Når websites og mobilapplikationer anvender cookies og andre identifikatorer, skal både cookiebekendtgørelsen og GDPR efterleves. En ny fælles vejledning fra Datatilsynet og Digitaliseringsstyrelsen præciserer de praktiske krav og skaber sammenhæng mellem regelsættene. Vejledningen understreger, at reglerne er teknologineutrale og også omfatter pixels, web beacons, fingerprinting og app-baseret tracking.
Samtykke kræves som udgangspunkt, men teknisk nødvendige cookies er undtaget efter cookiereglerne. Behandles der personoplysninger, skal der dog stadig være et gyldigt behandlingsgrundlag, typisk efter GDPR art. 6. Vejledningen fremhæver endvidere, at samtykke skal kunne dokumenteres, så længe behandling pågår, og at systemdokumentation – fx skærmbilleder af historiske versioner af samtykkeløsningen – kan opfylde kravet.
Der peges også på, at integration af tredjeparts plug-ins og sociale medier ofte indebærer fælles dataansvar. Det forudsætter klar rollefordeling og en aftale efter GDPR art. 26, mens øvrige leverandører typisk vil være databehandlere med krav om databehandleraftale. Ejer eller udbyder bør derfor gennemgå cookiepolitik, CMP og tagging, opdatere aftalegrundlaget med partnere samt sikre, at processer for dokumentation, sletning og løbende kontrol er på plads.
