Dataretningslinjer
Retningslinjer for indsamling og behandling af personoplysning
Formål
Disse retningslinjer fastsætter JP/Politikens Hus’ (herefter: JPPOL) og annoncørers og mediebureauers (herefter: Indkøberen) rettigheder og forpligtelser ved behandling af personoplysninger i forbindelse med Annoncering fra digitale tjenester ejet af JPPOL. Retningslinjerne gælder for alle aktiviteter i forbindelse med placering af Annoncer hos JPPOL foretaget af Indkøberen.
Retningslinjerne fastsætter ansvarsfordelingen mellem JPPOL og Indkøberen (i fællesskab: Parterne) i forbindelse med, at Parterne i fællesskab fastlægger formål med og hjælpemidlerne til behandling af personoplysninger til brug for Indkøberens annoncering på JPPOL-sites.
Når Indkøberen køber Annoncering hos JPPOL, er Indkøberen ansvarlig for at overholde forpligtelserne i disse retningslinjer. Dette indebærer blandt andet, at Indkøberen sikrer, at dennes datterselskaber, kunder samt anvendte tredjepartsteknologier overholder retningslinjerne.
Disse retningslinjer har forrang ift. alle andre aftaler, der måtte være indgået mellem JPPOL og Indkøberen, fx økonomiske rammeaftaler for annoncekøb.
Definitioner
”Annonce” eller ”Annoncering” er et kommercielt budskab til offentliggørelse og udbredelse via digitale kanaler.
“JPPOL-bruger” er en bruger af enhver digital tjeneste udbudt af JPPOL.
“JPPOL-id” er et cookiebaseret id sat på anonyme JPPOL-brugere, der har givet samtykke til cookies og databehandling på et JPPOL-site, fx Ekstra Bladet, hvor dette id hedder ‘ebid’. JPPOL-id’er bruges til at indsamle JPPOL-data samt til kampagnestyring.
“JPPOL-data” er alle dataelementer eller segmenter, der kontrolleres eller leveres af JPPOL (også kaldet førstepartsdata) fx gennem dataplatformen Relevance.
”JPPOL-sites” er alle helt eller delvist ejede nyhedswebsites og apps som udbydes af JPPOL, herunder, men ikke begrænset til, ekstrabladet.dk, politiken.dk, jyllandsposten.dk, finans.dk.
”Personoplysninger" og "dataansvarlig" har samme betydning som defineret i databeskyttelsesforordningens artikel 4, nr. 1 og nr. 8.
Fælles dataansvar
Efter databeskyttelsesforordningens artikel 26 foreligger der et fælles dataansvar, når to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling af personoplysninger.
Når der foreligger et fælles dataansvar, skal de fælles dataansvarlige på en gennemsigtig måde fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til databeskyttelsesforordningen, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14, ved hjælp af en ordning imellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt.
Ordningen skal efter databeskyttelsesforordningens artikel 26, stk. 2, på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af ordningen skal ligeledes gøres tilgængeligt for de registrerede.
Den registrerede kan dog, uanset ordningens udformning, udøve sine rettigheder i medfør af databeskyttelsesforordningen med hensyn til og over for den enkelte dataansvarlige.
Den interne ansvarsfordeling i retningslinjerne hindrer ligeledes ikke, at tilsynsmyndigheden kan udøve sine beføjelser overfor begge Parter hver for sig.
Parterne er enige om, at der i forbindelse med Indkøberens Annoncering på JPPOL-sites foreligger et fælles dataansvar. Ved vurderingen heraf er der bl.a. lagt vægt på, at JPPOL giver Indkøberen mulighed for ved hjælp af egne eller af tredjepartsteknologier at indsamle personoplysninger om JPPOL-brugere. JPPOL har herved på afgørende vis indflydelse på indsamling og transmission af personoplysninger om JPPOL-brugere til Indkøberen og fastlægger derved sammen med Indkøberen formålene med og hjælpemidlerne til disse behandlingsoperationer. Det er derimod Indkøberen, der fastlægger til hvilke formål og med hvilke hjælpemidler personoplysningerne efterfølgende behandles. Parterne er således fælles dataansvarlige for indsamling og transmission af personoplysninger om JPPOL-brugere på JPPOL-sites.
Disse retningslinjer er udarbejdet med henblik på at fastlægge Parternes respektive rettigheder og forpligtelser som forudsat i databeskyttelsesforordningens artikel 26.
Overordnet ansvarsfordeling
Når JPPOL sælger Annoncering på JPPOL-sites, muliggør JPPOL, at Indkøberen kan indsamle og behandle personoplysninger om JPPOL-brugere. Dette sker ved, at JPPOL har implementeret Indkøberens eller tredjeparters teknologi på JPPOL-sites samt tillader, at Indkøberen indrykker Annoncer på JPPOL-sites, hvori der er implementeret teknologi, der kan indsamle personoplysninger.
Ved indrykning af Annoncering på JPPOL-sites gør Indkøberen brug af egne eller af tredjepartsteknologier til at indsamle og behandle personoplysninger. Behandlingen foretages for at kunne levere og målrette Annonceringen samt måle effekten heraf. Indkøberen kan også behandle personoplysningerne med henblik på profilering af JPPOL-brugere. Det er Indkøberen alene, der fastlægger formålene med og hjælpemidlerne til behandling af personoplysningerne efter, at disse er blevet transmitteret til Indkøberen.
JPPOL er ansvarlig for at sikre, at der foreligger et gyldigt behandlingsgrundlag for behandling af personoplysninger om JPPOL-brugere, samt at JPPOL-brugerne modtager information om behandlingsaktiviteten.
Indkøberen er ansvarlig for at sikre, at den øvrige behandling af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen og databeskyttelsesloven, herunder bl.a. at de grundlæggende principper i databeskyttelsesforordningens artikel 5 overholdes, samt at de registreredes øvrige rettigheder iagttages.
Principper og behandlingshjemmel
JPPOL er ansvarlig for, at der etableres et behandlingsgrundlag for Parternes behandling af personoplysninger samt at kunne dokumentere dette over for tilsynsmyndigheden. Dette gælder både for den indsamling og behandling, der finder sted på JPPOL-sites, hvor Indkøberen i forbindelse med Annoncering – enten selvstændigt via egne teknologier eller ved at benytte tredjepartsteknologier – indsamler og behandler personoplysninger, samt for Indkøberens efterfølgende behandling.
For at overholde sin forpligtelse efter pkt. 5.1 har JPPOL implementeret en Consent Management Platform ("CMP"), der iagttager IAB's Transparency and Consent Framework ("IAB TCF") politikker, hvorved JPPOL kan indhente samtykke fra JPPOL-brugere og formidle dette samtykke til Indkøberen.
Indkøberen er forpligtet til i videst muligt omfang at benytte første- eller tredjepartsteknologier og samarbejdspartnere, som er tilsluttet IAB TCF, og som kan modtage og læse den samtykkeinformation, som genereres via JPPOL's CMP ("consent string"). Som udgangspunkt kræves samtykke til alle formål, dog accepteres legitim interesse som behandlingsgrundlag for formål, der ikke involverer profilering af og målretning mod brugere. Samtykkeinformationen skal respekteres; der må ikke indsamles personoplysninger om JPPOL-brugere uden behandlingsgrundlag.
Indkøberen skal på forlangende oplyse JPPOL om samtlige formål med dataindsamlingen samt om samtlige teknologier, Indkøberen anvender til indsamling og behandling af personoplysninger. Dette sker med henblik på at give JPPOL mulighed for at tilvejebringe det fornødne behandlingsgrundlag.
Parterne er hver især ansvarlige for at overholde de grundlæggende principper for behandling af personoplysninger i databeskyttelsesforordningens artikel 5 for så vidt angår Parternes respektive ansvarsområder ifølge disse retningslinjer.
I forbindelse med Annoncering på JPPOL-sites kan Indkøberen udelukkende gøre brug af oplysninger til nedenstående formål, der følger IAB's TCF, og på baggrund af de nævnte behandlingsgrundlag i forbindelse med den tekniske levering, målretning og effektmåling af Annonceringen. Hvis Indkøberen gør brug andet behandlingsgrundlag end samtykke, skal der redegøres herfor, jf. pkt. 7. IAB TCF’s politikker og formål fremgår af følgende link: https://iabeurope.eu/iab-europe-transparency-consent-framework-policies/
| Formål nr. | IAB TCF-formål | Behandlings- grundlag | Alternativt behandlings-grundlag |
|---|---|---|---|
| 1 | Opbevare og/eller tilgå oplysninger på en enhed | Samtykke | |
| 2 | Vælge basisannoncer | Samtykke | Legitim interesse |
| 3 | Oprette en tilpasset annonceprofil | Samtykke | |
| 4 | Vælge tilpassede annoncer | Samtykke | |
| 5 | Oprette en tilpasset indholdsprofil | Må ikke bruges | Må ikke bruges |
| 6 | Vælge tilpasset indhold | Må ikke bruges | Må ikke bruges |
| 7 | Måle annonceeffektivitet | Samtykke | Legitim interesse |
| 8 | Måle indholdseffektivitet | Samtykke | Legitim interesse |
| 9 | Anvende markedsundersøgelser til at generere målgruppeindsigter | Samtykke | Legitim interesse |
| 10 | Udvikle og forbedre produkter | Samtykke | Legitim interesse |
| Særligt formål nr. | Særligt formål | ||
| 1 | Sikre sikkerhed, forebygge svig og fejlfinding | Legitim interesse | |
| 2 | Teknisk levering af annoncer eller indhold | Legitim interesse | |
| Funktion nr. | Funktion | ||
| 1 | Matche og kombinere offline-datakilder | Oplysningspligt – afhænger af andre formål | |
| 2 | Linke forskellige enheder | Oplysningspligt – afhænger af andre formål | |
| 3 | Modtage og bruge automatisk sendte enhedskarakteristika til identifikation | Oplysningspligt – afhænger af behandlingsgrundlag for særlig funktion 2 | |
| Særlig funktion nr. | Særlig funktion | ||
| 1 | Bruge præcise geoplaceringsoplys-ninger | Samtykke | |
| 2 | Aktivt skanne enhedskarakteristika til identifikation | Samtykke |
Hvis Indkøberen benytter legitim interesse som behandlingsgrundlag, påhviler det Indkøberen før Annoncering på JPPOL-sites at have gennemført en interesseafvejning for behandlingen af personoplysningerne til det valgte formål, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra f. Indkøberens interesseafvejning skal fremsendes til JPPOL efter anmodning.
Uanset de i pkt. 5.6 anførte formål må Indkøberen ikke indsamle personoplysninger, herunder, men ikke begrænset til, cookie-id’er, på Annoncering på JPPOL-sites, som er beriget med JPPOL-data. JPPOL-data må således ikke kopieres til egne systemer eller forsøges benyttet på andre sites end JPPOL-sites. Denne begrænsning gælder uanset indkøbsmetode og- kanal.
Uanset de pkt. 5.6 anførte formål må Indkøberen ikke indsamle personoplysninger af særlig følsom karakter som fastlagt i databeskyttelsesforordningens artikel 9, stk. 1 (”særlige kategorier af personoplysninger”).
JPPOL stiller via udvalgte indkøbsplatforme JPPOL’id’er til rådighed for annoncemarkedet til brug for fx frekvensstyring eller indkøb, der gør brug af JPPOL-data i form af målgrupper i Relevance. Disse id’er må i intet tilfælde kobles med egne eller andre 3. parts-id’er, lige som JPPOL id’er heller ikke må bruges til at opbygge egne datasegmenter.
De registreredes rettigheder
Parterne er hver især ansvarlige for sikringen af de registreredes rettigheder gennem iagttagelse af reglerne i databeskyttelsesforordningens artikel 13-22.
Henset til karakteren af behandlingen, som JPPOL er medansvarlig for, og at JPPOL ikke har adgang til personoplysningerne, som behandles af Indkøberen efter at være blevet transmitteret hertil, er JPPOL alene ansvarlig for at iagttage reglerne om oplysningspligt, som følger af databeskyttelsesforordningens artikel 13 og 14.
Indkøberen skal i forbindelse med JPPOL's forpligtelse efter pkt. 2 give JPPOL alle oplysninger om sin behandling af personoplysninger som er nødvendige for, at JPPOL kan overholde denne forpligtelse.
Indkøberen er ansvarlig for at iagttage de øvrige af de registreredes rettigheder som følger af databeskyttelsesforordningens artikel 15-22.
Hvis en af Parterne modtager en anmodning eller henvendelse fra en registreret vedrørende ét eller flere forhold, der er omfattet af den anden Parts ansvar, jf. 6.2 og 6.3, er Parterne hver især forpligtede til at oversende denne anmodning eller henvendelse til den anden Part hurtigst muligt og senest 72 timer efter at have modtaget denne.
Parterne er ansvarlige for at bistå hinanden i det omfang, at dette er relevant og nødvendigt for, at Parterne hver især kan efterleve sine forpligtelser over for de registrerede.
Behandlingssikkerhed og dokumentation for overholdelse af databeskyttelsesforordningen
Parterne er hver især ansvarlige for, at behandlingen af personoplysninger for så vidt angår Parternes ansvarsområde, sker i overensstemmelse med databeskyttelsesforordningen (se forordningens artikel 24), databeskyttelsesloven og disse retningslinjer, ligesom Parterne skal kunne påvise dette.
Parterne er hver især ansvarlige for iagttagelse af principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger som nævnt i databeskyttelsesforordningens artikel 25.
Parterne er hver især ansvarlige for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Dette indebærer, at Parterne, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
Parterne skal hver især vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder for så vidt angår Parternes ansvarsområder samt gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte:
- Pseudonymisering og kryptering af personoplysninger
- Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester
- Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
- En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
Parternes foranstaltninger skal, hvis det står i rimeligt forhold til behandlingsaktiviteterne, omfatte implementeringen af passende databeskyttelsespolitikker.
Anvendelse af databehandlere og underbehandlere
Parterne er hver især berettiget til at anvende databehandlere i tilknytning til den fælles behandling.
Parterne skal hver især opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, for at gøre brug af en databehandler. Parterne er herefter bl.a. forpligtet til:
- alene at anvende databehandlere, der kan stille de fornødne garantier for, at de gennemfører de passende tekniske og organisatoriske på en sådan måde, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder,
- at sikre, at der foreligger en gyldig databehandleraftale mellem Parten og databehandleren, og
- at sikre, at der foreligger en gyldig underdatabehandleraftale mellem databehandleren og en eventuel underdatabehandler.
Hver Part skal efter anmodning herom gøre den anden Part bekendt med, om Parten har overladt behandling af personoplysningerne til databehandlere (og eventuelle underdatabehandlere).
Hvis behandlingen er overladt til databehandlere (og eventuelle underdatabehandlere), skal hver Part efter anmodning herom sende databehandleraftalen mellem Parten og dennes databehandlere (og eventuelle underdatabehandlere) og eventuelle senere ændringer hertil til den anden Part. Bestemmelser om kommercielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af databehandleraftalen, skal ikke sendes til den anden Part.
Fortegnelse
Parterne er hver især ansvarlige for at iagttage kravet i databeskyttelsesforordningens artikel 30 om fortegnelser over behandlingsaktiviteter. Dette indebærer, at Parterne hver især udarbejder en fortegnelse over den behandling, som Parterne er fælles dataansvarlige for.
Denne fortegnelse tager udgangspunkt i, at Indkøberen ved køb af annoncering på JPPOL-sites kan gøre brug af egne samt tredjepartsteknologier, ligesom Indkøberen kan indlægge teknologier eller funktionalitet i Annonceringen, som gør det muligt at indsamle og behandle personoplysninger om JPPOL-brugere. Dette sker enten gennem teknisk implementering af Indkøberens egne teknologier eller tredjepartsteknologier på JPPOL-sites, eller ved at JPPOL via sine annoncesystemer (adserver) afvikler annoncering (bannere), hvori Indkøberen har inkluderet teknologi, der indsamler og behandler personoplysninger om JPPOL-brugere.
Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden
Parterne er hver især ansvarlige for efterlevelsen af databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til den kompetente tilsynsmyndighed.
Parterne er enige om, at den Part, hvis sikkerhedsforanstaltninger er berørt af et brud på persondatasikkerheden, skal foretage anmeldelse til den kompetente tilsynsmyndighed.
Parterne skal bistå hinanden med at foretage anmeldelse af bruddet til den kompetente tilsynsmyndighed, herunder bistå med at tilvejebringe den information, som ifølge databeskyttelsesforordningens artikel 33, stk. 3, skal fremgå af anmeldelsen af bruddet til den kompetente tilsynsmyndighed.
Underretning om brud på persondatasikkerhed til den registrerede
Parterne er enige om, at den Part, som har foretaget anmeldelse af et brud på persondatasikkerheden, jf. pkt. 10.2, også er ansvarlig for at iagttage databeskyttelsesforordningens artikel 34 om underretning om brud på persondatasikkerheden til de registrerede.
Parterne skal bistå hinanden med at foretage underretning af de registrerede, herunder bistå med at tilvejebringe den information, som ifølge databeskyttelsesforordningens artikel 34, stk. 3, skal fremgå af underretning om bruddet til de registrerede.
Konsekvensanalyse vedrørende databeskyttelse og forudgående høring
Indkøberen er ansvarlig for iagttagelsen af kravet i databeskyttelsesforordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse. Dette indebærer, at Indkøberen forud for behandlingen skal vurdere, om den påtænkte behandlingsaktivitet - i lyset af de anvendte teknologier og i medfør af behandlingens karakter, omfang, sammenhæng og formål - sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Hvis det er tilfældet, skal Indkøberen forud for behandlingen foretage en konsekvensanalyse.
Indkøberen er ligeledes forpligtet til at iagttage kravet i databeskyttelsesforordningens artikel 36 om forudgående høring af tilsynsmyndigheden, hvis en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen.
JPPOL skal stille alle nødvendige oplysninger til rådighed for Indkøberen, der er nødvendige for, at Indkøberen kan overholde sine forpligtelser, jf. pkt. 12.1 og 12.2.
Overførsel af personoplysninger til tredjelande eller internationale organisationer
Parterne er hver især berettiget til at beslutte, at der kan ske overførsel af personoplysninger til tredjelande eller internationale organisationer.
Hver Part skal - efter anmodning herom - gøre den anden Part bekendt med, om Parten overfører personoplysninger til tredjelande eller internationale organisationer.
Parterne er hver især ansvarlige for iagttagelsen af kravene i databeskyttelsesforordningens kapitel V, hvis der sker overførsel af personoplysninger til tredjelande eller internationale organisationer.
Klager
Parterne er hver især ansvarlige for håndteringen af henvendelser og behandlingen af eventuelle klager fra de registrerede, hvis henvendelserne eller klagerne omhandler overtrædelse af databeskyttelsesforordningen, databeskyttelsesloven eller disse retningslinjer, som henhører under Parternes respektive ansvarsområde.
Hvis én af Parterne modtager en henvendelse eller klage, som rettelig bør behandles af den anden Part, skal Parten oversende henvendelsen eller klagen til den anden Part hurtigst muligt.
Hvis én af Parterne modtager en henvendelse eller klage, hvor en del af henvendelsen eller klagen rettelig bør behandles af den anden Part, skal Parten oversende denne del til den anden Part til besvarelse hurtigst muligt.
Den registrerede skal, i forbindelse med Partens oversendelse af en klage eller en del heraf til den anden Part, oplyses om det væsentligste indhold af disse retningslinjer.
Orientering af den anden Part
Parterne skal holde hinanden orienteret om væsentlige forhold, der har betydning for den fælles behandling af personoplysninger og for det fælles dataansvar angivet i disse retningslinjer.
Ikrafttræden og ophør
Disse retningslinjer accepteres af Indkøberen ved bestilling af Annoncering hos JPPOL og træder i kraft på datoen for levering af den af Indkøberen købte Annoncering på JPPOL-sites begynder.
Fordelingen af det fælles dataansvar i disse retningslinjer er gældende, så længe de omhandlede oplysninger behandles.
Overtrædelse
Enhver overtrædelse af disse retningslinjer indebærer en væsentlig misligholdelse af aftalegrundlaget for samarbejdet mellem Indkøberen og JPPOL. Ved væsentlig misligholdelse har JPPOL ret til at opsige samarbejdet med øjeblikkelig virkning samt gøre brug af dansk rets almindelige misligholdelsesbeføjelser.
JPPOL kan også suspendere eller opsige et samarbejde med Indkøberen ved begrundet mistanke om overtrædelse, indtil mistanken er blevet be- eller afkræftet af JPPOL.
En Part skal skadesløsholde den anden Part for ethvert direkte eller indirekte tab, krav, skade og/eller sagsanlæg som Parten måtte lide som følge af (i) Partens manglende opfyldelse af forpligtelserne i disse retningslinjer, (ii) Partens manglende iagttagelse af forpligtigelser, der følger af databeskyttelsesreglerne, samt (iii) Partens uagtsomme handlinger eller undladelse, der medfører, at den anden Part overtræder databeskyttelsesreglerne.
Konfliktløsning, lovvalg og værneting
Enhver tvist, som måtte opstå i forbindelse med denne kontrakt, herunder tvister vedrørende kontraktens eksistens eller gyldighed, skal søges bilagt ved mediation ved Voldgiftsinstituttet efter de af Voldgiftsinstituttet vedtagne regler herom, som er gældende ved indgivelsen af anmodningen om mediation.
Hvis mediationen afsluttes, uden at tvisten er løst, skal tvisten afgøres ved voldgift ved Voldgiftsinstituttet efter de af Voldgiftsinstituttet vedtagne regler herom, som er gældende ved indledningen af voldgiftsagen.”
Senest opdateret: Februar 2021