Korrekt implementering af cookie-samtykke

Med afgørelsen i DMI-sagen og udarbejdelsen af en ny vejledning slår Datatilsynet fast, at indsamling af data via cookies ofte vil udgøre personoplysninger. Når der er tale om personoplysninger, skal databeskyttelsesreglerne overholdes, så fremover skal håndteringen af cookies ikke kun overholde erhvervsstyrelsens cookiebekendtgørelse, men også reglerne i GDPR. Det betyder at det i fremtiden ikke er tilladt for virksomheder og offentlige myndigheder at bruge cookies uden brugernes samtykke (viden).

Blandt andet vil en accept til fx markedsføring via cookies fremover kræve, et udtrykkeligt samtykke fra brugeren.

På GDPR’sk betyder det at samtykket skal være frivilligt, specifikt, informeret og utvetydigt.

Konkret betyder det at

  • du skal indhente samtykke før du behandler nogen form for persondata, herunder nu også cookies.
  • at samtykket er aktivt og specifikt, dvs. uden forudafkrydsede felter på samtykkebannere og uden generelle ”ok” knapper.
  • at samtykket er informeret, dvs. at din hjemmeside oplyser om hvilken slags persondata der indsamles via cookies (og andet), til hvilke formål de indsamles og med hvilke tredjeparter disse data bliver delt.
  • du skal kunne dokumentere hvert opnåede samtykke.
  • samtykket skal ændres, eller trækkes tilbage, ligeså let som det er afgivet.
 
Her er to eksempler på korrekt implementerede cookie-samtykker, begge lavet med cookiebot. Den ene er fra advokatfirmaet Kroman Reumert den anden er vores egen her fra Vipindi.dk

Indhentning af gyldigt samtykke før behandling

Det betyder at hjemmesiden ikke må sætte cookies før brugeren har klikket på en af mulighederne.
Hvis ikke der accepteres ”nødvendige” cookies (fordi brugeren ikke forholder sig til samtykket) så har du heller ikke mulighed for at registrere anonyme besøg, der er mange eksempler på at antallet af besøgende falder drastisk i analyseprogrammer som Google Analytics, Siteimprove m.fl. fordi anonyme data heller ikke registreres. Derfor kan det være en god ide at sikre at popup ikke forsvinder ”af sig selv” hvis brugeren begynder at browse rundt på siden uden at acceptere, men at den forbliver synlig indtil brugeren, har truffet et valg.

Samtykket skal være aktivt og specifikt

Valget af cookies skal være et tilvalg, det betyder at felterne ikke må være udfyldt på forhånd. Undtaget er nødvendige cookies, der udelukkende sættes med det formål at få side til at fungere for brugeren.
Det er altså ikke længere en mulighed blot at skrive ”Ved at klikke videre på siden acceptere du vores brug af cookies” eller have en popup hvor den eneste mulighed er ”OK”. Begge dele vil sidestilles med løsninger hvor felterne er forudafkrydsede. Lidt på samme måde som vi kender det fra ”Tilmeld nyhedsbrev” funktionen, hvor webshoppen ikke må have udfyldt feltet på forhånd.

Samtykket skal være informeret

Sikringen af at samtykket er informeret kan opfyldes på flere måder, i ovenstående eksempler er det løst ved at brugeren kan se/vælge hvilke typer af oplysninger der accepteres. Yderligere informationer om formål, udveksling m.m. fås ved at klikke ”Vis detaljer” eller besøge siden med cookiepolitikken.

Dokumentation af samtykke.

Dokumentationen af det indhentede samtykke kan være en af de svære opgaver at løse uden et værktøj der er udviklet til det. I cookiebot løses det ved at brugeren kan se sit eget ID på cookiepolitik-siden og indehaveren af siden kan se en oversigt over samtykke-ID og hvornår de er accepteret, i admin-delen af cookiebot.

Mulighed for at trække samtykke tilbage.

Det er et krav i forbindelse med afgivelse af samtykke, at det kan trækkes tilbage lige så let som det er afgivet. I billedet herunder, fra vores cookiepolitik, kan du se cookiebots løsning, hvor brugerens ID er synligt sammen med en mulighed for at ændre samtykket. Ved at klikke på ”ændring af samtykke” aktiveres popup igen og samtykket kan ændres på samme måde som det blev afgivet.

Hvordan gør du så det?

Den nemmeste tilgang er at vælge et af de mange værktøjer der er udviklet til at hjælpe med implementeringen, hos Vipindi bruger vi Cookiebot, men der er flere andre der også kan anvendes.

Løsningen kræver at der oprettes en konto hos Cookiebot, mindre websites kan sagtens nøjes med den gratis udgave. På kontoen konfigureres løsningen forholdsvis enkelt.

Løsninger på markedet:

Der er helt sikkert flere løsninger på markedet end de ovenstående, der opfylder kravene, det er blot dem vi kender til.