Cookiepolitik — samtykke og cookiehåndtering efter cookiebekendtgørelsen
Cookiebekendtgørelsen (BEK 1148/2022) | GDPR | Databeskyttelsesloven (502/2018) | ePrivacy
Identifikation
COOKIEPOLITIK
Hjemmeside: [Hjemmeside] Dataansvarlig: [Virksomhed Navn] Kontakt: [Kontakt Email] Senest opdateret: [Sidst Opdateret]
1. Hvad er cookies?
1.1 Cookies er små tekstfiler, som gemmes på din computer, tablet eller smartphone, når du besøger [Hjemmeside]. Cookies gør det muligt at genkende din browser ved næste besøg og gemme visse indstillinger og oplysninger.
1.2 Behandlingen af cookies er reguleret af cookiebekendtgørelsen (BEK nr. 1148 af 09/09/2022 om information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr, udstedt af Erhvervsstyrelsen), som gennemfører artikel 5, stk. 3, i ePrivacy-direktivet (2002/58/EF).
1.3 Indsamling og behandling af personoplysninger via cookies sker i overensstemmelse med databeskyttelsesforordningen (GDPR, forordning 2016/679) og databeskyttelsesloven (lov nr. 502 af 23/05/2018). Datatilsynet fører tilsyn med behandlingen af personoplysninger i Danmark.
2. Samtykke til cookies
2.1 Visse cookies kræver dit samtykke, inden de placeres. Samtykket indhentes via vores cookiebanner, når du første gang besøger [Hjemmeside]. Samtykket er frivilligt — du kan afvise samtykke uden konsekvenser for din brug af hjemmesiden, bortset fra at visse funktioner muligvis ikke vil virke optimalt.
2.2 Du kan til enhver tid tilbagekalde dit samtykke ved at klikke på cookieindstillingslinket i bunden af siden eller i vores cookiebanner. Tilbagekaldelse sker med fremtidig virkning og berører ikke behandling, der har fundet sted forud for tilbagekaldelsen, jf. GDPR art. 7, stk. 3.
2.3 Vi anvender [Cookiekonsentloesning] som vores samtykkeplatform (CMP). Samtykket dokumenteres og opbevares af CMP-løsningen i overensstemmelse med GDPR's krav om dokumentation for samtykke, jf. GDPR art. 7, stk. 1.
3. Oversigt over cookies
3.1 Nødvendige cookies (ingen samtykke krævet)
Nødvendige cookies er afgørende for hjemmesidens grundlæggende funktioner og kan ikke fravalges. De placeres altid. Eksempler: session-cookies til login-funktioner, CSRF-tokens til sikkerhed, load-balancer-cookies og sprogindstillinger. Disse cookies behandler ikke personoplysninger ud over teknisk nødvendig information og falder inden for undtagelsen i cookiebekendtgørelsens § 3, stk. 3.
3.2 Præferencecookies (kræver samtykke)
Præferencecookies husker dine indstillinger på hjemmesiden, som f.eks. valgt sprog, layout eller font-størrelse. De gør din oplevelse mere personlig, men er ikke nødvendige for hjemmesidens drift.
4. Opbevaringsperiode
4.1 Cookies opbevares i varierende perioder afhængigt af cookiens type og formål. Sessioncookies slettes automatisk, når du lukker browseren. Persistente cookies opbevares typisk i 1-24 måneder fra tidspunktet for placering, medmindre du forinden sletter dem eller tilbagekalder samtykket. En oversigt over den konkrete opbevaringsperiode for hver cookie er tilgængelig i vores cookiebanner.
4.2 Samtykkedokumentation opbevares i op til 5 år i overensstemmelse med GDPR art. 7, stk. 1, og Datatilsynets vejledning om dokumentation for samtykke.
5. Dine rettigheder
5.1 Du har i medfør af GDPR kapitel III følgende rettigheder i relation til behandling af personoplysninger via cookies: ret til indsigt (art. 15), ret til berigtigelse (art. 16), ret til sletning (art. 17), ret til begrænsning (art. 18), ret til dataportabilitet (art. 20) og ret til indsigelse (art. 21).
5.2 Henvendelser om udøvelse af dine rettigheder kan rettes til [Virksomhed Navn] på e-mail: [Kontakt Email]. Vi besvarer din henvendelse senest inden 1 måned.
5.3 Ønsker du at klage over vores behandling af personoplysninger, kan du indgive klage til Datatilsynet, Carl Jacobsens Vej 35, 2500 Valby, tlf. 33 19 32 00, [email protected], www.datatilsynet.dk.
6. Håndtering af cookies i browseren
6.1 Ud over vores cookiebanner kan du administrere og slette cookies direkte i din browser. De fleste browsere giver mulighed for at se, slette og blokere cookies fra specifikke hjemmesider. Vær opmærksom på, at blokering af nødvendige cookies kan påvirke hjemmesidens funktionalitet.
6.2 Vejledning til cookieindstillinger i de mest brugte browsere: Google Chrome (Indstillinger → Beskyttelse af personlige oplysninger → Cookies), Mozilla Firefox (Indstillinger → Beskyttelse af personlige oplysninger → Cookies og webstedsdata), Safari (Indstillinger → Fortrolighed → Cookies), Microsoft Edge (Indstillinger → Cookier og tilladelser).
7. Opdatering af cookiepolitikken
7.1 [Virksomhed Navn] opdaterer løbende denne cookiepolitik, når hjemmesidens cookies ændres, nye cookies tilføjes, lovgivningen ændres, eller Datatilsynets vejledning opdateres. Den gældende version er altid tilgængelig på [Hjemmeside]. Ved væsentlige ændringer informeres du via et synligt banner på hjemmesiden.
Dataansvarlig
________________
Signature
Hvad er Cookiepolitik — samtykke og cookiehåndtering efter cookiebekendtgørelsen?
Cookiepolitikken i Danmark er et lovpligtigt informationsdokument, som enhver hjemmeside, der anvender cookies, skal stille til rådighed for sine besøgende. Dokumentet oplyser brugerne om, hvilke cookies hjemmesiden anvender, hvad formålet er, og hvad brugerens rettigheder er — herunder retten til at afvise ikke-nødvendige cookies. Cookiepolitikken er det centrale redskab til at opfylde informationsforpligtelsen i cookiebekendtgørelsen (BEK nr. 1148 af 09. september 2022 om information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr), udstedt af Erhvervsstyrelsen med hjemmel i lov om elektroniske kommunikationsnet og -tjenester.
Cookiebekendtgørelsen gennemfører artikel 5, stk. 3, i ePrivacy-direktivet (direktiv 2002/58/EF om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor). Direktivet er siden suppleret af GDPR (databeskyttelsesforordningen, forordning 2016/679) og databeskyttelsesloven (lov nr. 502 af 23/05/2018). Datatilsynet er den kompetente tilsynsmyndighed og fører tilsyn med overholdelsen af reglerne om cookies og behandling af personoplysninger.
Den grundlæggende regel er, at cookies, der ikke er strengt nødvendige for hjemmesidens drift, kun må placeres med brugerens forudgående informerede samtykke. Samtykket skal opfylde kravene i GDPR art. 4, nr. 11: det skal være frivilligt, specifikt, informeret og utvetydigt. Et forudtjekket samtykkeafkrydsningsfelt eller fortsat brug af hjemmesiden uden aktiv handling udgør ikke et gyldigt samtykke. Samtykket skal dokumenteres, og brugeren skal let kunne trække det tilbage.
Forbudt er den praksis, der var udbredt frem til 2021, hvor hjemmesider informerede om cookies ved at vise en besked som »Vi bruger cookies — ved fortsat brug accepterer du dette«. Erhvervsstyrelsen og Datatilsynet har siden slået fast, at sådanne løsninger ikke opfylder samtykkekravene. En korrekt cookiepolitik og et korrekt cookiebanner sondrer klart mellem nødvendige cookies (ingen samtykke krævet) og ikke-nødvendige cookies (eksplicit samtykke krævet).
Cookiepolitikken er ikke blot et juridisk krav — det er også et tillids- og gennemsigtighedssignal. Forbrugere er i stigende grad opmærksomme på cookies og dataindsamling. En klar, letlæselig og opdateret cookiepolitik styrker brugernes tillid til virksomheden. Erhvervsstyrelsen fører tilsyn med cookiebekendtgørelsen og kan pålægge bøder ved overtrædelse. Datatilsynet kan sanktionere manglende GDPR-overholdelse i forbindelse med cookies med administrative bøder på op til 20 mio. euro eller 4 % af global omsætning, jf. GDPR art. 83.
Hvornår har du brug for Cookiepolitik — samtykke og cookiehåndtering efter cookiebekendtgørelsen?
Cookiepolitikken i Danmark er nødvendig i alle situationer, hvor en hjemmeside eller app placerer cookies på brugerens enhed.
Første situation er kommercielle hjemmesider med tracking. Enhver erhvervsdrivende hjemmeside, der anvender Google Analytics, Facebook Pixel, LinkedIn Insight Tag, Google Ads-konverteringssporing eller lignende analytiske og markedsføringscookies, har pligt til en cookiepolitik. Disse cookies er ikke nødvendige for hjemmesidens tekniske drift og kræver samtykke. Cookiebekendtgørelsens § 3 er klar: cookies med henblik på sporing, profilering eller reklamemåling kræver forudgående informeret samtykke.
Anden situation er webshops og e-handelsplatforme. Webshops bruger typisk en kombination af nødvendige cookies (session-id, indkøbskurv), præferencecookies (valgt valuta, sprog) og markedsføringscookies (retargeting, abandon-cart-sporing). Handelen er reguleret af både cookiebekendtgørelsen og markedsføringsloven (LBK nr. 1420 af 02/12/2024). Webshops er specifikt nævnt i Erhvervsstyrelsens vejledning om cookies.
Tredje situation er hjemmesider med indlejret indhold fra tredjeparter. Sociale medie-knapper (»Del på Facebook«, »Tweet«), YouTube-videoer og Google Maps indlæser scripts fra tredjeparter, som sætter cookies. Disse tredjepartscookies er ikke nødvendige og kræver samtykke. Cookiepolitikken skal informere om tredjeparternes identitet og formål.
Fjerde situation er SaaS-produkter og apps. Software-som-en-service-produkter og mobilapps, der anvender en webbaseret del, er ligeledes underlagt cookiebekendtgørelsen, hvis de sætter cookies i brugerens browser. Autentificeringscookies, der er nødvendige for login-funktionen, er undtaget — andre cookies kræver samtykke.
Femte situation er offentlige myndigheder og institutioner. Offentlige hjemmesider er ikke undtaget fra cookiebekendtgørelsen. Datatilsynet og Erhvervsstyrelsen har begge gennemgået og sanktioneret offentlige hjemmesider med mangelfulde cookieløsninger. Kommuner, regioner og statslige myndigheder skal have en gyldig cookiepolitik.
Sjette situation er virksomheder, der opdaterer eksisterende cookiepolitikker. Cookiebekendtgørelsen er en dynamisk regulering — Datatilsynets praksis udvikler sig, og nye cookie-teknologier dukker op. Virksomheder bør revidere cookiepolitikken mindst én gang om året og ved ændringer i hjemmesidens tekniske setup.
Hvad skal Cookiepolitik — samtykke og cookiehåndtering efter cookiebekendtgørelsen indeholde
En lovmedholdelig cookiepolitik til Danmark skal indeholde en række centrale elementer, der er specificeret i cookiebekendtgørelsen og Datatilsynets vejledning.
Identifikation af den dataansvarlige er udgangspunktet. Cookiepolitikken skal oplyse, hvem der er dataansvarlig for hjemmesidens cookies — virksomhedens navn, CVR-nummer og kontaktoplysninger. Brugeren skal vide, hvem der er ansvarlig for behandlingen af personoplysninger.
Klar kategorisering af cookies er afgørende. En effektiv cookiepolitik sondrer klart mellem: (1) nødvendige cookies (teknisk nødvendige, ingen samtykke krævet), (2) præferencecookies (husker indstillinger, kræver samtykke), (3) analytiske/statistiske cookies (måler trafik og adfærd, kræver samtykke) og (4) markedsføringscookies (annoncering og remarketing, kræver samtykke). Kategoriseringen følger IAB Europe's Cookie Taxonomy og Datatilsynets vejledning fra 2021 og 2023.
Formål og retsgrundlag for hver cookiekategori skal fremgå. For nødvendige cookies er retsgrundlaget legitim interesse eller opfyldelse af kontrakt (GDPR art. 6, stk. 1, litra b eller f). For alle øvrige cookies er retsgrundlaget samtykke (GDPR art. 6, stk. 1, litra a). Cookiepolitikken skal eksplicit angive det retlige grundlag for behandlingen.
Samtykkeløsning og -administration er et praktisk krav. Cookiepolitikken bør forklare, at samtykke indhentes via et cookiebanner, og at brugeren til enhver tid kan tilbagekalde samtykket. Den konkrete CMP-løsning (Consent Management Platform) — f.eks. Cookiebot, Cookie Information eller Usercentrics — bør nævnes. Datatilsynet anbefaler, at CMP-løsningen er IAB TCF-certificeret eller tilsvarende.
Opbevaringsperioder er et krav under GDPR art. 13, litra a, nr. v. Cookiepolitikken skal angive, hvor lang tid de forskellige cookies opbevares. Sessioncookies slettes ved browserlukning; persistente cookies opbevares typisk i 1-24 måneder.
Tredjeparters identitet og links til deres privatlivspolitikker er nødvendige, når hjemmesiden anvender tredjepartscookies. Brugeren skal vide, hvem der sætter cookies, og have mulighed for at læse tredjepartens privatlivspolitik.
Brugerens rettigheder under GDPR art. 13 og kapitel III skal beskrives — herunder ret til indsigt, berigtigelse, sletning, begrænsning, dataportabilitet og indsigelse. Adgangen til at indgive klage til Datatilsynet skal nævnes. forms-legal.com tilbyder en gratis cookiepolitik-skabelon, der dækker alle disse elementer og er tilpasset dansk lovgivning pr. 2026.
Sådan udfylder du Cookiepolitik — samtykke og cookiehåndtering efter cookiebekendtgørelsen
Korrekt udfyldelse af cookiepolitikken kræver et overblik over hjemmesidens tekniske setup og cookieanvendelse.
Trin 1 — kortlæg hjemmesidens cookies: Brug et automatisk cookie-scan-værktøj — f.eks. Cookiebot Scanner, Screaming Frog Cookie Scan eller OneTrust Cookie Audit — til at identificere alle cookies på hjemmesiden. Notér cookie-navn, udbyder, kategori, formål og opbevaringsperiode for hver cookie. Kortlægningen bør opdateres ved ændringer i hjemmesidens tekniske setup og mindst én gang om året.
Trin 2 — identificér den dataansvarlige: Angiv virksomhedens fulde firmanavn og CVR-nummer. Angiv en gyldig e-mailadresse, som brugerne kan henvende sig til om cookies og privatlivsspørgsmål.
Trin 3 — vælg CMP-løsning: En valid samtykkeløsning er en teknisk forudsætning for en lovmedholdelig cookiepolitik. Vælg en CMP-løsning, der understøtter IAB Transparency and Consent Framework (TCF 2.2) og dokumenterer samtykker. Populære løsninger i Danmark: Cookiebot, Cookie Information og Usercentrics.
Trin 4 — kategorisér og beskriv cookierne: Opdel cookierne i de fire kategorier: nødvendige, præference, analytiske og markedsføringscookies. Beskriv formålet med hver kategori i letforståeligt sprog uden teknisk jargon.
Trin 5 — angiv opbevaringsperioder og tredjeparter: For hver cookie (eller cookiekategori) angiv opbevaringsperioden. For tredjepartscookies angiv udbyderens navn og link til udbyderens privatlivspolitik.
Trin 6 — beskriv samtykkeprocessen: Forklar, hvordan brugeren giver og tilbagekalder samtykke — typisk via cookiebanneret og cookieindstillingslinket i sidefoden. Gør det klart, at tilbagekaldelse er mulig til enhver tid.
Trin 7 — angiv GDPR-rettigheder og klagemuligheder: Beskriv brugerens rettigheder og oplys om muligheden for at klage til Datatilsynet. Angiv Datatilsynets kontaktoplysninger.
Trin 8 — publicér og vedligehold: Publicér cookiepolitikken på hjemmesidens sidefod og i cookiebanneret. Opdatér politikken ved ændringer i cookieanvendelsen eller lovgivningen.
Juridiske krav til Cookiepolitik — samtykke og cookiehåndtering efter cookiebekendtgørelsen
Cookiepolitikken i Danmark er underlagt en kombination af danske og EU-retlige regler, der til sammen danner det juridiske grundlag for lovmedholdelig cookiehåndtering.
Cookiebekendtgørelsen: BEK nr. 1148 af 09. september 2022 (om information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr) er den centrale danske regeludstedt af Erhvervsstyrelsen. § 3, stk. 1, fastslår, at cookies kun må placeres, hvis brugeren har givet forudgående, informeret samtykke. § 3, stk. 3, undtager nødvendige cookies (teknisk nødvendige for hjemmesidens funktion eller for at levere en tjeneste, der udtrykkeligt er ønsket af brugeren). Erhvervsstyrelsen fører tilsyn med bekendtgørelsens overholdelse og kan pålægge bøder.
ePrivacy-direktivet: Bekendtgørelsen gennemfører artikel 5, stk. 3, i ePrivacy-direktivet (direktiv 2002/58/EF). Direktivet er specifikt for elektronisk kommunikation og supplerer GDPR. Det kommende ePrivacy-forordning (der erstatter direktivet) har været under forhandling i EU's lovgivningsproces siden 2017 — det eksisterende direktiv er fortsat gældende, til forordningen vedtages og træder i kraft.
GDPR: Databeskyttelsesforordningen (forordning 2016/679) gælder for behandling af personoplysninger via cookies. Art. 4, nr. 11, definerer et gyldigt samtykke. Art. 6 fastlægger de mulige retsgrundlag — for ikke-nødvendige cookies er retsgrundlaget udelukkende samtykke (litra a). Art. 7 stiller krav til samtykkets karakter: frivilligt, specifikt, informeret og dokumenteret. Art. 13 foreskriver oplysningspligten ved indsamling af personoplysninger. Art. 83 hjemler administrative bøder op til 20 mio. euro eller 4 % af global omsætning for overtrædelse af de grundlæggende principper og retsgrundlagsbestemmelserne.
Databeskyttelsesloven: Lov nr. 502 af 23/05/2018 fastsætter nationale supplerende bestemmelser til GDPR, herunder Datatilsynets beføjelser (kapitel 3), regler om CPR-numre (§ 11) og behandling af personoplysninger i forbindelse med offentlig forvaltning (kapitel 4-6). Datatilsynets vejledning om cookies (2021 og 2023) er den primære vejledning for danske virksomheder.
Markedsføringsloven: LBK nr. 1420 af 02/12/2024 regulerer elektronisk direkte markedsføring og stiller krav om forudgående samtykke til markedsføring via elektroniske midler, jf. § 10. Markedsføringscookies, der muliggør målrettet annoncering (f.eks. Facebook Pixel), er reguleret af både cookiebekendtgørelsen og markedsføringsloven. Forbrugerombudsmanden fører tilsyn med markedsføringsloven.
IAB TCF (Transparency and Consent Framework): Industristandarden for cookiesamtykke, udviklet af IAB Europe, er ikke lovpligtig, men er de facto standard for CMP-løsninger. Datatilsynet og EDPB har vurderet, at TCF 2.0 i sin originale form ikke fuldt ud opfylder GDPR's krav — TCF 2.2 (opdateret 2023) adresserer disse bekymringer. CMP-løsninger, der er TCF 2.2-compliant, er bedst positioned til at opfylde de samlede krav.
Tilsyn og sanktioner: Erhvervsstyrelsen fører tilsyn med cookiebekendtgørelsen og kan pålægge bøder. Datatilsynet fører tilsyn med GDPR-overholdelsen i forbindelse med cookies. Datatilsynet har udstedt påbud og offentliggjort navnegivne afgørelser mod virksomheder med mangelfulde cookieløsninger, herunder mod offentlige hjemmesider.
Almindelige fejl i Cookiepolitik — samtykke og cookiehåndtering efter cookiebekendtgørelsen
Hyppige fejl i cookiepolitikker og cookieimplementeringer i Danmark resulterer i manglende lovopfyldelse og risiko for sanktioner fra Datatilsynet og Erhvervsstyrelsen.
Fejl 1 — »fortsat brug af hjemmesiden udgør samtykke«: Den hyppigste fejl er cookiebannere, der angiver, at fortsat brug af hjemmesiden betyder accept af cookies. Denne løsning er ikke et gyldigt samtykke efter GDPR art. 4, nr. 11. Samtykket skal gives via en aktiv, utvetydig handling — et klik på »Accepter alle« eller tilsvarende. Erhvervsstyrelsen og Datatilsynet har konsekvent afvist denne praksis siden 2020.
Fejl 2 — forudafkrydsede samtykkeafkrydsningsfelter: Cookiebannere, der er præindstillet med alle samtykker givet, opfylder ikke kravene til frivilligt samtykke. Brugeren skal aktivt vælge at give samtykke til ikke-nødvendige cookies. Forudfyldte felter er en af de mest udbredte dark patterns i cookiebannere og fører til ugyldige samtykker.
Fejl 3 — manglende mulighed for at afvise samtykke ligeså let, som man accepterer: Cookiebekendtgørelsen og GDPR kræver, at det er ligeså let at afvise cookies, som det er at acceptere. En »Accepter alle«-knap kræver en ligeværdig »Afvis alle«-knap eller tilsvarende mulighed. EDPB's vejledning om samtykke (05/2020) specificerer dette krav. Mange cookiebannere skjuler »Afvis«-muligheden bag et »Administrer præferencer«-link, hvilket ikke er ligeværdigt.
Fejl 4 — forældet cookieliste: Hjemmesider opdateres løbende, og nye scripts og plugins tilføjer cookies. En forældet cookiepolitik, der ikke dækker alle faktisk anvendte cookies, er lovstridig. Den korrekte tilgang er at automatisere cookie-scanning med en CMP-løsning som Cookiebot eller Cookie Information, der opdaterer cookielisten løbende via automatiseret scanning.
Fejl 5 — manglende dokumentation for samtykke: GDPR art. 7, stk. 1, kræver, at den dataansvarlige kan dokumentere, at brugeren har givet samtykke. Mange hjemmesider indhenter samtykket, men gemmer ikke dokumentationen. Samtykkedokumentation opbevares typisk af CMP-løsningen og bør indeholde: tidsstempel, IP-adresse, samtykkeversion og de specifikke kategorier, der er samtykket til.
Fejl 6 — manglende opdatering efter indførelse af nye tredjepartscookies: Når en hjemmeside tilføjer ny funktionalitet med tredjepartscookies — f.eks. en chat-widget, et nyhedsbrevssystem eller social login — skal cookiepolitikken opdateres og samtykket genindhentes. En velfungerende CMP-løsning triggerer automatisk et nyt samtykke ved ændringer i cookiekonfigurationen.
Fejl 7 — manglende klagevejledning: Cookiepolitikken skal informere brugerne om retten til at indgive klage til Datatilsynet. Mange politikker udelader Datatilsynets kontaktoplysninger (Carl Jacobsens Vej 35, 2500 Valby, [email protected]). Manglende klagevejledning er en overtrædelse af GDPR art. 13, stk. 2, litra d, og er et trivielt men frequent fund ved tilsynsgennemgang.
Citér denne side
Henvis til denne gratis skabelon i en artikel, et pensum eller en forskningsnote:
Forms Legal. (2026). Cookiepolitik — samtykke og cookiehåndtering efter cookiebekendtgørelsen (Danmark) [Legal document template]. Forms Legal. https://forms-legal.com/da/danmark/business/policies/cookiepolitik
"Cookiepolitik — samtykke og cookiehåndtering efter cookiebekendtgørelsen (Danmark)." Forms Legal, 2026, https://forms-legal.com/da/danmark/business/policies/cookiepolitik.
@misc{formslegal-cookiepolitik,
author = {{Forms Legal}},
title = {Cookiepolitik — samtykke og cookiehåndtering efter cookiebekendtgørelsen (Danmark)},
year = {2026},
howpublished = {\url{https://forms-legal.com/da/danmark/business/policies/cookiepolitik}},
note = {Free legal document template}
}Ofte stillede spørgsmål
Enhver hjemmeside, der anvender cookies, der ikke er strengt nødvendige for hjemmesidens tekniske drift, er forpligtet til at have en cookiepolitik og indhente samtykke fra brugerne. Cookiebekendtgørelsen (BEK nr. 1148 af 09/09/2022) gælder for alle hjemmesider, der er tilgængelige fra Danmark, uanset om hjemmesiden drives af en dansk eller udenlandsk virksomhed. Undtagelsen gælder kun for strengt nødvendige cookies — f.eks. session-cookies til indkøbskurv, sikkerhedscookies (CSRF-tokens) og cookies til load balancing. Analytiske cookies (Google Analytics), markedsføringscookies (Facebook Pixel) og præferencecookies er ikke nødvendige og kræver samtykke. Erhvervsstyrelsen fører tilsyn med cookiebekendtgørelsen og kan iværksætte undersøgelser og pålægge bøder ved overtrædelse. Datatilsynet fører tilsyn med GDPR-overholdelsen. Samlet set gælder kravet om cookiepolitik og samtykke i praksis for næsten alle kommercielle hjemmesider og de fleste offentlige hjemmesider, da de næsten alle anvender analytiske cookies eller markedsføringscookies.
Nødvendige cookies er teknisk nødvendige for, at hjemmesiden kan fungere korrekt, eller for at levere en tjeneste, der er udtrykkeligt ønsket af brugeren. Eksempler inkluderer session-cookies til at opretholde login-status, indkøbskurv-cookies og sikkerhedscookies til at forhindre CSRF-angreb. Disse cookies er undtaget fra samtykkekravet, jf. cookiebekendtgørelsens § 3, stk. 3, og ePrivacy-direktivets art. 5, stk. 3. Ikke-nødvendige cookies tjener andre formål — f.eks. at huske brugerens præferencer (præferencecookies), måle hjemmesidens trafik (analytiske cookies som Google Analytics) eller vise målrettet annoncering (markedsføringscookies som Facebook Pixel). Disse cookies kræver brugerens forudgående, informerede og aktive samtykke. En cookie klassificeres som nødvendig ud fra dens funktion, ikke dens tekniske karakter. En cookie, der bruges til at forbedre hjemmesiden eller til markedsføring, er ikke nødvendig, selvom den teknisk set kunne kategoriseres som en »session-cookie«. Datatilsynet har i sin vejledning fra 2021 og 2023 specificeret, at analytiske cookies — selv med IP-anonymisering — kræver samtykke, da de indsamler oplysninger om brugernes adfærd uden at være teknisk nødvendige for hjemmesidens funktion.
Manglende overholdelse af cookiereglerne kan have to typer konsekvenser: sanktioner fra Erhvervsstyrelsen (cookiebekendtgørelsen) og sanktioner fra Datatilsynet (GDPR). Erhvervsstyrelsen kan ved overtrædelse af cookiebekendtgørelsen udstede påbud om at bringe forholdet i orden og i gentagelsestilfælde pålægge bøder. Datatilsynet har langt videre sanktionsmuligheder under GDPR: administrative bøder på op til 20 millioner euro eller 4 % af virksomhedens globale omsætning, jf. GDPR art. 83. For manglende samtykke (ulovlig behandling af personoplysninger via cookies uden retsgrundlag) gælder den højeste bøderamme. I praksis har Datatilsynet i Danmark primært udstedt påbud til virksomheder med mangelfulde samtykkeløsninger og kun i sjældne tilfælde bøder. EU-domstolen og databeskyttelsesmyndigheder i andre EU-lande (f.eks. Frankrig og Belgien) har dog udstedt store bøder for cookieovertrædelser mod virksomheder som Google og Facebook. Sager kan initieres af Datatilsynet selv, af forbrugerorganisationer, af konkurrenter eller af individuelle brugere, der indgiver klage.
Ja — hvis hjemmesiden ændrer sin cookieanvendelse på en måde, der ikke var dækket af det eksisterende samtykke, skal samtykke genindhentes. GDPR art. 7 og cookiebekendtgørelsens § 3 kræver, at samtykket er specifikt — det vil sige, at det gælder for de konkrete formål og cookies, brugeren har samtykket til. Hvis hjemmesiden tilføjer nye tredjepartscookies, ændrer formålet med eksisterende cookies, begynder at anvende markedsføringscookies fra nye udbydere eller ændrer opbevaringsperioden for cookies, er det tidligere samtykke ikke dækkende. Den korrekte fremgangsmåde er at opdatere cookiepolitikken og triggere et nyt samtykke via CMP-løsningen. En opdatering af cookiepolitikken alene er ikke tilstrækkeligt — samtykket skal aktivt genindhentes. En velfungerende CMP-løsning som Cookiebot eller Cookie Information kan automatisere denne proces ved at udløse et nyt samtykketjek, når cookiekonfigurationen ændres.
Nej — Google Analytics kan som udgangspunkt ikke bruges lovligt i Danmark uden brugerens forudgående samtykke. Datatilsynet og de øvrige europæiske databeskyttelsesmyndigheder koordineret via EDPB (European Data Protection Board) har bekræftet, at Google Analytics i sin standardkonfiguration overfører personoplysninger (herunder IP-adresser og unikke bruger-id'er) til USA i strid med GDPR's regler om internationale dataoverførsler. Datatilsynet i Østrig, Frankrig, Italien, Holland og andre EU-lande har erklæret Google Analytics-implementeringer ulovlige. Det danske Datatilsynet har fulgt EDPB's koordinerede tilgang. Lovlig brug kræver derfor: (1) samtykke fra brugeren til analytiske cookies, (2) IP-anonymisering aktiveret i Google Analytics, (3) korrekt DPA (databehandleraftale) med Google, og (4) evt. serverside GTM eller en EU-dataprivacy-kompatibel alternativ løsning (f.eks. Matomo selvhostet, Plausible eller Fathom). Google Analytics 4 (GA4) er designet med bedre GDPR-kompatibilitet, men kræver fortsat samtykke for analytiske cookies.
En Consent Management Platform (CMP) er et teknisk system, der automatiserer indhentning, dokumentation og styring af brugernes cookiesamtykke på en hjemmeside. En CMP viser cookiebanneret, kategoriserer cookies, indhenter og gemmer samtykket og blokerer ikke-nødvendige cookies, indtil brugeren har givet samtykke. Populære CMP-løsninger i Danmark inkluderer Cookiebot (udviklet af den danske virksomhed Cybot A/S), Cookie Information (dansk selskab), Usercentrics og OneTrust. En CMP er ikke lovpligtig i sig selv — cookiebekendtgørelsen kræver ikke brug af en specifik teknisk løsning. Lovpligtigt er derimod resultatet: forudgående, informeret og dokumenteret samtykke. I praksis er en CMP den enkleste måde at opfylde disse krav på, da manuel implementering af samtykkedokumentation er teknisk kompliceret. Datatilsynet anbefaler i sin vejledning, at virksomheder overvejer at anvende en IAB TCF-certificeret CMP-løsning. En CMP fritager ikke virksomheden for ansvaret for lovmedholdelig cookiepolitik — konfigurationen af CMP'en skal afspejle hjemmesidens faktiske cookies.
Cookiebekendtgørelsen gælder specifikt for cookies og lignende teknologier, der lagres i slutbrugeres terminaludstyr — herunder smartphones og tablets. For mobilapps (native apps) er situationen mere nuanceret: rene native iOS- og Android-apps anvender typisk ikke HTTP-cookies i traditionel forstand, men kan anvende tilsvarende sporings- og identifikationsteknologier — f.eks. mobilannoncerings-ID'er (IDFA på iOS, GAID på Android), lokalt lager og sessionsdata. Disse teknologier falder muligvis under cookiebekendtgørelsens og GDPR's anvendelsesområde afhængigt af implementeringen. For apps, der indeholder en webview-komponent (en indlejret browser), gælder cookiereglerne fuldt ud for den webbaserede del. Apple's ATT (App Tracking Transparency) og Google's tilsvarende framework stiller separate krav om samtykke til sporing i mobilapps. Overordnet er anbefalingen, at mobilapps, der indsamler personoplysninger via tracking-teknologier, indhenter brugerens samtykke og informerer om dette i appens privatlivspolitik — uanset om den specifikke teknologi teknisk set falder under cookiebekendtgørelsen.
Denne skabelon stilles kun til rådighed til informationsformål og udgør ikke juridisk rådgivning. Love varierer fra jurisdiktion til jurisdiktion og ændrer sig over tid. Kontakt en kvalificeret advokat for rådgivning, der er specifik for din situation.Fuld ansvarsfraskrivelse
Fandt du en fejl? Sig tilRelated Documents
You may also find these documents useful:
Persondatapolitik for virksomhed
Persondatapolitik (privatlivspolitik) til en dansk virksomhed med beskrivelse af behandlingsformål, retsgrundlag, opbevaring og de registreredes rettigheder. Udarbejdet i henhold til GDPR og databeskyttelsesloven (LOV nr. 502 af 23/05/2018).
Databehandleraftale Danmark — GDPR art. 28 og databeskyttelsesloven
Databehandleraftale til Danmark efter GDPR art. 28 og databeskyttelsesloven (lov nr. 502/2018). Regulerer formål, sikkerhedsforanstaltninger, underdatabehandlere, 72-timers anmeldepligt og sletning. Gratis skabelon PDF/Word.
Samtykkeerklæring til billeder Danmark
Skriftlig samtykkeerklæring til offentliggørelse af billeder efter databeskyttelsesforordningen (GDPR) art. 6 og 7 samt databeskyttelsesloven (LOV nr. 502 af 23-05-2018). Regulerer formål, varighed, samtykke for børn under 15 år og retten til tilbagekaldelse.