Den nye fælles vejledning fra Datatilsynet og Digitaliseringsstyrelsen sætter en tyk streg under: målrettet markedsføring på basis af sporing på tværs af tjenester og lokation kræver som udgangspunkt samtykke. Interesseafvejning vil normalt ikke bære behandlingen. Virksomheder skal nu overveje, om deres cookie-setup, pixels og SDK’er reelt hviler på gyldige samtykker – og om placeringen først sker efter valg. Dette ændrer fundamentalt måden, mange sites og apps indsamler data på, fordi både cookiebekendtgørelsen og databeskyttelsesreglerne gælder samtidigt, når teknologier lagrer eller tilgår personoplysninger på brugerens udstyr.
Hvad betyder dette i praksis?
Reglerne slår fast, at “udstyr” ikke kun er den fysiske enhed, men også den browser, der uløseligt er knyttet til den. Derfor udløser enhver lagring eller adgang via cookies og lignende teknologier et krav om forudgående samtykke, medmindre teknologien er strengt nødvendig for, at tjenesten fungerer. Behandles personoplysninger, skal der samtidig være et gyldigt behandlingsgrundlag efter databeskyttelsesforordningen. Den nye praksis betyder, at et samlet samtykke kan indhentes, hvis det er frivilligt, specifikt, informeret og utvetydigt – og virksomheden kan dokumentere indhold, tidspunkt og den anvendte samtykkeløsning.
Samtykket skal foreligge, før teknologien aktiveres. Det indebærer forudgående blokering af ikke-nødvendige cookies, streng kontrol af tredjepartsværktøjer og klare fravalgsmuligheder. Spørg dig selv: bliver en marketingpixel indlæst ved side-load før valget? Genplaceres cookies ved genbesøg uden fornyet samtykke? Er beviskæden for samtykket intakt ved audit? Små fejl i rækkefølge, lagring eller dokumentation kan føre til ulovlig behandling og tilsynsmæssig risiko.
Centrale begreber og snitflader
Vejledningen beskriver cookies som små datafiler, der efterlader et digitalt fodspor om brugerens adfærd. De typiske kategorier er tekniske, statistiske, personaliserede og markedsføringsrelaterede. Lignende teknologier omfatter pixels, fingerprinting og app-teknologier, der kan identificere eller genkende enheden. Når disse teknologier indsamler oplysninger som cookie-ID’er, IP- eller MAC-adresser og lokaliseringsdata, kan den registrerede identificeres – eventuelt først ved sammenstilling – og så gælder databeskyttelsesreglerne. Krydsfeltet opstår, fordi samme handling både er lagring/tilgang på udstyr og behandling af personoplysninger. Derfor skal du tænke dobbelt-hjemmel, dobbelt-krav til timing og dobbelt-dokumentation.
Handlepunkter til hurtig efterlevelse
Kortlæg alle cookies og lignende teknologier på web og i app, og klassificér dem efter formål og nødvendighed. Indfør en samtykkeløsning med granulære valg, ligeværdigt fravalg og ingen forudafkrydsning, og sørg for, at scripts blokeres, indtil der gives samtykke. Dokumentér samtykkerne med log over versioner, tekst, tidspunkt og brugerens valg, og etabler rutiner for fornyelse. Opdater cookiepolitik og privatlivspolitik, så de afspejler praksis. Gennemgå tredjepartsværktøjer, indgå relevante databehandleraftaler og regulér dataflow, videregivelse og formål. Test e-mailpixels og SDK’er særskilt, så sporing ikke aktiveres før samtykke. Endelig: uddan marketing og udvikling i den nye vejledning, og auditér løbende implementeringen.
