ePrivacy-direktivet
Direktiv om privatliv og elektronisk kommunikation
Oversigt
ePrivacy-direktivet (ePD), ofte kaldet "cookie-loven," supplerer GDPR ved at give specifikke regler for privatliv i elektronisk kommunikation. Det dækker fortrolighed af kommunikation, brug af sporingsteknologier og direkte markedsføring.[1]
Som et direktiv varierer implementeringen på tværs af medlemsstater. Det foreslåede ePrivacy-forordning blev officielt trukket tilbage i februar 2025, hvilket betyder, at direktivet fortsat er gældende lov.
Forhold til GDPR
- ePD er lex specialis: Har forrang frem for GDPR for elektronisk kommunikation
- GDPR-principper gælder: Samtykke under ePD skal opfylde GDPR-standarder
- Kombineret håndhævelse: Begge regelsæt håndhæves af databeskyttelsesmyndigheder
Vigtige krav
Cookie-samtykke (artikel 5, stk. 3)[2]
Samtykke kræves før placering eller adgang til information på en brugers enhed:
| Cookie-type | Kræves samtykke? |
|---|---|
| Strengt nødvendige | Nej (undtaget) |
| Præference/funktionalitet | Ja |
| Analyse/statistik | Ja (nogle jurisdiktioner tillader undtagelser) |
| Reklame | Ja |
| Tredjeparts-sporing | Ja |
Samtykkekrav
Gyldigt samtykke skal være:
- Forudgående: Opnået før cookies sættes
- Frivilligt givet: Ægte valg uden ulempe ved afvisning
- Specifikt: Klart om formål og typer af cookies
- Informativt: Brugere forstår, hvilke data der indsamles
- Utvetydigt: Klar bekræftende handling kræves
- Tilbagetrækkeligt: Brugere kan nemt ændre præferencer
Bedste praksis for cookie-banner
| Gør | Gør ikke |
|---|---|
| Giv detaljerede valg | Forudafkryds samtykkebokse |
| Gør "Afvis alle" lige fremtrædende | Skjul afvisning bag flere klik |
| Gem bevis for samtykke | Sæt cookies før samtykke |
| Muliggør nem tilbagetrækning | Gør tilbagetrækning sværere end samtykke |
| Klar, letforståelig sprog | Teknisk jargon |
Fortrolighed af kommunikation (artikel 5)
- Forbud mod aflytning og overvågning
- Teknisk lagring nødvendig for transmission er tilladt
- Indhold og metadata beskyttes ligeværdigt
Direkte markedsføring (artikel 13)
| Type | Krav |
|---|---|
| Email/SMS-markedsføring | Forudgående aktivt samtykke kræves |
| Eksisterende kunder | Blødt samtykke til lignende produkter (med nem afmelding) |
| B2B-markedsføring | Medlemsstatsregler varierer |
Uopfordret kommunikation
- Afsenderidentitet må ikke skjules
- Gyldig afmeldingsmekanisme kræves
- Nationale "ikke ringe"-registre skal respekteres
Foreslåede Digital Omnibus-ændringer (2025)
Europa-Kommissionen har foreslået at strømline cookie-regler gennem "Digital Omnibus"-pakken:[3]
- Flytte visse ePD-bestemmelser ind i GDPR
- Udvide undtagelser for analyse- og sikkerhedscookies
- Muliggøre centraliserede samtykkesignaler for at reducere "samtykketræthed"
Bemærk: Disse forslag er endnu ikke vedtaget. De nuværende ePD-krav er fortsat gældende.
Håndhævelseseksempler
| Myndighed | Enhed | Bøde | Årsag |
|---|---|---|---|
| CNIL (Frankrig) | €150M | Overtrædelser af cookie-samtykke | |
| CNIL (Frankrig) | €60M | Svær cookie-afvisning | |
| ICO (UK) | Flere | Advarsler | Skjulte afvisningsknapper |
| AEPD (Spanien) | Forskellige | €10K-100K | Ukorrekt samtykkeindsamling |
Udviklerimplementeringscheckliste
Cookie-samtykkebanner
- Indhent samtykke før ikke-essentielle cookies sættes
- Giv detaljerede kategorikontroller
- Gør "Afvis alle" lige tilgængelig
- Gem og tidsstemplet samtykkeregistreringer
- Tillad nem tilbagetrækning af samtykke
- Bloker tredjepartsscripts indtil samtykke
Tekniske krav
- Revider alle cookies og sporingsteknologier
- Kategoriser efter formål og nødvendighed
- Dokumenter cookie-formål og opbevaring
- Sørg for at scripts respekterer samtykkesignaler
- Implementer samtykkesynkronisering for underdomæner