1. Undersøg, hvilke teknologier der bliver brugt på din tjeneste
Du skal undersøge, hvilke teknologier du specifikt anvender på din tjeneste. Cookiebekendtgørelsen og databeskyttelsesreglerne er nemlig teknologineutrale. Det betyder, at reglerne ikke kun gælder for brugen af cookies, men også for lignende teknologier og metoder som f.eks. pixels, fingerprinting eller unikke koder, som tildeles brugernes enheder, f.eks. et reklame-ID.
Du kan læse mere om nogle af de omfattede teknologier i vejledningens afsnit 1.
2. Forhold dig til reglerne i cookiebekendtgørelsen og GDPR
Når du anvender cookies eller lignende teknologier skal du som minimum overholde cookiebekendtgørelsen. Cookiebekendtgørelsen gælder, når du gemmer eller får adgang til oplysninger på brugernes udstyr. Du vil oftest også skulle overholde databeskyttelsesreglerne. Det skyldes, at sådanne teknologier bruges til at indsamle oplysninger som i sig selv eller i kombination med andre oplysninger kan udgøre personoplysninger. Det gælder også, selvom du hverken kender navn eller identitet på den person, hvis oplysninger du behandler.
Reglerne stiller krav om, at du skal indhente samtykke fra brugerne, medmindre der udelukkende er tale om teknisk nødvendige teknologier. Du skal derfor indhente samtykke, hvis du anvender cookies og lignende teknologier til f.eks. at generere besøgsstatistik eller vise personaliserede annoncer.
Du kan læse mere om de forskellige regelsæt, og hvornår de gælder i vejledningens afsnit 2.
3. Indsaml kun de oplysninger, som du skal bruge
Det er ulovligt at indsamle flere personoplysninger, end du reelt har behov for. Hvis du f.eks. indsamler oplysninger, som du ikke bruger til noget ved hjælp af et analyseværktøj, vil det være i strid med reglerne. Vælg derfor et analyseværktøj (og øvrige værktøjer), som passer til din organisations behov, og derfor kun giver dig de oplysninger, som du reelt har behov for.
4. Sørg for, at dit samtykke er gyldigt
For at et samtykke er gyldigt, skal det leve op til en række betingelser. Et samtykke skal være frivilligt, specifikt, informeret og være udtryk for en utvetydig viljestilkendegivelse. Udover disse betingelser er det også et krav, at brugerne kan trække deres samtykke tilbage lige så let, som de gav det. Har du ikke indhentet et gyldigt samtykke, vil din behandling være ulovlig.
Du kan læse mere om hvordan du indhenter et gyldigt samtykke i vejledningens afsnit 3.2.
5. Du har ansvaret for, at din samtykkeløsning er tilstrækkelig
Hvis du anvender en leverandør til at stå for din samtykkeløsning, er du stadig ansvarlig for, at leverandørens færdige løsning efterlever alle lovkrav. Du skal selv sikre dig, at løsningen opfylder kravene, og at løsningen tilpasses netop den behandling, som du foretager.
Du er tilsvarende ansvarlig for de øvrige teknologier, du bruger på din tjeneste. Kravet om at indhente samtykke påhviler derfor dig. Det skyldes, at det er dig, der ultimativt bestemmer, hvilket indhold der integreres på din tjeneste og dermed også, hvilke cookies og lignende teknologier som anvendes på tjenesten. Det gælder også, selvom du vælger at lade en leverandør stå for brugen af cookies mv.
Du kan læse nærmere om ansvarsfordelingen mellem dig og eventuelle tredjeparter i vejledningens afsnit 3.5, hvor du også finder konkrete eksempler på situationer med brug af analyseværktøjer.
6. Undgå at tredjeparter selvstændigt indsamler oplysninger fra din tjeneste uden dit ønske eller din viden
Du skal være særligt opmærksom på, om din leverandør eller en samarbejdspartner forbeholder sig retten til at behandle personoplysninger til egne formål. I nogle tilfælde er leverandørens ret til dette nemlig en integreret del af det produkt eller den service, de leverer. Som udgangspunkt bør du vælge et værktøj, der kun behandler oplysninger på dine vegne og efter din instruks. Du kan ofte finde information om din leverandørs behandling af oplysninger i eventuelle servicevilkår. Vælger du et værktøj, hvor leverandøren eller samarbejdspartneren indsamler oplysninger til egne formål, skal der nøje analyser til før produktet eller servicen kan anvendes lovligt.
7. Hav styr på dokumentationen
Når du har indhentet samtykke fra brugerne på din tjeneste, skal du kunne dokumentere det, så længe du behandler oplysninger om dem. Du kan opfylde dokumentationskravet ved såkaldt systemdokumentation.
Du kan læse mere om dette i vejledningens afsnit 4.
8. Spørg, hvis du er i tvivl
Sidst men ikke mindst – vær ikke bange for at spørge om hjælp. Hvis du synes reglerne er vanskelige at forstå, er du altid velkommen til at kontakte Datatilsynet og Digitaliseringsstyrelsen.