INTERNATIONALE DATABESKYTTELSESLOVE

Datalovgivninger &
Frameworks

Lær om regler for databeskyttelse, der gælder for din virksomhed, og hvordan de kan påvirke din virksomheds drift i andre lande. Her er en gennemgang af de vigtigste internationale love om databeskyttelse.

Hvorfor privacy har betydning for cookies

Nye lovbestemmelser om databeskyttelse og frameworks for privacy dukker op over hele verden. Mange lande har nu etableret regler og retningslinjer for cookies og samtykke, samt hvordan du skal administrere de personlige oplysninger, som de fleste cookies indsamler på din website.

For at hjælpe dig med at navigere i dette nye landskab har vi indsamlet nogle praktiske oplysninger vedrørende nationale og internationale love om beskyttelse af personlige oplysninger og retningslinjer for cookies, samt hvordan din virksomhed kan overholde dem.

Find yderligere information om de enkelte landes specifikke regler og retningslinjer nedenfor.

GDPR - Databeskyttelsesforordningen

Databeskyttelsesloven (GDPR) er en lov om databeskyttelse og privatliv i EU. Den trådte i kraft 25. maj 2018 i alle europæiske medlemslande og er designet til at harmonisere love om databeskyttelse i hele Europa. GDPR har til formål at beskytte EU-borgeres personlige data, samt ændre organisationers tilgang til indsamling af personoplysninger.

GDPR arbejder specifikt på at sikre, at personlig data bliver indsamlet og behandlet i overensstemmelse med lovgivningen. Dette indebærer brugen af cookies og andre trackingteknologier.

Indsamling og behandling af EU-borgeres personlige oplysninger kræver, at du indhenter gyldigt samtykke.

Mange af de cookies – og trackingteknologier – som websites bruger i dag, indsamler deres besøgendes personlige information, som behandles af tredjeparter til markedsføringsformål.

Dette er typisk IP-adresser, geo-lokationer og andre online identifikatorer, som kan spore brugeradfærd på tværs af internettet.

Når du bruger cookies, der indsamler personlige oplysninger, skal du indhente gyldigt samtykke fra din bruger for at kunne bruge cookies. Dette gælder, selvom cookies sættes af tredjeparter som Google, Facebook, Amazon etc. gennem din website.

Læs mere i denne dybdegående artikel om, hvordan du – som virksomhed – indsamler gyldigt samtykke for brug af cookies.

ePrivacy-Direktivet

ePrivacy-Direktivet (Privacy and Electronic Communications Directive 2002/58/EC) er et europæisk dekret fra 2002. Formålet med ePrivacy-Direktivet er at standardisere regler for databeskyttelse og privatliv i elektronisk kommunikation i Den Europæiske Union (EU).

ePrivacy-Direktivet regulerer brugen af cookies, email marketingstilladelser, samt andre områder af databeskyttelse vedrørende EU-borgere.

ePrivacy-Direktivet, også kaldet den europæiske 'cookie-lov', siger, at alle websites skal informere brugere om cookies og bede om samtykke til at bruge cookies.

Det er hovedsageligt derfor, vi ser et stigende antal cookiebannere på internettet i dag.

Direktivet er ikke en bindende lov i sig selv – ligesom GDPR er – men det er en instruktion til medlemslandene om at forbedre deres egne nationale love på området. Mange EU-lande har gjort netop det, hvilket er hvorfor der findes nationale retningslinjer for cookies.

Indgået i 2002, revideret i 2009 vil ePrivacy-Direktivet med tiden blive erstattet af ePrivacy-Forordningen.

ePrivacy-Forordningen (Den kommende europæiske lov om cookies)

ePrivacy-Forordningen (Regulation on Privacy and Electronic Communications) skal erstatte ePrivacy-Direktivet, bedre kendt som den europæiske cookielovgivning.

Formålet med denne regulering er at standardisere elektroniske databeskyttelseslove i Europa, som vil gælde for alle europæiske medlemslande.

Formålet er at udvide online forbrugerbeskyttelse til bedre at afspejle den verden, vi lever i. Forgængeren, ePrivacy-Direktivet, blev vedtaget i 2002 i en tid, hvor tracking og personlig data var på sit spæde begynderstadium.

ePrivacy-Forordningen vil gælde for alle udbydere af kommunikationstjenester og virksomheder, der indsamler, opbevarer og behandler europæiske borgeres data – uanset om det er på websites eller apps – ved hjælp af cookies eller anden trackingteknologi (f.eks. fingerprinting, beacons, pixels).

ePrivacy-Forordningen skulle træde i kraft sammen med GDPR i 2018, men er blevet forsinket adskillige gange i Europaparlamentet.

CCPA - California Consumer Privacy Act

California Consumer Privacy Act (CCPA) er en databeskyttelseslov, der har til formål at forbedre privatlivsrettigheder og forbrugerbeskyttelse for indbyggere i Californien, USA.

Med virkning fra 1. januar 2020 regulerer CCPA, hvordan virksomheder må indsamle, dele og behandle personlige oplysninger om californiske indbyggere.

For virksomheder betyder CCPA, at de skal respektere forbrugernes privatlivsrettigheder som beskrevet i loven. Virksomheder skal evaluere dataindsamling og databehandling, samttræffe de nødvendige foranstaltninger for at opfylde de strenge krav i CCPA

Når du bruger cookies på din website, der indsamler (og i sidste ende behandler) personoplysninger om californiske borgere, skal du bruge en tilpasset cookiesamtykke pop-up, som indeholder et "sælg ikke"-link.

Linket gør det muligt for dine besøgende at fravælge annoncering og dataindsamling fra cookies via dit website.

Hvis du derimod ikke overholder reglerne i CCPA, kan det resultere i bøder på op til $7500 for hver overtrædelse og $750 for hver berørt bruger i civile skadeserstatninger.

Lær hvordan din virksomhed er påvirket af CCPA, og hvordan du kan overholde CCPA.

CPRA - California Privacy Rights Act

Californian Privacy Rights Act (CPRA) tilføjer flere nye regler til Californian Consumer Privacy Act (CCPA).

CCPA træder i kraft 1. januar 2023, men er i kraft fra 1. juli 2022. Virksomheder skal dog allerede overholde det et år før (fra 1. januar 2022). CPRA udvider CCPA ved at øge forbrugernes rettigheder og styrke privatlivets fred for forbrugere og ansatte.

Desuden etablerer CPRA et organ til at håndhæve beskyttelsen af californiske forbrugere mere effektivt. CPRA kræver, at virksomheder i Californien eller virksomheder, der indsamler og behandler personoplysninger fra californiske borgere, fuldt ud forstår, hvilke data de behandler og til hvilket formål.

LGPD - Brasiliens Databeskyttelseslov

Databeskyttelsesloven (Lei Geral de Proteção de Dados Pessoais or LGPD) er en brasiliansk databeskyttelseslov, som trådte i kraft 15. august 2020.

LGPD bringer klarhed over Brasiliens juridiske frameworks, da den forsøger at forene mere end 40 forskellige lovgivninger, der kontrollerer brugen af personlige data.

Inspireret af databeskyttelsesloven (GDPR) sætter LGPD regler for, hvordan virksomheder og organisationer må indsamle, håndtere, opbevare og dele personlige data om borgere i Brasilien.

Hvis du er en brasiliansk virksomhed – eller en virksomhed uden for Brasiliens grænser, der laver forretninger på det brasilianske marked – og du bruger cookies på dit website, gælder LGPD for dig.

Ligesom GDPR kræver LGPD, at websites indsamler gyldigt samtykke til cookies, hvis disse cookies indsamler deres besøgendes personlige oplysninger såsom IP-adresse, geo-lokation, bruger-id, cookie-ID osv.

Læs mere i denne dybdegående artikel om, hvordan du – som virksomhed – indsamler gyldigt samtykke for brugen af cookies i Brasilien.

PDPA – Thailand Personal Data Protection Act

The Thailand Personal Data Protection Act (PDPA) blev offentliggjort i The Royal Thai Government Gazette 27. maj 2019, og er den første databeskyttelseslov i Thailand.

Hovedformålet med PDPA er at regulere behandlingen af personlige data til kommerciel brug, og derved beskytte thailandske borgere mod ulovlig indsamling og brug af deres personlige data.

PDPA gælder for alle virksomheder eller organisationer i Thailand, samt for alle virksomheder, der driver forretning i Thailand.

Hvis dit website bruger cookies, kræver PDPA, at du indhenter samtykke, før du indsamler eller behandler personlige data, der er indsamlet med cookies eller anden trackingteknologi.

Thailands regering har udsat håndhævelsen af PDPA til 31. maj 2022 på grund af Covid-19.

Læs mere i denne dybdegående artikel om, hvordan du – som virksomhed – indsamler gyldigt samtykke for brug af cookies.

POPIA - South Africa’s Protection of Personal Information Act

POPIA er Sydafrikas Databeskyttelseslovgivning. POPIA definerer personlige oplysninger meget bredt for at sikre den sydafrikanske befolknings privacy-rettigheder. Loven er dog modelleret efter den europæiske databeskyttelsesforordning (GDPR).

POPIA gælder for alle organisationer og virksomheder, der ønsker at behandle personlig information om sydafrikanske borgere, uanset om virksomheden befinder sig i eller uden for Sydafrika.

Hvis du bruger cookies på din website, der indsamler og behandler de besøgendes personlige oplysninger (f.eks. ved hjælp af Google Analytics, Facebook, Instagram), skal du indhente gyldigt samtykke.

POPIA definerer samtykke som: “enhver frivillig, specifik og informeret tilkendegivelse af hensigt, i henhold til hvilken der gives tilladelse til behandling af personoplysninger”.

Gyldigt samtykke kan indhentes ved hjælp af en cookie samtykkepop-up, der informerer om dit websites cookies. Det indsamler og opbevarer også alle dine brugeres samtykker.

POPIA trådte i kraft 1. juli 2020, og håndhævelsen startede 1. juli 2021. Det kan føre til bøder på op til 10 millioner ZAR (€500.000) ved ikke at overholde POPIA.

PIPEDA - Canada’s Personal Information Protection and Electronic Documents Act

The Personal Information Protection and Electronic Documents Act (PIPEDA) er Canadas databeskyttelseslov for indsamling, brug og behandling af personlig information, når der udføres kommercielle aktiviteter.

Det vigtigste aspekt ved PIPEDA er at indhente samtykke til indsamling og behandling af personlige data.

Det betyder, at hvis du har et website og benytter dig af services, der sætter cookies gennem dit website (f.eks. Google Analytics, Facebook, Youtube eller enhver anden tredjepart), skal du indhente gyldigt samtykke for cookies, før de bliver gemt på dine besøgendes computer/telefon.

Indhent gyldigt samtykke ved hjælp af en cookiesamtykke pop-up, der informerer dine brugere om cookies på dit website, og som indsamler og opbevarer deres gyldige samtykker.

Personlig information må kun bruges til det formål med hvilket, det blev indhentet. Hvis en organisation vil bruge personlig information til et andet formål, skal den indhente samtykke igen.

PIPEDA gælder for enhver virksomhed eller organisation indenfor canadisk territorium, men også for enhver uden for Canada, som laver forretning med canadiske borgere.

IAB Transparency & Consent Framework TCF 2.0

The Interactive Advertising Bureau (IAB) lancerede deres opdaterede version af Transparency and Consent Framework (TCF 2.0) 15. august 2020.

Formålet med TFC 2.0 er at standardisere processer og regler for samtykke til cookies, der bliver brugt til at indsamle og behandle de besøgendes personlige data.

TFC 2.0 har til formål at øge gennemsigtigheden omkring, hvordan website-brugeres data bliver behandlet og af hvem, så virksomheder, udgivere og AdTech-leverandører kan fortsætte med at lave programmatisk annoncering i overensstemmelse med den generelle databeskyttelsesforordning (GDPR).

Hvis dit website bruger cookies, og du følger IAB-standarder, er der specifikke krav, som du skal implementere i dit samtykkepop-up, før det overholder reglerne.

Schrems II - data til usikre tredjelande

I juli 2020 afsagde EU-Domstolen dom i Schrems II-sagen og annullerede øjeblikkeligt EU-US Privacy Shield-aftalen, som mange virksomheder brugte at overføre personoplysninger mellem EU-USA.

Privacy Shield blev ugyldiggjort på grund af europæiske bekymringer om, at EU-borgeres data kunne blive underlagt overvågning af den amerikanske stat og efterretningstjenester.

Kendelsen er i daglig tale kendt som Schrems II efter den østrigske advokat og aktivist Max Schrems, der indledte de juridiske klager mod Facebook og deres metoder til indsamling af personlige oplysninger.

Schrems II-dommen kræver nu, at europæiske virksomheder skal foretage individuelle vurderinger af dataoverførsler til lande, der ikke anses for sikre.

4. juni 2021 erstattede Den Europæiske Kommission det gamle Privacy Shield med Standard Contractual Clauses (SCCs) som grundlag for at overføre personlig data mellem EU og usikre tredjepartslande (inkl. USA).

Schrems II dommen er relevant for dig som dataansvarlig, hvis du:

Overfør personoplysninger ud af EU/EØS til lande, der ikke er erklæret “sikre tredjepartslande” af Europa Kommissionen.

Dan dig et overblik over, hvilke data din organisation sender ud af EU/EØS.

Undersøg derefter grundlaget for den overførsel. Det kunne i dette tilfælde være Standard Contractual Clauses (SCC).

Hvis du har et website, der bruger cookies, som er brugt af services baseret i USA, eller som deler data med USA, skal du:

Finde ud af, hvilke cookies, der sender data ud af EU/EØS.
Når du finder dem, skal du kontakte udbyderen af de cookies og bede dem skifte til SCC.

Hvis SCCs ikke er en mulighed, kan du forsøge følgende:

Databehandleren stopper dataoverførslen og lader dataene forblive inden for EU/EØS.
Den dataansvarlige indsamler samtykke fra slutbrugeren for at kunne overføre dataene til USA
Den dataansvarlige stopper dataoverførslen ved at skifte til en anden leverandør.

PIPL – Personal Information Protection Law of the People’s Republic of China

The Personal Information Protection Law of the People’s Republic of China (PIPL) er den første nationale databeskyttelseslov i Kina.

PIPL trådte i kraft 1. november 2021 og vil have dramatisk indvirkning på, hvordan virksomheder og organisationer indsamler, håndterer og behandler kinesiske borgeres personlige data.

PIPL har brugt databeskyttelsesloven (GDPR) som skitse og har strenge begrænsninger for dataindsamling, behandling og overførsel. Loven fokuserer hovedsageligt på websites og apps´ brug af personlig data, som bruges til at målrette reklamer og marketing på nettet. PIPL er samtidig sat i søen for forhindre overførsel af personlige oplysninger til usikre lande.

Formålet med PIPL er at beskytte de kinesiske borgeres rettigheder og interesser, samt regulere behandlingen af personlige oplysninger.

For at indsamle og behandle kinesiske borgeres personlige oplysninger skal du indhente gyldigt samtykke.

Det betyder, at hvis du bruger cookies på dit website, skal du indhente gyldigt samtykke.

Du skal informere dine besøgende om de cookies, du bruger, og de skal give samtykke til brugen af cookies. Det gælder selv om disse cookies er sat af en tredjepartsudbyder, som fx Teobao, Tmall eller enhver anden service i eller uden for Kina.

Samtykke under PIPL er defineret meget lige de regler, der er stillet for samtykke i GDPR. Samtykket skal gives på baggrund af et informeret, frivilligt valg, være specifikt og entydigt.

Google Consent Mode

Google Consent Mode er et API af Google, der blev annonceret i september 2020 som en måde, hvorpå Google kan opretholde sin robuste digitale reklamevirksomhed, samtidig med at det tager hensyn til det voksende behov for forbrugernes privatliv.

Dette API lader websites indhente data til deres Google-tjenester, såsom Google Analytics og Google Ads, samtidig med at GDPR bliver overholdt.

Google Consent Mode er integreret i et websites´ Consent Management Platform. Det leverer bestemt data på baggrund af, om dine besøgende giver samtykke til cookies eller ej.

Dette giver dig mulighed for at måle trafik på websitet og konverteringer mere effektivt, mens du respekterer dine besøgendes valg af samtykke til analyse- og marketingcookies.

Sådan får du Google Consent Mode til din virksomheds website.

Reglerne for hvordan man indsamler gyldigt samtykke til cookies og andre trackingteknologier bliver mere og mere ensartede over hele verden.

Flere og flere lande opdaterer og implementerer databeskyttelseslove for at give virksomheder klare retningslinjer for, hvordan de må indsamle og bruge folks personlige data.

Reglerne for gyldigt samtykke og andre aspekter af databeskyttelseslove kan være komplekse, og der er mange forskellige fortolkninger af, hvordan man overholder dem.

Denne del vil hjælpe dig med at forstå de regler, som gælder for at indsamle samtykke til cookies, websiteanalyse og andre trackingteknologier i dit specifikke land.

Regler om cookies og samtykke i Danmark - en hurtig guide

I Danmark findes reglerne om cookies i den danske cookie-lov (“Cookiebekendtgørelsen”) administreret af Erhvervsstyrelsen.

Imidlertid er behandling af personlig data, som de fleste cookies og trackingteknologier indsamler, administreret af Datatilsynet, og reglerne for samtykke følger her reglerne for i databeskyttelsesforordningen (GDPR).

Hvis du bruger cookies eller andre teknologier til at indsamle og behandle dine besøgendes personlige data, skal du indhente gyldigt samtykke, før du placerer cookies på din besøgendes computer.

Reglerne for at indhente gyldigt samtykke i Danmark er ret strenge og er for nyligt blevet opdateret af Datatilsynet.

I dette indlæg går vi i dybden med reglerne for indsamling af gyldigt samtykke til cookies i Danmark.

Regler om cookies og samtykke i Norge - en hurtig guide

I Norge kan reglerne om cookies findes i den norske Lov om Elektronisk Kommunikasjon (EKOM).

I 2013 blev der tilføjet en ny afgørelse til EKOM-loven om brug af oplysninger gemt i cookies, den såkaldte ”cookie-paragraf” §2-7b.

Den angiver, at du skal informere brugerne om cookies
og indhente samtykke til at bruge cookies.

I november 2019 udtalte den norske nationale kommunikationsmyndighed (Nasjonale Kommunikasjonsmyndighet – NKOM), som administrerer loven, eksplicit, at samtykke er nødvendigt, før der kan sættes cookies på et website.

Hvis cookies indsamler og behandler personlig data, skal reglerne for samtykke være lig med de regler, der er opstillet i databeskyttelsesloven (GDPR), tilføjer det norske Datatilsyn.

Her går vi i dybden med reglerne for at indhente gyldigt samtykke til cookies i Norge.

Regler om cookies og samtykke i Sverige - en hurtig guide

Ifølge svensk lov om elektronisk kommunikation 2003: 389 (Lag om Elektronisk Kommunikation – LEK) skal alle websites, der bruger cookies, give besøgende fuld adgang til information om de cookies, der anvendes, hvem der ejer dem, samt hvilken data, de indhenter.

Derudover er et website forpligtet til at indhente den besøgendes samtykke til at placere cookies.

Hvis din website bruger cookies, der indsamler personlige data såsom IP-adresser, enheds-id, geo-lokation eller andre oplysninger, der kan bruges direkte eller indirekte til at identificere brugeren, skal du indhente samtykke i overensstemmelse med reglerne i GDPR .

I dette indlæg går vi i dybden med reglerne for at indhente gyldigt samtykke i Sverige.

Regler om cookies og samtykke i Finland - en hurtig guide

Hvis dit website bruger cookies, skal du indhente gyldigt samtykke. 4. maj 2021 udgav det finske Transport- og Kommunikationsagentur Traficom ændringer til de finske retningslinjer for cookies.

Den længe ventede opdatering ender den finske cookiesaga, da retningslinjerne nu stemmer overens med regler for samtykke i databeskyttelsesloven (GDPR)

Hvis din website bruger cookies, skal du indhente et gyldigt samtykke i henhold til de opdaterede retningslinjer for finske cookies. Samtykke skal gives via en cookiesamtykke pop-up og overholde reglerne for samtykke i GDPR.

Samtykke til cookies kan ikke længere gives gennem browserindstillinger, men skal opfylde kravene i GDPR.

Samtykke til cookies skal gives frivilligt, specifikt, informeret og entydigt. Den nye beslutning forventes at påvirke tusinder af virksomheders websites og ændre praksis for, hvordan cookie consent indhentes.

I denne del går vi i dybden med retningslinjerne for at indhente gyldigt samtykke i Finland

Regler for cookies og samtykke i Frankrig - en hurtig guide

De franske retningslinjer for cookies administreres af Commission Nationale de l’Informatique et des Libertés (CNIL), og stemmer meget overens med reglerne for samtykke i databeskyttelsesloven (GDPR)

Med de nyeste franske retningslinjer for cookies bestemmer CNIL, at det ikke er tilladt for websites at placere cookies til at spore besøgende, før den besøgende har givet sit entydige samtykke.

Brug af cookies på en website kræver, at websitet informerer brugerne om cookies og indhenter deres samtykke til at bruge dem.

CNIL reviderede retningslinjerne for cookies 1. oktober 2020 og huggede reglerne for samtykke i sten. Fire hurtige ting fra CNIL retningslinjerne er:

Scrolling eller swiping anses ikke længere som samtykke.
Brugere skal aktivt give samtykke ved at klikke “jeg accepterer”.
Brugere skal kunne afvise cookies (klikke “nej”).
Alle samtykker skal gemmes til dokumentation.

CNIL har udstedt nogle af de største GDPR-bøder til big-tech virksomheder for ulovlig brug af cookies og behandling af brugeres personlige data.

I denne del går vi i dybden med retningslinjerne for at indhente gyldigt samtykke til cookies i Frankrig.

Regler om cookies og samtykke i Italien - en hurtig guide

De italienske retningslinjer for cookies administreres af det italienske Datatilsyn “Il Garante”. 10. juli 2021 udgav Il Garante et nyt sæt retningslinjer for brugen af cookies på websites.

Den vigtigste ændring Il Garante introducerede, er nødvendigheden af at indhente aktivt samtykke fra besøgende på websitet for at kunne bruge cookies, der indsamler og behandler personlige data, dvs. trackingcookies.

I særdeleshed skal websites indhente brugerens samtykke, før de sætter cookies (undtagen teknisk nødvendige cookies).

Det italienske datatilsyn fremhæver en række krav til indhentning af gyldigt samtykke til cookies, som stemmer overens med nyligt publicerede retningslinjer fra Frankrigs CNIL, Spaniens AEPD og det danske Datatilsynet.

Formålet med disse reviderede retningslinjer er at sikre, at ejere af italienske websites og virksomheder får klar information om, hvordan de overholder GDPR og ePrivacy-Direktivet (“den europæiske cookielov”), når de bruger cookies og andre trackingteknologier

I dette indlæg går vi i dybden med retningslinjerne for at indhente gyldigt samtykke til cookies i Italien.