ePrivacy & GDPR - Hvad er reglerne for cookies?

ePrivacy & GDPR - Hvad er reglerne for cookies?

ePD, GDPR, ePR… Har du også svært ved at få overblik over, hvad EU-lovgivningen egentligt siger om brugen af cookies? Her giver vi dig et kort overblik over, hvad du behøver vide om EU-regler for at overholde cookieloven og GDPR.


Alle hjemmesider bruger cookies! Nogle cookies bruges til at huske dine besøgendes sprogindstillinger, nogle til at holde dem logget ind på hjemmesiden, mens andre bruges til statistik og marketing (Google Analytics, Facebook Pixel etc.).

Når din hjemmeside bruger cookies, der gemmes på dine besøgendes "enheder" (computer, smartphone, tablet), er der visse nationale og europæiske regler, du bør kende.

Link: Hvad er en cookie?

Hvilke regler gælder for cookies i EU (og Danmark) lige nu?

Der er pt. to EU-love, der gælder for brugen af cookies (databehandling og samtykke). Det er ePrivacy-direktivet (ePD - også kendt på dansk som Cookieloven) og Databeskyttelsesforordningen (GDPR).

Men hvad siger de egentligt om brugen af cookies, og hvad er forskellen på lovgivningerne?

  • ePrivacy-direktivet (cookieloven)
    • Den gældende version af ePrivacy-direktivet (ePD) trådte i kraft i 2011 i EU/EØS-landende. Den er implementeret i dansk lov som Cookiebekendtgørelsen (cookieloven). I cookieloven fremgår det klart, at hjemmesider er forpligtede til at indsamle et informeret samtykke fra deres besøgende, inden hjemmesiden gemmer cookies på brugernes enheder.
  • Databeskyttelsesforordningen (GDPR)
    • Den anden gældende lov på området er Databeskyttelsesforordningen (GDPR). GDPR blev vedtaget i april 2016, og trådte i kraft den 25. maj 2018 i alle EU-lande. GDPR omhandler alle spørgsmål vedrørende behandling af personoplysninger. GDPR præciserer, at nogle cookies som standard behandler personoplysninger, og dermed vil de være underlagt kravene om databehandling og samtykke i GDPR.

GDPR og ePrivacy. Hvad betyder de egentligt?

Link: Cookiebekendtgørelsen (BEK 1148 af 09/12/2011)

Link:  ePrivacy-direktiv 2002/58/EF (pdf)

Link: GDPR (2016/679)

En ny ePrivacy-forordning (ePR) bliver lige nu forhandlet i EU. Den forventes at træde i kraft i 2020-21 i alle EU-lande. ePrivacy-forordningen kommer til at erstatte ePrivacy-direktivet fra 2011. Her er tale om en forordning, der ikke skal omsættes til national lov.

ePrivacy-direktivet: Hvad står der egentligt om cookies?

EU-direktiv 2002/58/EF (ePrivacy) vedrører brugen af cookies. Mere generelt handler direktivet om behandling af personoplysninger og beskyttelse af privatlivets fred inden for elektronisk kommunikation.

Direktivet indeholder bestemmelser, der skal sikre brugernes tillid til de tjenester og teknologier, de bruger til at kommunikere på tværs af elektroniske medier.

Samtidig fremgår det*:

  • at enhver lagring eller læsning af oplysninger fra en slutbrugers enhed er underlagt samtykke
  • at brugeren skal have klar og utvetydig information om formålet med, at hjemmesiden sætter cookies 

*(Revideret version af ePrivacy-direktivet fra 2009 (2009/136/EC)). 

Link: ePrivacy-direktiv 2009/136/EF (pdf)

Kravene til samtykke gælder både for førstepartscookies og tredjepartscookies.

Det betyder at:

  • du skal informere dine besøgende om cookies
  • dine besøgende skal give samtykke til alle typer af cookies* 
  • du skal informere om mulighederne for at tilbagekalde samtykke

*gælder ikke strengt nødvendige cookies (cookies hvis formål alene er at gennemføre online kommunikation).

Cookies fritaget for samtykke

Cookies der er fritaget for samtykke i henhold til EU’s rådgivende organ om databeskyttelse-WP2910 omfatter:

  • User input cookies (session-id) er oftest førstepartscookies, der holder styr på det input, dine brugere udfylder i onlineformularer eller de varer de lægger i indkøbsvognen mv.
  • Authentication cookies bruges til at identificere dine brugere, når de logger ind på din hjemmeside.
  • User centric security cookies bruges til at registrere misbrug af godkendelser.
  • Multimedia content cookies bruges til at gemme tekniske data til at afspille video eller lydindhold.
  • Load balancing cookies bruges til at fordele load-tid for at få hjemmesiden til at virke efter hensigten.
  • User interface customization cookies gemmer fx sprog- og skrifttypepræferencer (hvad enten det er første- eller tredjepartscookies)

Kort sagt: Sætter din hjemmeside cookies, som ikke er strengt nødvendige, men tjener andre formål (funktionelle -, statistik- eller marketingcookies), er du ifølge ePrivacy-direktivet forpligtet til at indhente brugerens samtykke, inden du sætter cookies.

Databeskyttelsesforordningen: Hvordan påvirker GPDR brugen af cookies?

GDPR vedrører databehandling og behandling af oplysninger. 

Mange cookies indsamler personoplysninger, derfor er behandlingen af den data cookies indsamler, underlagt GDPR.

For at behandle data skal du have "behandlingshjemmel", dvs. en grund til at behandle data. Det kan være en legitim interesse, men oftest baseres databehandling på samtykke. 

Link: Hvad er legitim interesse? (en)

Og med GDPR ændres definitionen af informeret samtykke - og de krav der er forbundet med det - væsentligt i forhold til ePrivacy-direktivet.

  • Samtykke bør kun gives ved en klar bekræftende handling, der indebærer en frivillig, specifik, informeret og utvetydig viljetilkendegivelse fra brugeren om, at brugerens personlige oplysninger må behandles.

GDPR – lovkrav om cookiesamtykke - betragtning 32

Samtykke bør gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved vedkommende accepterer, at personoplysninger om vedkommende behandles, f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring. Dette kan f.eks. foregå ved at sætte kryds i et felt ved besøg på et websted, ved valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklæring eller handling, der tydeligt i denne forbindelse tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke. Samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål. Når behandling tjener flere formål, bør der gives samtykke til dem alle. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, kortfattet og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til.

GDPR, Artikel 7 (3)

Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Tilbagetrækning af samtykke berører ikke lovligheden af den behandling, der er baseret på samtykke inden tilbagetrækningen. Inden der gives samtykke, skal den registrerede oplyses om, at samtykket kan trækkes tilbage. Det skal være lige så let at trække sit samtykke tilbage som at give det.

For alle cookies, der behandler personoplysninger, gælder det, at et gyldigt samtykke skal indhentes. Det er typisk marketingcookies, statistikcookies, analysecookies og andre trackingteknologier. 

Personoplysninger inden for GPDR er oplysninger, der direkte eller indirekte (sammenholdt med andre informationer) kan identificere brugeren. Det kan være IP-adresse, online-ID, device-ID, lokationsoplysninger. 

Kravene i GDPR for samtykke til cookies kan opsummeres til følgende: Hvis du bruger cookies, der indsamler personoplysninger, skal du:

  • Indhente dine brugeres aktive - og eksplicitte - samtykke hertil. Det er et ja eller et nej til cookies. 
  • Dine brugere skal informeres om, hvilke cookies du bruger; hvem der har adgang til data de indsamler og deres levetid. 
  • Opbevare samtykke til cookies (og databehandling) i tilfælde af tilsyn fra Datatilsynet. 

Det er altså nødvendigt at give brugeren fyldestgørende information om brugen af cookies på hjemmesiden, indsamle og gemme et gyldigt samtykke.

Gør du det, overholder du bestemmelserne både i ePrivacy-direktivet og GDPR.

ePrivacy-direktivet bliver til eprivacy-forordning

Den nye ePrivacy-forordning (ePR) kommer til at ophæve det nuværende ePrivacy-direktiv. Rent juridisk bliver ePrivacy-forordningen lex specialis til Databeskyttelsesforordningen (GDPR).

Det betyder, at ePR bliver en lov om et bestemt emne (lex specialis), og tilsidesætter dermed loven om generelle forhold (lex generalis) på området som beskrevet i GDPR. Dvs. specifikke regler for cookies beskrevet i ePrivacy-forordningen bliver gældende fremfor generelle regler i GDPR. 

Som forordning kommer ePR automatisk til at gælde for alle EU-lande, så snart den træder i kraft. Forordningen behøver derfor ikke blive omsat til national lovgivning, som er tilfældet med et direktiv.

Hvad kommer den nye ePrivacy-forordning til at sige om cookies?

ePrivacy-forordningen kommer til at gælde for alle virksomheder og hjemmesider, der:

  • anvender online kommunikationstjenester
  • bruger online sporingsteknologier
  • anvender elektroniske midler til direkte marketing.

ePrivacy-forordningen (ePR) specificerer og supplerer bestemmelserne i GDPR vedrørende den del af elekronisk kommunikation, der kvalificeres som personlige oplysninger i forhold til at indsamle og gemme cookies.

Reglerne i ePR, der angiver ”samtykke” som retsgrundlag for behandling af personoplysninger, vil altså tilsidesætte andre bestemmelser i GDPR, som fx legitime interesser.

Det betyder, at forordningen kommer til at være gældende lov for brugen af cookies. 

Link: ePrivacy er måske klar i 2020 - hvilke konsekvenser har de for dig?

Indtil det sker, gælder Databeskyttelsesforordningen (GDPR) stadig for behandling af persondata (via cookies) på hjemmesider.

Bøder for at overtræde GDPR

Bøderammen for at overtræde bestemmelserne i GDPR og ePR er fastsat til 4% af virksomhedens samlede globale omsætning eller 20 millioner euro afhængig af, hvilket beløb er størst.

Der har allerede været en del bøder for at overtræde ePrivacy og GDPR: 

  • Google idømmes bøde på €50 mio. for ugennemsigtig information vedr. samtykke (link)
  • Flyselskabet Vueling får bøde på €30.000 for ikke at tilbyde brugere at takke nej til cookies (link)
  • Marketing bureau Bisnode får bøde på €220.000 for ikke at opbevare samtykker (link)

Og fornylig afgjorde den europæiske domstol i sagen mod Planet49, at hjemmesider skal indhente et aktivt samtykke til cookies. Tavshed og forudafkrydsede tjekbokse er ikke gyldigt samtykke. 

Både det franske datatilsyn CNIl, det engelske ICO, det spanske AEPD og det tyske BayLDA har opdateret deres cookievejledninger hen over sommeren. 

Er din hjemmeside ePrivacy og GDPR compliant?

Vil du vide mere om cookies, og hvordan du tjekker din hjemmeside for brud på GDPR, kan du læse vores artikel Indsamling af gyldige cookiesamtykker – vores 5 råd til at blive GDPR compliant

Du kan også teste din hjemmesides complianceniveau her. Test din hjemmeside for brud på GDPR

Eller book et møde med en af vores konsulenter for at høre, hvordan din virksomheds hjemmeside kan blive ePrivacy og GDPR cookie compliant.

book a meeting with jonas

Om Cookie Information

Cookie Information er en PrivacyTech-virksomhed, der udvikler software, som hjælper dig og din virksomhed med at gøre websites og mobile apps GDPR & ePrivacy compliant, og som samtidig sørger for, at du får konkurrencemæssige fordele ud af det. Vi har hjulpet over 1.000 virksomheder og har behandlet 6 milliarder samtykker alene det seneste år. Cookie Information blev grundlagt i København i 2011. Cookie Information leverer løsninger globalt.