af Erik J. Andersen, CEO i Symbic – eja@symbic.dk

Uklare og ulovlige samtykker i strid med GDPR florerer på nettet

Der er fortsat store problemer med GDPR, mener Forbrugerrådet Tænk forud for den store evaluering af GDPR-reglerne, som regeringen har sat gang i. “Der bliver indhentet samtykker, som ikke er gyldige, fordi det er uklart, hvad vi siger ja til,” siger chefjurist Anette Høyrup til Computerworld.

Her fra Symbic vil vi gerne tilføje, at det i rigtig mange tilfælde forekommer irrelevant at indsamle cookies, som er unødvendige for den operation, som brugeren foretager, og forekommer at være i strid med GDPR Artikel 6, der kræver et “legitimt formål” med indsamling af data om brugeren.
Cookies er persondata. Cookies kan anvendes af dataansvarlig og databehandler til identifikation af persondata, og en persons adfærd på nettet. 

Cookie-accept på websitets forside  er irrelevant og normalt i strid med GDPR-kravet om granulariet. Såfremt cookies skal tjene et legitimt formål, må indsamlingen ske på sider, hvor indsamlingen medfører en reel forbedring af brugerens kvalitetsoplevelse, eller når cookies er nødvendige for den pågældende sides funktionalitet i forbindelse med brugerens konkrete operation. Cookie-accept på forsiden minder om en slags voldtægt af brugeren, der måske blot ville se, hvad websiden signalerer. Forside-cookie accept gør brugeren træt, og man klikker bevidstløst “Ja”, bare for nu at komme videre.

Jeg er glad for, at jeg ikke accepterer forside-cookies, som jo næsten kun kan være irrelevante for mig, og i hvert fald er irriterende i de fleste tilfælde. Cookies kan kun være til gavn for brugeren i en bestemt operation. Her er der meget ofte tale om brud på kravet om granularitet, -at samtykke skal gælde hvert specifikt behandlingsformål.

Et par analogier
Har du prøvet at gå op ad gågaden, og kræve en underskrift af alle, der har mulighed se dig gå forbi på gaden?

Eller har du oplevet hos bageren, når du bestiller 2 rundstykker, at blive afkrævet navn, adresse og underskrift på et alenlangt formular om en række forskellige præferencer?
– Det er næppe sådan man samler sig venner.

“Ydermere virker det som et brugerfjendtligt pres, at cookie-accept rammen ofte optager en så stor del af skærmbilledet, at den pågældende webside opfattes som delvist – måske helt – uanvendelig med mindre man accepterer den i øvrigt irrelevante cookieindsamling. Nogle websider går så vidt, så sidens grundfunktionalitet er alvorligt forringet uden accept af cookies. Det gælder også ved simple informationssider.

Det kan let medføre, at samtykket ikke er givet i frivillighed, da brugeren bliver presset, og der er ulemper ved at undlade samtykke”, siger Symbic’s CEO, Erik J. Andersen. 

Datatilsynets vejledning
Et samtykke skal være frivilligt. Formålet med et samtykke er at give de registrerede et valg og ikke mindst kontrol over personoplysninger om dem selv. Et samtykke anses derfor ikke for at være afgivet frivilligt, hvis den registrerede ikke har et reelt eller frit valg. Et samtykke må f.eks. ikke være afgivet under tvang. Dette gælder, uanset om det er den dataansvarlige eller andre, der udøver tvang over for den registrerede.
Enhver form for upassende pres på eller påvirkning af den registreredes frie vilje, medfører at samtykket er ugyldigt.

Alt i alt er det mange steder lykkedes at implementere GDPR stik imod hensigten.