Skip to main content

Cookie-samtykke: Hvad loven faktisk kræver

Cookie-samtykke er et af de mest misforståede krav inden for digital databeskyttelse. Mange virksomheder tror, de overholder reglerne, blot fordi de viser et cookie-banner. Men et banner er ikke det samme som samtykke. Samtykke er et præcist juridisk begreb med bestemte krav — og hvis disse krav ikke opfyldes, kan hele din dataindsamling være ulovlig.

Det juridiske grundlag

Cookie-samtykke hviler på to juridiske søjler:

ePrivacy-direktivets artikel 5, stk. 3 fastlægger kravet: lagring af eller adgang til oplysninger på en brugers enhed kræver brugerens samtykke, medmindre lagringen er strengt nødvendig for en tjeneste, som brugeren udtrykkeligt har anmodet om. Det er denne regel, der specifikt regulerer cookies.

GDPR artikel 4, nr. 11 definerer, hvad samtykke betyder: "'samtykke' fra den registrerede: enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling."

Disse to bestemmelser fungerer sammen. ePrivacy-direktivet fortæller dig, hvornår samtykke er nødvendigt (for ikke-nødvendige cookies). GDPR fortæller dig, hvordan gyldigt samtykke ser ud. Begge dele skal være opfyldt.

De fem krav til gyldigt samtykke

Med udgangspunkt i GDPR artikel 4, nr. 11, artikel 7 og EDPB's retningslinjer 05/2020 om samtykke skal et gyldigt cookie-samtykke opfylde fem kriterier:

1. Frivilligt

Brugeren skal have et reelt valg. Samtykke er ikke frivilligt, hvis:

  • Adgang er betinget af samtykke. Hvis brugeren ikke kan bruge webstedet uden at acceptere alle cookies (en "cookie-mur"), er samtykket ikke frivilligt. EDPB har bekræftet denne holdning, selvom nogle nationale datatilsyn tillader begrænsede cookie-mure under bestemte omstændigheder — særligt hvis der findes et reelt alternativ (såsom en betalt, cookie-fri version).
  • Der er en betydelig ubalance i magtforholdet. I forholdet mellem arbejdsgiver og medarbejder eller mellem myndighed og borger er samtykke måske ikke reelt frivilligt. For de fleste websteder er dette mindre relevant, men det har betydning for offentlige tjenester og intranetplatforme.
  • Det er væsentligt sværere at afvise end at acceptere. Hvis "Accepter alle" er en fremtrædende knap, og "Afvis alle" kræver, at man navigerer gennem indstillinger, er samtykket ikke frivilligt. Både det italienske Garante og det franske CNIL har udstedt specifik vejledning om, at det skal være lige så let at afvise cookies som at acceptere dem.

2. Specifikt

Samtykke skal gives særskilt for hvert enkelt formål. Det er derfor, cookie-kategorier findes. En gyldig samtykkemekanisme skal give brugerne mulighed for at acceptere analysecookies, mens de afviser marketingcookies, eller omvendt. At samle alle cookies i et enkelt "accepter" eller "afvis" opfylder ikke kravet om specificitet — selvom det er acceptabelt at tilbyde både "Accepter alle" og "Afvis alle" som genveje sammen med kontroller for hver kategori.

3. Informeret

Før brugeren giver samtykke, skal vedkommende oplyses om:

  • Hvem der sætter cookies (webstedets operatør og eventuelle tredjeparter)
  • Hvad hver cookie-kategori gør
  • Hvor længe cookies varer
  • Hvordan man trækker samtykke tilbage

Disse oplysninger skal præsenteres klart og i et forståeligt sprog. En cookiepolitik på 5.000 ord gemt bag tre klik gør ikke samtykket "informeret" i nogen meningsfuld forstand. Det første lag af din samtykkemekanisme bør indeholde tilstrækkelige oplysninger til, at brugeren kan træffe en informeret beslutning.

4. Utvetydigt

Samtykke kræver en klar bekræftende handling. Brugeren skal aktivt gøre noget for at tilkendegive samtykke — klikke på en knap, sætte et flueben, aktivere en kontakt.

Hvad der IKKE udgør utvetydigt samtykke:

  • Forudafkrydsede felter. EU-Domstolen fastslog endeligt i Planet49 (sag C-673/17, oktober 2019), at forudafkrydsede felter ikke udgør gyldigt samtykke. Dette gælder for cookie-samtykkeindstillinger, hvor kategorier er afkrydset som standard.
  • Fortsat browsing. "Ved at fortsætte med at bruge dette websted accepterer du cookies" er ikke gyldigt samtykke. At scrolle eller klikke på et link er ikke en "utvetydig viljestilkendegivelse". Flere datatilsyn har bekræftet dette, og EDPB's retningslinjer er tydelige på dette punkt.
  • Browserindstillinger. At forlade sig på brugerens browserindstillinger som en form for samtykke er blevet afvist af tilsynsmyndighederne. Webstedets operatør skal indhente samtykke direkte.
  • Tavshed eller passivitet. Hvis brugeren ignorerer banneret og fortsætter med at browse, er det ikke samtykke. Der bør ikke placeres cookies, før brugeren har foretaget et aktivt valg.

5. Forudgående

Selvom det ikke er anført som et selvstændigt element i GDPR artikel 4, nr. 11, gør ePrivacy-direktivet det klart, at samtykke skal indhentes, før cookies placeres. Det er dette krav, mange websteder stadig ikke opfylder. Scripts, der aktiveres ved sideindlæsning — og sætter analyse- og marketingcookies, før brugeren overhovedet har set samtykkebanneret — overtræder dette grundlæggende krav.

Teknisk set betyder det, at ikke-nødvendige scripts skal blokeres, indtil samtykke er givet. At vise et banner, mens cookies allerede sættes, opfylder ikke kravet om forudgående samtykke.

Hvordan gyldigt samtykke ser ud i praksis

En regelret implementering af cookie-samtykke:

  1. Blokerer alle ikke-nødvendige cookies, før brugeren interagerer med samtykkemekanismen.
  2. Præsenterer et klart første lag, der forklarer de anvendte cookie-kategorier, med mulighed for at acceptere eller afvise hver kategori.
  3. Tilbyder "Accepter alle" og "Afvis alle" med samme grad af synlighed — samme størrelse, samme visuelle vægt, samme antal klik.
  4. Anvender ikke mørke mønstre — ingen vildledende knapfarver, ingen skjulte afvisningsmuligheder, intet forvirrende sprog, ingen tilskyndelse til at acceptere.
  5. Linker til en detaljeret cookiepolitik, der angiver hver cookie ved navn, formål, varighed og udbyder.
  6. Registrerer samtykket med et tidsstempel og de specifikke kategorier, brugeren accepterede eller afviste.
  7. Aktiverer kun de relevante scripts, efter at samtykke er givet for netop den kategori.

Samtykkets livscyklus

Samtykke er ikke en engangsbegivenhed. Det har en livscyklus, som din implementering skal understøtte:

Indsamling

Første besøg: vis samtykkemekanismen, bloker ikke-nødvendige cookies, afvent brugerens handling.

Lagring

Når samtykke er givet, gemmes brugerens valg i en strengt nødvendig cookie (der kræves ikke samtykke til denne cookie, da den er nødvendig for at respektere brugerens privatlivspræferencer). Gem også en serverside-registrering som bevis på samtykke.

Anvendelse

Ved efterfølgende sideindlæsninger læses samtykke-cookien, og kun de scripts, der matcher de kategorier, brugeren accepterede, aktiveres. Vis ikke banneret igen — respektér det gemte valg.

Tilbagetrækning

GDPR artikel 7, stk. 3 er utvetydig: "Det skal være lige så let at trække sit samtykke tilbage som at give det." Dit websted skal give brugerne en permanent, let tilgængelig måde at ændre deres cookie-præferencer på til enhver tid. En almindelig fremgangsmåde er et lille ikon eller link i sidefoden, der genåbner grænsefladen til samtykkeadministration.

Fornyelse

Samtykke varer ikke evigt. CNIL anbefaler at forny samtykke hver 13. måned. EDPB har ikke fastsat en bestemt varighed, men kræver, at samtykket forbliver gyldigt, og at brugerens valg fortsat afspejler vedkommendes reelle ønsker. Bedste praksis er at bede om samtykke på ny mindst én gang om året, eller når din brug af cookies ændres væsentligt.

Ændringer

Hvis du tilføjer nye cookies, nye tredjepartstjenester eller nye formål, dækker eksisterende samtykke måske ikke længere disse. Brugerne bør bedes om at give (eller nægte) samtykke til den nye behandling på ny.

Samtykkeregistreringer og bevis

GDPR artikel 7, stk. 1 fastslår: "Hvis behandling er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet samtykke." For cookie-samtykke betyder det, at du skal føre optegnelser over:

  • Hvornår samtykket blev givet (tidsstempel)
  • Hvad brugeren samtykkede til (hvilke kategorier blev accepteret, hvilke blev afvist)
  • Hvordan samtykket blev indsamlet (hvordan samtykkemekanismen så ud på det tidspunkt — en versionsidentifikator eller et skærmbillede)
  • Hvem der gav samtykke (som regel en anonymiseret identifikator, ikke brugerens navn)

Hvis en tilsynsmyndighed beder dig om at bevise, at en bestemt cookie blev placeret med gyldigt samtykke, er disse optegnelser dit forsvar. Uden dem har du ingen dokumentation for, at din samtykkemekanisme fungerer — og bevisbyrden ligger hos dig, ikke hos tilsynsmyndigheden.

Almindelige samtykkefejl

Baseret på håndhævelsessager i hele Europa er dette de hyppigst sanktionerede samtykkefejl:

  1. Cookies placeret før samtykke. Analyse- og marketingscripts, der aktiveres ved sideindlæsning, før brugeren interagerer med banneret.
  2. Ingen afvisningsmulighed i det første lag. Brugerne skal klikke på "Indstillinger" eller "Administrer præferencer" for at afvise cookies, mens "Accepter alle" er umiddelbart tilgængelig.
  3. Forudafkrydsede kategorier. Samtykkekontakter, der som standard er slået "til" for analyse og marketing.
  4. Ingen mulighed for at trække samtykke tilbage. Når banneret er lukket, er der ingen måde, hvorpå brugeren kan ændre sit valg.
  5. Samtykke-mur / cookie-mur. Adgang til indhold blokeres, medmindre alle cookies accepteres.
  6. Vildledende design. At bruge grøn til "Accepter" og grå til "Afvis", gøre accepter-knappen større eller bruge forvirrende sprog som "Fortsæt uden at acceptere" over for "Accepter og fortsæt".

Passiro scanner dit websteds implementering af cookie-samtykke og tjekker for disse almindelige fejl, så du kan identificere og rette compliance-huller, før en tilsynsmyndighed gør det.

Næste: hvornår er samtykke præcist påkrævet? Svaret indebærer nogle vigtige nuancer, herunder undtagelsen for strengt nødvendige cookies og den løbende debat om førstepartsanalyse.

Overholder din website cookiereglerne?

Scan din website gratis og find alle cookies på få minutter.

Scan dine cookies gratis