Viden · Hvordan virker det?
GDPR

Hvad må du tracke uden samtykke?

Grænsen mellem "ren statistik" og "personlig data" er faktisk ret klart defineret i lovgivningen og Datatilsynets vejledninger. Her er den i praktiske termer.

Disclaimer: Dette er en pragmatisk sammenfatning, ikke juridisk rådgivning. Hvis du er i tvivl, eller behandler følsomme data, så tal med en jurist eller spørg Datatilsynet.

To regler — hvilken af dem rammer dig?

To separate regler er relevante:

  1. ePrivacy / cookieloven — handler om hvad du gemmer på besøgendes enhed
  2. GDPR — handler om hvad du behandler om personer

De udløses uafhængigt. Du kan ramme den ene uden den anden, eller begge.

ePrivacy: gemmer du noget på enheden?

Hvis du sætter en cookie, skriver til localStorage eller IndexedDB, eller laver fingerprinting → du skal have samtykke. Punktum. Det gælder uanset om data er personligt eller ej.

Undtagelse: cookies/lager der er strengt nødvendige for funktionalitet brugeren har bedt om. Eksempler:

  • Session-cookies for at holde brugeren logget ind
  • CSRF-tokens for sikkerhed
  • Indkøbskurv-state under checkout

Disse må du have uden samtykke. Men det skal være "strengt nødvendigt" — ikke bare "nyttigt".

GDPR: behandler du persondata?

Persondata er alt der kan knyttes til en identificerbar person — direkte (navn, email) eller indirekte (IP-adresse + andre data der gør identifikation mulig).

Aggregeret statistik er ikke persondata. Eksempel: "143 besøgende fra Danmark i går" er ikke persondata. "Bruger X (IP 1.2.3.4) besøgte side Y kl. 14:23" ER persondata.

Statistik på aggregeret niveau — hvad er tilladt?

Datatilsynet har udtalt at simpel webstatistik kan ske uden samtykke hvis:

  • Data er anonymt eller pseudonymt på en måde der reelt ikke kan re-identificere personen
  • Du ikke kombinerer med andre datakilder for at profilere personen
  • Du ikke deler det med tredjepart der kunne profilere

Tjekliste: må du tracke det?

Forsøg at sige "ja" til alle:

  • ✅ Ingen cookies eller lager på enheden
  • ✅ Ingen IP-adresse gemt direkte
  • ✅ Ingen identificerende fingerprint (canvas, fonts, etc.)
  • ✅ Ingen kombination med 3.-parts data (Facebook, Google, etc.)
  • ✅ Ingen kryds-website tracking af samme person
  • ✅ Aggregeret data, ikke individuelle profiler

Hvis ja på alle: ingen banner, intet samtykke. Det her er præcis hvor Statsly opererer.

Hvad er på den anden side af grænsen?

Disse kræver samtykke (ePrivacy ELLER GDPR):

  • Google Analytics, Adobe Analytics
  • Facebook Pixel, LinkedIn Insight Tag, TikTok Pixel
  • Hotjar, FullStory, Microsoft Clarity (session-recording)
  • A/B-test værktøjer der bruger cookies (Optimizely, VWO)
  • Chat-widgets der gemmer historik per bruger (Intercom, Drift)
  • Re-targeting / remarketing-pixels

Henvisninger

Relateret læsning