Nedersachsens delstatskommissionär för dataskydd har publicerat nya riktlinjer och instruktioner om hur ett kompatibelt samtyckesskikt ska se ut. Den viktigaste informationen sammanfattas här.
Många samtyckesverktyg är inte kompatibla
Först kommer LDF till insikten att många GDPR-verktyg trots allt inte är GDPR-kompatibla. Användningen av ett samtyckeshanteringsverktyg kommer vanligtvis att göra det möjligt för webbplatsen att vara kompatibel för att erhålla dataskyddskompatibelt samtycke – men det är upp till webbplatsoperatören att konfigurera verktyget korrekt.
Praktiskt tips: Standardinställningarna för samtyckeshanteraren är redan inställda på de rekommenderade värdena. Om du är osäker på hur du ställer in vårt verktyg, använd helt enkelt standardinställningarna.
Ingen databehandling före samtycke
LDF klargör också än en gång att databehandling, det vill säga att sätta cookies och ringa upp tredjepartsleverantörer, endast får ske om samtycke har getts (t.ex. genom en samtyckesbanner på webbplatsen).
Praktiskt tips: Använd vårt Cookie Crawler-överensstämmelsetest för att fastställa att inga cookies ställs in utan samtycke.
Information i samtyckesskiktet
Dessutom klargör LDF återigen vilken information som hör hemma i en samtyckesbanner på hemsidan för att få samtycke enligt dataskyddsbestämmelserna. Dessa är särskilt:
- identiteten på den ansvarige,
- behandlingsändamål,
- de behandlade uppgifterna,
- avsikten med ett uteslutande automatiserat beslut (Art. 22 Para. 2 lit. c) och
- avsikten att överföra uppgifter till tredjeländer (art. 49 punkt 1 meningen 1 lit. a)
Det klargörs också att syftena måste vara specifika. Det räcker inte med formuleringar som ”förbättra surfupplevelsen” eller ”marknadsföring, analys och personalisering”.
Detsamma gäller för att specificera partnerna: det räcker inte att säga att ”partners” kommer att behandla uppgifterna – alla partners måste också namnges individuellt.
Praktiskt tips: Consentmanagern tillhandahåller redan de flesta av de nödvändiga uppgifterna, men du bör kontrollera om ändamålen är tillräckligt specifika för dina användningsområden.
Entydigt samtycke och nudging
Slutligen gör LFD det klart att en knapp måste vara tydligt förståelig och tydligt märkt. En ”Okej”-knapp räcker inte här och ”Acceptera alla” kan också vara för otydlig (om texten inte tillräckligt beskriver vad som accepteras).
Samtidigt gör LFD klart att de så kallade ”PUR-modellerna” (acceptera reklam eller teckna ett abonnemang) kan vara kompatibla.
LFD går också in i detalj på att så kallade nudging eller mörka mönster inte är tillåtna. Poängen är att användaren medvetet eller omedvetet pressas att fatta ett beslut och därmed undergrävs det ”fria valet”. Detta är redan fallet om till exempel avvisningsknappen är utformad annorlunda (mindre iögonfallande) eller avvisning endast är möjlig genom att klicka på ”Inställningar” eller liknande.
Praktiskt tips: Använd alltid två knappar (acceptera och avvisa) och formulera dem tydligt.
Den fullständiga rapporten från LFD Niedersachsen finns här .
