Cookies er ikke længere "den lille pop-up nederst i hjørnet". De er et af de mest sanktionerede compliance-områder i hele GDPR-håndhævelsen — Datatilsynet og europæiske datatilsynsmyndigheder har givet bøder på flere hundrede millioner kroner alene for forkerte cookie-bannere. Reglerne kommer fra to lag: ePrivacy-direktivet (implementeret i Danmark via cookiebekendtgørelsen) regulerer hvornår der skal samtykkes, og GDPR regulerer hvordan samtykket skal indhentes.
To regelsæt — ePrivacy og GDPR
Mange forveksler cookie-reglerne med "GDPR-regler". Det er kun delvist korrekt. To selvstændige regelsæt regulerer cookies:
ePrivacy: hvornår skal der samtykkes?
ePrivacy-direktivet (2002/58/EF, som ændret ved 2009/136/EF) er implementeret i Danmark via cookiebekendtgørelsen (BEK nr. 1148 af 09/12/2011). Reglen er enkel: for at lagre eller læse oplysninger på en brugers udstyr (cookies, localStorage, fingerprinting, pixel tags), kræves som udgangspunkt forudgående samtykke. Eneste undtagelse: hvis cookien er strengt nødvendig for en tjeneste, brugeren udtrykkeligt har anmodet om.
GDPR: hvordan skal samtykket indhentes?
GDPR (forordning 2016/679) regulerer behandling af personoplysninger. Cookies, der identificerer en bruger, er personoplysninger. Derfor kræver behandlingen et lovligt grundlag — typisk samtykke efter art. 6 stk. 1 litra a og art. 7. GDPR's krav til samtykke er strenge: frivilligt, specifikt, informeret og utvetydigt.
Samspillet i praksis
| Hvad regulerer det? | ePrivacy / cookiebekendtgørelsen | GDPR |
|---|---|---|
| Hvornår der skal samtykkes | Ja — al lagring/læsning på udstyr | Nej |
| Hvordan samtykket skal være | Henviser til GDPR-niveau | Frivilligt, specifikt, informeret, utvetydigt |
| Hvad der må gøres med data | Nej | Ja — formål, opbevaring, rettigheder |
| Sanktioner | Politianmeldelse + bøde | Op til 20 mio. EUR / 4% af global omsætning |
Praktisk eksempel: Hvorfor "GDPR-cookie-banner" er forkert begreb
Mange virksomheder taler om at "være GDPR-compliant" på cookies. Reelt skal de overholde to regelsæt samtidigt. En virksomhed kan have et perfekt udformet samtykkebanner efter GDPR (klar information, lige store knapper) — og stadig være ude i ePrivacy-brud, hvis cookies sættes før samtykke. Det er præcis denne fejl, Datatilsynet har sanktioneret hos flere store danske virksomheder.
4 cookie-kategorier
Ikke alle cookies behandles ens. Cookies kategoriseres typisk i fire grupper, hvoraf kun én er undtaget fra samtykkekravet:
| Kategori | Eksempler | Samtykke krævet? |
|---|---|---|
| Strengt nødvendige | Indkøbskurv, login-session, sprogvalg, CSRF-token | Nej (cookiebekendtgørelsens § 3 stk. 2) |
| Statistik (analytics) | Google Analytics, Hotjar, Matomo | Ja — forudgående aktivt samtykke |
| Funktionelle | Husk indstillinger, tema-valg, video-afspilning | Ja, hvis ikke "udtrykkeligt anmodet" |
| Marketing / tracking | Facebook Pixel, Google Ads, retargeting | Ja — strengeste samtykkekrav |
Praktisk eksempel: Hjemmesiden der "kun brugte Analytics"
En mellemstor dansk webshop havde et minimalistisk cookie-banner: "Vi bruger cookies til at forbedre din oplevelse. OK". Bag scenen lå Google Analytics, Facebook Pixel og 3 retargeting-tags. Datatilsynet modtog en klage og fandt, at (1) cookies blev sat før samtykke, (2) der var ingen reel afvis-mulighed, (3) samtykkebanneret oplyste ikke om tredjepartsoverførsler til USA. Sagen endte med tilsynsindgreb og obligatorisk omlægning. Lektien: Selv "kun Analytics" kræver fuldt samtykkebanner.
Samtykke-kravene
GDPR's art. 4 nr. 11 definerer samtykke som "enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse". Hvert ord har konsekvens:
Frivilligt
Brugeren skal kunne afvise uden konsekvenser for at bruge tjenesten (medmindre cookien er strengt nødvendig). "Cookie-walls" — hvor adgang nægtes uden samtykke — er ulovlige for ikke-nødvendige cookies. Samtykket må heller ikke være pakket sammen med accept af forretningsbetingelser.
Specifikt
Et samtykke til "alle cookies" er ikke specifikt. Brugeren skal kunne vælge kategorierne hver for sig (statistik, funktionel, marketing). Granular samtykke er normen — ikke en undtagelse.
Informeret
Brugeren skal vide, hvad der samtykkes til: hvilke cookies, hvilke formål, hvilken opbevaringstid, hvilke modtagere (især tredjepart i USA), hvordan samtykket trækkes tilbage. Information skal være tilgængelig før samtykket gives — typisk via en cookiepolitik linket fra banneret.
Utvetydigt
Aktiv handling — typisk klik på "Accepter" eller specifikke kategori-bokse. Ikke-handling tæller ikke. At fortsætte navigation, scrolle, eller bare bruge siden er ikke samtykke. Forudfyldte bokse er ulovlige (jf. EU-Domstolens Planet49-dom, C-673/17).
Cookie-banneret — hvad må og må ikke
Banneret er det kritiske touchpoint. Her er de konkrete designkrav:
Skal være
- Synligt før cookies sættes: Ingen statistik, marketing eller funktionelle cookies må sættes, før brugeren har taget aktivt stilling.
- Symmetrisk: "Accepter alle" og "Afvis alle" skal være lige fremtrædende på første lag.
- Granulært: Brugeren skal nemt kunne vælge enkelte kategorier (statistik, funktionel, marketing).
- Klart sproget: Almindeligt sprog — ikke juridisk jargon eller engelsk på en dansk side.
- Tilgængeligt for handicappede: Læsbart med skærmlæser, kontraster overholdt, tastaturnavigerbart (WCAG 2.1).
- Genfindelig: Brugeren skal kunne ændre eller trække samtykket tilbage lige så nemt, som det blev givet — typisk via en "Cookie-indstillinger"-knap i footeren.
Må ikke være
- Forudfyldte bokse — al statistik, funktionel og marketing skal være fra som default
- "Cookie-wall" der nægter adgang uden samtykke (for ikke-nødvendige cookies)
- Skjulte afvis-knapper (kun "Accepter" synlig på første lag)
- "Alt eller intet" uden granulært valg
- "Fortsæt navigation = samtykke"-formuleringer
- Genintroduktion af samme spørgsmål inden for kort tid (cookie-banner-spam)
Praktisk eksempel: Banneret der koster 2,5 mio. kr.
Den franske datatilsynsmyndighed CNIL gav i 2021 og 2022 milliardbøder til Google og Facebook for cookie-bannere uden symmetrisk afvis-knap. Princippet er det samme i Danmark. Datatilsynet har siden 2022 håndhævet symmetri-kravet konsekvent. En typisk dansk virksomhed risikerer ikke milliardbøder, men sanktioner i størrelsesordenen 50.000-500.000 kr. + obligatorisk omlægning + offentliggørelse er almindelige.
Cookiepolitikken — 8 elementer
Cookiepolitikken er det dokument, banneret linker til. Den supplerer privatlivspolitikken og skal indeholde minimum følgende otte elementer:
Kort, ikke-teknisk forklaring af, hvad en cookie er, og hvorfor websiden bruger dem.
Virksomhedens fulde navn, CVR-nummer, adresse og kontaktoplysninger. Hvis relevant: kontakt til DPO.
Tabel med alle cookies: navn, type (1st/3rd party), kategori, formål, leverandør, opbevaringstid. Kan automatiseres med scanner-værktøjer.
Hvilket lovligt grundlag bruges for hver kategori? Strengt nødvendige: legitime interesse / opfyldelse af aftale. Statistik/marketing/funktionel: samtykke (GDPR art. 6 stk. 1 litra a).
Hvilke tredjeparter modtager data? Sker der overførsel til lande uden for EU/EØS (f.eks. USA), og hvad er overførselsgrundlaget (Standard Contractual Clauses, EU-US Data Privacy Framework)?
Indsigt, berigtigelse, sletning, dataportabilitet, indsigelse, tilbagetrækning af samtykke. Hvordan rettighederne udøves i praksis (kontaktformular eller email).
Vejledning til at bruge sidens "Cookie-indstillinger"-knap + browserens egne indstillinger.
Brugeren har ret til at klage til Datatilsynet — link til datatilsynet.dk og kontaktoplysninger. Skal stå eksplicit.
Opbevaring og dokumentation
Et samtykke er ikke en engangshandling — det skal kunne dokumenteres senere. GDPR's accountability-princip (art. 5 stk. 2) kræver, at den dataansvarlige kan vise, at samtykke er givet korrekt.
Hvad skal logges
- Tidspunkt for samtykket (ISO 8601-timestamp)
- Hvilke kategorier brugeren accepterede
- Banner-versionen brugeren så (knap-tekst, layout, placering)
- Brugerens consent-ID eller en unik henvisning
- Hvilken metode der blev brugt (klik på "Accepter alle", granulært valg, etc.)
Opbevaringstid
Datatilsynet anbefaler, at samtykket skal genindhentes mindst hver 12 måned. Selve samtykke-loggen bør opbevares i 3-5 år for at kunne dokumentere ved klage eller tilsynsbesøg. Brug et CMP (Consent Management Platform) som Cookiebot, OneTrust eller egne værktøjer — manuel logning skalerer ikke.
Tilbagetrækning
Tilbagetrækning skal være lige nem som tildeling. Et "Cookie-indstillinger"-link i footeren, der åbner samme banner, er minimum. Når et samtykke trækkes tilbage, skal alle relevante cookies aktivt slettes — ikke bare "ikke længere sættes". Ellers er datasubjektets rettighed ikke effektiv.
5 fejl Datatilsynet sanktionerer
1. Cookies sættes før samtykke
Datatilsynet kører periodiske scanningskampagner. Et hyppigt fund: Google Analytics, Facebook Pixel og lignende loader, så snart siden åbner — uafhængigt af, om brugeren har samtykket. Dette er ét af de mest sanktionerede forhold.
2. Asymmetrisk banner
"Accepter alle" som stor grøn knap, "Afvis" som lille grå tekstlink. Datatilsynet anser dette som dark pattern, der reelt eliminerer det frivillige element i samtykket.
3. Forudfyldte bokse
EU-Domstolens Planet49-dom (C-673/17) har siden 2019 været klar: forudfyldte samtykkebokse er ikke gyldige. Alligevel ses det stadig — typisk i ældre cookie-bannere. Datatilsynet har sanktioneret det flere gange.
4. Manglende information om tredjeparter
Cookiepolitikken nævner "vi bruger cookies fra tredjeparter" uden at navngive dem. GDPR kræver konkret oplysning. Især problematisk for tredjeparter i USA, hvor der skal redegøres for overførselsgrundlaget (Standard Contractual Clauses, Data Privacy Framework).
5. Cookie-wall
"Du skal acceptere alle cookies for at læse artiklen" er ulovligt for ikke-nødvendige cookies. EU-Databeskyttelsesrådets retningslinjer 05/2020 er klare: tjenestens funktionalitet må ikke gøres betinget af samtykke til ikke-nødvendige cookies.
Tjekliste før banner går live
Brug denne tjekliste før cookie-banner og -politik publiceres:
- ☐ Alle cookies på siden er kortlagt og kategoriseret korrekt
- ☐ Strengt nødvendige cookies er identificeret (loadet uden samtykke)
- ☐ Statistik, funktionelle og marketing cookies sættes først efter aktivt samtykke
- ☐ Banner viser "Accepter alle" og "Afvis alle" lige fremtrædende
- ☐ Granulært valg pr. kategori er muligt på første eller andet lag
- ☐ Ingen forudfyldte bokse — alle ikke-nødvendige er fra som default
- ☐ Cookiepolitikken indeholder alle 8 elementer
- ☐ Komplet cookie-liste med navn, formål, type, opbevaringstid, leverandør
- ☐ Tredjepartsoverførsler (især USA) er beskrevet med overførselsgrundlag
- ☐ "Cookie-indstillinger"-link er tilgængeligt fra footeren på alle sider
- ☐ Tilbagetrækning sletter aktivt cookies, ikke bare stopper nye
- ☐ Samtykke-loggen gemmes i 3-5 år for dokumentation
- ☐ Genindhent af samtykke planlagt mindst hver 12. måned
- ☐ Klagevejledning til Datatilsynet er nævnt i politikken
Opret din cookiepolitik med LovBot
LovBot genererer en juridisk komplet cookiepolitik, der overholder både ePrivacy-direktivet, cookiebekendtgørelsen og GDPR. Tilpasset jeres faktiske cookie-brug, klar til at supplere jeres CMP-banner.
Relaterede guides
- Privatlivspolitik: Hvad skal den indeholde? – Det parallelle GDPR-dokument, der dækker al databehandling
- Komplet guide til GDPR for SMV'er – Den brede ramme bag cookie-reglerne
- Databehandleraftale — GDPR artikel 28 – Aftalen med tredjeparts cookie-leverandører
- Forretningsbetingelser: Guide til din webshop – De juridiske dokumenter, der hører sammen for en webshop
Denne artikel er informativ og bør ikke erstatte juridisk rådgivning. Ved vigtige juridiske spørgsmål, kontakt en advokat.