ComplyCloud stiller skarpt på GDPR

Afgørelse: Datatilsynet udtaler alvorlig kritik af DMI´s behandling af oplysninger om besøgende på deres hjemmeside. Behandlingen er i strid med GDPR! Kravene om samtykke er hermed skærpet i en sådan grad, at mange virksomheder skal i gang med at gøre samtykkeindstillinger langt mere gennemsigtige for den besøgende.

Datatilsynet har på baggrund af en klage udtalt alvorlig kritik af DMI’s behandling af personoplysninger i forbindelse med visning af bannerannoncer på instituttets hjemmeside.

Datatilsynet vender hermed tilbage til sagen, hvor [klager] den 29. august 2018 har klaget til Datatilsynet over Danmarks Meteorologiske Instituts (herefter DMI) behandling af personoplysninger om ham i forbindelse med visning af bannerannoncer på DMI’s hjemmeside (www.dmi.dk).

Sagen har været behandlet på et møde i Datarådet.

Datatilsynet bemærker indledningsvis, at DMI siden klagens indgivelse er nået frem til, at der er sket indsamling og videregivelse af personoplysninger, herunder om klager, uden et lovligt behandlingsgrundlag, hvorfor instituttet har ændret måden, hvorved der indhentes samtykke til indsamling og videregivelse af personoplysninger om de besøgende på dmi.dk.

Datatilsynet tager med denne afgørelse stilling til, dels hvorvidt behandling af personoplysninger om klager indtil DMI’s ændring af instituttets fremgangsmåde til indhentning af samtykke har været berettiget, dels hvorvidt instituttets nuværende behandling af personoplysninger om besøgende på dmi.dk, sker inden for rammerne af databeskyttelsesforordningen.

1. Afgørelse

Datatilsynet finder, at hverken DMI’s tidligere eller nuværende løsning til indhentning af samtykke til behandling af personoplysninger om de besøgende på dmi.dk opfylder databeskyttelsesforordningens krav til den registreredes samtykke i artikel 4, nr. 11, og det grundlæggende princip om lovlighed, rimelighed og gennemsigtighed i artikel 5, stk. 1, litra a.

Læs hele afgørelsen fra Datatilsynet her.