GDPR og cookies: En komplet guide til compliance
Databeskyttelsesforordningen (GDPR) ændrede grundlæggende, hvordan websites håndterer cookies, da den trådte i kraft den 25. maj 2018. Selvom ePrivacy-direktivet er den primære EU-lovgivning, der regulerer cookies, gælder GDPR, hver gang cookies behandler personoplysninger — hvilket i praksis betyder næsten altid. At forstå, hvordan GDPR gælder for cookies, er afgørende for ethvert website, der opererer i eller retter sig mod brugere i Det Europæiske Økonomiske Samarbejdsområde.
Hvordan GDPR gælder for cookies
GDPR nævner ikke cookies ved navn. I stedet regulerer den behandlingen af personoplysninger, som defineret i artikel 4, stk. 1, som enhver information om en identificeret eller identificerbar fysisk person. Betragtning 30 i GDPR fastslår udtrykkeligt, at onlineidentifikatorer — herunder cookieidentifikatorer — kan bruges til at oprette profiler af fysiske personer og identificere dem. Det betyder, at enhver cookie, der indeholder eller er knyttet til en unik identifikator, udgør personoplysninger under GDPR.
I praksis dækker dette næsten alle cookies ud over de mest grundlæggende funktionelle. Analysecookies, der tildeler et unikt besøgends-id, reklamecookies, der sporer browsingadfærd, og selv sessionscookies knyttet til en brugerkonto behandler alle personoplysninger og falder derfor ind under GDPR's krav.
Artikel 6: Retsgrundlag for behandling
I henhold til artikel 6 i GDPR kræver enhver behandling af personoplysninger et retsgrundlag. For cookierelateret behandling påberåbes to grundlag oftest:
- Samtykke (artikel 6, stk. 1, litra a): Den registrerede har givet samtykke til behandlingen til et eller flere specifikke formål. Dette er det primære retsgrundlag for de fleste cookiebehandlinger, især for analyse-, marketing- og reklamecookies.
- Legitim interesse (artikel 6, stk. 1, litra f): Behandlingen er nødvendig for at forfølge den dataansvarliges legitime interesser, forudsat at disse interesser ikke tilsidesættes af den registreredes rettigheder og frihedsrettigheder.
Grundlaget legitim interesse har været genstand for betydelig debat i cookiesammenhæng. Nogle websiteoperatører har argumenteret for, at analysesporing tjener en legitim interesse. Men flere datatilsynsmyndigheder har afvist dette argument for cookies, der ikke er strengt nødvendige. Franske CNIL, østrigske DSB og Det Europæiske Databeskyttelsesråd (EDPB) har alle indtaget den holdning, at samtykke er påkrævet for analysecookies, og at legitim interesse ikke kan tjene som retsgrundlag for at placere ikke-essentielle cookies på en brugers enhed.
EDPB's retningslinjer 05/2020 om samtykke fastslår utvetydigt: "At scrolle eller fortsætte med at browse på et website udgør ikke gyldigt samtykke." Æraen med underforstået samtykke til cookies er slut.
Artikel 7: Betingelser for gyldigt samtykke
Artikel 7 fastsætter de betingelser, som samtykke skal opfylde. For at cookiesamtykke skal være gyldigt under GDPR, skal det være:
- Frivilligt afgivet: Brugeren skal have et reelt valg. Samtykke er ikke frivilligt afgivet, hvis brugeren ikke kan nægte eller trække samtykket tilbage uden at lide ulempe. Cookievægge, der blokerer adgang til et website, medmindre alle cookies accepteres, er blevet fundet ikke-compliant af flere datatilsyn, selvom retstilstanden varierer fra jurisdiktion til jurisdiktion.
- Specifikt: Samtykke skal gives for hvert enkelt formål. Et enkelt "Accepter alle" uden mulighed for at give samtykke til specifikke kategorier opfylder ikke dette krav.
- Informeret: Brugeren skal tydeligt informeres om, hvad de giver samtykke til. Det betyder at identificere cookies, deres formål, de indsamlede data og eventuelle involverede tredjeparter.
- Utvetydigt: Samtykke skal gives gennem en klar bekræftende handling. Forudkrydsede afkrydsningsfelter, tavshed eller passivitet udgør ikke gyldigt samtykke.
Artikel 7, stk. 3, tilføjer et afgørende krav: at trække samtykke tilbage skal være lige så nemt som at give det. Hvis en bruger kan acceptere cookies med et enkelt klik, skal de kunne trække samtykket tilbage med samme lethed. Et cookiebanner, der gør "Accepter" fremtrædende, men gemmer fravalgsmuligheden væk på en indstillingsside flere klik nede, er ikke compliant.
Artikel 4, stk. 11: Definitionen af samtykke
Artikel 4, stk. 11, definerer samtykke som "enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger om vedkommende gøres til genstand for behandling."
Denne definition understøttes af betragtning 32, som fastslår:
"Samtykke bør gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede. Dette kan f.eks. ske ved at sætte kryds i et felt ved besøg på et websted. Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke."
Den skelsættende Planet49-afgørelse fra EU-Domstolen (CJEU) i oktober 2019 (sag C-673/17) bekræftede denne fortolkning og fastslog, at forudkrydsede afkrydsningsfelter ikke udgør gyldigt samtykke til cookies.
Gennemsigtighedsforpligtelser: Artikel 12–14
Artikel 12 til 14 kræver, at dataansvarlige giver information om databehandling i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form i et klart og enkelt sprog. For cookies betyder det:
- Din cookiepolitik skal være skrevet i et sprog, som almindelige brugere kan forstå — ikke juridisk jargon.
- Information skal gives på tidspunktet for dataindsamlingen (dvs. før cookies placeres).
- Brugere skal informeres om den dataansvarliges identitet, formålene med behandlingen, kategorierne af data, eventuelle modtagere, opbevaringsperioder og deres rettigheder.
- Hvis cookies deles med tredjeparter (såsom Google Analytics, Facebook Pixel eller reklamenetværk), skal disse tredjeparter identificeres.
Artikel 17: Retten til sletning
Artikel 17 giver de registrerede ret til at få deres personoplysninger slettet. I cookiesammenhæng betyder det, at hvis en bruger anmoder om sletning af deres data, skal alle personoplysninger indsamlet gennem cookies slettes. Dette omfatter analyseprofiler, reklameidentifikatorer og alle andre data knyttet til cookieidentifikatorer.
For websiteoperatører, der bruger tredjeparts analyse- eller reklametjenester, kan dette være særligt udfordrende, da data kan opbevares af tredjeparten. Dine databehandleraftaler med tredjeparts cookieudbydere bør indeholde bestemmelser om håndtering af sletningsanmodninger.
GDPR vs. ePrivacy: Hvilken gælder hvornår?
Forholdet mellem GDPR og ePrivacy-direktivet kan være forvirrende. Sådan spiller de sammen:
- ePrivacy-direktivet (artikel 5, stk. 3) regulerer handlingen at lagre eller tilgå information på en brugers enhed. Det kræver samtykke til alle cookies undtagen dem, der er strengt nødvendige. Dette er lex specialis (den specifikke lov) for cookies.
- GDPR regulerer den efterfølgende behandling af eventuelle personoplysninger indsamlet gennem cookies. Den fastsætter rammerne for, hvad der udgør gyldigt samtykke, de registreredes rettigheder og de dataansvarliges forpligtelser.
I praksis: ePrivacy-direktivet fortæller dig, at du har brug for samtykke for at placere en cookie. GDPR fortæller dig, hvordan gyldigt samtykke ser ud, hvad du må gøre med dataene, og hvilke rettigheder brugerne har vedrørende disse data. Begge gælder samtidigt.
Datatilsynsmyndigheder og håndhævelse
Hver EU-medlemsstat har en datatilsynsmyndighed (DPA), der er ansvarlig for at håndhæve både GDPR og nationale implementeringer af ePrivacy-direktivet. Disse myndigheder har beføjelse til at undersøge klager, gennemføre revisioner og pålægge bøder på op til 4 % af den globale årlige omsætning eller 20 mio. euro, alt efter hvad der er højest.
Håndhævelse relateret til cookies er accelereret dramatisk siden 2020. Datatilsyn over hele Europa er gået fra vejledning og advarsler til betydelige bøder, hvilket gør cookie-compliance til en reel forretningsrisiko snarere end et teoretisk problem.
Store cookierelaterede GDPR-bøder
Følgende håndhævelsessager demonstrerer de reelle økonomiske konsekvenser af manglende cookie-compliance:
| Virksomhed | Bøde | Myndighed | År | Centralt problem |
|---|---|---|---|---|
| Amazon Europe | 746 mio. euro | CNPD (Luxembourg) | 2021 | Ikke-compliant reklamesporing og samtykkemekanismer |
| Google LLC | 150 mio. euro | CNIL (Frankrig) | 2022 | At afvise cookies var ikke lige så nemt som at acceptere dem |
| Facebook (Meta) | 60 mio. euro | CNIL (Frankrig) | 2022 | Ingen enkel mekanisme til at afvise cookies |
| Microsoft (Bing) | 60 mio. euro | CNIL (Frankrig) | 2022 | Cookies placeret uden samtykke, ingen nem afvisningsmekanisme |
| TikTok | 5 mio. euro | CNIL (Frankrig) | 2023 | At afvise cookies krævede flere klik end at acceptere |
| Criteo | 40 mio. euro | CNIL (Frankrig) | 2023 | Manglende indhentning af gyldigt samtykke til sporingscookies |
| Vueling Airlines | 30.000 euro | AEPD (Spanien) | 2020 | Ingen mulighed for at afvise cookies, kun "accepter" |
Disse bøder er ikke begrænset til store virksomheder. Små og mellemstore virksomheder har også været udsat for håndhævelsessager, især i Frankrig, Italien og Tyskland. CNIL alene udstedte over 100 formelle påbud til websites af alle størrelser vedrørende cookie-compliance i 2021.
Praktisk tjekliste til GDPR cookie-compliance
Brug denne tjekliste til at verificere, at dit website opfylder GDPR-kravene til cookies:
- Identificer alle cookies, dit website placerer, herunder dem, der placeres af tredjepartsscripts såsom analyse, reklame og widgets til sociale medier.
- Klassificer hver cookie som strengt nødvendig, funktionel, analyse eller marketing/reklame.
- Implementer forudgående samtykke for alle ikke-essentielle cookies. Ingen analyse- eller marketingcookies bør aktiveres, før brugeren har givet samtykke.
- Præsenter samtykkevalg retfærdigt. Muligheden for at afvise cookies skal være lige så fremtrædende og tilgængelig som muligheden for at acceptere dem.
- Tilbyd granulært samtykke. Brugere skal kunne give samtykke til specifikke kategorier af cookies i stedet for at blive tvunget til et alt-eller-intet-valg.
- Brug ikke forudkrydsede felter. Alle valgfrie cookiekategorier skal være uafkrydsede som standard.
- Giv klar information om hver cookies formål, de data den indsamler, hvem der har adgang til dataene, og hvor længe cookien består.
- Identificer tredjeparter. Navngiv de tredjepartstjenester, der placerer cookies på dit site (Google Analytics, Facebook Pixel, HubSpot osv.).
- Gør tilbagetrækning nem. Giv brugerne en vedvarende, lettilgængelig måde at ændre deres cookiepræferencer på efter det oprindelige samtykke. Et link i sidefoden eller et flydende ikon er almindelige tilgange.
- Gem samtykkeoptegnelser. Før en log over, hvornår hver bruger gav samtykke, hvad de gav samtykke til, og hvilken version af cookiepolitikken der var gældende på det tidspunkt.
- Respekter samtykkevalg teknisk. Sørg for, at afvisning af samtykke faktisk forhindrer, at de tilsvarende cookies placeres. Dette kræver blokering af scripts før samtykke, ikke blot sletning af cookies efterfølgende.
- Vedligehold en cookiepolitik, der er aktuel, nøjagtig og skrevet i et enkelt sprog. Opdater den, når du tilføjer nye cookies eller tredjepartstjenester.
- Håndter anmodninger fra de registrerede. Hav en proces for at besvare sletningsanmodninger, der omfatter data indsamlet via cookies.
- Scan regelmæssigt. Kør automatiserede cookiescanninger mindst månedligt og efter hver deployment for at fange nye cookies introduceret af opdaterede scripts eller plugins.
Cookie-compliance under GDPR er ikke en engangsøvelse. Det kræver løbende opmærksomhed, efterhånden som dit website udvikler sig, nye scripts tilføjes, og lovgivningsmæssig vejledning opdateres. De organisationer, der behandler det som en kontinuerlig proces snarere end en afkrydsningsøvelse, er dem, der undgår håndhævelsessager — og opbygger tillid hos deres brugere undervejs.
Overholder din website cookiereglerne?
Scan din website gratis og find alle cookies på få minutter.
Scan dine cookies gratis