Hvad er forskellen på cookies og småkager?

Danske regler for cookies og samtykke

04/10/2021

Rating: 4.17 (1355 votes)

I en digital tidsalder, hvor data er blevet en fundamental valuta, er det altafgørende for virksomheder og hjemmesideoperatører at forstå og overholde de regler, der gælder for indsamling og brug af brugerdata. I Danmark er dette område primært reguleret af den danske cookiebekendtgørelse, som supplerer EU's omfattende databeskyttelseslovgivning. At have en klar forståelse af disse regler er ikke kun et spørgsmål om lovoverholdelse, men også om at opbygge og bevare brugernes tillid. Disse retningslinjer fastsætter krav om, hvordan man informerer brugere om cookies, indhenter deres samtykke til at bruge ikke-essentielle cookies, og hvordan man giver dem mulighed for at træffe et aktivt valg.

Er natron vigtig i cookies?
Cookies ingredienser Har du ikke natron i køkkenskabet, kan du erstatte det med bagepulver. Har du ikke bagepulver, men kun natron, kan du godt bruge udelukkende natron, men så skal du også tilsætte syre i form af citronsaft, kærnemælk eller lignende, da hævemidlet ellers ikke virker.

Datatilsynet, den danske uafhængige databeskyttelsesmyndighed, spiller en central rolle i håndhævelsen af disse regler og har udstedt en række detaljerede retningslinjer for at hjælpe hjemmesideejere med korrekt brug af cookies og indsamling af brugerdata. Hvis du tilbyder varer eller tjenester til danske brugere, eller blot sporer deres aktivitet på din hjemmeside ved hjælp af cookies, er du forpligtet til at indhente deres udtrykkelige samtykke. Men hvad indebærer et 'udtrykkeligt samtykke' i praksis? Denne artikel dykker ned i de danske retningslinjer for cookies og samtykke og forklarer, hvordan du kan navigere i landskabet for at sikre overholdelse.

Indholdsfortegnelse

Hvad er den danske cookiebekendtgørelse?

Kernen i de danske regler for cookies findes i cookiebekendtgørelsen (BEK nr. 1148 af 09/12/2011). Ifølge denne bekendtgørelse er hjemmesider og apps forpligtet til at indhente udtrykkeligt samtykke fra brugere, før de bruger cookies til at indsamle, gemme eller behandle personlige data. Dette gælder for langt de fleste cookies, med undtagelse af dem, der er strengt nødvendige for, at en service kan fungere (f.eks. cookies til at huske indhold i en indkøbskurv).

Disse danske regler er tæt forbundne med og formet af to centrale EU-retsakter: den generelle databeskyttelsesforordning (GDPR) og ePrivacy-direktivet. Mens ePrivacy-direktivet specifikt regulerer brugen af cookies og lignende teknologier, danner GDPR rammen for behandlingen af personlige data, herunder dem der indsamles via cookies.

GDPR og dens relevans for cookies

GDPR trådte i kraft i maj 2018 og er en hjørnesten i databeskyttelsen i EU. Selvom GDPR ikke udelukkende handler om cookies, er den afgørende for forståelsen af de danske cookie-regler af flere årsager:

  • Håndtering af personlige data: GDPR regulerer, hvordan virksomheder må indsamle, bruge og opbevare personlige data. Data indsamlet via cookies (som f.eks. IP-adresser, browserhistorik, bruger-id'er) kan meget vel udgøre personlige data, og behandlingen heraf falder derfor under GDPR's anvendelsesområde.
  • Retligt grundlag: GDPR fastlægger de mulige retlige grundlag for behandling af personlige data. Et af de vigtigste grundlag er samtykke, som ePrivacy-direktivet og den danske cookiebekendtgørelse specifikt kræver for de fleste typer cookies.
  • Definition af samtykke: GDPR indeholder en klar og stringent definition af, hvad der udgør gyldigt samtykke. Denne definition er inkorporeret i Datatilsynets retningslinjer og er essentiel for at forstå kravene til cookie-samtykke i Danmark.

I Danmark suppleres GDPR af den danske databeskyttelseslov (lov nr. 502 af 23. maj 2018), som tilpasser visse GDPR-bestemmelser til en dansk kontekst.

ePrivacy-direktivet – 'EU's Cookielov'

ePrivacy-direktivet (også kendt som 'EU's cookielov') er mere specifikt end GDPR, når det kommer til elektronisk kommunikation og brugen af cookies. Direktivet fastlægger de grundlæggende regler for, hvordan hjemmesider og apps må bruge cookies til at indsamle og behandle data fra EU-brugere. Det er dette direktiv, der er implementeret i den danske cookiebekendtgørelse, hvilket gør bekendtgørelsen til den primære lovtekst vedrørende brugen af cookies i Danmark.

Hvem gælder den danske cookiebekendtgørelse for?

Den danske cookiebekendtgørelse har bred anvendelse. Den gælder for alle virksomheder, organisationer eller enkeltpersoner – uanset hvor i verden de er fysisk placeret – hvis de:

  • Tilbyder varer eller tjenesteydelser til danske brugere. Dette inkluderer også gratis ydelser.
  • Overvåger online-adfærden af danske brugere bosiddende i Danmark.

Derudover gælder reglerne naturligvis også for behandling af personlige data foretaget af virksomheder, organisationer eller enkeltpersoner, der er etableret i Danmark. Den dataansvarlige, altså den enhed der bestemmer formålet med og midlerne til behandling af personoplysninger, har det primære ansvar for at sikre, at al databehandling overholder både GDPR og de danske særregler.

Juridisk grundlag for behandling af data via cookies

Som nævnt skal der altid være et gyldigt juridisk grundlag for at behandle brugerdata. For sporingscookies, der ikke er strengt nødvendige for en tjenestes funktion, er det klare juridiske grundlag ifølge ePrivacy-direktivet og den danske cookiebekendtgørelse et forudgående, informeret samtykke. Dette betyder, at du skal have brugerens tilladelse, før du sætter disse cookies.

Datatilsynet har i deres retningslinjer anerkendt, at GDPR (artikel 6.1) åbner op for andre mulige retlige grundlag for behandling af personlige data, men de understreger vigtigheden af at foretage en specifik vurdering i hvert enkelt tilfælde for at afgøre det korrekte grundlag. I praksis er indhentning af samtykke dog den mest almindelige og ofte mest hensigtsmæssige fremgangsmåde for de fleste typer cookies.

Når det kommer til mindreårige, stiller den danske databeskyttelseslov skærpede krav. Behandling af data tilhørende børn under 15 år er kun lovlig, hvis samtykket er givet eller godkendt af en forælder eller værge.

Krav til gyldigt cookie-samtykke i Danmark

Begrebet samtykke er centralt i dansk databeskyttelsesret. Datatilsynet har eksplicit inkorporeret GDPR's definition af samtykke i deres retningslinjer. For at et samtykke til cookies skal være gyldigt, skal det opfylde fire strenge krav:

1. Frivilligt givet

Samtykket skal være givet frit og uden pres. Dette indebærer:

  • Det skal være lige nemt for brugeren at acceptere eller afvise cookies i det første lag af cookie-banneret.
  • Designet og sproget i cookie-banneret må ikke manipulere eller 'skubbe' brugeren i retning af at acceptere cookies (f.eks. ved at fremhæve 'Accepter' knappen markant mere end 'Afvis').
  • Hvis en bruger har givet samtykke, skal vedkommende have mulighed for at trække dette samtykke tilbage lige så nemt, som det blev givet. Der skal være en let tilgængelig funktion til dette.

2. Specifikt

Samtykket skal være specifikt for de formål, dataene skal bruges til. Dette betyder:

  • Du skal indhente separat samtykke for hver kategori af formål. Brugeren skal kunne give samtykke til f.eks. statistik-cookies, men afvise marketing-cookies. Dette opnås typisk via afkrydsningsfelter for forskellige kategorier.
  • Det er ikke nødvendigt at indhente samtykke for hver enkelt cookie, men for de overordnede formål de tjener.

3. Informeret

Brugeren skal være fuldt informeret, før samtykke gives. Dette kræver:

  • Klare og letforståelige oplysninger om formålet med brugen af cookies.
  • Gennemsigtig adgang til information om, hvilke parter (herunder tredjeparter) der sætter cookies, og hvilke typer data der indsamles og behandles.
  • Disse oplysninger skal typisk findes i en let tilgængelig cookiepolitik eller privatlivspolitik, der er linket til fra cookie-banneret.

4. Utvetydig indikation

Samtykket skal være en klar og aktiv handling fra brugerens side. Dette udelukker passive former for samtykke:

  • Samtykke skal gives ved en aktiv handling, som f.eks. at klikke på en 'Accepter' knap eller markere et afkrydsningsfelt.
  • Forhåndsafkrydsede felter i et cookie-banner er ikke gyldigt samtykke. Brugeren skal selv aktivt vælge at markere et felt.
  • At en bruger blot scroller ned på en side eller fortsætter med at browse er ikke et gyldigt samtykke, da det ikke er en utvetydig indikation af, at brugeren aktivt har valgt at acceptere cookies.

Disse krav er designet til at beskytte brugerens autonomi og privatliv og sikre, at ethvert samtykke er et reelt, informeret og frivilligt valg.

Datatilsynet understreger desuden, at du som dataansvarlig skal kunne dokumentere, at du har indhentet gyldigt samtykke fra brugeren. Dette kræver typisk et robust system til logning af samtykkestatus.

Datatilsynets retningslinjer for cookie walls

En 'cookie wall' er en praksis, hvor brugere nægtes adgang til en hjemmeside, medmindre de accepterer alle cookies. Datatilsynet har udstedt specifikke retningslinjer for brugen af cookie walls, som tillader dem under visse betingelser, der sikrer brugernes valgfrihed:

  • Rimeligt alternativ: Hvis du bruger en cookie wall, skal du tilbyde brugeren et rimeligt alternativ, hvis vedkommende ikke ønsker at give samtykke til alle cookies. Dette alternativ skal give adgang til det samme indhold eller den samme tjeneste.
  • Betaling som alternativ: Et alternativ kan være betaling for adgang uden cookies. Omkostningen skal dog være rimelig for at sikre, at brugeren reelt har et valg mellem samtykke og betaling.
  • Formålsbegrænsning: De formål, du søger samtykke til via en cookie wall, skal være begrænset til det, der er nødvendigt for den tilbudte tjeneste. Hvis der er yderligere formål ud over det, der dækkes af det betalte alternativ, kræver disse separat samtykke.
  • Databehandling efter betaling: Hvis brugeren vælger det betalte alternativ, må du kun behandle de personlige data, der er strengt nødvendige for at levere tjenesten. Yderligere databehandling til andre formål kræver fortsat udtrykkeligt samtykke.

Disse regler sikrer, at cookie walls ikke bliver en tvangsmekanisme, men et reelt valg for brugeren.

Vigtige afgørelser vedrørende cookies i Danmark

Datatilsynet har i de senere år truffet flere vigtige afgørelser, der kaster lys over, hvordan reglerne fortolkes og håndhæves i praksis. Disse sager illustrerer typiske faldgruber og de krav, der stilles:

  • Offentlig institution og reklamecookies: En sag involverede en offentlig institution, der brugte cookies til reklameformål og behandlede data uden forudgående samtykke. Datatilsynet fastslog, at både institutionen og en annonceplatform var fælles dataansvarlige, men institutionen bar ansvaret for ikke at have indhentet gyldigt samtykke.
  • Lånemægler og manglende samtykke: En lånemæglers hjemmeside satte cookies i brugernes browser, før der var givet samtykke. Datatilsynet fandt, at samtykkeløsningen var mangelfuld, da den ikke oplyste om muligheden for at trække samtykke tilbage og generelt ikke opfyldte kravene til gyldigt samtykke.
  • Online markedsplads og cookie walls: En online markedsplads' brug af cookie walls blev vurderet. Datatilsynet fandt, at brugen for det meste var lovlig, da der blev tilbudt et betalt alternativ. Dog bemærkede tilsynet, at det ikke var dokumenteret, at behandling af data til statistiske formål var nødvendigt som et alternativ til betaling, hvilket rejste spørgsmål ved samtykkets frivillighed for netop dét formål.
  • Mediegruppe og cookie walls/samtykke: En lignende sag vedrørte en mediegruppe. Her blev det afgjort, at samtykkeproceduren var utilstrækkelig, dels fordi det betalte alternativ ikke fuldt ud svarede til den samtykkebaserede adgang, hvilket begrænsede brugerens frie valg, og dels fordi mediegruppen ikke havde dokumenteret nødvendigheden af statistisk databehandling som del af det betalte alternativ.
  • Haveudstyrsvirksomhed og dataoverførsel: En virksomhed, der solgte haveudstyr, overførte data via cookies til store tech-virksomheder uden et gyldigt juridisk grundlag. Datatilsynet anmeldte sagen til politiet og anbefalede en betydelig bøde, hvilket understreger alvoren af manglende overholdelse.

Disse afgørelser viser, at Datatilsynet aktivt fører tilsyn med overholdelsen af cookie-reglerne og lægger vægt på de specifikke krav til samtykke og alternativer til cookie walls.

Krav til overholdelse af danske retningslinjer for cookies

For at sikre, at din hjemmeside overholder de danske cookie-regler, er der flere centrale punkter, du skal have styr på:

Informer brugerne om cookies

Du skal give klare og tilgængelige oplysninger om din brug af cookies. Minimumskravene til information i forbindelse med samtykke, ifølge Datatilsynet, inkluderer:

  • Identiteten på den dataansvarlige.
  • Formålet med den påtænkte databehandling via cookies.
  • Hvilke specifikke data der behandles.
  • Brugerens ret til at trække samtykke tilbage på ethvert tidspunkt.

Disse oplysninger skal præsenteres på en måde, der er let for brugeren at forstå, typisk i et cookie-banner og en mere detaljeret cookiepolitik.

Indhent gyldigt samtykke

Samtykke skal opfylde GDPR's krav om 'opt-in'. Det betyder, at brugeren aktivt skal give sit samtykke, f.eks. ved at klikke på en knap. Passiv adfærd som scrolling er ikke tilstrækkeligt. Samtykket skal være specifikt for forskellige formål, hvilket kræver en løsning, hvor brugeren kan vælge mellem forskellige kategorier af cookies. Præsentationen af valgmulighederne skal være neutral, så det er lige nemt at acceptere som at afvise.

Design gyldige cookie-bannere

Dit cookie-banner er ofte det første, brugeren ser, og det skal være designet til at muliggøre overholdelse. Banneret skal:

  • Give klare valgmuligheder: Accepter, Afvis (eller vælg alle/afvis alle), og Tilpas præferencer (for at vælge kategorier).
  • Undgå forhåndsafkrydsede felter.
  • Bruge klart og letforståeligt sprog, der opfylder informationskravene.
  • Linke til en detaljeret cookiepolitik.

Brug compliant cookie walls (hvis relevant)

Hvis du vælger at bruge en cookie wall, skal du sikre, at den fuldt ud overholder Datatilsynets betingelser, herunder at tilbyde et reelt og rimeligt alternativ til samtykke, og at databehandlingen begrænses til det nødvendige.

Hav en cookiepolitik eller privatlivspolitik

En detaljeret cookiepolitik er essentiel. Den skal være let tilgængelig fra din hjemmeside (f.eks. via link i sidefoden og i cookie-banneret) og skal indeholde omfattende information om:

  • Alle cookies, der bruges på hjemmesiden (første- og tredjepartscookies).
  • Formålene med hver cookie eller kategori af cookies.
  • Hvem der sætter cookies (navn på tredjepart).
  • Hvilke data der indsamles.
  • Hvordan brugeren kan ændre eller trække sit samtykke tilbage.

Hvis du bruger et andet retligt grundlag end samtykke for visse databehandlinger, skal dette også klart fremgå af politikken.

Hvordan man kan opnå regeloverholdelse

At navigere i de danske cookie-regler kan virke komplekst, men det er afgørende for at undgå sanktioner og opbygge tillid hos dine brugere. En effektiv måde at håndtere kravene på er ved at implementere en Consent Management Platform (CMP). En CMP er et værktøj designet til at hjælpe hjemmesideejere med at indsamle, administrere og dokumentere brugerens samtykke i overensstemmelse med relevante databeskyttelseslove, herunder GDPR og de danske regler.

En god CMP kan hjælpe dig med at:

  • Vise et compliant cookie-banner, der kræver aktiv 'opt-in' og tilbyder granulerede valgmuligheder for forskellige cookie-kategorier.
  • Give brugerne en nem måde at trække deres samtykke tilbage på.
  • Skanne din hjemmeside for at identificere alle cookies og give detaljerede oplysninger til din cookiepolitik.
  • Dokumentere alle indhentede samtykker, hvilket er et krav fra Datatilsynet.
  • Integrere med andre systemer, som f.eks. tag-managere, for at sikre, at cookies ikke sættes, før gyldigt samtykke er indhentet.

Ved at bruge en robust CMP kan du automatisere mange af de processer, der er nødvendige for at overholde de danske retningslinjer for cookies og databeskyttelseslovgivningen.

Ofte stillede spørgsmål

Hvad er forskellen på GDPR og den danske cookiebekendtgørelse?
GDPR er en bred EU-forordning om databeskyttelse, der omfatter alle former for personoplysninger. Den danske cookiebekendtgørelse er en dansk lov, der specifikt implementerer ePrivacy-direktivet og regulerer brugen af cookies og lignende teknologier på hjemmesider, herunder krav til samtykke.
Skal jeg have samtykke til alle cookies?
Nej, du skal ikke have samtykke til cookies, der er strengt nødvendige for, at en tjeneste kan fungere (f.eks. sessionscookies til login eller indkøbskurv). For alle andre cookies – såsom statistik-, marketing- eller præferencecookies – kræves der udtrykkeligt samtykke.
Hvad menes med 'udtrykkeligt samtykke'?
Udtrykkeligt samtykke betyder, at brugeren aktivt og utvetydigt skal give sin tilladelse, f.eks. ved at klikke på en 'Accepter' knap eller markere et afkrydsningsfelt. Passiv adfærd som at scrolle er ikke tilstrækkeligt.
Hvad er en cookie wall?
En cookie wall er en metode, hvor en bruger kun får adgang til en hjemmeside, hvis vedkommende accepterer alle cookies. Datatilsynet tillader kun cookie walls, hvis der tilbydes et rimeligt alternativ (f.eks. betaling) til at få adgang uden at acceptere cookies.
Hvad skal min cookiepolitik indeholde?
Din cookiepolitik skal give detaljerede oplysninger om alle cookies, der bruges på din side, deres formål, hvem der sætter dem (herunder tredjeparter), hvilke data de indsamler, og hvordan brugeren kan administrere eller trække sit samtykke tilbage.
Hvad er en CMP?
En CMP (Consent Management Platform) er et softwareværktøj, der hjælper hjemmesideejere med at indsamle, administrere og dokumentere brugerens samtykke til cookies og databehandling i overensstemmelse med lovkrav som GDPR og den danske cookiebekendtgørelse.

Hvis du vil læse andre artikler, der ligner Danske regler for cookies og samtykke, kan du besøge kategorien Opskrifter.

Go up