Datatilsynet gav alvorlig kritik til et låneinstitut, fordi hjemmesiden placerede cookies og behandlede personoplysninger før der forelå et gyldigt samtykke. Samtykkeløsningen var mangelfuld, blandt andet fordi forhåndsafkrydsning var anvendt, og brugerne ikke blev tydeligt oplyst om retten til at trække samtykket tilbage.
Samtykkeløsninger og ulovlig behandling
Ikke-nødvendige cookies må først aktiveres, når brugeren frit har samtykket. Et gyldigt samtykke kræver klare formål, gennemsigtige valg og en ligeværdig mulighed for at afvise. Forhåndsafkrydsning og uklare designvalg gør samtykket ugyldigt.
Virksomheder bør sikre, at cookie-banneret blokerer alle ikke-nødvendige teknologier, tilføje enkel adgang til senere tilbagekaldelse og undgå nudging. Løsningen skal afspejle det faktiske set-up, så der ikke sættes cookies, før valget er truffet.
Dokumentation og sletning
Datatilsynets nye vejledning præciserer, at virksomheder kun skal kunne dokumentere samtykke, mens behandlingsaktiviteten pågår. Logning kan fx angive tidspunkt, formål og brugerens valg, men må ikke overstige dataminimerings- og opbevaringsprincipperne.
Når behandlingen ophører, skal både dokumentation for samtykket og de tilknyttede oplysninger slettes. Fortsat opbevaring kan kun ske, hvis det er nødvendigt for at fastlægge, gøre gældende eller forsvare et konkret retskrav. Lange opbevaringsperioder for en sikkerheds skyld er i strid med reglerne og bør undgås gennem klare opbevaringspolitikker.
