61 33 25 37 [email protected]

Hvad er reglerne for tracking online?

by | Sep 21, 2024 | Dataanalyse, E-commerce

(Læsetid: 5 minutter)

Denne artikel er udarbejdet af en person, der ikke har en juridisk baggrund. Derfor tages der forbehold for brugen af indholdet i artiklen i forhold til opsætning af tracking og fortolkning af juraen omkring GDPR og tracking.

Reglerne for GDPR (General Data Protection Regulation) i forhold til online tracking er strenge og kræver, at virksomheder opfylder en række krav for at sikre beskyttelsen af brugernes personoplysninger. Her er svarene på dine spørgsmål i forhold til GDPR og tracking online.

1. GDPR-regler i forhold til online tracking

GDPR regulerer online tracking for at beskytte brugernes persondata. De vigtigste krav omfatter:

  • Samtykke: Brugeren skal give informeret, frivilligt, specifikt og entydigt samtykke til tracking. Dette indebærer, at trackingteknologier som cookies ikke kan aktiveres, før brugeren har givet deres eksplicitte tilladelse. Forudindstillede afkrydsningsfelter er ikke tilladt.
  • Formålsspecifikation: Virksomheder skal præcisere, hvorfor data indsamles, hvem data deles med, og hvordan data bruges. Oplysningerne skal gives på en klar og let forståelig måde.
  • Ret til tilbagetrækning: Brugere skal nemt kunne trække deres samtykke tilbage, og når det sker, skal dataindsamlingen stoppe.
  • Minimering af data: Virksomheder må kun indsamle de data, der er nødvendige for et specifikt formål og ikke mere.
  • Databeskyttelse: Data skal beskyttes mod misbrug, og virksomheder skal sikre, at de implementerer passende sikkerhedsforanstaltninger som anonymisering eller pseudonymisering, hvor det er muligt.

GDPR gør det klart, at samtykke til tracking er et krav, og brugerne skal oplyses grundigt om, hvordan deres data bruges.

2. Forskel på dansk værneting og andre lande

Selvom GDPR er en fælles EU-lovgivning, kan der være forskelle i, hvordan reglerne håndhæves i de forskellige medlemslande.

  • Danmark (Datatilsynet): Datatilsynet er ansvarligt for at føre tilsyn med GDPR-overholdelse i Danmark. Danmark har haft en forholdsvis striks tilgang til brugen af værktøjer som Google Analytics, især på grund af overførsel af persondata til USA. Der har været sager, hvor Datatilsynet har vurderet, at Google Analytics kan være i strid med GDPR.
  • Andre EU-lande: Lande som Østrig, Frankrig og Italien har også haft lignende bekymringer, og i nogle tilfælde har nationale datatilsyn udstedt påbud om at stoppe brugen af Google Analytics uden tilstrækkelige garantier. Andre lande kan være langsommere i deres håndhævelse eller have en mere lempelig tilgang, selvom GDPR gælder ens i hele EU.

Håndhævelsesniveauet kan variere afhængigt af landets tilsynsmyndighed.

3. Forskel på Google Analytics og andre typer software

Ja, der er forskelle i, hvordan forskellige typer tracking-software overholder GDPR:

  • Google Analytics: Google Analytics har været kritiseret i EU, især på grund af overførslen af persondata til USA, som kan være i strid med Schrems II-dommen, der ugyldiggjorde Privacy Shield-aftalen mellem EU og USA. Data, der behandles af Google Analytics, kan potentielt tilgås af amerikanske myndigheder, hvilket kan udgøre en risiko for beskyttelsen af persondata.
  • Andre alternativer (f.eks. Matomo eller Piwik PRO): Matomo og lignende værktøjer er ofte anset for at være bedre tilpasset GDPR, da de kan self-hostes på EU-servere, hvilket betyder, at data ikke forlader EU. Dette giver virksomhederne bedre kontrol over deres data og reducerer risikoen for overtrædelser af GDPR-regler om dataoverførsel.
  • Anonymisering og dataminimering: Forskellige løsninger tilbyder forskellige niveauer af anonymisering og dataminimering. Google Analytics tilbyder anonymisering af IP-adresser, men det er ikke altid nok til at overholde GDPR, hvis andre personoplysninger også behandles.

Efter august 2023 er USA blevet godkendt af EU som sikkert samarbejdspartner/land. Derfor er det lovligt at bruge GA4 i Danmark.

4. Googles egne regler til tracking

Google følger deres egne retningslinjer for dataindsamling og brug af data, herunder deres Privacy Policy og Google Analytics Data Processing Agreement, som skal sikre overholdelse af GDPR. Google tilbyder flere privatlivsfunktioner i Google Analytics, som virksomheder kan bruge til at mindske risikoen for at bryde GDPR:

  • IP-anonymisering: Google tilbyder en funktion, hvor IP-adresser anonymiseres ved at maskere dem, hvilket hjælper med at reducere risikoen for, at persondata kan spores tilbage til en enkelt bruger.
  • Dataoverførsler: Google overfører ofte data til USA, hvilket kan udgøre en risiko under GDPR, da det kræver, at der er tilstrækkelige beskyttelsesforanstaltninger for databeskyttelse i USA.
  • Brugerens kontrol: Google giver brugerne mulighed for at kontrollere visse dataindsamlinger, men det kræver, at de aktivt gør det gennem Google Ads-indstillinger eller browserindstillinger.

Google sikrer, at data kun bruges til at levere analyser og produktforbedringer, medmindre andet er aftalt med kunden.

5. Hvor personligt må man tracke med Google Analytics?

Under GDPR er det ikke tilladt at indsamle personligt identificerbare oplysninger (PII) via Google Analytics. PII inkluderer oplysninger som navne, e-mailadresser, telefonnumre eller IP-adresser, hvis de ikke anonymiseres.

  • Pseudonymisering: Google Analytics giver mulighed for at spore brugere på en pseudonymiseret måde (f.eks. ved brug af bruger-ID’er), men disse data kan stadig anses for at være personoplysninger under GDPR, hvis de kan spores tilbage til en person gennem andre data.
  • Anonymisering: Google tilbyder også anonymisering af IP-adresser, MAC-adresser, hvilket reducerer risikoen for at overtræde GDPR. Det betyder dog ikke nødvendigvis, at al indsamlet data er helt anonym, især hvis de kombineres med andre datapunkter.

For at være fuldt GDPR-kompatibel skal virksomheder undgå at indsamle data, der kan bruges til at identificere en bruger uden brugerens samtykke.

6. Regler for et Cookie Consent Banner

datatilsynet.dk kan du læse mere om vejledning til opsætning af cookie banneret. GDPR og ePrivacy-direktivet (cookie-loven) kræver, at virksomheder indhenter eksplicit samtykke til brug af ikke-essentielle cookies og trackingteknologier. Et Cookie Consent Banner skal opfylde følgende krav:

  • Aktivt samtykke: Brugere skal kunne vælge og fravælge, om de vil acceptere eller afvise cookies. Der må ikke være forudindstillede afkrydsningsfelter, og brugeren skal aktivt tage stilling.
  • Granulært samtykke: Brugeren skal kunne vælge specifikke typer cookies (f.eks. nødvendige, præference, statistik, marketing, tekniske) og have mulighed for at afvise visse typer cookies, men acceptere andre.
  • Tydelig information: Cookie-banneret skal tydeligt forklare, hvilke cookies der bruges, og hvorfor de er nødvendige. Information om, hvordan dataene bruges, og hvem de deles med, skal også være let tilgængelig.
  • Adgang til samtykkehistorik og mulighed for tilbagetrækning: Brugerne skal kunne ændre deres cookiepræferencer eller trække samtykke tilbage til enhver tid.

Et cookie-banner, der ikke opfylder disse krav, vil sandsynligvis være i strid med GDPR.

7. Er der forskel ved server-side tracking?

Ja, der er forskel mellem server-side tracking og client-side tracking i forhold til GDPR:

  • Server-side tracking: I server-side tracking behandles data på virksomhedens server i stedet for på brugerens enhed. Dette giver virksomheder bedre kontrol over dataene og mindsker risikoen for, at data sendes til tredjepartsservere uden for EU. Server-side tracking kan hjælpe med at overholde GDPR ved at sikre, at data bliver inden for EU, og at der ikke sker utilsigtede dataoverførsler til tredjelande.
  • Client-side tracking: Dette sker via scripts i brugerens browser (f.eks. cookies og pixels), hvor data sendes direkte til tredjepart, som Google eller Facebook. Dette gør det sværere at kontrollere dataoverførslen og sikre overholdelse af GDPR, især i tilfælde af dataoverførsel til ikke-EU-lande.

Fordele ved server-side tracking inkluderer:

  • Bedre databeskyttelse: Du kan bedre beskytte data ved at kontrollere, hvilke data der sendes til tredjeparter.
  • Mindre afhængighed af cookies: Server-side tracking kan reducere behovet for at placere cookies på brugerens enhed, hvilket kan gøre det lettere at opfylde GDPR-krav.
  • Overholdelse af Schrems II: Server-side tracking kan sikre, at data forbliver inden for EU, og dermed undgå juridiske problemer i forbindelse med overførsler til USA.

Opsummering:

  • GDPR-regler kræver aktivt samtykke, gennemsigtighed, og begrænset dataindsamling, især ved online tracking.
  • Dansk værneting kan være mere restriktivt i fortolkningen og håndhævelsen af GDPR end andre lande.

Server-side tracking giver bedre kontrol over data og kan forbedre GDPR-compliance sammenlignet med client-side tracking.

Google Analytics har specifikke udfordringer, især i forhold til dataoverførsler til USA. Alternativer som Matomo kan være bedre tilpasset GDPR.

Googles egne regler tilbyder anonymisering og datakontrol, men dataoverførsler til USA er et problem.

Personlig tracking med Google Analytics er ikke tilladt uden anonymisering, og PII må ikke indsamles.

Cookie Consent Banners skal opfylde strenge krav om samtykke og information.

Googles egne regler tilbyder visse privatlivsforanstaltninger, men Google bruger stadig indsamlede data til egne formål.

Personlig tracking med Google Analytics er begrænset af GDPR’s krav, og der må ikke indsamles PII.

 

Yderligere læsning:

Se oversigt over danske virksomheder, der har fået bøder

Se Datatilsynets bødevejledning til udregning af bøder her. 

Sådan installerer du Cookie Consent banner gratis på WordPress

Sådan installerer du Cookie Consent banner med Google Tag Manager

EU-Domstolens dom i Schrems II-sagen