Cookie-banneret er dødt. Ja, du læste rigtigt! Vi er trådt ind i post-cookie-æraen, hvor browserprofilering kan ske på mange andre måder end via cookies. Samtidig ser vi et stigende fokus på førstepartsdata og forskellige fingerprinting-metoder. I praksis betyder det, at cookies ikke længere er den eneste måde at opbevare browseridentifikatorer på.
Hvis du derfor kun beder om samtykke til at sætte cookies og derefter deler førstepartsdata med en tredjepart som Meta via Conversions API eller Enhanced Conversions, risikerer du sandsynligvis at bryde loven.
Hvorfor?
Ifølge GDPR (General Data Protection Regulation) gælder der klare regler for indsamling og brug af personoplysninger:
- Lovligt grundlag: Der skal være et gyldigt grundlag for indsamling af personoplysninger, fx samtykke fra brugeren.
- Samtykke: Hvis samtykke er grundlaget, skal det være informeret, frivilligt, specifikt og entydigt. Brugeren skal også kunne trække samtykket tilbage.
- Dataminimering: Kun de nødvendige data til det specifikke formål må indsamles.
- Transparens: Brugerne skal informeres om, hvordan deres data bruges, hvem der modtager dem, og hvor længe de opbevares.
Hvis dine værktøjer og opsætninger gør mere end blot at gemme klik og browser-identifiers i cookies efter brugerens samtykke, risikerer du at være i strid med GDPR-kravene eller ePrivacy-direktivet.
Drop cookie-banneret, og opdater din samtykkemodel!
I stedet bør du udfase cookie-banneret og implementere en generel samtykkeboks, der dækker alle de metoder, du bruger på dit website. Tag derfor et kig på din tech-stack og se, hvordan dine værktøjer er sat op, og hvad de gør.
Det kan være en god idé at nævne de metoder, du bruger til browserprofilering (cookies, IP-adresser, click-IDs, fingerprinting) og oplyse om data, der deles med annonceplatforme (fx e-mailadresser og telefonnumre). Henvis også til din privatlivspolitik, så brugerne kan få den fulde information. Ofte vil det kræve, at du også dykker ned i privatlivspolitikken for de værktøjer, du anvender samt muligvis linker til disse!
Er det virkelig så vigtigt?
Ja! I Sverige har vi set tre nylige domme, hvor uhensigtsmæssig deling af førstepartsdata med Meta/Facebook førte til bøder:
Apohem AB: €698.000
Apoteket AB: €3.200.000
Avanza Bank AB: €1.300.000
I juni 2024 blev Avanza Bank idømt en bøde på €1.300.000, fordi de havde slået Advanced Matching og Automatic Events til i Facebook – blot ved at bruge en enkelt toggle i Facebooks interface. Dommen faldt i 2024, selvom data blev indsamlet mellem 2019 og 2021, og efter cookiesammentykke.
Men vi krypterer da data før deling med tredjeparter – er det ikke anonymt?
Nej! Husk:
Selvom Meta/Facebook og Google kræver, at data hashes før deling, bruges de stadig til at matche, om en person har klikket på en annonce.