Cookies og persondata: Ny vejledning skal skabe klarhed i krydsfeltet mellem samtykke og databeskyttelse

I takt med at brugen af digitale tjenester stiger, bliver spørgsmålet om korrekt brug af cookies og lignende teknologier stadig mere komplekst – og for mange organisationer forbundet med betydelig juridisk usikkerhed. Nu har Datatilsynet og Digitaliseringsstyrelsen i fællesskab udgivet vejledningen "Brug af cookies og lignende teknologier", der søger at skabe overblik over de centrale krav i henholdsvis cookiebekendtgørelsen og databeskyttelsesforordningen (GDPR).

Den nye vejledning – som henvender sig til udbydere og ejere af websites og apps – rummer både juridisk gennemgang, praktiske eksempler og en række anbefalinger. Målet er at fremme en ensartet og lovmedholdelig praksis for, hvordan samtykke til cookies indhentes og hvordan oplysninger behandles efterfølgende.

To regelsæt, én problemstilling: Hvornår og hvordan kræves samtykke?

Særligt to regelsæt er centrale i vejledningen:

• Cookiebekendtgørelsen, som stiller krav om forudgående samtykke til lagring eller adgang til oplysninger på en brugers enhed.

• Databeskyttelsesforordningen (GDPR), som regulerer den videre behandling af personoplysninger, også selvom den enkelte bruger ikke kan identificeres ved navn.

Den praktiske udfordring for mange organisationer opstår, fordi disse to regelsæt anvendes parallelt. Det betyder, at det ikke er nok kun at forholde sig til cookies som teknologiske enheder – man skal også tage stilling til, hvordan de indsamlede oplysninger anvendes, og om de kan udgøre personoplysninger.

Eksempelvis kræves der samtykke, hvis en cookie anvendes til at danne besøgsstatistik eller til målrettet annoncering. Det gælder også selvom oplysningerne ikke indeholder navn eller e-mailadresse, men f.eks. et unikt reklame-ID eller en IP-adresse – fordi disse oplysninger i mange tilfælde kan kobles til en person.

Gode råd fra myndighederne – juridiske og praktiske pejlemærker

Sammen med vejledningen har myndighederne udarbejdet et detaljeret rådskatalog. Her gives otte centrale anbefalinger, som skal hjælpe organisationer med at overholde både cookieregler og databeskyttelseslovgivningen. Nedenfor gennemgår vi rådene i forkortet form, men med uddybende juridisk kontekst:

1. Kortlæg teknologierne Undersøg, hvilke teknologier (cookies, pixels, fingerprinting m.m.) der bruges. Reglerne gælder bredt og er ikke begrænset til klassiske cookies.

   → Se vejledningens afsnit 1.

2. Kend begge regelsæt Cookiebekendtgørelsen regulerer adgangen til brugerens udstyr, mens GDPR gælder for den videre behandling af data. Ofte skal begge overholdes.

   → Se afsnit 2.

3. Indsaml kun det nødvendige Indsaml kun de oplysninger, du reelt har brug for. Brug værktøjer, der kan begrænse mængden af data. → Vejledningen understreger dataminimering som et krav.

4. Sørg for gyldigt samtykke

   Samtykke skal være frivilligt, informeret og aktivt (ingen forudafkrydsning). Det skal være let at trække tilbage.

   → Se afsnit 3.2 for krav og eksempler.

5. Du har ansvaret

   Selv hvis du bruger en leverandør, er det dig, der har det juridiske ansvar for, at samtykkeløsningen er lovlig.

   → Eksempler i afsnit 3.5.

6. Undgå skjult tredjepartsindsamlingSørg for, at tredjepartsleverandører ikke indsamler oplysninger uden dit kendskab. Gennemgå servicevilkår nøje. → Myndighederne anbefaler grundig kontrol af værktøjer.

7. Dokumentér alt Du skal kunne dokumentere, at samtykke er givet – f.eks. med systemlog eller rapporter fra samtykkeværktøjet.

   → Se vejledningens afsnit 4.

8. Spørg, hvis du er i tvivl

   Reglerne er tekniske og komplekse. Myndighederne står til rådighed for spørgsmål.

   → Kontaktinformation findes på Datatilsynets hjemmeside.

Et vigtigt skridt mod bedre regelefterlevelse

Med den nye vejledning har Datatilsynet og Digitaliseringsstyrelsen taget et vigtigt skridt i retning af at afklare, hvordan de to regelsæt – cookiebekendtgørelsen og GDPR – konkret skal anvendes i praksis. Vejledningen viser også, hvor højt myndighederne vægter gennemsigtighed, brugerkontrol og ansvarlig databehandling.

Organisationer, der opererer digitalt, bør derfor ikke se denne vejledning som blot endnu et krav – men som et værdifuldt redskab til at opnå compliance, tillid og bæredygtig datapraksis.

Find den nye vejledning fra Datatilsynet på deres hjemmeside her.