Ny fælles cookievejledning fra Datatilsynet og Digitaliseringsstyrelsen skal sikre bedre overholdelse af reglerne

Ny fælles cookievejledning fra Datatilsynet og Digitaliseringsstyrelsen skal sikre bedre overholdelse af reglerne

Compliance IT-ret Persondata og cybersikkerhed
Ny fælles cookievejledning samler reglerne for cookies og GDPR og skærper fokus på gyldigt samtykke, dokumentation og kontrol af tredjepartsteknologier. Vejledningen tydeliggør også, hvornår der opstår fælles dataansvar ved integrationer som sociale medier.

Datatilsynet og Digitaliseringsstyrelsen har udsendt en fælles cookievejledning, der samler kravene i cookiebekendtgørelsen og GDPR og giver mere håndfaste retningslinjer for brug af cookies og lignende teknologier. For websteder og apps betyder det skærpede forventninger til samtykke, dokumentation, styring af tredjepartsteknologier og afklaring af roller.

Retligt udgangspunkt

Cookiebekendtgørelsen beskytter brugernes privatliv på deres terminaludstyr og kræver som udgangspunkt samtykke før lagring af og adgang til information, der ikke er strengt nødvendig. Når cookies eller tilsvarende teknologier samtidig medfører behandling af personoplysninger, gælder GDPR side om side.

Ved behandling af personoplysninger skal der være et gyldigt behandlingsgrundlag efter GDPR artikel 6. I cookiekontekst vil hjemlen ofte være samtykke, som skal være frivilligt, specifikt, informeret og utvetydigt. Derudover gælder principper som dataminimering og gennemsigtighed, herunder klar information om formål, leverandører og varighed.

Praktiske krav til samtykke og ansvar

Tjenesteejeren er ansvarlig for lovlig placering og brug af teknologier – også når en leverandør leverer løsningen. Det indebærer at sikre, at samtykkeløsningen teknisk understøtter gyldigt samtykke, at samtykker ikke aktiveres på forhånd, og at brugeren nemt kan afvise, ændre og tilbagekalde. Dokumentationspligten betyder, at samtykker og konfigurationer skal kunne påvises.

Tredjepartsscripts og plugins kan indebære fælles dataansvar, eksempelvis ved integrationer til sociale medier. Roller og ansvarsfordeling skal afklares og dokumenteres. Hvor der anvendes databehandlere, skal der foreligge en databehandleraftale, og den tekniske opsætning skal forhindre uønsket indsamling af data fra tredjeparter.

Som praktisk hjælp kan følgende kontrolliste anvendes i det løbende compliance-arbejde:

  1. Kortlæg alle cookies og lignende teknologier på tjenesten.
  2. Indhent gyldigt samtykke før aktivering, undtagen for strengt nødvendige teknologier.
  3. Sikr at samtykkeløsningen er korrekt konfigureret og opdateret.
  4. Begræns indsamling til det nødvendige og giv klar information.
  5. Dokumenter samtykker, formål, leverandører og ændringer.
  6. Afklar roller, herunder fælles dataansvar og databehandleraftaler, og kontroller tredjepartsscripts.

Teknologier i scope og næste skridt

Guiden omfatter både traditionelle cookies og andre teknologier som pixels, fingerprinting og unikke identifikatorer i apps. Pligterne følger teknologien, ikke betegnelsen: hvis der lagres eller tilgås oplysninger på brugerens udstyr, er cookiereglerne relevante; behandles personoplysninger, gælder GDPR derudover.

Virksomheder bør gennemføre regelmæssige tekniske og juridiske gennemgange af deres løsning, opdatere politikker og sikre, at leverandører efterlever kravene. Læs den fælles vejledning hos Datatilsynet for detaljer og eksempler på gyldigt samtykke. Se vejledningen her: datatilsynet.dk. Se også de 8 gode råd til brug af cookies: datatilsynet.dk.

Læs hele artiklen hos HjulmandKaptain →
Søgeord
GDPR, Samtykke, Gennemsigtighed, GDPR art. 6, Datatilsynet, Behandlingsgrundlag, Databeskyttelse, Databeskyttelsesforordningen, Dataansvarlig, Pixels, Dataminimering, Personoplysninger, Fælles dataansvar, Databehandler, Cookiebekendtgørelsen, Fingerprinting, Samtykkekrav, Tilsynsmyndighed, Digitaliseringsstyrelsen, CMP, Dokumentationspligt, IP-adresse, MAC-adresse, Lokaliseringsdata, Terminaludstyr, Cookiepolitik, Tredjepartsleverandører, Ansvarlighedsprincippet, Compliance, Overholdelse, EPrivacy-direktivet, Tredjepartscookies, Cookiebanner, Samtykkeløsning, Sociale medier plugins, Trackingteknologier

Relaterede artikler

Forbud mod brug af data
Sø- og Handelsretten

Forbud mod brug af data

Sø- og Handelsretten gav BoligPortal medhold i, at platformens lejeboligdata er databasebeskyttet. ReDatas scraping og videreformidling krænkede rettigheder og overtrådte markedsføringslovens § 3. Retten lagde vægt på tydelige brugsvilkår efter ophavsretslovens § 11 b, stk. 2, og nedlagde forbud.
Østre Landsret: Klage direkte til ledelsen gav ikke beskyttelse efter whistleblowerloven
Littler Danmark

Østre Landsret: Klage direkte til ledelsen gav ikke beskyttelse efter whistleblowerloven

Østre Landsret fastslår, at klager direkte til ledelsen ikke udløser beskyttelse efter whistleblowerloven. Beskyttelse kræver indberetning via interne eller eksterne whistleblowerkanaler eller lovlig offentliggørelse. Afgørelsen skærper fokus på klare procedurer i organisationer.
Datatilsynet har undersøgt DR’s obligatoriske login
Datatilsynet

Datatilsynet har undersøgt DR’s obligatoriske login

Datatilsynet udtaler kritik af DR for at have opfordret DRTV-brugere til at angive deres navn i login-flowet i strid med dataminimering. Obligatorisk login accepteres med hjemmel i GDPR art. 6, stk. 1, litra e. DR har ændret praksis og beder nu om et profilnavn.
Opdateret AMLR-vejledning: Nye præciseringer om ansvar og registrering
Danske Advokater

Opdateret AMLR-vejledning: Nye præciseringer om ansvar og registrering

Opdateret AMLR-vejledning fastslår, at det strafferetlige ansvar for overholdelse af forordning (EU) 2024/1624 ligger hos advokatvirksomheden, mens den enkelte advokat fortsat har fagligt ansvar for KYC. Samtidig præciseres nye registreringskrav ved sanktionsramte klienter.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Fynbus
FynBus søger en juridisk leder til Jura
Fynbus
Lægemiddelstyrelsen
Jurastuderende til spændende opgaver med bl.a. kontrol af lægemiddelvirksomheder
Lægemiddelstyrelsen
Københavns Kommune
GDPR-jurist til Center for Digitalisering, Data og Analyse i Socialforvaltningen
Københavns Kommune
Lægemiddelstyrelsen
Jurastuderende til spændende opgaver med bl.a. kontrol af lægemiddelvirksomheder
Lægemiddelstyrelsen
Forsvarets Efterretningstjeneste
FE søger en erfaren kontorchef til Direktionssekretariatet
Forsvarets Efterretningstjeneste
Forsvaret
Vil du være med til at gennemføre IT-anskaffelser for Forsvaret?
Forsvaret
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →