Skip to main content

Hvornår er cookiesamtykke påkrævet?

Hovedreglen er enkel: der kræves samtykke til alle cookies undtagen dem, der er strengt nødvendige. Men detaljerne betyder noget. At vide præcis, hvornår samtykke er og ikke er påkrævet, forhindrer både overefterlevelse (hvor brugere irriteres med unødvendige samtykkeanmodninger) og underefterlevelse (hvor cookies placeres uden retligt grundlag).

Hovedreglen

ePrivacy-direktivets artikel 5, stk. 3, fastlægger udgangspunktet:

Medlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at den pågældende abonnent eller bruger har givet sit samtykke hertil efter i overensstemmelse med at have modtaget klare og fyldestgørende oplysninger [...] om formålene med behandlingen.

Dette omfatter alle cookies, al lokal lagring og al lagring eller adgang på enhedsniveau. Hvis dit website skriver noget til brugerens enhed, er samtykke standardkravet.

Undtagelsen for strengt nødvendige cookies

Samme artikel indeholder den eneste undtagelse:

Dette er ikke til hinder for teknisk lagring eller adgang, hvis det alene har til formål at overføre en kommunikation via et elektronisk kommunikationsnet, eller er strengt nødvendigt for at levere en informationssamfundstjeneste, som abonnenten eller brugeren udtrykkeligt har anmodet om.

Denne undtagelse består af to led:

  1. Teknisk overførsel: Cookies, der er teknisk påkrævede for, at kommunikationen kan finde sted. Dette er snævert afgrænset — i praksis begrænset til load balancing-cookies og lignende netværksmæssige nødvendigheder.
  2. Strengt nødvendig for tjenesten: Cookies, der er afgørende for en tjeneste, brugeren udtrykkeligt har anmodet om. Den centrale formulering er "udtrykkeligt har anmodet om". Tjenesten skal være noget, brugeren har bedt om, og cookien skal være uundværlig for at levere den.

Cookies der er strengt nødvendige (samtykke ikke påkrævet)

  • Sessionsgodkendelses-cookies. Når en bruger logger ind, er sessionscookien, der opretholder deres godkendte tilstand, strengt nødvendig for den tjeneste, de anmodede om (adgang til deres konto).
  • Indkøbskurv-cookies. På et e-handelswebsite er cookien, der holder styr på varerne i kurven, strengt nødvendig for den handelsservice, brugeren benytter.
  • CSRF-beskyttelsestokens. Disse er strengt nødvendige for sikker håndtering af formularindsendelser.
  • Cookie-samtykkepræference-cookies. Cookien, der gemmer brugerens samtykkevalg, er strengt nødvendig — uden den kan du ikke respektere deres privatlivspræferencer.
  • Input-relaterede cookies. Cookies, der husker formularinput gennem en flertrinsproces (som en betalingsformular), hvor brugeren har igangsat processen.
  • Load balancing-cookies. Tekniske cookies, der dirigerer forespørgsler til den rette server. Disse falder ind under undtagelsens "overførsels"-led.
  • Cookies til tilpasning af brugergrænsefladen. Når en bruger udtrykkeligt vælger et sprog eller tema via en funktion på siden, er cookien, der gemmer det valg, strengt nødvendig for den tjeneste, de anmodede om. Dette er dog kontekstafhængigt — se nedenfor.

Cookies der IKKE er strengt nødvendige (samtykke påkrævet)

  • Analyse-cookies. Måling af websitetrafik gavner websiteoperatøren, ikke brugeren. Brugeren har ikke anmodet om en trafikanalysetjeneste.
  • Reklame- og retargeting-cookies. Disse tjener annoncørernes og websiteoperatørens interesser, aldrig brugerens.
  • Cookies til deling på sociale medier. Disse sættes af tredjeparts sociale netværk, ikke til en tjeneste, brugeren har anmodet om.
  • A/B-test-cookies. Disse tjener operatørens optimeringsformål.
  • Affiliate-tracking-cookies. Disse sporer, hvilken partner der henviste brugeren, og tjener operatørens forretningsmæssige interesser.
  • Vedvarende login-cookies ("husk mig"). EDPB har bemærket, at selv om en sessionscookie til et aktuelt login er nødvendig, går en vedvarende cookie, der holder brugeren logget ind på tværs af sessioner, ud over det strengt nødvendige. Brugeren kunne logge ind igen.
  • Cookies til ydelsesovervågning. Cookies, der bruges til at overvåge sidens indlæsningstider, fejlrater og lignende tekniske målinger, tjener operatøren, ikke brugeren.

Debatten om førstepartsanalyse

Et af de mest omstridte områder inden for cookieoverholdelse er, om førsteparts analyse-cookies kan bruges uden samtykke. Svaret varierer fra jurisdiktion til jurisdiktion og er under udvikling.

CNIL's holdning (Frankrig)

Den franske CNIL har udstedt specifik vejledning, der fastslår, at visse cookies til målgruppemåling kan være undtaget fra samtykkekravet, forudsat at:

  1. Formålet er strengt begrænset til måling af målgruppe (ingen sporing på tværs af websites)
  2. Dataene ikke deles med tredjeparter
  3. Cookies udelukkende er førsteparts-cookies
  4. Dataene kun bruges til at frembringe anonym statistik
  5. Cookies har en begrænset levetid (højst 13 måneder)
  6. Brugerne informeres om deres anvendelse
  7. Brugerne kan fravælge dem

Under disse betingelser anser CNIL visse værktøjer (såsom Matomo konfigureret i en privatlivsrespekterende tilstand) for at være berettiget til undtagelsen. Google Analytics kvalificerer sig ikke, primært fordi Google behandler dataene på sin egen infrastruktur og kan bruge dem til egne formål.

Den nederlandske AP's holdning (Nederlandene)

Den nederlandske Autoriteit Persoonsgegevens har på lignende vis angivet, at analyse-cookies med minimal indvirkning på privatlivet kan bruges uden samtykke, men har opstillet betingelser svarende til CNIL's.

Andre jurisdiktioner

De fleste andre europæiske datatilsyn har ikke indført en udtrykkelig analyseundtagelse. ICO (Storbritannien) har fastslået, at analyse-cookies kræver samtykke. De tyske datatilsyn kræver generelt samtykke til alle ikke-væsentlige cookies. Det spanske AEPD's holdning er på linje med kravet om samtykke.

Praktisk anbefaling

Medmindre du udelukkende opererer i Frankrig eller Nederlandene og kan opfylde alle CNIL/AP-betingelserne, er den sikreste tilgang at behandle analyse-cookies, som om de kræver samtykke. Hvis du alligevel vælger at støtte dig på analyseundtagelsen, så dokumentér din argumentation, sørg for at opfylde alle betingelser, og hold øje med den regulatoriske udvikling — dette område er stadig i bevægelse.

Samtykkeundtagelser efter cookieformål: et beslutningsflowchart

For hver cookie på dit website skal du gennemgå disse spørgsmål:

  1. Er cookien teknisk påkrævet for, at kommunikationen kan overføres? (f.eks. load balancing) Hvis ja: intet samtykke nødvendigt. Hvis nej: fortsæt.
  2. Har brugeren udtrykkeligt anmodet om en tjeneste, der kræver denne cookie? (f.eks. at logge ind, tilføje varer til kurven) Hvis ja: fortsæt. Hvis nej: samtykke påkrævet.
  3. Ville den anmodede tjeneste ikke kunne fungere uden netop denne cookie? Hvis ja: intet samtykke nødvendigt (strengt nødvendig). Hvis tjenesten ville fungere, men være mindre bekvem: samtykke påkrævet.
  4. Er cookien førsteparts, begrænset til aggregeret analyse, med data der ikke deles med tredjeparter, og befinder du dig i en jurisdiktion med en analyseundtagelse? Hvis ja til alle: potentielt undtaget, men dokumentér din argumentation. Hvis nej til blot ét: samtykke påkrævet.
  5. I alle andre tilfælde: samtykke påkrævet.

Særlige situationer

Cookievægge

En cookievæg blokerer adgang til et website, medmindre brugeren accepterer cookies. EDPB's holdning er, at cookievægge generelt forhindrer, at samtykke gives "frivilligt", og de er derfor ikke i overensstemmelse med reglerne. Nogle datatilsyn (særligt den nederlandske AP, efter en domstolsafgørelse) har dog angivet, at cookievægge kan være acceptable, hvis der tilbydes et reelt, ligeværdigt alternativ — såsom en betalt, cookie-fri version af tjenesten. Dette er fortsat et omstridt område.

Betalingsmur vs. cookievæg

Nogle udgivere tilbyder en "samtykke eller betal"-model: accepter tracking-cookies for gratis adgang, eller betal for en cookie-fri oplevelse. EDPB udstedte en udtalelse i 2024 om denne praksis og anerkendte, at den kan være tilladt under visse betingelser, men udtrykte bekymring for, at "betal"-alternativet skal være reelt rimeligt og ikke fastsat til en pris, der er beregnet på at tvinge frem et samtykke.

Børn

I henhold til GDPR artikel 8 kræver samtykke til informationssamfundstjenester rettet mod børn verifikation og, for børn under en vis alder (varierende fra 13 til 16 afhængigt af medlemsstaten), forældres samtykke. Hvis dit website henvender sig til børn, er kravene til cookiesamtykke strengere.

Medarbejder- og B2B-sammenhænge

ePrivacy-direktivet gælder for "abonnenten eller brugeren" — ikke kun forbrugere. Hvis din B2B-SaaS-platform bruger ikke-væsentlige cookies, kræves der stadig samtykke fra den enkelte bruger, selv i en forretningsmæssig sammenhæng.

Hvad sker der uden gyldigt samtykke

Hvis du placerer ikke-væsentlige cookies uden gyldigt samtykke:

  • De data, du indsamler, kan være ulovlige under både ePrivacy-direktivet og GDPR.
  • Du risikerer bøder under GDPR på op til 20 millioner EUR eller 4 % af den globale årlige omsætning, alt efter hvad der er højest (artikel 83, stk. 5).
  • Du kan blive pålagt at slette de ulovligt indsamlede data.
  • Dine analyse- og reklamedata kan være kompromitteret — hvis det retlige grundlag for indsamlingen er ugyldigt, kan dataene ikke lovligt anvendes.
  • Efterfølgende modtagere af disse data (annoncenetværk, analyseudbydere) kan ligeledes ifalde ansvar.

Dette er ikke hypotetiske risici. CNIL gav Google en bøde på 150 millioner EUR og Facebook en bøde på 60 millioner EUR specifikt for overtrædelser af reglerne om cookiesamtykke. Mindre virksomheder har fået bøder på titusinder af euro for lignende forsømmelser.

Passiro identificerer hver eneste cookie på dit website og markerer dem, der kræver samtykke, så du kan være sikker på, at din samtykkemekanisme dækker de rette cookies — hverken flere eller færre.

Lad os derefter sammenligne de to grundlæggende samtykkemodeller: opt-in versus opt-out, og hvornår hver af dem gælder.

Overholder din website cookiereglerne?

Scan din website gratis og find alle cookies på få minutter.

Scan dine cookies gratis