Et tilbagevendende irritationsmoment for mange er de dialogbokse om brug af cookies, som popper op på alle hjemmesider. Nærmest i blinde klikker de fleste ’OK’ for hurtigt at få adgang til indholdet. I mange tilfælde betyder dette OK, at brugeren tillader myndigheden eller virksomheden at give personoplysninger og data om brugerens onlineadfærd videre til Google og reklamenetværk, der profilerer brugeren og derpå personaliserer annoncer. ​​

Men en ny principiel afgørelse fra Datatilsynet og Datarådet om Danmarks Meteorologiske Institut (DMI) ser ud til ikke kun at forandre dialogboksenes udseende, men udfordre hele det økosystem, der i dag automatisk skræddersyer annoncer til brugerne baseret på overvågningen af deres færden på nettet.

»Afgørelsen er en bombe under den digitale økonomi. Den udfordrer selve finansieringen af mange kommercielle hjemmesides aktivitet. Grunden til, at mange websites er gratis at besøge er, at adtech-industrien har modtaget data om brugerne for i stedet at formidle annoncer. Det er med afgørelsen ikke blevet forbudt at give disse data videre, men der stilles nu helt nye krav, som gør, at mange virksomheder skal begynde at tænke sig rigtig godt om«, siger Søren Sandfeld Jakobsen, professor i it-ret ved CBS.

I afgørelsen fra tilsynsmyndigheden, der først offentliggøres en af de kommende dage, får DMI »alvorlig kritik« for at behandle personoplysninger i strid med databeskyttelsesforordningen (GDPR).

Nej tak må ikke være flere klik væk

På sin hjemmeside, der er en af Danmarks mest populære, har DMI som led i sin finansiering benyttet Googles annonceplatform og i den forbindelse videregivet persondata om de besøgendes ip-adresser og aktiviteter. Ifølge GDPR kræver det et samtykke, der er afgivet frivilligt, og at det er fuldt oplyst, hvad brugeren giver samtykke til. Men dette har ikke været tilfældet, og de indhentede samtykker har derfor været ugyldige.

»Datatilsynet har lagt vægt på, at det ikke er muligt for en besøgende på hjemmesiden at afslå behandling af personoplysninger ved det indledende besøg på dmi.dk. Det kræver, at den besøgende vælger ’Vis detaljer’ for derefter at vælge ’Opdater samtykke’. En sådan ’et klik-væk’ fremgangsmåde er efter Datatilsynets opfattelse ikke gennemsigtig«, lyder det i afgørelsen. ​​

Den pointerer også det ulovlige i, at »den registrerede indirekte skubbes i retning af at give samtykke til behandling af personoplysninger«.

Der fiser persondata helt ukontrolleret rundt, og det får kun lov til at bestå, fordi folk ikke forstår det. Christian Schmidt, klager i sagen

Klageren i sagen hedder Christian Schmidt, der de senere år har undret sig over, at offentlige og private hjemmesider uden at give brugerne klar besked og en reel valgmulighed har fået uhindret lov til høste og videresælge brugernes data.

»Hvis politikerne forstod, hvad der foregik i det her økosystem, så ville det blive forbudt. Der fiser persondata helt ukontrolleret rundt, og det får kun lov til at bestå, fordi folk ikke forstår det. GDPR er jo en fornuftig lovgivning, der sikrer folk deres frihedsrettigheder, og hvis ingen havde tænkt sig at håndhæve reglerne, så burde man ikke have vedtaget dem«, siger Christian Schmidt, der er civilingeniør.

DMI accepterer afgørelsen og beklager, at myndigheden har haft en praksis, som giver anledning til kritik fra Datatilsynet.

»Datatilsynet peger i sin afgørelse på nogle meget konkrete steder, hvor de ikke mener, at vores samtykkeløsning er god nok. Dem vil vi nu kigge nærmere på og se på, om det er noget, vi allerede har rettet, eller om der er behov for, at vi gør mere. For vi skal selvfølgelig gøre det ordentligt, og man skal kunne besøge vores hjemmeside i forvisning om, at alle regler bliver overholdt«, skriver direktør Marianne Thyrring.

DMI har siden 2004 haft indtægter fra onlineannoncer, og i 2018 og 2019 udgjorde de samlet 10 millioner kroner.

»Om det påvirker vores indtægter fra bannerannoncer fremover kan vi ikke vide, da det afhænger af vores brugeres valg«, siger Marianne Thyrring.

Konsekvenser for de fleste

Myndighedens løsning til at indhente samtykke er udbredt på tværs af nettet og hos de mest populære danske hjemmesider. Eksempelvis har nogle af de største nyhedsmedier Ekstra Bladet, Politiken, BT og Berlingske en lignende løsning på deres hjemmesider, mens det også på Rejseplanen.dk og Dba.dk kræver flere klik og ihærdighed at undlade at give sit samtykke.

»Det kommer til at eksplodere, når afgørelsen offentliggøres, for den vil få konsekvenser for alle de offentlige og private hjemmesider, der i dag indhenter brugerens samtykke til databehandling og videregivelse af data. Rigtig mange vil skulle ændre praksis, for de har i dag valgt en løsning, der skaffer mange samtykker, da det jo giver en mere effektiv markedsføring«, siger advokat med ekspertise i persondata- og markedsføringsret Heidi Højmark Helveg, der rådgiver virksomheder på området.

De fleste reklamefinansierede hjemmesider har løsninger, der ligner DMI's, og hvor det er gjort besværligt at sige nej til de såkaldte tredjepartscookies.

De fleste reklamefinansierede hjemmesider har løsninger, der ligner DMI's, og hvor det er gjort besværligt at sige nej til de såkaldte tredjepartscookies.

For brugerne vil det betyde en bedre beskyttelse af deres personoplysninger på tværs af nettet. For mange virksomheder vil deres indtjening komme under pres, vurderer hun.

»Datatilsynet siger nu, at det skal være lige så let at sige nej som ja til de her tracking-cookies, og så man må alt andet lige forvente, at mange flere vil sige fra. Dermed vil priserne på denne type reklamer givetvis falde, fordi man ikke kan måle og veje brugeren som førhen«, siger Heidi Højmark Helveg, partner i Synch Advokatpartnerselskab.

En undersøgelse fra Erhvervsstyrelsen indikerer, at de fleste brugere vil sige nej til at give deres persondata til tredjeparter. I en spørgeundersøgelse fra 2015 anså blot tre procent af godt 2.000 adspurgte, at videregivelse af adfærdsdata til tredjeparter var at anse som »et godt formål«. Data til at give personaliserede tilbud fra andre besøgte websites blev alene anset som et godt formål blandt 10 procent.

»Stort set alle vil jo sige nej til et direkte spørgsmål om at få delt deres data med alle mulige tredjeparter. Reklamefinansierede hjemmesider ved, at hvis de skal have målrettede annoncer, så skal brugerne acceptere noget, de reelt ikke har lyst til, og derfor ser vi i dag den meget udbredte praksis med dialogbokse, der nudger (tilskynder, red.)folk til at give samtykke. Men den praksis vil altså være ulovlig fremover«, siger Jesper Lund, formand for IT-Politisk Forening. ​​