du behandler personoplysninger

Selvom du ikke noget sted på jeres hjemmeside har en formular, eller på anden måde giver de besøgende mulighed for at indtaste oplysninger, så gør de cookies du lægger, at du går i gang med at behandle personoplysninger. Hvis du vel og mærke har fået lov.

At behandle personoplysninger omfatter indsamling, registrering eller videregivelse af oplysningerne, og din virksomhed er som udgangspunkt ansvarlig for behandlingen (dataansvarlig). Måske bruger du andre virksomheder til at udføre dele af behandlingen. Det sker f.eks., når du får adgang til at se statistik om de besøgende på din hjemmeside via Google Analytics. Så er Google din databehandler og du skal have indgået en databehandleraftale med Google – eller i tilfældet med Google og mange andre store virksomheder accepterer deres standard databehandleraftale.

Men i tilfældet Google – og de fleste andre systemer, som du ”gratis” kan implementere på din hjemmeside – så sker betalingen i form af de data, som Google indsamler fra dine besøgende, men til Googles egne formål. Og så har din virksomhed faktisk et fælles dataansvar med Google.

Det betyder ikke, at du er ansvarlig for, hvordan Google behandler personoplysningerne fra dine besøgende, men du er ansvarlig for at få deres samtykke til, at du deler deres personoplysninger med Google til de formål, som Google nu bruger dem til. Og samtidig skal du på din hjemmeside anvise, hvor jeg som besøgende kan udøve mine rettigheder over for f.eks. Google – altså trække mit samtykke til Googles behandling af mine personoplysninger tilbage.

Det findes der INGEN tekniske løsninger, som kan håndtere.

Betingelserne for, at din virksomhed lovligt kan behandle mine personlige oplysninger, når din hjemmeside placerer en cookie på min computer, er det såkaldte behandlingsgrundlag. Behandlingsgrundlaget kan være, at det er nødvendigt for at du kan levere din ydelse til mig. Hvis du f.eks. driver en webshop, er det nødvendigt at behandle mine kontaktoplysninger for at afsende varerne til mig.

Men når det gælder behandling af de personoplysninger, som jeg afgiver alene ved at besøge jeres hjemmeside, så skriver Datatilsynet i deres vejledning:

Henset til de(t) typiske formål med behandling af personoplysninger om hjemmesidebesøgende er den registreredes samtykkeefter Datatilsynets opfattelse oftest det mest passende behandlingsgrundlag i denne sammenhæng.

— Datatilsynet

 Og så åbner vi døren til endnu større udfordringer.

Samtykke handler ikke bare om at få lov

Samtykke handler rigtigt meget om, hvordan du får lov. På hjemmesiden er samtykke udtryk for, at den besøgende gives et reelt valg og kontrol over, hvordan personoplysningerne bruges. Dermed vil et korrekt samtykke være et legitimt behandlingsgrundlag for din virksomhed.

Men så nemt er det ikke. Problemet ligger i de krav, som Datatilsynet med udgangspunkt i databeskyttelsesforordningen stiller til et gyldigt samtykke.

• Det skal være frivilligt …
  Dette krav hænger sammen med, at der skal være et reelt valg. På mange hjemmesider sker samtykke til cookies alene ved, at den besøgende kan acceptere cookies. Og dermed er der ikke et alternativ, der hedder, at jeg IKKE accepterer cookies.
  
  Samtidig vil alle cookies hænge sammen med forskellige formål, og den samme cookie kan endda bruges til flere formål. Sidstnævnte kan være tilføldet, hvis du deler dataansvaret med andre. Hvis den besøgende ikke kan give særskilt samtykke til hvert enkelt behandlingsformål, så er det ikke givet frivilligt.
  
  Der findes mange cookieløsninger, som giver mulighed for særskilt samtykke til en gruppe af cookies med gruppenavne som markedsføring, statistik, funktionalitet m.v. Men den går altså ikke.
  

• Det skal være specifikt …
  Dette krav betyder, at samtykket skal gives til en præcist angivet formål og samtidig indeholde information om, hvilke personoplysninger der er tale om.
  
  I de fleste cookieløsninger angives en meget generisk beskrivelse af formålet i stil med ”støtter online markedsføring … gennem partnere og andre platforme”. Den går altså heller ikke.
  

• Det skal være informeret …
  Hvis et samtykke skal være informeret, så skal den besøgende være klar over, hvad der gives samtykke til. Det betyder i praksis, at man skal kende identiteten på den dataansvarlige, kende det konkrete formål med behandlingen, kende de konkrete personoplysninger og have kendskab til, hvordan man trækker sit samtykke tilbage.
  

• Det skal være en utvetydig viljetilkendegivelse …
  Kort fortalt betyder det, at samtykket skal gives ved en aktiv handling – eksempelvis ved at sætte et kryds eller klikke på en knap. Accept ved passivitet, fortsat brug af hjemmesiden eller lignende udgør derfor IKKE et gyldigt samtykke.
  

• Der skal være adgang til at afstå fra at give samtykke og trække det tilbage …
  Særligt muligheden for at afstå fra at give samtykke stiller krav til, at det skal være lige så synligt som at give samtykket.
  

• Det skal være dokumenteret …
  Som dataansvarlig skal man kunne dokumentere, at det enkelte samtykke er givet, samt at løsningen opfylder de øvrige betingelser for, at det er et gyldigt samtykke.

Derfor dør din online marketing

Med ovenstående gennemgang står konklusionen rimelig klar i mit hoved. Der er tre tunge argumenter for, hvorfor din online marketing dør:

For det første vil det være næsten umuligt i praksis at bygge et system, der kan håndtere alle kravene til oplysning af formål, særskilt samtykke m.v.

For det andet vil enhver fornuftig besøgende på en hjemmeside straks klikke på NEJ TAK til behandling af personoplysninger, når muligheden for det bliver lige så tydelig som JA TAK knappen.

For det tredje sidder Datatilsynet med en stor hammer i form af bøder i en størrelsesorden, som kan få de fleste virksomheder til at tage det seriøst. Ikke mindst set i lyset af, at de ikke er bange for at bruge den.

Det er svært at sige noget kvalificeret om, hvilke konsekvenser det hele får. Men én ting er sikkert – det er bedre at tage hånd om det i stedet for at lade stå til. Så falder hammeren helt sikkert.