By No Zebra

Du bryder formentlig de nye cookieregler og persondataregler GDPR

Se, om dit cookie-banner overholder de nye cookie-regler fra Erhvervsstyrelsen (inkl. tjekliste)

Se, hvad du må og ikke må, få en 7-punkts tjekliste til at overholde de nye cookieregler og se, hvordan du følger udviklingen i et dashboard.


Lad os starte med et eksempel fra en stor dansk retailer.

Det her må du ikke:


 

Hvorfor ikke?

Fordi cookie-bokse med "Hvis du går videre/bruger vores site, accepterer du vores cookies" juridisk er det samme som en forudafkrydset tjekboks, hvilket er ulovligt.

I ovenstående tilfælde kunne man ikke få lov at bruge hjemmesiden, før man havde klikket "OK".

Det er ifølge de nye cookieregler fra Erhvervsstyrelsen ulovligt.

Du kan læse mere om baggrunden for de nye regler længere nede i dette indlæg.

 

Du får lige et cookie-eksempel mere

Folketinget (aka lovgiverne) gør det nemlig også forkert/ulovligt på deres website (ft.dk)

I hvert fald da vi skrev dette blogindlæg.  


Rigtig mange vil skulle ændre praksis, for de har i dag valgt en løsning,
der skaffer mange samtykker, da det jo giver en mere effektiv markedsføring
.

- Advokat Heidi Højmark Helveg
(Kilde: DR)


Eksempel på en korrekt cookiebar

Eksempel på korrekt cookiebar No Zebra webbureau


Hvad skal en korrekt cookiebar indeholde?

  • Brugeren skal mødes af cookiebaren, straks han/hun rammer sitet
     
  • Brugeren skal have mulighed for selv at vælge cookies til og fra - eller tillade alle cookies.
     
  • Der skal være en kort beskrivelse af, hvilke cookies du benytter og til hvilke formål.
     
  • Der skal være link til din cookie- og persondatapolitik, hvor brugeren kan se præcis hvilke cookies, der sættes. Det kan du få et system til at håndtere for dig. Se længere nede.
     
  • Det skal være tydeligt, hvor brugeren kan gå hen for at styre, hvilke cookies han/hun har givet tilladelse til.
     
  • Accept af alle cookies må IKKE være et krav for at benytte websitet ligesom eksemplerne ovenfor.
     
  • De nødvendige cookies er dog obligatoriske og kan ikke fravælges. Se mere om de nødvendige cookies i boksene længere nede.

 

Hvad er nyt i Erhvervsstyrelsens opdaterede cookievejledning?

Som sagt har Erhvervsstyrelsen for nylig udgivet nye cookieregler.

Og kort tid derefter har bl.a. DMI fået ørene i maskinen for deres indsamling af cookies.

  1. Dine besøgende skal give et bevidst, aktivt og informeret samtykke, INDEN dine cookies bliver gemt på deres enheder.
  2. Et samtykke SKAL være opt-in. Altså et aktivt tilvalg eller aktiv afkrydsning. Felter og bokse må ikke være forudafkrydsede. Det er ikke nyt, men vigtigt at gentage.
  3. Besøgende på dit site SKAL kunne sige "nej tak" til cookies. Eneste undtagelse er de "teknisk nødvendige cookies" - se eksempler på dem i den grønne boks længere nede på siden.

Hvis du fx automatisk bliver tilmeldt en nyhedsbrevsliste, efter du har købt en vare eller tilmeldt dig et webinar eller et event, uden at du har krydset af i en boks og aktivt samtykket til det, er det ulovligt ifølge de nye, opdaterede cookieregler.

 

EU-dom: Forhåndsafkrydsede cookie-bokse er NO GO

Alt postyret - og den opdaterede cookievejledning fra Erhvervsstyrelsen - har sin baggrund i en nylig sag fra Tyskland

Det var den tyske virksomhed Planet 49, som fik ørene i maskinen. De havde nemlig afholdt en konkurrence, hvor samtykket til cookies/markedsføring var forhåndsafkrydset.

Sagen kom for EU-domstolen, som klart og tydeligt slog fast, at forhåndsafkrydset samtykke til cookies IKKE er gyldigt. Lige meget om oplysningerne er personhenførbare eller ej.
 

"Domstolen fremhæver, at samtykket skal være specifikt, således at det forhold, at en bruger trykker på knappen for at deltage i en salgsfremmende konkurrence, ikke er tilstrækkeligt for at lægge til grund, at denne gyldigt har afgivet sit samtykke til placering af cookies."
 

Dette er baggrunden for, at Erhvervsstyrelsen har opdateret og skærpet sin cookievejledning til webshops og hjemmesider generelt.

Er du den grundige type, kan du læse afgørelsen fra EU i sin fulde længde her.

 

Får man færre permissions med de nye cookieregler?

Ja, det gør du, og det rammer selvsagt din digitale marketing. Men hvor mange færre er ikke til at sige. 

Bruger du Cookiebot til at styre dine cookies og permissions, kan du i et dashboard følge, hvor mange der tillader alle cookies osv.
 

Guide til de nye cookieregler og gdpr
Cookiebot viser de præcise tal i dashboardet - i dette eksempel er de bare annonymiseret.


Tjekliste: 7 ting du SKAL kunne dokumentere ift. cookies og samtykke

EU-Domstolens dom og Erhvervsstyrelsens nye vejledning får stor betydning for formuleringen og udformningen af cookiebokse på mange websites og shops fremadrettet.
 

For du SKAL kunne dokumentere, at:
 

  1. Samtykket er givet frivilligt og aktivt, INDEN du sætter cookies hos brugeren

    Forudafskrydsede bokse eller samtykke, der baserer sig på den samtykkedes passivitet (fx "du kunne jo bare afmelde dig igen"-taktikken) eller er givet under "tvang" eller uretmæssige betingelser, gælder ikke. Den besøgende SKAL give samtykke til cookies, inden du må sætte dem.

    OBS på videoer: Vær særligt opmærksom på embedded videoer fra YouTube og Vimeo, der som standard sætter cookies, så snart man lander på siden - uanset om brugeren tillader cookies eller ej. Se mere om dette længere nede.

     
  2. Samtykket kun dækker ét formål 

    Hvis du som virksomhed ønsker at bruge dine personoplysninger til flere formål, SKAL brugeren afgive samtykke for hvert af disse formål.

     
  3. Samtykket IKKE er en givet som betingelse for levering af en vare/service/event eller brug af website 

    Der må ikke være negative konsekvenser af ikke at give samtykke. Så du må ikke nægte at levere en vare eller service, hvis folk ikke samtykker. Du må heller ikke - som i eksemplet i toppen - nægte den besøgende at bruge din hjemmeside, hvis han/hun ikke accepterer alle dine cookies.

    Et godt råd er i stedet at bruge positive incitamenter til at få folk til at signe sig op til dit nyhedsbrev.

     
  4. Samtykket kan dokumenteres

    Samtykket skal gives på skrift eller på en anden måde, som kan bevises.

     
  5. Det man samtykker til, er tydeligt og let at forstå 

    Brugeren må ikke være i tvivl om, hvad det drejer sig om. Det skal ligeledes være tydeligt, hvordan man trækker sit samtykke tilbage.

     
  6. Samtykket er specifikt

    Det skal for brugeren stå helt klart, hvad formålet er med databehandlingen er og hvilke personoplysninger, der behandles.

     
  7. Samtykke blev givet af en specifik person på et specifikt tidspunkt

    Kort sagt: Du skal kunne dokumentere, hvem der har givet samtykke, hvornår og hvordan samtykket blev givet samt hvad præcis den enkelte har samtykket til. Og at samtykket reelt ER afgivet frivilligt.


De fleste ting er ikke nye. Faktisk overhovedet ikke.

Se fx mere i denne Vejledning om samtykke fra Datatilsynet 



"Du kan bare afmelde dig igen" - Nej, det er ikke lovligt

Som ovenfor nævnt benytter mange sig i dag af "går den, så går den"-taktikken.

Særligt i forbindelse med events, webinarer og lignende bliver en tilmelding ofte tolket som en permission til marketing og tracking hos dem, der afholder. For eksempel fordi de holder webinarer for at få permissions, som de kan bearbejde til leads og kunder efterfølgende.

For nylig var en af vores kollegaer tilmeldt et webinar, som 4 virksomheder holdt sammen. Her kunne man kun få lov at deltage, hvis man gav ALLE fire virksomheder sin permission til at bruge ens data (og lave marketing derudfra). Den er ikke helt god...
 

OBS: Embedded videoer fra YouTube og Vimeo er problematiske

Videoer, som du har integreret/embedded på dit site, sætter automatisk cookies, SÅ SNART brugeren lander på siden, hvor din video ligger.

Det må de ikke.

Derfor skal du tilføje noget ekstra kode (se vejledning her), så der ikke sættes ulovlige cookies fra fx YouTube og Vimeo.

Bemærk, at ovenstående vejledning kun gælder, hvis du bruger Cookiebot som din cookie manager.

Faktaboks: Hvad er "teknisk nødvendige cookies"?

Teknisk nødvendige cookies, som du må sætte uden brugerens forudgående samtykke, er for eksempel:

  • Login-cookies, altså navn og adresse i forbindelse med bestilling.
     
  • Indkøbsvogn-cookies (basket cookies), som husker de varer, brugeren har puttet i kurven.
     
  • Andre tekniske cookies, som sikrer, at websitet fungerer for brugeren.

Pointen er, at teknisk nødvendige cookies ikke indsamler personlige informationer fra de besøgende og ikke registrerer, hvad brugeren søger efter på andre sider. De sættes for, at nogle kernefunktioner på websitet/shoppen virker.

Disse cookies må derfor sættes uden forudgående samtykke fra den besøgende. 

Eksempler på marketing- og statistikcookies:

Cookies, der sættes til brug for tracking, statistik og marketing, kræver et særskilt aktivt samtykke. Det kunne fx være:

  • 3. parts tracking-teknologi som Facebook Pixel, LinkedIn Insight Tag m.v.
     
  • Google Analytics, Google Tag Manager, Adobe Analytics, SiteImprove osv.
     
  • Sociale plug-ins som "Synes godt om" eller "del"-knapper fra Twitter, LinkedIn, Facebook m.v.

Anvender du cookies til tracking og marketing SKAL du have et aktivt samtykke. Du må ikke antage, at den besøgende accepterer det. 

5 lovlige grunde til, at du behandler persondataoplysninger

Du må opbevare og behandle persondata, hvis

  1. Der er givet aktivt samtykke (som ovenfor forklaret).
     
  2. Samtykket er nødvendigt i forhold til leverancen. Hvis man fx har købt en service, som kræver løbende kommunikation og opdateringer.
     
  3. Du som virksomhed har et retlig forpligtelse til at indhente og opbevare oplysningerne. Fx i forhold til hvidvask, aldersbetinget salg osv.
     
  4. Oplysningerne er vitale for den registreredes ve og vel. Fx hvis man skal kunne komme i kontakt med en pårørende i tilfælde af ulykke m.v., må disse oplysninger registreres.
     
  5. Opgaven er i samfundets tjeneste fx i form at myndighedsopgaver. 

 

Generelt: Uklart/ulovligt samtykke = intet samtykke

Det kan siges ganske kort:

Hvis reglerne for samtykke ikke er overholdt, gælder samtykket ikke. Og den pågældende virksomhed opbevarer og behandler dine oplysninger ulovligt. 

Er sagen særlig kritisabel, kan Datatilsynet anmelde en virksomhed til Politiet, som derefter kan sigte og tiltale virksomheden for brud på loven og udstede bøder.

Datatilsynet kan dog selvstændigt udtale offentlig kritik, hvilket ikke er så rart for ens omdømme...

 

Brug for hjælp til opsætning af cookiebot?

Hos No Zebra anbefaler vi systemet Cookiebot (og bruger det også selv) til korrekt samtykke og håndtering af cookies og persondata. 

Cookiebot registrer selv alle de plugins, statistik-værktøjer og 3. partssystemer, du bruger og har integreret på dit site. Det betyder, at din cookie- og persondatapolitik hele tiden er up to date, når eventuelt interesserede besøgende vil se, hvad du tracker.

Du kan tage en gratis test på Cookiebots hjemmeside og se, om dit website overholder GDPR- og ePrivacy Direktivet (ePR)

 

Tak for din tid og held og lykke med dine cookies! :)

 

/Tina Engelsen Pedersen
Service Team Frontend Developer, No Zebra
[email protected]