Logo Logo
Cookiebot

Persondataforordningen (GDPR) og ePrivacy Direktivet (ePR) påvirker hvordan din hjemmeside må bruge cookies til at spore dine besøgende fra EU.

Prøv vores gratis test for at tjekke om din hjemmesides brug af cookies og online tracking overholder GDPR/ePR.

Datatilsynets nye vejledninger skærper krav til danske hjemmesider.

9. marts 2020.


Datatilsynets nye vejledninger til hjemmesiders behandling af persondata skærper kravene til cookieløsninger og samtykkebannere på danske domæner.

Samtidig har Datatilsynet udtalt alvorlig kritik af DMI’s håndtering af persondata på deres hjemmeside i forbindelse med bannerannoncer gennem Google.

I denne artikel ser vi på hvad Datatilsynets nye vejledninger betyder for din hjemmesides behandling af persondata, brug af cookies og valg af samtykkeløsning.


Datatilsynets vejledning – hvad er nyt?


Datatilsynet udsendte i februar nye retningslinjer for behandling af personoplysninger om hjemmesidebesøgende. De nye vejledninger stiller skarpere krav til hjemmesider og gør det tydeligt, hvordan cookieløsninger og samtykkebannere skal se ud og kunne fungere i Danmark.

Kort opsummeret, så skal hjemmesider ifølge de nye retningslinjer sikre –



Cookiebots samtykkebanner lever op til Datatilsynets skærpede krav og retningslinjer.

Cookiebot samtykkebanner, der lever op til Datatilsynets retningslinjer.



Cookiebot gør din hjemmeside i stand til at overholde Datatilsynets nye vejledning og Databeskyttelsesforordningen (GDPR).

Cookiebots teknologi scanner din hjemmeside og finder alle cookies og trackere, autoblokerer dem og giver dig og dine slutbrugere fuld kontrol over indsamlingen af persondata gennem granuleret samtykke.

Cookiebot sikrer at du –

Prøv Cookiebot gratis i dag.


Datatilsynet og Databeskyttelsesforordningen


Datatilsynet er Danmarks nationale myndighed på databeskyttelsesområdet, der på linje med andre nationale datatilsyn i Europa har til opgave at vejlede i - og håndhæve Databeskyttelsesforordningen (GDPR), samt Danmarks egen Databeskyttelseslov.

Databeskyttelsesforordningen (GDPR) trådte i kraft i maj 2018, er bindende lov i alle europæiske lande og kræver, at hjemmesider indhenter informeret, aktivt, frivilligt samtykke fra brugere før de må behandle persondata.

Databeskyttelsesforordningen definerer persondata som enhver form for information om en identificeret eller identificerbar fysisk person, dvs. navn, personnummer, lokaliseringsdata, fysiske som psykiske, økonomiske, kulturelle og sociale oplysninger.

Dette gælder også såkaldte onlineidentifikatorer såsom IP-adresser og cookies, samt teknikker som ”device fingerprinting”, der er i stand til at samle information om brugeres computere, mobiltelefoner og tablets for at kunne identificere brugere på tværs af platforme.



Datatilsynets cookie vejledninger stiller nye krav til hjemmesider

Din hjemmeside videregiver persondata til tredjeparter, hvis du fx bruger Google Analytics.



Hvis din hjemmeside indsamler, behandler eller videregiver persondata om dine brugere, er du forpligtet til at leve op til Databeskyttelsesforordningens krav og det er ifølge loven dig som hjemmesideejer, der er ansvarlig for at sikre at indsamling og behandling af persondata sker indenfor lovenes grænser.

Det er desuden Datatilsynets opfattelse at ”der ved registrering af oplysninger om hjemmesidebesøgende ofte vil være tale om behandling af personoplysninger”.

En god tommelfingerregel er derfor, at der ofte er tale om behandling af personoplysninger ved registrering af oplysninger om hjemmesidebesøgende.

Med andre ord, når din hjemmeside registrerer oplysninger om dine brugere, er der som regel tale om personoplysninger, som kræver brugeres forudgående samtykke.

Flere nationale datatilsyn har i det seneste år skærpet deres vejledninger til hvordan deres landes hjemmesider må indhente persondata, særligt hvordan deres samtykkeløsninger og cookiebannere må se ud.

Fælles for de strammere retningslinjer har været kritik af forudafkrydsede felter og bannere uden knapper til at afstå fra at give samtykke.

Datatilsynets nye retningslinjer er i direkte tråd med disse, og skærper kravene til hvordan danske hjemmesider indhenter samtykke til cookies.

Med den nye vejledning er det tydeligt hvordan et cookiebanner må se ud og ikke må se ud på danske hjemmesider, og disse følger i høj grad retningslinjerne fra bl.a. ICO i Storbritannien og CNIL i Frankrig.


Datatilsynets nye retningslinjer - i detaljer


Datatilsynets vejledning om behandling af personoplysninger om hjemmesidebesøgende gennemgår først de grundlæggende regler i Databeskyttelsesforordningen (GDPR), for at hjælpe virksomheder og organisationer med at sikre lovlig behandling af deres hjemmesidebrugeres personoplysninger.

De nye retningslinjer, beskrevet nedenfor, er fordelt under de vigtigste principper, som ligger til grund for lovlig persondatabehandling.


Frivilligt samtykke


Databeskyttelsesforordningen (GDPR) kræver som sagt at du giver din hjemmesides brugere kontrol over deres egen persondata og et valg om at give deres frivillige, specifikke, informerede og utvetydige accept af at deres oplysninger bliver indsamlet og behandlet.

Samtykke skal indhentes inden den dataansvarlige påbegynder behandling af de oplysninger, som samtykket angår.

Din hjemmeside må altså ikke begynde at indsamle eller videregive oplysninger til tredjeparter, før dine brugere har givet deres samtykke hertil.

Men en vigtig del af lovligheden af samtykke beror på frivilligheden af samtykket.

Det vil sige, at hvis det ikke er muligt for dine brugere at afstå fra at give samtykke, er der ikke tale om frivillighed og derfor ikke gyldigt grundlag for behandling af persondata.

Datatilsynet skærper i deres nye retningslinjer, at et samtykke ikke kan ses som frivilligt givet, hvis din hjemmeside ikke giver dine brugere et reelt valg.


Aktivt samtykke


En utvetydig viljestilkendegivelse er en aktiv handling, dvs. en erklæring eller klar bekræftelse fra din hjemmesides brugere om samtykke til at du behandler deres persondata.

Det kan fx være at skulle sætte et kryds i et felt på et cookiebanner.

Dette betyder også, at i forvejen afkrydsede felter på cookiebannere ikke er lovlige. Det er på linje med den europæiske domstols afgørelse i sagen om Planet49, samt lignende vejledninger fra de franske og britiske datatilsyn.

Passivitet, tavshed eller fortsat anvendelse af din hjemmeside er ikke gyldigt samtykke.



Datatilsynets nye cookie retningslinjer stiller hårdere krav til hjemmesider

Dine brugere skal sætte kryds i et felt, når de giver samtykke – ikke blot acceptere et allerede afkrydset felt.



Forudafkrydsede felter eller sliders der er sat på ”on” er ikke lovlige, da det ikke udgør utvetydig samtykke. Hvis dine brugere ikke interagerer med dit samtykkebanner, har de ikke afgivet samtykke.

Datatilsynet kommer også med konkret vejledning til udførslen af din hjemmesides cookiebanner. Din samtykkeløsning skal være lettilgængelig uanset hvilken enhed dine brugere benytter for at besøge din hjemmeside.

Det kan være nødvendigt, skriver Datatilsynet, at samtykkeanmodninger ”til en vis grad forstyrrer brugeroplevelsen”, hvis anmodningen skal være effektiv.

Opgaven for den dataansvarlige er således at vælge en løsning, der rammer den rigtige balance.




Cookiebot samtykkeløsning lever op til kravene fra Datatilsynet.

Cookiebots samtykkeløsning, der lever op til Datatilsynets nye retningslinjer og GDPR.



Det kan fx være tilfældet, hvis din hjemmesides cookiebanner eller lignende samtykkeløsning ikke giver brugeren mulighed for at afstå fra at give samtykke i lige så let og overskuelig grad som de kan give samtykke.

Bannere, der kun har ”OK”-knapper, eller hvor knappen for at afstå fra at give samtykke ligger gemt i andet eller tredje lag (fx under en ”Vis detaljer”-knap), er altså ikke gyldige samtykkeløsninger til din hjemmeside.


Princip om granularitet


Hvis din hjemmeside behandler persondata til flere formål, er det desuden et krav fra Datatilsynet at dine brugere skal være i stand til at kunne vælge og fravælge samtykke til disse.



Datatilsynet kræver granuleret samtykke.

Datatilsynet kræver granuleret samtykke, som anvist her.



Selv hvis din hjemmeside giver brugerne et valg mellem enten at ”sige ja eller nej”, er dette ikke et gyldigt grundlag for behandling af persondata, hvis din hjemmeside indsamler persondata til forskellige formål.


Informeret samtykke


Datatilsynets nye retningslinjer understreger også, at din hjemmeside skal præcisere de forskellige formål, persondata bliver behandlet til.

Det er ikke nok at du blot oplyser at du ”benytter persondata til personalisering af hjemmesiden”.

Dine brugere skal være klar over hvad de giver samtykke til, og til hvilke forskellige formål.

Brugeren skal som minimum oplyses om følgende, for at det opnåede samtykke er gyldigt:

Den dataansvarliges identitet kan, ifølge Datatilsynet, gives i en fold-ud menu (som er ”et-klik-væk”) i tæt tilknytning til beskrivelsen af formålet med behandlingen. Det er derimod ikke tilstrækkeligt blot at sige at ”der sker indsamling og behandling”.

Information på din hjemmeside skal være tilstrækkelig specifik, så brugeren er klar over, hvad der gives samtykke til, men informationen skal samtidigt gives på en måde, der ikke er uforståelig for brugeren eller ikke er unødigt forvirrende.

En god tommelfingerregel er, at information på fx cookiebanneret skal være klar og kortfattet, særskilt og separat.


Afstå fra samtykke


Din hjemmeside skal sikre at samtykke kan afslås lige så let som det kan gives.



Ifølge Datatilsynets retningslinjer skal dine brugere kunne sige ja så let som de kan sige nej.

Dine brugere skal kunne sige nej lige så let som de kan sige ja.



Det vil sige, at dit cookiebanner skal – udover at opfylde alle de andre kriterier som beskrevet ovenfor – tilbyde brugeren at kunne afslå alle ikke-nødvendige cookies i lige så let og tydelig grad som at kunne acceptere valgte og/eller acceptere alle cookies.


Trække samtykke tilbage


Datatilsynet gør klart at dine brugere skal kunne trække deres samtykke tilbage lige så let som vedkommende har givet det.

Du kan fx tydeligt placere et link i toppen eller bunden af din hjemmeside, hvor dine brugere kan tilgå muligheden for at trække deres samtykke tilbage.

Det skal være lige så let at afstå fra at give samtykke til behandling af persondata, som det er at give det, skriver Datatilsynet.

Det vil sige, at din samtykkeløsning ikke må have en meget stor knap for ”accepter alle cookies” og en lille, næsten skjult knap for ”kun nødvendige cookies”.

Informationen skal gives i et klart og enkelt sprog, på en så enkel måde som muligt, så der undgås komplekse sætnings- og sprogstrukturer.

Informationen bør være konkret og bør ikke være formuleret i abstrakte eller tvetydige vendinger, eller give mulighed for forskellige fortolkninger.

Sproget må heller ikke være unødigt teknisk eller juridisk.


Dokumentationskravet


Du skal kunne påvise, at dine brugere har givet deres samtykke til at din hjemmeside indsamler og behandler deres persondata.

Datatilsynet kræver derfor at du skal:

Du skal dokumentere –

Cookiebots samtykkeløsning gør dig i stand til at leve top til alle Datatilsynets skærpede krav, samt de allerede eksisterende krav fra den europæiske databeskyttelsesforordning (GDPR).

Cookiebot sikrer at du –

Prøv Cookiebot gratis i dag.


Datatilsynet og DMI


Datatilsynet udtalte i februar 2020 alvorlig kritik af Danmarks Meteorologiske Instituts (DMI) behandling af persondata på deres hjemmeside.

Det skete på baggrund af en klage over, at DMI tillod Google at behandle persondata og vise målrettede annoncer på DMI’s hjemmeside uden brugeres informerede og aktive samtykke.

Datatilsynet retter alvorlig kritik mod DMI for –

DMI har siden 2004 brugt Googles annonceplatforme (DoubleClick, AdSense m.fl.) som et led i sin finansiering, men har ikke indhentet og videregivet persondata (såsom IP-adresser) på en lovlig måde.

På DMI’s hjemmeside har det ikke været muligt for brugere at afstå fra at give samtykke til tredjepartscookies fra Google ved besøg på hjemmesiden uden først at klikke ”Vis detaljer”.

Det er ifølge Datatilsynet ikke lovligt at gemme muligheden for at afstå fra at give samtykke væk i andet eller tredje lag af en cookieløsning, ligesom det ikke er lovligt at ”nudge” eller skubbe brugere i retning af et ja tak til marketing-cookies.

Cookiebot implementeres i din hjemmesides kildekode, hvorefter vi scanner hele dit domæne og finder alle cookies og trackere.

Vores teknologi blokerer automatisk alle trackers og præsenterer dine brugere for et granuleret cookiebanner, der gør dem i stand til frit og specifikt at afgive forudgående samtykke.

Cookiebot gør al dette ved at simulere virkelige brugere, der besøger din hjemmeside og klikker og scroller alt, hvad der kan klikkes og scrolles.

På den måde sikrer vores teknologi at alle cookies og trackers, der ligger og venter på dine brugere, bliver aktiveret.

Vores scanner finder alt, også trojanske heste, der kan gemme sig helt nede i ottende lag af en cookie.

Prøv Cookiebot gratis i dag.


Kilder


Datatilsynet

Datatilsynets nye vejledning til behandling af personoplysninger på hjemmesider

Europas Databeskyttelsesforordning (GDPR)

Danmarks Databeskyttelseslov

Ny CCPA konfiguration 

Cookiebot leverer også CCPA compliance!

 

 

Gør din brug af cookies og online tracking compliant

Prøv gratis nu