Alle blogindlæg

Forstå det danske Datatilsyns retningslinjer for samtykke til cookies

Hvis du tilbyder varer og tjenester til danske brugere eller sporer deres hjemmeside aktivitet gennem cookies, skal du have deres udtrykkelige samtykke. Men hvad er et udtrykkeligt samtykke? Vi ser på de danske retningslinjer for cookies, og hvordan du kan indhente samtykke og overholde reglerne.

feb 22, 2024

Datatilsynet, den danske uafhængige databeskyttelsesmyndighed, har udgivet en lang række retningslinjer for at hjælpe hjemmesideejere og -operatører med at bruge cookies til at indsamle brugerdata.

Disse retningslinjer for cookies og samtykke fastlægger krav om at informere brugere om cookies, indhentning af deres samtykke til at bruge ikke-essentielle cookies, gøre dem i stand til at acceptere eller afvise cookies og meget mere.

For virksomheder og hjemmesideoperatører, der interagerer med brugere i Danmark, kan en klar forståelse af den Europæiske Unions (EU) databeskyttelseslovgivning, regionale love og de danske retningslinjer for cookies gøre det muligt at overholde lovgivningen og bevare brugernes tillid.

Vi ser på databeskyttelse i Danmark, cookiebekendtgørelsen og hvordan man overholder Datatilsynets krav om samtykke til cookies.

Hvad er den danske cookiebekendtgørelse?

Ifølge den danske cookiebekendtgørelse skal hjemmesider og apps indhente udtrykkeligt samtykke fra brugere, hvis de bruger cookies til at indsamle, gemme eller behandle deres personlige data.

Disse regler er formet af EU’s generelle databeskyttelsesforordning (GDPR) og ePrivacy-direktivet (kendt som “EU’s cookielov“).

Den generelle databeskyttelsesforordning (GDPR)

GDPR er en grundsten inden for databeskyttelse i den Europæiske Union (EU). Selv om den ikke specifikt regulerer brugen af cookies, er den vigtig i forbindelse med dansk lovgivning af tre årsager:

  • Den regulerer håndteringen af personlige data, som kan omfatte data, der er indhentet via cookies
  • Den omfatter retsgrundlaget for behandling af brugerdata, hvilket omfatter samtykke
  • Den fastlægger en klar definition af “samtykke”

Den danske databeskyttelseslov (lov nr. 502 af 23. maj 2018) supplerer GDPR i Danmark.

ePrivacy-direktivet

ePrivacy-direktivet regulerer, hvordan hjemmesider og apps kan bruge cookies til at indsamle og behandle data fra EU-brugere. EU’s cookie lov er implementeret i den danske cookiebekendtgørelse, Cookiebekendtgørelsen (BEK nr. 1148 af 09/12/2011).

Hvem gælder den danske cookiebekendtgørelse for?

Den danske cookiebekendtgørelse gælder for alle virksomheder, organisationer eller enkeltpersoner, uanset deres placering, som indsamler og behandler data fra besøgende på hjemmesider og apps placeret i Danmark, hvis de:

  • Tilbyder varer og tjenesteydelser til danske brugere, selvom der ikke kræves betaling fra brugeren
  • Overvåger online-adfærden af danske brugere bosiddende i Danmark

De gælder også for behandling af personlige data, der foretages af virksomheder, organisationer eller enkeltpersoner, der er etableret i Danmark.

Den dataansvarlige eller den enhed, der afgør, hvorfor og hvordan persondata vil blive behandlet, skal sikre, at behandling af persondata overholder GDPR-bestemmelserne.

Juridisk grundlag for behandling af data

Du skal altid have et juridisk grundlag i henhold til dansk lovgivning for at behandle brugernes data. Ifølge ePrivacy-direktivet er det juridiske grundlag for behandling af data via sporingscookies forudgående informeret samtykke, medmindre de udelukkende er funktionelle cookies.

I den hurtige vejledning til brugen af cookies, der blev udsendt i februar 2021, anerkender Datatilsynet, at der kan være andre juridiske grundlag for at behandle personlige data i henhold til GDPR (artikel 6.1). Det understreger betydningen af at foretage en specifik vurdering for at fastlægge det relevante juridiske grundlag og anbefaler, at indhentning af samtykke er den mest praktiske fremgangsmåde.

I forhold til mindreårige fastsætter den danske databeskyttelseslov (som er ændret i januar 2024) forskellige krav til samtykke. Behandling af data tilhørende børn under 15 år er kun lovlig, hvis samtykket er godkendt af en forælder eller værge.

Dansk lovgivning om cookies og samtykke

Samtykke er et centralt begreb i dansk lovgivning, og det danske Datatilsyn inkorporerede i februar 2020 specifikt GDPR-definitionen af samtykke i sine retningslinjer for behandling af personlige data for besøgende på hjemmesider. GDPR kræver, at samtykke skal være en frivilligt afgivet, specifik, informeret og utvetydig angivelse af at den person, der giver samtykke, accepterer behandlingen af sine personlige data.

Disse retningslinjer foreskriver desuden, at du skal indhente samtykke, før du indstiller cookies og behandler brugerdata, med undtagelse af cookies, der er nødvendige for, at en hjemmeside kan fungere.

GDPR-cookiesamtykke skal opfylde en række strenge krav, før det er gyldigt. Datatilsynets retningslinjer for behandling af personlige data, hurtig vejledning og retningslinjer for samtykke (udstedt i maj 2021) angiver tilsammen specifikke kriterier, der skal opfyldes for at indhente gyldigt samtykke i henhold til GDPR’s definition.

Frivilligt givet

  • Det bør være lige nemt at acceptere eller afvise cookies i det første lag
  • Cookiebannerets design og sprog bør ikke påvirke en bruger til at acceptere cookies
  • Hvis en bruger har givet sit samtykke, skal vedkommende være i stand til at trække det tilbage lige så nemt, som det blev givet.

Specifikt

  • Du skal indhente separat samtykke fra brugere til hver kategori af formål, hver med sit eget afkrydsningsfelt
  • Der skal ikke gives detaljeret samtykke til hver enkelt cookie, men det bør tilbydes til forskellige kategorier af cookies, f.eks. skal en bruger kunne tillade cookies til statistiske formål, og samtidig afvise annonce cookies

Informeret

  • Brugere skal have adgang til klare, forståelige oplysninger om formålet med cookies
  • Du skal give gennemskuelig adgang til, hvilke parter der har indstillet cookies, og hvilke oplysninger der sendes gennem dem, hvilket kan gøres via en cookiepolitik

Utvetydig indikation

  • Samtykke til cookies skal være en aktiv handling fra brugerens side, f.eks. at markere et felt eller klikke på en knap for at sikre, at brugerens valg er udtrykkeligt og bevidst
  • Forhåndsmarkerede afkrydsningsfelter for samtykke, hvor en bruger skal fjerne markeringen for at afvise samtykke, er ikke gyldigt samtykke
  • Hvis brugere ruller eller stryger gennem en hjemmeside eller en app, er det ikke gyldigt samtykke, da det kan være svært at skelne fra andre bruger aktiviteter og det er ikke en entydig indikation af, at brugeren accepterer cookies

Disse detaljerede samtykkekrav er designet til at sikre brugerens autonomi og privatliv og sikre, at samtykket er et informeret valg.

I deres retningslinjer for samtykke har Datatilsynet også fastsat, at du skal kunne bevise, at den registrerede har givet samtykke til behandlingen af deres data.

Indhent GDPR-compliant samtykke til cookies

Start din 14 dages gratis prøveperiode med Cookiebot CMP i dag

Tilmeld dig

Datatilsynets retningslinjer for cookie walls

En cookie wall er en metode, hvor en virksomhed kræver, at besøgende giver samtykke til, at deres data behandles, før de får adgang til en hjemmeside. I februar 2023 fastlagde Datatilsynet kriterier for implementering af cookie walls, som overholder databeskyttelsesreglerne.

  • Hvis du bruger en cookie wall, skal du give et rimeligt alternativ til brugere, der ikke giver samtykke til databehandling. Det leverede indhold eller tjeneste skal være ens, uanset brugerens valg.
  • Hvis alternativet til samtykke er betaling, skal omkostningerne være rimelige og give et reelt valg mellem betaling og samtykke.
  • Alle de formål, som du søger samtykke til, skal være begrænset til, hvad der er nødvendigt for den tilbudte tjeneste. Der kan være behov for separat samtykke til formål, der ikke er en del af det betalte alternativ.
  • Når besøgende har betalt, kan du behandle de personlige data, der er nødvendige for at kunne levere tjenesten. Det er dog ikke tilladt at behandle data til formål ud over, hvad der kræves for tjenesten, medmindre du indhenter yderligere samtykke.

Vigtige afgørelser vedrørende cookies og personlige data i Danmark

Inden for de senere år har Datatilsynet truffet en række beslutninger om brugen af cookies til indsamling af personlige data fra danske brugere. I forbindelse med overvejelser vedrørende overtrædelser af de danske retningslinjer for cookies har Datatilsynet set nærmere på de følgende problemer:

  • En offentlig institution implementerede cookies og behandlede personlige data til reklameformål, før der blev indhentet bruger samtykke. Datatilsynet afgjorde, at institutionen og Google (eftersom annoncerne var fra Googles annonceplatform) var fælles dataansvarlige, men institutionen var ansvarlig for at indhente samtykke.
  • En lånemæglers hjemmeside havde placeret en række cookies i klagerens browser, før klageren havde givet sit samtykke. Datatilsynet afgjorde også, at cookie-samtykke løsningen ikke gav oplysninger om tilbagetrækning af samtykke, og at den ikke opfyldte kravene til gyldigt samtykke.
  • Et onlinemarkeds brug af cookie walls var for det meste lovlig, da det gav et betalt alternativ til samtykke. Datatilsynet bemærkede dog, at det ikke var påvist, at behandlingen af personoplysninger til statistiske formål var nødvendig som alternativ til betaling.
  • I et lignende tilfælde blev det afgjort, at en mediegruppes samtykkeprocedure ikke var tilstrækkelig, da det betalte alternativ ikke svarede til den samtykke baserede adgang og ikke gav de besøgende et frit valg. Mediegruppen havde heller ikke påvist, at behandling af personoplysninger til statistiske formål var nødvendig som alternativ til betaling.
  • En virksomhed, som fremstillede haveudstyr, brugte cookies til at indsamle og videregive data til Google og Meta uden juridisk grundlag. Ifølge dansk procedure anmeldte Datatilsynet virksomheden til politiet og anbefalede en bøde på mindst 200.000 kr.

Krav til overholdelse af danske retningslinjer for cookies

Informer brugere om cookies

De danske retningslinjer for cookies kræver, at du deler klare oplysninger med brugere om de typer cookies, der bruges, og deres formål. Minimumskravene i henhold til Datatilsynets retningslinjer for samtykke er:

  • Den dataansvarliges identitet
  • Formålet med den påtænkte behandling
  • Hvilke data der behandles
  • Retten til at trække samtykke tilbage til enhver tid

Disse oplysninger skal være let tilgængelige og forståelige, så brugerne kan træffe informerede beslutninger. De kan deles i cookie-samtykke banneret med mere detaljerede oplysninger angivet i cookie politikken, for at skabe gennemskuelighed vedrørende din dataindsamlings praksis.

Indhent gyldigt samtykke

For at samtykke skal være gyldigt i henhold til den danske cookiebekendtgørelse, skal det overholde GDPR’s krav om tilvalgt samtykke. Det betyder, at du skal indhente samtykke til cookies via aktive og udtrykkelige brugerhandlinger, f.eks. at klikke på en knap eller markere et felt.

Derudover skal du indhente specifikt samtykke til forskellige kategorier af cookies, f.eks. statistik cookies eller marketing cookies, så brugerne kan foretage mere personlige valg. Det er vigtigt, at processen undgår at skubbe brugerne i retning af at give samtykke gennem enten design eller sprog. Samtykkeerklæringen skal have en neutral præsentation af valgmuligheder, hvor det er lige så nemt at acceptere som at afvise cookies.

Cookie-samtykke bannere skal implementere kravene i de danske retningslinjer for cookies for at muliggøre overholdelse af GDPR, ePrivacy-direktivet og lokal cookie lovgivning.

Dit cookie banner skal give brugerne klare muligheder for at acceptere, afvise eller tilpasse deres cookiepræferencer uden at bruge forhåndsmarkerede felter eller manipulerende designmønstre. Det skal give oplysninger i henhold til minimumskrav for samtykke på et sprog, der er let at forstå.

Datatilsynet tillader brug af cookie walls, hvis de overholder de betingelser, der er fastsat i deres retningslinjer for cookie walls. Hvis din hjemmeside skal bruge cookie walls, skal du sikre dig, at de overholder disse betingelser, og at alle brugere, uanset om de vælger at acceptere cookies eller ej, modtager det samme indhold eller tjenester.

Hvis du vælger et gebyr som alternativ til samtykke, skal du sikre dig, at det er et rimeligt beløb for at give brugerne et reelt valg. Du må ikke behandle data fra betalte brugere, som du ikke behøver at levere tjenesten til, uden deres udtrykkelige samtykke til disse cookies.

Din hjemmeside skal indeholde en lettilgængelig politik om cookies, enten som et separat dokument eller som en del af en politik om beskyttelse af personlige oplysninger, der indeholder detaljerede oplysninger om din brug af cookies. Medtag oplysninger om eventuelle tredjeparts cookies, herunder hvem der indstiller cookies, til hvilke formål og hvilke personlige data de indsamler.

Din cookiepolitik skal også informere brugerne om, hvordan de kan ændre eller tilbagetrække deres samtykkepræferencer.

Datatilsynets hurtige vejledning kræver, at du informerer brugerne i cookiepolitikken, hvis du bruger et andet juridisk grundlag end samtykke til behandling af personlige data.

Overholder din hjemmeside dansk lovgivning om cookies?

Scan din hjemmeside gratis med Cookiebot CMP i dag

Tilmeld dig

Hvordan Cookiebot CMP kan hjælpe din virksomhed med at overholde de danske retningslinjer for cookies

Hvis din hjemmeside behandler data fra danske besøgende, skal du overholde EU-reglerne og de danske retningslinjer for cookies, da du ellers risikerer at blive straffet i henhold til GDPR. Implementering af en CMP (Consent Management Platform) som Cookiebot CMP kan hjælpe dig med at opnå regeloverholdelse og opbygge bruger tillid.

Cookiebot CMP kan give dig mulighed for at opnå udtrykkeligt samtykke, der overholder de danske retningslinjer for cookies og databeskyttelseslovgivningen. Med Cookiebot CMP kan du:

  • Vise brugere et tilvalgs-cookie banner, der kræver aktiv handling for at indstille cookies
  • Give brugerne mulighed for at trække deres samtykke tilbage lige så nemt, som de har givet det
  • Gøre det muligt for brugerne at give specifikt samtykke til forskellige kategorier af cookies, der opfylder de juridiske krav til detaljeret samtykke
  • Bruge vores cookie checker til at scanne din hjemmeside for cookies og give detaljerede oplysninger i din cookiepolitik
  • Dokumentere samtykke i henhold til Datatilsynets retningslinjer for samtykke

Cookiebot CMP understøtter også Google Tag Manager. Med denne integration kontrollerer Cookiebot CMP automatisk alle cookies på din hjemmeside, så de ikke indsamler nogen brugerdata, før brugerne giver samtykke.

Ofte stillede spørgsmål

Hvad er den danske GDPR- lovgivning?

Den generelle databeskyttelsesforordning (GDPR) er en EU-forordning og gælder i Danmark. Den gælder for alle enheder, der behandler data fra brugere i Danmark, uanset hvor enheden er placeret. GDPR suppleres i Danmark af den danske databeskyttelseslov. GDPR og databeskyttelsesloven regulerer sammen behandlingen af personlige data for brugere, der befinder sig i Danmark

Hvad er EU’s lovgivning om samtykke til cookies?

ePrivacy-direktivet er uformelt kendt som EU’s “cookielov” eller EU’s lovgivning om samtykke til cookies. Den regulerer brugen af cookies til indsamling af personlige data fra brugere i EU. Selv om den kaldes “cookie loven”, er ePrivacy-direktivet ikke en lov eller en bestemmelse, og den angiver de generelle principper, som EU-landene skal inkorporere i deres egne nationale love. Den implementeres i Danmark via Cookiebekendtgørelsen.

Hvad er de danske retningslinjer for cookies?

Datatilsynet udsendte i februar 2020 retningslinjer, der regulerer brugen af cookies til indsamling af personlige data fra brugere i Danmark. De danske retningslinjer for cookies fastlægger visse krav om cookie-samtykke banneret til indsamling af udtrykkeligt samtykke i henhold til GDPR. Retningslinjerne kræver, at samtykke skal være en aktiv handling fra brugere, der skal have samme muligheder for at acceptere som for at afvise cookies. Brugerne skal også være i stand til at trække deres samtykke tilbage, når de har givet det, og det skal være lige så nemt, som det var at give samtykke. Retningslinjerne angiver også, at cookie-banneret skal informere brugerne om, hvem der indstiller cookies, til hvilket formål og hvilke data de indsamler. Brugere skal have mulighed for at acceptere cookies til visse formål og afvise cookies til andre. Vigtigst af alt skal der indhentes samtykke, før du kan indstille cookies og behandle personlige data.

    Hold dig informeret

    Bliv en del af vores voksende community af databesky­ttelses­entusiaster nu. Tilmeld dig Cookiebot™-nyhedsbrevet for at få alle de seneste opdateringer direkte i din indbakke.

    Ved at klikke på "Abonner" bekræfter jeg, at jeg ønsker at abonnere på Cookiebot™-nyhedsbrevet. Jeg kan nemt opsige mit abonnement på Cookiebot™-nyhedsbrevet og tilbagekalde mit samtykke til at bruge mine data ved at klikke på afmeldingslinket. Alternativt kan jeg skrive til [email protected] for at fremsætte anmodningen. Privatlivspolitik.