ePrivacy-direktivet: EU's cookielov forklaret
Når folk taler om "EU's cookielov", henviser de som regel til ePrivacy-direktivet — nærmere bestemt artikel 5, stk. 3. Selvom GDPR får de fleste overskrifter, er det ePrivacy-direktivet, der direkte regulerer brugen af cookies og lignende sporingsteknologier. At forstå dette direktiv, dets forhold til GDPR og den kommende ePrivacy-forordning er afgørende for alle, der er ansvarlige for cookie-compliance på et europæisk websted.
Hvad er ePrivacy-direktivet?
ePrivacy-direktivet (officielt Direktiv 2002/58/EF) blev vedtaget den 12. juli 2002 som en del af EU's regelsæt for beskyttelse af privatlivets fred inden for telekommunikation. Oprindeligt fokuserede det på privatliv i elektronisk kommunikation — og dækkede emner som kommunikationshemmelighed, trafikdata, spam og opkaldsidentifikation.
I 2009 blev direktivet væsentligt ændret ved Direktiv 2009/136/EF (ofte kaldet "borgerrettighedsdirektivet"). Denne ændring indførte det samtykkekrav for cookies, som vi kender i dag, og erstattede det tidligere opt-out-regime med en opt-in-model. Før 2009 behøvede websteder blot at informere brugerne om cookies og give dem ret til at afvise. Efter 2009 blev forudgående samtykke obligatorisk for alle ikke-nødvendige cookies.
I modsætning til GDPR, som er en forordning (direkte gældende i alle medlemsstater), er ePrivacy-direktivet et direktiv (som hver medlemsstat skal gennemføre i national lovgivning). Det betyder, at de konkrete cookieregler varierer fra land til land, selvom de underliggende krav er de samme.
Artikel 5, stk. 3: Reglen om cookiesamtykke
Artikel 5, stk. 3, i ePrivacy-direktivet er den bestemmelse, der direkte regulerer cookies. I sin ændrede form fastslår den:
"Medlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at den pågældende abonnent eller bruger har givet sit samtykke hertil efter i overensstemmelse med [databeskyttelsesdirektivet, nu GDPR] at have modtaget klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen."
Denne bestemmelse fastlægger flere centrale krav:
- Anvendelsesområde: Den omfatter enhver lagring af oplysninger på en brugers enhed eller adgang til oplysninger lagret på en brugers enhed. Dette omfatter cookies, men også local storage, IndexedDB, device fingerprinting, sporingspixels og enhver anden teknologi, der læser fra eller skriver til brugerens enhed.
- Forudgående samtykke: Samtykke skal indhentes, før oplysningerne lagres eller tilgås — ikke bagefter.
- Informeret samtykke: Brugeren skal have klare og fyldestgørende oplysninger om formålet med lagringen eller adgangen.
- Samtykkestandard: Henvisningen til GDPR (oprindeligt databeskyttelsesdirektivet) betyder, at GDPR's definition og betingelser for samtykke gælder. Samtykke skal være frivilligt, specifikt, informeret og utvetydigt.
Undtagelsen for "strengt nødvendige" cookies
Artikel 5, stk. 3, indeholder en vigtig undtagelse i sit andet punktum:
"Dette er ikke til hinder for teknisk lagring eller adgang, hvis det alene har til formål at overføre kommunikation via et elektronisk kommunikationsnet, eller er absolut påkrævet for at sætte udbyderen af en informationssamfundstjeneste, som abonnenten eller brugeren udtrykkeligt har anmodet om, i stand til at levere denne tjeneste."
Denne undtagelse dækker to kategorier af cookies, der ikke kræver samtykke:
- Cookies, der er nødvendige for at overføre en kommunikation (f.eks. load-balancing-cookies).
- Cookies, der er strengt nødvendige for at levere en tjeneste, som brugeren udtrykkeligt har anmodet om (f.eks. cookies til indkøbskurv, cookies til godkendelsessession, cookies til brugerpræferencer for en tjeneste, som brugeren aktivt anvender).
Forgængeren til Det Europæiske Databeskyttelsesråd, Artikel 29-gruppen, gav detaljeret vejledning om, hvilke cookies der kvalificerer som strengt nødvendige, i udtalelse 04/2012. Eksempler omfatter:
- Undtaget (intet samtykke krævet): Sessionscookies til brugerinput (flertrinsformularer), godkendelsescookies, cookies til indkøbskurv, sikkerhedscookies (CSRF-tokens), sessionscookies til multimedieafspillere, load-balancing-cookies, cookies til UI-tilpasning (sprogpræference) for den aktuelle session.
- Ikke undtaget (samtykke krævet): Analysecookies (herunder Google Analytics), reklamecookies, cookies til deling/sporing på sociale medier, vedvarende præferencecookies, der varer ud over sessionen, samt alle tredjeparts-sporingscookies.
Den afgørende sondring er mellem cookies, der tjener brugerens udtrykkelige anmodning, og cookies, der tjener webstedsoperatørens interesser. En sprogpræferencecookie, der sættes, fordi brugeren har klikket på en sprogvælger, er strengt nødvendig. En analysecookie, der sættes for at hjælpe webstedsoperatøren med at forstå trafikken, er det ikke — selvom operatøren anser den for vigtig.
Sådan spiller ePrivacy og GDPR sammen
Forholdet mellem ePrivacy-direktivet og GDPR er et forhold mellem lex specialis (specifik lov) og lex generalis (generel lov). ePrivacy-direktivet er den specifikke lov, der regulerer privatliv i elektronisk kommunikation, mens GDPR er det generelle databeskyttelsesregelsæt.
I praksis betyder det:
- ePrivacy-direktivet regulerer, om du må placere en cookie på en brugers enhed. Det kræver samtykke til ikke-nødvendige cookies, uanset om cookien indeholder personoplysninger eller ej.
- GDPR regulerer, hvad der udgør gyldigt samtykke, og hvordan du må behandle de personoplysninger, der indsamles via cookies. Det udgør også håndhævelsesrammen, herunder retten til at indgive klager til databeskyttelsesmyndigheder og det omfattende bødesystem.
Det betyder, at selv en cookie, der ikke indeholder personoplysninger (for eksempel en tilfældigt genereret analyseidentifikator uden forbindelse til andre data), stadig kræver samtykke i henhold til ePrivacy-direktivet, fordi artikel 5, stk. 3, gælder for enhver lagring på brugerens enhed — ikke kun lagring af personoplysninger.
Omvendt, hvis du behandler personoplysninger via cookies, skal du overholde hele GDPR-regelsættet: retligt grundlag, gennemsigtighed, de registreredes rettigheder, konsekvensanalyser vedrørende databeskyttelse og alle øvrige forpligtelser.
Nationale implementeringer
Fordi ePrivacy-direktivet er et direktiv og ikke en forordning, har hver EU-medlemsstat gennemført det i national lovgivning med visse variationer. Selvom kernekravet — samtykke før ikke-nødvendige cookies — er ensartet på tværs af alle medlemsstater, er der bemærkelsesværdige forskelle med hensyn til:
- Håndhævelsesintensitet: Frankrig (CNIL) og Italien (Garante) har været de mest aktive inden for cookiehåndhævelse, mens andre lande har rettet deres ressourcer andetsteds.
- Specifikke undtagelser: Nogle lande har vedtaget lidt bredere eller snævrere fortolkninger af undtagelsen for "strengt nødvendige" cookies.
- Analysecookies: Nogle databeskyttelsesmyndigheder har undersøgt, om korrekt konfigurerede, privatlivsbevarende analyseværktøjer (f.eks. anonymiseret analyse uden sporing på tværs af websteder) kunne kvalificere til et grundlag om legitim interesse. Den franske CNIL's undtagelse for værktøjer til publikumsmåling under bestemte betingelser er det mest bemærkelsesværdige eksempel, selvom det fortsat er omstridt.
- Cookiemure: Lovligheden af cookiemure (der kræver samtykke for at få adgang til et websted) varierer fra jurisdiktion til jurisdiktion. Den nederlandske databeskyttelsesmyndighed og EDPB har indtaget en streng holdning imod dem, mens det franske Conseil d'État fandt dem tilladte under visse betingelser.
Den foreslåede ePrivacy-forordning
Europa-Kommissionen offentliggjorde et forslag til en ePrivacy-forordning i januar 2017, med det formål at erstatte ePrivacy-direktivet og bringe cookiereglerne på linje med GDPR. Mere end ni år senere er forordningen fortsat under forhandling, hvilket gør den til en af de længstvarende lovgivningsprocesser i EU's historie.
Væsentlige ændringer i den foreslåede forordning
Selvom den endelige tekst endnu ikke er aftalt, har forslaget og efterfølgende holdninger fra Rådet peget på flere væsentlige ændringer:
- Direkte anvendelighed: Som en forordning i stedet for et direktiv ville ePrivacy-forordningen gælde ensartet på tværs af alle medlemsstater og dermed eliminere den nuværende fragmentering.
- Browserbaseret samtykke: Tidlige forslag indeholdt bestemmelser, der gav brugerne mulighed for at angive deres cookiepræferencer på browserniveau i stedet for at reagere på individuelle cookiebannere på hvert enkelt websted. Dette ville forenkle brugeroplevelsen drastisk, selvom de tekniske og politiske udfordringer er betydelige.
- Udvidet anvendelsesområde: Forordningen ville udvides til at omfatte over-the-top (OTT)-kommunikationstjenester som WhatsApp og Skype, der ikke er omfattet af det nuværende direktiv.
- Tydeligere undtagelser: Forordningen har til formål at præcisere, hvilke typer cookies der er undtaget fra samtykke, og potentielt udvide undtagelsen til at omfatte visse typer publikumsmåling.
- Regler om metadata: Nye bestemmelser om behandling af kommunikationsmetadata (lokationsdata, forbindelsestidspunkter) ud over, hvad det nuværende direktiv dækker.
- Harmoniseret håndhævelse: Forordningen ville etablere en ensartet håndhævelsesmekanisme, sandsynligvis efter model af GDPR's one-stop-shop-princip.
Aktuel status og tidslinje
Fra begyndelsen af 2026 er ePrivacy-forordningen fortsat i trilogforhandlinger mellem Europa-Parlamentet, Rådet for Den Europæiske Union og Europa-Kommissionen. Fremskridtene har været langsomme på grund af grundlæggende uenigheder om flere punkter, herunder den browserbaserede samtykkemekanisme, omfanget af undtagelsen for "strengt nødvendige" cookies og reglerne for behandling af metadata.
Det mest realistiske scenarie er, at forordningen tidligst vil være færdigforhandlet før 2027, med en yderligere overgangsperiode på 12-24 måneder, før den træder i kraft. Webstedsoperatører bør fortsat overholde det nuværende ePrivacy-direktiv, som det er gennemført i deres nationale lovgivning, suppleret af GDPR's samtykkeregelsæt.
Praktiske konsekvenser for webstedsejere
Uanset den regulatoriske usikkerhed omkring den kommende ePrivacy-forordning er de nuværende regler klare og håndhæves aktivt. Webstedsejere bør:
- Behandle det nuværende regime som udgangspunktet. Kravet om samtykke til ikke-nødvendige cookies er fastlagt lovgivning i hele EU. Vent ikke på ePrivacy-forordningen med at implementere compliance.
- Blokere ikke-nødvendige cookies før samtykke. Dette er det teknisk mest udfordrende aspekt af compliance, men det er ikke til forhandling. Din cookiesamtykkemekanisme skal forhindre scripts i at sætte cookies, indtil brugeren aktivt har givet samtykke.
- Anvende GDPR's samtykkestandard. Når ePrivacy-direktivet siger "samtykke", menes GDPR-samtykke: frivilligt, specifikt, informeret, utvetydigt og påvist ved en klar bekræftende handling.
- Dokumentere jeres strengt nødvendige cookies. Før en klar fortegnelse over, hvilke cookies I anser for strengt nødvendige, og hvorfor. Vær forberedt på at kunne begrunde denne klassificering, hvis en databeskyttelsesmyndighed anfægter den.
- Følge nationale udviklinger. Fordi ePrivacy-direktivet implementeres forskelligt i hvert land, bør I holde jer orienteret om vejledning og håndhævelsesaktivitet fra databeskyttelsesmyndighederne i de lande, hvor jeres brugere befinder sig.
- Forberede jer på ePrivacy-forordningen. Selvom tidslinjen er usikker, er retningen klar: mere harmoniserede regler, potentielt bredere samtykkemekanismer og fortsat fokus på brugernes privatliv. At opbygge et robust samtykkehåndteringssystem nu vil gøre overgangen lettere, når den kommer.
ePrivacy-direktivet er måske over to årtier gammelt, men det er fortsat hjørnestenen i cookielovgivningen i Europa. Kombineret med GDPR's samtykkeregelsæt og de nationale databeskyttelsesmyndigheders aktive håndhævelsesprogrammer skaber det et regulatorisk miljø, hvor cookie-compliance ikke er valgfri — det er en juridisk forpligtelse med reelle økonomiske konsekvenser ved manglende overholdelse.
Overholder din website cookiereglerne?
Scan din website gratis og find alle cookies på få minutter.
Scan dine cookies gratis