Det juridiske grundlag

Forpligtelser vedrørende cookiesamtykke stammer fra GDPR (Regulation 2016/679) og ePrivacy Directive (2002/58/EC). ePrivacy Directive kræver samtykke, før der gemmes information på brugerens enhed (Article 5(3)), mens GDPR definerer gyldigt samtykke (Article 4(11), Article 7, Recital 32).

De 14 krav

1. Forudgående samtykke

Ikke-essentielle cookies må ikke aktiveres, før brugeren giver samtykke. Article 5(3) i ePrivacy Directive er utvetydig. CNIL bødede Google EUR 150 millioner (2022) for at indlæse cookies før brugerinteraktion.

2. Frit givet samtykke

Samtykke kan ikke være en betingelse for adgang (GDPR Article 4(11)). Cookiesamtykke må ikke sammenkobles med servicevilkår.

3. Detaljeret formålsvalg

Brugere skal give samtykke til hvert formål uafhængigt — analyse, reklame, funktionelt (GDPR Recital 43). En enkelt "Acceptér alle"-knap uden kategorivalg er utilstrækkeligt.

4. Lige synlighed for Acceptér og Afvis

Afvis skal være lige så synligt som Acceptér. CNIL kræver en "Afvis alle"-knap på det første lag med samme visuelle vægt. Microsoft blev bødet EUR 60 millioner (2022) delvist for at skjule afvisningsmuligheden.

5. Ingen forudmarkerede bokse

CJEU Planet49-afgørelsen (C-673/17, 2019): forudmarkerede bokse er ikke gyldigt samtykke. Alle kategorier skal som standard være slået fra.

6. Ingen cookie walls

At blokere adgang til siden, indtil samtykke er givet, er generelt ikke i overensstemmelse med reglerne. EDPB og den hollandske DPA har bekræftet dette.

7. Klart og enkelt sprog

GDPR Article 7(2) — samtykkeanmodninger skal bruge klart og enkelt sprog. "Vi bruger cookies til at forbedre din oplevelse" er utilstrækkeligt.

8. Sprogmatch

GDPR Article 12(1) — information skal være forståelig. Banneret skal matche hjemmesidens sprog.

9. Link til cookiepolitik

GDPR Articles 13-14 kræver omfattende information. Banneret skal linke til en fuldstændig cookiepolitik, der angiver hver enkelt cookie.

10. Nem tilbagetrækning

GDPR Article 7(3) — tilbagetrækning skal være lige så let som at give samtykke. En fast widget eller et link i sidefoden skal muliggøre genåbning af samtykkefladen.

11. Registrering af samtykke

GDPR Article 7(1) — du skal kunne dokumentere, at samtykke er indhentet. Logfør tidsstempler, valg og bannerversioner.

12. Tredjeparts offentliggørelse

GDPR Article 13(1)(e) — offentliggør alle tredjeparts datamodtagere. Under TCF 2.3 skal leverandørlisten være tilgængelig fra samtykkefladen.

13. Gennemsigtighed om dataopbevaring

GDPR Article 13(2)(a) — offentliggør, hvor længe cookies varer.

14. Mobil responsivitet

Ingen GDPR-undtagelse for mobil. Knapper skal kunne trykkes på, tekst skal være læselig, grænsefladen skal fungere på alle skærmstørrelser.

Hurtig audit-tjekliste

• Ingen ikke-essentielle cookies aktiveres før samtykke
• Acceptér og Afvis er lige synlige på det første lag
• Individuelt kategorivalg er tilgængeligt
• Ingen forudvalgte skift for ikke-essentielle kategorier
• Siden er tilgængelig, selv hvis brugeren afviser alt
• Bannersproget matcher indholdets sprog
• Enkelt, ikke-teknisk sprog bruges
• Link til fuld cookiepolitik er synlig på banneret
• Cookiepolitikken angiver hver cookie efter navn, formål og varighed
• En fast widget gør det muligt at genåbne samtykkefladen
• Tilbagetrækning af samtykke kræver samme antal klik som at give det
• Samtykkeposter logføres med tidsstempler
• Tredjeparts modtagere er offentliggjort
• Banneret fungerer på mobile enheder
• Ingen manipulerende farver, størrelser eller formuleringer

Automatisér det: FlexyConsent håndterer alle krav direkte fra boksen — Google-certificeret CMP med IAB TCF 2.3, Consent Mode V2, 43+ sprog, planer fra EUR 0/måned. Kom i gang på panel.flexyconsent.com.