Få styr på cookiereglerne 2020

I februar 2020 kom Datatilsynet (endelig) med specifikke og opdaterede retningslinjer for behandlingen af hjemmesidebesøgendes personlige oplysninger. Vi giver dig overblikket her.

Den længe ventede vejledning

Cookie-reglerne har efterhånden 10 år på bagen og på trods af det, opstår der stadig med jævne mellemrum usikkerheder og spørgsmål. Det skyldes muligvis, at vi indtil nu, kun har haft en vejledning til selve det tekniske i at opsætte cookies. Men i februar 2020 udkom den længe ventede vejledning til behandling af hjemmesidebesøgendes personlige oplysninger endelig.

I dette blogindlæg gennemgår vi de vigtigste punkter i den opdaterede vejledning, så du undgår at blive taget med fingrene i kagedåsen, så at sige.

 

Alle accept-formularer skal:


 

  # 1     Have en tydelig 'Nej tak til cookies'-knap 


  # 2    Oplyse til hvilke(t) formål data'en anvendes 


  # 3    Give mulighed for at vælge hvilke formål der gives samtykke til


  # 4    Holde cookies tilbage, indtil brugeren har givet sit samtykke 


  # 5    Informere om dataansvarlige og databehandlere

Er der tale om nye regler?

Inden vi dykker ned i de konkrete regler, så lad os først slå fast, at der ikke er tale om nye regler og reglerne er derfor gældende på nuværende tidspunkt (!).

Oplysninger om de besøgendes adfærd anvendes af mange virksomheder til målrettet markedsføring, samt til at skabe bedre brugeroplevelser og målrettet ydelser. Og du er formentlig ingen undtagelse. 

Men når du registrerer disse oplysninger, skal reglerne i cookiebekendtgørelsen og GDPR altså efterleves. Indsamlingen og registreringen af personoplysninger er omfattet af cookiebekendtgørelsen, mens videre behandling af personoplysningerne er omfattet af databeskyttelsesreglerne i GDPR. Du bør derfor forholde dig til begge regelsæt, når du arbejder med cookies. Derudover kan der i forbindelse med markedsføring også være regler i markedsføringsloven der skal overholdes.

Eftersom vejledningen til behandling af personoplysninger om hjemmesidebesøgene først udkom i februar 2020, vil Datatilsynet i deres kommende tilsynsplan dog tage højde for dette. Datatilsynet behandler dog fortsat klagesager, hvor tilsynet fortsat kan komme frem til, at reglerne ikke er blevet overholdt.

Vi opfordrer alle webshopejere at gennemgå og opdatere deres cookie-politik

Sådan overholdes Cookies-reglerne

Inden du begynder at indsamle og behandle data, skal dine besøgende have givet et aktivt gyldigt samtykke til dette.
Et samtykke består i at brugeren har haft fuld kontrol over hvordan og hvad oplysninger bruges til. Et samtykke skal derfor være:
  • Frivilligt
  • Specifikt
  • Informeret
Så hvad betyder det helt konkret? Det vil vi se nærmere på nu. 

Brugeren skal kunne sige ’nej tak’

Kravet om frivillig accept overholdes kun, hvis det er muligt at afslå et samtykke, altså sige ’Nej tak’ til cookies. 

Du må derfor heller ikke nudge brugeren til at acceptere cookies. Det skal være lige så let og visuelt tydeligt at afslå cookies, som at acceptere dem. 

Overholder IKKE cookies-reglerne:

Brugeren skal kunne til- og fravælge de forskellige kategorier

I eksemplet ovenfor, er det kun muligt at klikke 'ok', altså acceptere cookies. Dette cookiesbanner overholder derfor ikke cookies reglerne.

Brugeren skal kunne til- og fravælge formål

Hvis I ønsker at anvende den indsamlede data til flere forskellige formål, skal brugeren frit kunne vælge, hvilke formål der gives samtykke til. 

Hertil opdeles cookies i 4 kategorier; Teknisk nødvendige cookies, funktionelle cookies, statistik cookies og marketing cookies. 

Et samtykke vurderes ikke som værende frivilligt, hvis brugeren ikke særskilt kan give sit samtykke til de forskellige behandlingsaktiviteter vedrørende personoplysninger og dermed være tvunget til at give sit samtykke til samtlige formål. 

Brugerne skal altså kunne til- og fravælge blandt de forskellige formål ud fra de 4 ovenforstående kategori-inddelinger også kaldet formål.

OBS: De nødvendige tekniske cookies kræver ikke samtykke
De tekniske nødvendige cookies kræver ikke et aktivt samtykke. Det er f.eks. i forbindelse med indkøbskurv eller udfyldelsen af en formular. 

Overholder cookies-reglerne:

Brugeren skal kunne til- og fravælge de forskellige kategorier

Ovenforstående eksempel gør det muligt for brugerne at acceptere udvalgte cookies.

Brugeren skal vide hvad der gives tilladelse til

At samtykket skal være specifikt indebærer bl.a., at informationen skal være præcist og velafgrænset, så brugeren ved præcist hvad der gives tilladelse til. 

En sætning som; ‘Vi benytter dine personoplysninger til personalisering af hjemmesiden’, er ikke specifik nok, da der ikke står, til hvilke(t) formål den indsamlede data anvendes til og om der er tale om ét eller flere formål.

Hvis der er indhentet samtykke til ét formål/kategori og det efterfølgende ønskes at benytte dataene til et nyt/andet formål, skal der altså indhentes et nyt samtykke.

 

Accepten skal kunne tages på et velinformeret grundlag

Brugeren skal være klar over, hvad der gives samtykke til, for at brugeren kan træffe det afgørende valg. 
 
Følgende oplysninger skal derfor som minimum angives, for at opnå et gyldigt samtykke:
  • Den dataansvarliges identitet
  • Formålet med den påtænkte behandling
  • Hvilke typer af oplysninger, der vil blive behandlet
  • Retten til at trække samtykket tilbage
Det er altså ikke nok blot at oplyse, at der sker indsamling, registrering og behandling af personoplysninger. Brugerne skal oplyses om den påtænkte behandling af den indsamlede data 
 
Ved dette krav er det væsentligt at gøre sig opmærksom på dobbeltkravet om præcision og lettilgængelighed. Informationen skal altså gives på en måde, der ikke er uforstående eller unødig forvirrende, men samtidig skal brugeren gøres tilstrækkelig opmærksom på hvad der siges ja til. 

Tillæg: Oplysninger om identitet

Ifølge datatilsynets opfattelse vil det fortsat være tale om et velinformeret samtykke, hvis informationen om de(n) dataansvarlig(e) gives ved en fold-ud funktion, som kun er ét klik væk. Yderligere er det nok blot at oplyse identiteten på de dataansvarliges organisation og ikke nødvendigvis de(n) dataansvarliges hjemmeside, kaldenavne eller produktnavne.

Du må først indsamle data efter aktiv handling

Lad os lige, endnu en gang, slå fast at du ikke må indsamle og behandle data før brugeren har accepteret dette. 

Passivitet, tavshed eller en fortsat anvendelse at websitet kan altså IKKE opfattes som et gyldigt samtykke og oplysningerne ikke må registreres eller behandles. Det samme gør sig gældende for forud afkrydsede tilvalgsfelter, ‘on’-sliders og lignende der kræver at brugeren forhindrer et samtykke, frem for at give sit samtykke. 

 

Passivitet, tavshed eller fortsat anvendelse af websitet er ikke en gyldig accept

Vi anbefaler: Sådan undgår du at miste værdifuld data

Eftersom du først må sætte statistik og tracking-cookies på efter brugeren aktivt har givet sin accept, risikerer du at miste værdifuld data til marketingsværktøjer, såsom re-targeting, hvis brugeren overser eller ignorerer accept-formularen. Hvis brugerne ikke foretager en aktiv handling, kan du altså ikke registrere brugeren i f.eks. Google Analytics.

Vi anbefaler derfor, at du bruger et overlay, fremfor et cookiebanner der ligger i bunden af skærmen. Undersøgelser viser at op imod 40 % hverken klikker ’OK’ eller ’Nej tak til cookies’, hvis cookiebanneret ligger i bunden af skærmen. Ved at anvende et overlay er der større sandsynlighed for at brugerne ser og accepterer cookies og dermed større chance for, at du kan indsamle værdifuld data.

Tjek om din pop-up på mobilen er lettilgængelig

Når der anvendes pop-up’er, banner eller lignende teknikker til indhentning af samtykker, er det vigtigt at gøre sig klart at designet af acceptformularen også er lettilgængelig på mobile enheder og tablets. Hvis det er svært at finde acceptformularen ved besøg gennem en smartphone, kan det betyde at selv et indhentet samtykke er ugyldig. Det er derfor vigtigt at tjekke, at acceptformularerne fungerer optimalt på alle enheder.

Et samtykke udløber ikke, men skal kunne ændres

Et samtykke udløber som udgangspunkt ikke, men brugerne skal til en hver tid kunne trække samtykket tilbage eller ændre i præferencerne. Og det skal være lige så let at trække et samtykke tilbage efter gyldig accept, som det var at afgive accepten.

Vi anbefaler, at du placerer et link i bunden af websitet, hvorigennem brugeren let kan tilgå muligheden for at ændre sit samtykke.

8 take aways

Et gyldigt samtykke kræver en aktiv handling fra brugeren. Det anses ikke som et gyldigt samtykke, hvis brugeren blot klikker videre på websitet eller tilvalgsfeltet er forud afkrydset.

Det skal tydeligt fremgå til hvilke(t) formål den indsamlede data anvendes, herunder hvilke kategorier.

Hvis dataen anvendes til flere forskellige formål, skal det være let for den besøgende at give samtykke til nogle formål og undlade samtykke til andre.

Accepten af cookies ophører som udgangspunkt ikke, men brugeren skal til en hver tid kunne ændre sine præferencer. 

Der må ikke indsamles data forud for den besøgendes accept. Accepten skal være en frivillig og aktiv handling og overholde principperne om; frivilligt, specifikt og informeret.

Det skal rent visuelt være nemt ikke at give samtykke, også på mobile enheder. Anmodningen om brugerens accept må derfor ikke være skjult eller ligne almindelige betingelser og vilkår.

Der skal kunne dokumenteres, hvad en besøgende har givet samtykke til og hvordan samtykket er indhentet.

Vi anbefaler at bruge acceptformularen som et overlay, frem for et banner i bunden af skærmen, da et overlay med større sandsynlighed bliver set og dermed accepteret.