Opdatering maj 2020: Det Europæiske Databeskyttelsesråd (EDPB) har opdateret sine retningslinjer, der specifikt vedrører de anbefalede mekanismer til indsamling af samtykke. Mere om det her.
Når man tænker på datalovgivning og lovgivning om beskyttelse af personoplysninger, kommer man let til at tænke på cookies, da de er direkte relateret til begge dele. Dette fører ofte til den udbredte misforståelse, at det europæiske e-Privacy-direktiv (e-databeskyttelsesdirektivet) er blevet ophævet med den generelle forordning om databeskyttelse(GDPR), hvilket faktisk ikke er tilfældet. I stedet skal man se e-databeskyttelsesdirektivet og GDPR som et tillæg og et supplement til hinanden.
e-databeskyttelsesdirektivet 2002/58/EF (eller e-Privacy-direktivet) blev udarbejdet for at opstille retningslinjer for beskyttelse af elektronisk databeskyttelse, herunder e-mailmarkedsføring og brug af cookies, og det gælder stadig i dag. Som nævnt ovenfor kan man betragte e-databeskyttelsesdirektivet som et “supplement” til GDPR i en vis forstand, og det bliver således ikke ophævet af GDPR.
Hvis du bruger cookies, skal du strengt taget overveje, om du overholder e-Privacy-direktivet, før du forholder dig til GDPR. Det skyldes, at e-Privacy-direktivet er det, der i juridisk jargon kaldes “lex specialis“, hvilket betyder, at det har forrang frem for GDPR.
Generelt fastsætter direktiver visse aftalte mål og retningslinjer, og medlemsstaterne har mandat til at gennemføre disse direktiver i national lovgivning. Forordninger er derimod direkte bindende for alle medlemsstater fra det øjeblik, de træder i kraft, og de håndhæves i henhold til de regler, der er fastsat i hele EU.
💡 Hvis du vil vide mere om, hvilke EU-regler for samtykke til cookies, der gælder for hvert enkelt land, kan du se vores oversigt over cookiesamtykke her.
Når det er sagt, vil e-databeskyttelsesdirektivet snart blive ophævet og erstattet af e-databeskyttelsesforordningen. e-databeskyttelsesforordningen forventes at blive færdiggjort i den nærmeste fremtid og vil fungere sideløbende med GDPR i forhold til at regulere kravene til brugen af cookies, elektronisk kommunikation og tilhørende databeskyttelse.
e-Privacy-direktivet gælder ikke kun for cookies, men mere bredt for enhver anden form for teknologi, der lagrer eller får adgang til oplysninger på en brugers enhed (f.eks. pixeltags, fingeraftryk, unikke identifikatorer osv.) For nemheds skyld defineres alle sådanne teknologier, herunder cookies, ofte som trackere*.
Derudover er e-Privacy-direktivet så at sige teknologineutralt, hvilket betyder, at det ikke kun omfatter web- og browsermiljøet, men også andre typer af teknologi, herunder apps på smartphones, tablets, smart-tv’er og andre enheder.
*I denne vejledning vil udtrykkene cookie(s) og tracker(e) dog blive brugt i flæng.
e-Privacy-direktivet stiller krav om brugernes informerede samtykke, før der lagres eller gives adgang til oplysninger på brugerens enheder.
Det betyder, at hvis du bruger cookies, skal du:
I praksis skal du vise et cookiebanner (også kaldet en cookiemeddelelse) ved brugerens første besøg, implementere en cookiepolitik og give brugeren mulighed for at afgive sit samtykke – medmindre dit websted udelukkende bruger cookies, som er fritaget derfor, hvilket er meget usandsynligt. Før der gives samtykke, må ingen cookies – bortset fra dem, der er fritaget – afvikles eller installeres.
Du skal vise et cookiebanner ved brugerens første besøg, implementere en cookiepolitik og give brugeren mulighed for at afgive sit samtykke. Før der gives samtykke, må ingen cookies – bortset fra dem, der er fritaget – afvikles eller installeres.
Cookiemeddelelsen skal:
Husk på, at de ovennævnte krav er grundlæggende minimumskrav. Kravene til indholdet af cookiebanneret kan variere fra land til land afhængigt af den pågældende databeskyttelsesmyndigheds fortolkning.
Cookiepolitikken skal:
Førstepartscookies er cookies, der administreres direkte af dig som ejer af webstedet/appen, mens tredjepartscookies derimod administreres af tredjeparter og muliggør tjenester, der leveres af sådanne tredjeparter. Typisk er der tale om cookies fra tredjeparter, når dit websted/din app bruger tjenester fra tredjeparter til at inkorporere f.eks. billeder, plugins til sociale medier eller reklamer.
In compliance with the general principles of privacy legislation, which prevent the processing before consent, the Cookie Law does not allow the storing of information or the accessing to information stored on user devices before obtaining user consent. In practice, this means that you may have to employ a form of script blocking prior to user consent.
Consent to cookies freely given, specific, informed, and explicit, which means that it must be provided via a clear affirmative (opt-in) action. Therefore, if you use mechanisms such as checkboxes, they must not be pre-checked.
I arbejdsgruppens dokument om e-Privacy-direktivet står der:
For at sikre, at en mekanisme for samtykke til cookies opfylder betingelserne i hver enkelt medlemsstat, bør en sådan mekanisme for samtykke omfatte alle de vigtigste elementer: specifik information, forudgående samtykke, angivelse af ønsker udtrykt ved brugerens aktive adfærd og mulighed for frit valg.
Mange af EU’s databeskyttelsesmyndigheder har udsendt en vejledning om cookies og lignende teknologier, der indeholder råd og anbefalinger om gyldige metoder til at indhente samtykke.
Den italienske databeskyttelsesmyndighed har opdateret retningslinjerne for brugen af cookies og andre trackere. Retningslinjerne blev vedtaget tilbage i juni 2021. Du kan læse sammenfatningen her.
Det Europæiske Databeskyttelsesråd (EDPB) har opdateret sine retningslinjer for samtykke: Retningslinjer 05/2020 om samtykke i henhold til forordning 2016/679. Denne opdatering er vigtig, da den har til formål at fjerne enhver uklarhed om den officielle holdning til flere aspekter vedrørende brug af cookies. Det vigtigste er, at disse seneste retningslinjer klart angiver, at de såkaldte “cookievægge” er forbudt, og at EDPB ikke anser samtykke via scrolling eller fortsat browsing for at være gyldigt.
💡 Hvis du vil vide mere om, hvilke EU-regler for samtykke til cookies, der gælder for hvert enkelt land, kan du se vores oversigt over cookiesamtykke her.
Hvad angår afvisning eller tilbagekaldelse af samtykke, efter at der er givet samtykke, står der i loven, at brugerne skal “gives mulighed” for at afvise eller tilbagekalde deres samtykke. I arbejdsgruppens dokument uddybes dette punkt yderligere, idet der står, at i forhold til afvisning eller tilbagekaldelse af samtykke, skal du:
Det er ikke nødvendigvis et krav, at du hoster denne funktion. I visse tilfælde i henhold til medlemsstaternes lovgivning anses browserindstillinger for at være en acceptabel måde at tilbagekalde sit samtykke på.
De særlige mekanismer til indhentning af samtykke, der betragtes som gyldige, kan variere fra medlemsstat til medlemsstat
Generelt stiller direktivet ikke noget specifikt krav om, at du laver en oversigt over alle cookies, en for en. I stedet er du udtrykkeligt forpligtet til tydeligt at angive deres type og formål, og hvis der er tale om cookies fra tredjeparter, skal du også angive den tredjepart, der administrerer dem, og linke til den tredjepartens privatlivspolitik/cookiepolitik.
Denne beslutning fra myndighedens side er sandsynligvis bevidst, da en opremsning af cookies, en for en, ville betyde, at de enkelte ejere af websteder/apps konstant skulle holde øje med hver enkelt cookie fra tredjeparter og søge efter ændringer, som de ikke har kontrol over, hvilket ville være urimeligt, ineffektivt og sandsynligvis ikke til gavn for brugerne.
For at uddybe dette punkt yderligere er her et uddrag af ICO’s cookievejledning:
Det kunne være en mulighed at anføre lange lister over alle anvendte cookies, men for de fleste brugere vil det være tilstrækkeligt med en bredere forklaring på, hvordan cookies fungerer, og hvilke kategorier af cookies, der anvendes. En beskrivelse af de ting, som analysecookies bruges til på webstedet, vil sandsynligvis være bedre end blot at opregne alle de cookies, du bruger, med grundlæggende henvisninger til deres funktion.
Denne holdning er yderligere uddybet af den italienske databeskyttelsesmyndighed (Garante Privacy), som udtrykkeligt fastslår:
Der er flere grunde til, at det synes umuligt at kræve, at en udgiver (af en hjemmeside) skal give oplysninger om og indhente samtykke til installation af cookies på sit eget websted, også hvad angår cookies, der installeres af “tredjeparter”.
For det første skal en udgiver altid have de nødvendige værktøjer og juridiske og forretningsmæssige kompetencer til at påtage sig tredjeparters forpligtelser – udgiveren skal således fra tid til anden kontrollere, at det, som tredjeparterne angiver, svarer til de formål, som de rent faktisk har med deres cookies. Dette er en vanskelig opgave, fordi en udgiver ofte ikke har nogen direkte kontakt med alle de tredjeparter, der installerer cookies via udgiverens websted, og han/hun er heller ikke bekendt med baggrunden for den pågældende behandling.
Derudover er der nogle gange licenstagere i et led mellem udgiveren og de pågældende tredjeparter, hvilket i sidste ende gør det meget vanskeligt for udgiveren at holde styr på alle interessenternes aktiviteter.
Tredjepartscookies kan desuden løbende blive ændret, og det ville være temmelig uhensigtsmæssigt at kræve, at udgiverne også skal holde øje med disse efterfølgende ændringer.
Endvidere bør man også tage hensyn til, at udgivere – en kategori, der omfatter fysiske personer og SMV’er – ofte er den “svage” part i denne sammenhæng. Omvendt er tredjeparter normalt store virksomheder af en betydelig økonomisk størrelse, der som regel samarbejder med flere udgivere, således at en udgiver ofte har at gøre med et betydeligt antal tredjeparter.
Af alle ovennævnte grunde mener denne databeskyttelsesmyndighed, at udgivere ikke kan være forpligtet til at medtage meddelelser om cookies, der installeres af tredjeparter via udgivernes websteder, på forsiden af deres websteder.
Du kan læse mere om dette her.
Loven fastsætter, at det indsamlede samtykke skal være afgivet frivilligt af brugeren, for at det kan betragtes som gyldigt. Brugen af tvang til at indhente samtykke kan gøre det indsamlede samtykke ugyldigt. Loven giver visse indrømmelser (inden for rimelighedens grænser) i tilfælde, hvor den faktiske evne til at levere bestemte tjenester på stedet påvirkes direkte af samtykket eller manglen på samme.
I arbejdsgruppens dokument står der:
Websteder bør ikke gøre “generel adgang” til webstedet betinget af, at alle cookies accepteres, men kan kun begrænse bestemt indhold, hvis brugeren ikke giver sit samtykke til cookies.
Derfor må brugernes mulighed for generelt at få adgang til dit websted ikke være omfattet af tvang eller betinget af deres samtykke, selv om visse indholdsoplysninger (med legitim grund) kan begrænses på baggrund af cookiepræferencer.
I den forbindelse skal du huske på, at EDPB og flere databeskyttelsesmyndigheder i EU i deres retningslinjer og anbefalinger udtrykkeligt har forbudt brugen af de såkaldte “cookievægge” baseret på en “take it or leave it”-tilgang, der kræver, at brugerne nødvendigvis skal give deres samtykke for at få adgang til en onlinetjenestes indhold. “Cookievægge” er ugyldige, da brugeren ikke har noget reelt valg.
Opdatering Den italienske databeskyttelsesmyndighed (Garante Privacy) har i sine seneste retningslinjer om cookies og andre sporingsværktøjer anført, at den i øjeblikket forbyder brugen af “cookievægge”, medmindre webstedet giver brugeren et tilsvarende alternativ til at få adgang til indholdet eller tjenesterne uden at give samtykke til cookies eller andre sporingsmekanismer, hvilket skal vurderes fra sag til sag.
Vi følger udviklingen i sagen, idet Garante har offentliggjort en pressemeddelelse om, at man er ved at analysere denne løsning, som nogle italienske udgivere har implementeret.
iubenda vil som altid følge denne sag og holde dig opdateret om eventuelle nye afgørelser.
e-Privacy-direktivet indeholder to undtagelser fra kravet om samtykke, nemlig:
Eksempel: Du bruger en belastningsudligningscookie til at fordele netværkstrafikken mellem forskellige servere. Cookiens eneste formål er at identificere en af serverne (dvs. et kommunikationsslutpunkt), og som sådan falder den ind under kommunikationsundtagelsen.
Example: your e-commerce site uses a session cookie that allows users to “hold” items in their cart while they’re using the site or for the duration of a session. In this scenario, the cookie is necessary for the functioning of the purchasing service that was explicitly requested by the user when they indicate that they would like to add the item to the cart. Similarly, cookies used to remember a user’s language preferences can fall within the necessary exemption.
It’s critical to note that even where these exceptions to the consent requirement apply, you’ll still need to inform the user of your use of cookies and similar technologies via a cookie policy. The banner is not necessarily required in these specific instances if the cookie policy is easily accessible and visible from every page of the site.
Are cookies and other trackers used for analytics purposes likely to meet an exemption?
There is not a straight answer. Indeed, EU Data Protection Authorities have different interpretations on this. For example, according to UK ICO’s guidelines the analytics cookies do not fall within the strictly necessary exemption and consequently always require consent. The Belgian and Irish DPAs have similar opinions. On the contrary, in the French, German, Dutch, and Italian DPAs’ views analytics cookies can fall within the strictly necessary exemption in so far as specific circumstances are met (e.g. they are first-party cookies, opt-out are anonymized, cross-tracking is not enabled). To conclude, you should carefully check what rules apply to analytics cookies in your country of reference.
Når du har vist cookiebanneret ved brugerens første besøg, behøver du ikke at vise banneret igen ved brugerens næste besøg. Du bør dog overveje at give brugeren mulighed for at få vist banneret igen, hvis vedkommende har brug for at ændre sine præferencer.
Hvis brugeren ikke har givet sit samtykke eller kun har givet sit samtykke til brugen af visse cookies, skal banneret ikke vises igen, undtagen i følgende specifikke tilfælde:
Der er mange grunde til, at du kan have brug for at give brugerne mulighed for at trække deres samtykke tilbage. Nogle databeskyttelsesmyndigheder kræver, at det skal være nemt for brugerne at opdatere deres præferencer. Den italienske databeskyttelsesmyndighed (Garante) foreslår f.eks., at der skal være et ikon, der altid er synligt, og som sammenfatter brugerens valg. For yderligere oplysninger om dette og for at se, hvad andre databeskyttelsesmyndigheder kræver, kan du se vores oversigt over cookiesamtykke i henhold til GDPR. Det er værd at fremhæve, at dette også er et punkt, der er fokus på hos NGO’er, som f.eks. Noyb, som kræver, at brugerne skal have mulighed for at trække deres samtykke tilbage.
Sørg for, at du giver dine brugere mulighed for at genåbne dit cookiebanner ved at aktivere fortroligheds-widget’en i din Privacy Controls and Cookie Solution.
Du bør også tage højde for, at der er en række årsager og omstændigheder, der kan udløse et behov for at indhente et nyt samtykke hos besøgende og dermed genopsætte banneret.
Et praktisk eksempel er, når du bruger en ny, ikke-fritaget cookie fra en tredjepart. I en sådan situation skal du indhente et nyt samtykke, da det tidligere indhentede samtykke fra brugeren kun gælder i forhold til de tredjeparter, som du oplyste om på det oprindelige tidspunkt for indsamlingen.
For at hjælpe dig med at opfylde dette krav giver vi dig mulighed for nemt at opdatere indhentningen af samtykke ved hver opdatering af cookiepolitikken.
Bemærk, at nogle databeskyttelsesmyndigheder i EU har specificeret, hvad der kan betragtes som en rimelig periode for gyldigheden af cookiesamtykke (ifølge den franske databeskyttelsesmyndighed betragtes 6 måneder som en rimelig periode). Vores Privacy Controls og Cookie Solution gør det nemt for dig at opsætte denne periode. Hvis du vil vide mere om tidsfrister for gyldighed af cookiesamtykke, kan du se vores Oversigt over cookiesamtykke.
Selv om e-Privacy-direktivet ikke udtrykkeligt kræver, at der skal føres registre over samtykke (blot dokumentation), behandler cookies i de fleste tilfælde personoplysninger, og derfor kan registreringskravene i henhold til GDPR være gældende. Derfor har mange databeskyttelsesmyndigheder i EU tilpasset deres cookie- og trackingregler til GDPR-kravene.
Loggen for cookie- og samtykkeindstillinger er nu tilgængelig i vores Privacy Controls and Cookie Solution. Du skal blot integrere denne funktion med et enkelt klik, og så kan du nemt gemme og administrere dokumentation for dine brugeres samtykke i henhold til GDPR.
Vores omfattende løsning til administration af cookies gør det nemmere at overholde bestemmelserne i EU’s e-Privacy-direktiv. Som en IAB-verificeret Consent Management Platform (CMP) giver vores Privacy Controls and Cookie Solution dig mulighed for at opfylde branchestandarderne og videregive samtykkepræferencer til annoncører på en overensstemmende måde.
Du har mulighed for:
Vores Privacy Controls and Cookie Solution informerer brugeren på passende vis om:
Vores løsning gør det muligt at indhente aktivt samtykke via:
Det giver dig yderligere muligheder for at:
