GDPR online
Regler om cookies på en hjemmeside i henhold til GDPR
Reglerne om cookies på en hjemmeside i henhold til GDPR er baseret på det såkaldte ePrivacy-direktiv. Både GDPR og e-databeskyttelsesdirektivet indeholder mange centrale EU-regler om cookies.
Brug af cookies
Virksomheder, der har en hjemmeside, som i dag er størstedelen, bruger normalt cookies af forskellig art og til forskellige formål. Hvis brugen af cookies også betyder, at personoplysninger gemmes i cookien, såsom en persons IP-adresse eller e-mail-adresse, gælder GDPR også.
Derfor er det vigtigt for virksomheder at kende de gældende regler om cookies på en hjemmeside i henhold til GDPR, når de bruger cookies.
Hvad er cookies?
Kort sagt er cookies små tekstfiler, der indeholder en vis mængde information, som hjemmesiden kan gemme på den besøgendes enhed (f.eks. computer, mobil eller tablet). Cookies er en form for online identifikator og online identifikator, som kan udgøre personoplysninger i henhold til betragtning 30 i GDPR. Dette skyldes, at cookies kan efterlade spor, der i kombination med andre data, der modtages af serverne, kan bruges til at oprette profiler af fysiske personer og identificere dem.
En person kan forbindes med online identifikatorer, der leveres af deres udstyr, applikationer, værktøjer og protokoller, såsom cookies. Cookies er således en form for online identifikator, og nogle af de oplysninger, der er indeholdt i cookies, kan udgøre personoplysninger, såsom et brugernavn, IP-adresse eller e-mail-adresse.
Hvad er formålet med cookies?
Brugen af cookies kan udføres af en virksomhed til flere forskellige formål. Cookies kan f.eks. gøre det muligt for den virksomhed, der driver webstedet, at:
- Hent oplysninger, der allerede er gemt på den besøgendes enhed.
- Gem nye oplysninger i den besøgendes enhed. Lagringen kan finde sted både under et enkelt besøg (midlertidig cookie) og mellem flere besøg (permanent cookie).
- Se hvad den besøgende har gjort på hjemmesiden, ved at gemme data om deres aktiviteter og interaktioner på hjemmesiden.
- Sikre, at webstedets kritiske funktioner fungerer korrekt.
- Overføre visse data mellem hjemmesiden og den besøgendes enhed eller til en tredjepart.
- Opbevare oplysninger på den besøgendes enhed, såsom brugerens valgte sprogindstillinger for hjemmesiden.
- Gøre det muligt at foretage målrettet markedsføring til den besøgende næste gang han eller hun besøger hjemmesiden, baseret på hans eller hendes demonstrerede interesser og brug af hjemmesiden.
Er der forskel på permanente cookies og midlertidige cookies?
Ja, der er flere forskelle mellem permanente cookies og midlertidige cookies. Disse er to forskellige typer cookies, og nedenfor er en beskrivelse af de vigtigste forskelle:
Midlertidige cookies
Midlertidige cookies (også kaldet session cookies) gemmes midlertidigt i din enheds hukommelse og har ingen udløbsdato. Disse cookies er aktive og gemmes kun under den pågældende browsersession. Derefter slettes de automatisk fra enheden, når browseren lukkes. Det vil sige, at opbevaring af midlertidige cookies kun finder sted, mens den besøgende browser på hjemmesiden, indtil den besøgende lukker browseren. Midlertidige cookies bruges ofte til at aktivere visse funktioner på hjemmesiden og til at opretholde en brugersession.
Tidsbegrænsede cookies
Tidsbegrænsede cookies (også kaldet permanente cookies) gemmes i stedet på enheden i en bestemt periode. Lagringstiden vises i cookieindstillingerne. Tidsbegrænsede cookies forbliver gemt på enheden, selv efter at den besøgende har lukket browseren, indtil udløbsdatoen er gået eller manuel fjernelse. Det er almindeligt, at tidsbegrænsede cookies bruges til at gemme brugerindstillinger til fremtidige besøg på hjemmesiden, såsom de sprogindstillinger, som brugeren har valgt.
Hvad er forskellen mellem essentielle cookies og ikke-essentielle cookies?
Nødvendige og ikke-nødvendige cookies er to forskellige kategorier af cookies. Disse er også underlagt forskellige regler om cookies på et websted i henhold til GDPR og e-databeskyttelsesdirektivet. Nedenfor kan du læse mere om forskellen mellem disse cookie-kategorier.
Nødvendige cookies
Der er cookies, der skal bruges, for at et websted fungerer korrekt. Det henviser hovedsageligt til cookies, der gør det muligt for hjemmesidens funktioner at fungere og levere de online-tjenester, som den besøgende har anmodet om. For at kunne bruge de nødvendige cookies kræves der ikke samtykke fra den besøgende. Det betyder, at cookies, der er kategoriseret efter behov, altid vil blive brugt. Det er dog vigtigt, at virksomheden er opmærksom på, at nødvendige cookies skal sikre grundlæggende funktioner og sikkerhedsfunktioner, der er vigtige for den besøgende på hjemmesiden. Det handler ikke om, hvad virksomheden mener er nødvendigt eller ej.
Ikke-væsentlige cookies
Disse cookies er ikke nødvendige for, at hjemmesidens grundlæggende funktioner kan fungere korrekt. De anvendes i stedet til andre formål, f.eks. til analyse af webstedstrafik, forbedring af brugeroplevelsen, statistiske formål osv.
Specifikke krav til brug af cookies og gældende regler om cookies på en hjemmeside i henhold til GDPR
- Informationskrav: Virksomheden skal altid informere besøgende på hjemmesiden om brugen af cookies. Dette gælder, uanset om virksomheden kun bruger essentielle cookies eller også ikke-essentielle cookies. Formålet er at give den besøgende et klart billede af, hvordan cookies fungerer i praksis og hjælpe dem med at træffe informerede beslutninger om brugen af cookies. Oplysningerne skal gives af den virksomhed, der offentliggør en cookie-meddelelse, undertiden også kaldet en cookie-politik. Dette kan med fordel offentliggøres i bunden af webstedet for nem adgang og bør også linkes i et muligt cookiebanner, hvor den besøgende kan administrere sine cookieindstillinger.
- Samtykke: For at en virksomhed kan bruge ikke-væsentlige cookies, skal besøgende på webstedet aktivt give deres samtykke til det. Derudover har den besøgende ret til at trække samtykke tilbage til enhver tid, i hvilket tilfælde brugen af disse ikke-væsentlige cookies straks ophører. Hvis den besøgende ikke giver sit samtykke eller har givet et ugyldigt samtykke, må ikke-væsentlige cookies ikke gemmes på den besøgendes enhed.
Eksempler på, hvad der udgør ugyldige samtykker:
- Når det ikke er muligt at trække et givet samtykke tilbage, eller hvis det er for vanskeligt at gøre det, er samtykket ugyldigt. Et udgangspunkt er, at det skal være lige så let at trække et samtykke tilbage som at give samtykket.
- Knapperne i cookiebanneret til “Accepter” eller “Afvis” cookies må ikke være udformet på en måde, der påvirker den besøgendes valg. Knappen “Accepter” er f.eks. stor og grøn, mens knappen “Neka” er mindre og grå.
- Passivt samtykke er ikke gyldigt. Med andre ord er det ikke tilladt at gemme ikke-væsentlige cookies i tilfælde af, at en besøgende hverken har accepteret eller nægtet brugen af cookies.
- Hvis et samtykkefelt er afkrydset, udgør det ikke et gyldigt samtykke, da det ikke anses for at være aktivt givet af den besøgende selv.
Hvad der skal angives i cookie-meddelelsen om brugen af cookies
Der er flere ting, der skal være klare, når en virksomhed informerer de registrerede om brugen af cookies på hjemmesiden. Det drejer sig bl.a. om:
- Virksomhedens oplysninger, f.eks. virksomhedens navn, registreringsnummer og kontaktoplysninger
- En liste over hver enkelt cookie, som virksomheden har til hensigt at bruge. Denne liste bør opdateres regelmæssigt for at afspejle den aktuelle brug af cookies. Listen bør mindst indeholde følgende oplysninger:
- Navnet på hver cookie.
- Hvilke kategorier hver cookie tilhører.
- Hvilken opbevaringsperiode gælder for hver cookie.
- En beskrivelse af formålet med brugen af den pågældende cookie.
- Uanset om der er tale om tredjepartscookies eller ej. Hvis det er en tredjepartscookie, eller hvis oplysningerne deles med en tredjepart, skal dette angives.
- Hvordan den besøgende på hjemmesiden kan trække sit samtykke tilbage.
- Hvordan den besøgende på hjemmesiden kan administrere deres indstillinger vedrørende lagring af cookies.
Hvordan kan en besøgende på webstedet administrere sine indstillinger vedrørende lagring af ikke-væsentlige cookies?
Besøgende på et websted kan styre og administrere, hvordan ikke-væsentlige cookies kan gemmes på deres enhed ved hjælp af forskellige metoder. For eksempel bør den besøgende være i stand til helt eller delvist at aktivere eller deaktivere ikke-væsentlige cookies. Det er dog vigtigt at informere den besøgende om, at deaktivering af ikke-væsentlige cookies, helt eller delvist, kan påvirke hjemmesidens funktionalitet og få visse funktioner til ikke at fungere efter hensigten.
Nedenfor kan du læse om forskellige måder, hvorpå den besøgende kan administrere sine cookie-indstillinger.
1. Webstedets installerede cookie-løsning
Hvis webstedet bruger ikke-essentielle cookies og har en installeret cookie-løsning aktiveret, for eksempel via et cookie-plugin, skal den besøgende som minimum kunne foretage følgende handlinger gennem det:
- Accepter alle cookies.
- Nægte alle ikke-væsentlige cookies.
- Giv brugertilpasset samtykke til forskellige. individuelle cookiekategorier
Bemærk, at virksomheden ikke behøver at installere en cookieløsning, når den kun bruger essentielle cookies. Dette skyldes, at virksomheden altid kan bruge de nødvendige cookies uden den besøgendes samtykke.
Hvornår skal cookie-banneret vises?
Cookiebanneret skal vises, når den besøgende besøger hjemmesiden for første gang. Den bør derefter også vises, når der foretages væsentlige ændringer i cookie-meddelelsen, de anvendte cookies eller de anvendte kategorier af cookies. Dette skal gøres for at sikre, at det samtykke, som den besøgende kan give eller tidligere har givet, opfylder kravene for at blive betragtet som gyldigt.
Hvordan kan den besøgende trække sit samtykke tilbage eller ændre sine valg?
Derudover skal den besøgende på webstedet have mulighed for at trække det tilbage til enhver tid efter at have givet samtykke. Dette skal gøres ved at kunne genåbne cookiebanneret for at ændre dets indstillinger. Dette gøres ofte ved hjælp af en lille widget nederst på webstedet eller ved at have en knap til at “administrere cookieindstillinger” i bunden af webstedet. Det skal være nemt at finde indstillingerne igen. Formålet er at give den besøgende fleksibilitet til at tilpasse deres cookie-indstillinger til hjemmesiden i henhold til deres præferencer og behov.
2. Browserindstillinger
Besøgende på et websted kan også begrænse brugen af cookies ved at justere indstillingerne i browseren. Mange browsere giver brugeren mulighed for at blokere ikke-væsentlige cookies eller kræve, at brugeren aktivt accepterer hver ny cookie, før den gemmes på enheden.
Indstillingerne via browseren kan også give brugeren mulighed for at blokere tredjeparts cookies. I nogle tilfælde kan brugeren også markere ofte besøgte websteder som “pålidelige”, hvilket betyder, at cookies fra sådanne websteder altid accepteres. Derudover kan brugeren via browserindstillingerne slette specifikke individuelle cookies, der er blevet gemt, eller slette alle tidligere cookies.
Hvor er disse funktioner i browseren?
Disse funktioner findes ofte under browsermenupunkterne “Indstillinger”, “Hjælp” eller “Værktøjer”. Bemærk, at funktionerne kan variere afhængigt af, hvilken browser den besøgende bruger (f.eks. Chrome, Firefox, Safari, Edge, Opera osv.).
Hvis den besøgende har brug for hjælp til at konfigurere browserens indstillinger, skal de kontakte browserens udgiver eller besøge dens hjælpesider for mere information og support.
Skal cookieindstillingerne tilpasses på hver browser og hver enhed?
Ja, cookieindstillingerne skal tilpasses på hver browser og hver enhed. Virksomheden bør informere den besøgende på webstedet om dette for at sikre, at deres præferencer gælder overalt på alle enheder og websteder, de bruger.
Opfylder justeringen af din browsers cookieindstillinger kravene i GDPR?
For at hjemmesidens besøgende kan anses for at have givet et gyldigt samtykke i henhold til GDPR, skal det ske gennem en aktiv handling. Det er derfor vigtigt at huske på, at det ikke altid er tilstrækkeligt at justere indstillingerne via browseren, hvis hjemmesiden bruger ikke-væsentlige cookies, der kræver forudgående samtykke. Derfor bør virksomheden anbefale de besøgende på hjemmesiden til i stedet at bruge cookie-indstillingerne på virksomhedens hjemmeside, via den installerede cookie-løsning, til at administrere deres samtykke.
"Jeg forstår" og "Jeg er enig" betyder to forskellige ting
Det er vigtigt at indtaste den korrekte tekst på de knapper, som den besøgende kan vælge at klikke på, for at styre cookieindstillingerne via den installerede cookieløsning eller cookiebanner på hjemmesiden.
Knappen “Jeg forstår” betyder ikke, at den besøgende accepterer brugen af cookies. Knappen skal angive “Jeg er enig” eller “Accepter”. Desuden skal den besøgende på webstedet have mulighed for at “afvise” cookies og åbne “Cookieindstillinger”. Dette gælder også, efter at der er givet samtykke. Den besøgende skal have mulighed for at trække sit samtykke tilbage på en lige så enkel måde eller på anden måde ændre sine indstillinger. Dette er en af de vigtigste regler om cookies på en hjemmeside i henhold til GDPR.
Er det tilladt at have en cookie væg på hjemmesiden?
Nej, det er forbudt at designe hjemmesidens cookiebanner som en cookievæg. En cookievæg betyder, at en informationsvæg om cookies optager hele eller store dele af hjemmesiden. Ofte placeres cookievægge midt på skærmen og optager et stort overfladeareal, hvilket gør det umuligt at læse teksten bag cookievæggen.
For at den besøgende på hjemmesiden kan få adgang til oplysningerne på hjemmesiden, skal han eller hun acceptere cookies. En cookievæg tvinger den besøgende til at acceptere cookies for at kunne bruge hjemmesiden. Et sådant samtykke kan derfor ikke anses for at være givet frivilligt. Derfor er det ikke tilladt at have en cookie væg på deres hjemmeside.
GDPR online
Databeskyttelse gennem standardindstillinger og databeskyttelse gennem design
Virksomheder, der er dataansvarlige, skal have indbygget databeskyttelse i overensstemmelse med kravene i artikel 25 i GDPR. Det samme gælder databeskyttelse gennem standardindstillinger. Databeskyttelse gennem standardindstillinger betyder, at virksomheder, der f.eks. leverer en digital tjeneste eller lignende, bør have databeskyttelsesvenlige indstillinger. For eksempel ved at implementere en funktion, der giver brugerne mulighed for at trække deres samtykke tilbage. Virksomheder, der behandler personoplysninger, skal også indføre passende organisatoriske og tekniske sikkerhedsforanstaltninger for at beskytte personoplysningerne. Eksempler på tekniske sikkerhedsforanstaltninger er virusbeskyttelse, multifaktorgodkendelse ved login, backupfiler og lignende. Eksempler på organisatoriske sikkerhedsforanstaltninger omfatter uddannelse af personale i databeskyttelse og klare instrukser og procedurer vedrørende behandling af personoplysninger.