28 apr. 2022
Mor og lille datter sidder på gulvet med pc og tablet

Lægger din hjemmeside ”fælder” for den besøgende?

Forfattere
Bodil Hald Brabæk

Head of Data Privacy Law, Director, Law, EY Denmark

Omfattende erfaring inden for databeskyttelseslovgivning. Betroet rådgiver med fokus på både private og offentlige kunder. Søger værdifulde og pragmatiske løsninger. Passioneret foredragsholder.

Caroline Kahns Hille

Manager, Data Privacy Law, EY Danmark

Rådgiver med erfaring inden for databeskyttelseslovgivning. Fokus på kundens kommercielle behov. Databeskyttelsesretlig rådgivning i øjenhøjde.

28 apr. 2022
Relaterede emner Law

Det Europæiske Databeskyttelsesråd har vedtaget nye retningslinjer for databeskyttelse på sociale medier, som kan overføres til hjemmesider.

Opsummering: 
  • De nye retningslinjer giver praktiske anbefalinger til, hvordan man vurderer og undgår såkaldte ’dark patterns’.
  • Dark patterns er interfaces, der får brugere til at træffe utilsigtede, uvillige og potentielt skadelige beslutninger om behandling af deres personoplysninger.
  • EDPB anbefaler, at dataansvarlige beskytter besøgende mod ”dark patterns” og lignende ”fælder” ved at implementere privacy by design og standardindstillinger.

Vejledningen indeholder retningslinjer for databeskyttelse på sociale medier, herunder særligt dem der designer de såkaldte ”interfaces” på sociale medier. Retningslinjerne kan dog også overføres til lignende interfaces på virksomheders hjemmesider, hvor den hjemmesidebesøgende bliver bedt om at samtykke til behandling af dennes personoplysninger.

Retningslinjerne giver praktiske anbefalinger til, hvordan man vurderer og undgår såkaldte ’dark patterns’. ’Dark patterns’ er interfaces, der får brugere og hjemmesidebesøgende til at træffe utilsigtede, uvillige og potentielt skadelige beslutninger vedrørende behandling af deres personoplysninger. ’Dark patterns’ sigter således mod at påvirke den besøgendes adfærd og hindre deres evne til effektivt at beskytte deres personoplysninger

’Dark patterns’ omfatter bl.a.:

  • Information overload, hvor brugeren bliver præsenteret for en stor mængde information, valgmuligheder, anmodninger mm., som har til formål at få brugeren til at dele flere oplysninger eller give samtykke til behandling af flere personoplysninger end tilsigtet
  • Hindering, hvor brugeren bliver forhindret eller blokeret i at tilgå information omkring behandling af sine personoplysninger, fordi handlingen for at tilgå informationen er svær eller umulig at opnå.
  • Left in the dark, hvor interfacet er designet med det formål at skjule information med det formål at efterlade brugeren uvidende om, hvordan brugerens personoplysninger behandles, sine rettigheder mm.

Listen er dog langt fra udtømmende.

Hvordan undgår man ”dark patterns” og ”fælder”?

EDPB anbefaler, at dataansvarlige beskytter besøgende mod ”dark patterns” og lignende ”fælder” allerede ved at implementere privacy by design og standardindstillinger. EDPB påpeger, at information om behandlingen bør ske på en objektiv og neutral måde, hvor man undgår ethvert vildledende eller manipulerende sprog eller design.

På baggrund heraf anbefaler EDPB bl.a. implementering af følgende foranstaltninger gennem design og standardindstillinger:

  • Genveje: Links til information eller indstillinger, der kan fungere som praktisk hjælp for de besøgende til at administrere deres data, herunder links, der omdirigerer de besøgende til de relevante dele af en privatlivspolitik, når de besøgende interagerer med platformen.

  • Kontaktoplysninger: Den dataansvarliges kontaktoplysninger skal være synlig på platformen, der hvor de besøgende vil forvente at finde sådanne oplysninger, således at de besøgende ved, hvortil de skal rette henvendelse med rettighedsanmodninger.

  • Række ud til tilsynsmyndigheden: Den relevante tilsynsmyndighed, herunder link til dennes websted, skal fremgå af platformen, der hvor den besøgende kan forvente at finde den, således at den besøgende på nem vis har mulighed for at rette en eventuel klage til den rette myndighed.

  • Overblik over privatlivspolitikken: Privatlivspolitikken på platformen bør designes med en indholdsfortegnelse, hvor de besøgende tydeligt kan vælge, hvilket indhold de vil læse. Når der foretages ændringer i privatlivspolitikken, bør de forrige versioner af privatlivspolitikken stadig være tilgængelige på platformen i en historisk dateret udgave, hvori de nye ændringer fremhæves.

  • Sammenhængende formuleringer: Den ordlyd, der anvendes til at beskrive behandlingen og beskyttelsen af personoplysninger, skal være overensstemmende med den ordlyd og de formuleringer, der anvendes på resten af platformen.

  • Databeskyttelse - straks: Så snart den besøgende har oprettet en profil eller i forbindelse med afgivelsen af et samtykke, skal den besøgende havde mulighed for at indstille sine præferencer.

  • Anvendelse af eksempler: Udover at beskrive behandlingen af den besøgendes personoplysninger med klar og præcis angivelse af formålet, kan eksempler også bruges til at illustrere en specifik persondatabehandling, således at behandlingen gøres mere håndgribelig for brugeren.

EY anbefaler

Selvom vejledningen fortsat er i høring, og at der således kan ske ændringer i den endelige vejledning, er det EY’s anbefaling, at enhver dataansvarlig besøger sine hjemmesider med henblik på at kortlægge enhver relevant behandling af personoplysninger – ikke mindst de behandlinger, der hviler på et samtykke – for derved at sikre den fornødne privacy by design i overensstemmelse med vejledningen konkrete retningslinjer.

Hos EY Law finder du specialister indenfor databeskyttelsesret og it-sikkerhed, og vi kan således bistå med den fulde pallette indenfor data privacy, herunder også i relation til databeskyttelse gennem design og standardindstillinger

Hvis I ønsker en uforpligtende drøftelse af jeres nuværende status for compliance, herunder en drøftelse af, hvorledes I bør prioritere jeres indsats og ressourcer fremadrettet, kan I med fordel række ud til os.

Sammendrag

De nye retningslinjer understreger bl.a. vigtigheden af, at de dataansvarlige får sikret de behandlinger af personoplysninger, der sker via den dataansvarlige hjemmeside – herunder særligt når behandlingerne hviler på et samtykke. Der gives i retningslinjerne praktiske anbefalinger til sikring af den lovpligtige privacy by design.

Om denne artikel

Forfattere
Bodil Hald Brabæk

Head of Data Privacy Law, Director, Law, EY Denmark

Omfattende erfaring inden for databeskyttelseslovgivning. Betroet rådgiver med fokus på både private og offentlige kunder. Søger værdifulde og pragmatiske løsninger. Passioneret foredragsholder.

Caroline Kahns Hille

Manager, Data Privacy Law, EY Danmark

Rådgiver med erfaring inden for databeskyttelseslovgivning. Fokus på kundens kommercielle behov. Databeskyttelsesretlig rådgivning i øjenhøjde.

Related topics Law