Logo og hjelpeverktøy

Hovedmeny

Nye cookie-regler fra 1. januar

Fra nyttår skjerpes kravene til samtykke for bruk av informasjonskapsler (cookies) og lignende teknologier.

Illustrasjonsbilde av cookies på tastaturet (Getty Images).
Illustrasjonsbilde av cookies på tastaturet (Getty Images).

Stortinget har vedtatt ny ekomlov som trer i kraft 1. januar 2025. Den nye loven sier at bruk av informasjonskapsler (cookies) og lignende teknologier krever et samtykke som er gyldig etter personvernforordningen (GDPR) for å være lovlig. Datatilsynet og Nasjonal kommunikasjonsmyndighet (Nkom) skal ha felles tilsynsmyndighet med bestemmelsen. Endringen innebærer at norsk rett er i samsvar med EU-retten når det gjelder cookies og lignende teknologier, og at norske internettbrukere i Norge får et sterkere vern mot sporing på nett.

Se Lov om elektronisk kommunikasjon (ekomloven) på lovdata.no

Datatilsynet og Nasjonal kommunikasjonsmyndighet (Nkom) vil komme med mer veiledning om de nye reglene på nyåret, men nedenfor følger en kort oversikt over det viktigste som virksomheter må være klar over om den nye ekomloven § 3-15 som vil gjelde fra 1. januar 2025. Vi viser også til hvor man kan finne mer informasjon.

Samtykke må oppfylle kravene i personvernforordningen

Den største endringen i de nye reglene er at samtykke til bruk av cookies og lignende teknologier må oppfylle kravene til samtykke i personvernforordningen for å være gyldig. Frem til nå har det for eksempel vært tilstrekkelig at standardinnstillinger i nettlesere tillater cookies. For at et samtykke skal være gyldig etter den nye loven, må det være:

  • frivillig
  • spesifikt
  • informert
  • utvetydig
  • gitt gjennom en aktiv handling
  • dokumenterbart
  • mulig å trekke tilbake like lett som det ble gitt

Det er viktig at virksomheter vurderer om de må endre sin praksis for hvordan samtykke innhentes for bruk av cookies og lignende teknologier. Alle vilkårene må være oppfylt for at samtykke skal være gyldig, og virksomheter som tilbyr tjenester som bruker cookies eller lignende teknologier er ansvarlige for å sikre dette.

Kravene til et gyldig samtykke innebærer blant annet at det skal være like lett å si nei som å si ja til å samtykke. Dersom det er mer komplisert å si nei, eller nei-alternativet ikke gis sammenlignbar oppmerksomhet som ja-alternativet, får ikke brukeren et rettferdig valg. Brukeren må også få lett tilgjengelig og forståelig informasjon som gjør at de enkelt kan forstå konsekvensene av et eventuelt samtykke.

Det europeiske Personvernrådet (EDPB), som består av datatilsynsmyndighetene i EØS, har publisert retningslinjer om kravene til et gyldig samtykke.

Les EDPBs retningslinjer om kravene til et gyldig samtykke (eng).

Se også Datatilsynets generelle veiledning om hva som ligger i kravene til et gyldig samtykke.

Bestemmelsen er teknologinøytral

Ekomloven § 3-15 regulerer lagring av eller det å skaffe seg tilgang til opplysninger i brukerens kommunikasjonsutstyr. Med kommunikasjonsutstyr menes for eksempel mobiltelefon, nettbrett eller datamaskin. Bestemmelsen er teknologinøytral, og gjelder både for cookies og andre teknologier som lagrer eller henter ut opplysninger fra kommunikasjonsutstyret til brukeren.

Det er også viktig å være klar over at bestemmelsen gjelder for lagring og tilgang til alle slags opplysninger. Bestemmelsen gjelder altså uavhengig av om det er snakk om personopplysninger eller ikke.

Ekomloven § 3-15 gjennomfører kommunikasjonsverndirektivet artikkel 5 nr. 3 i norsk rett, som er bestemmelsen om cookies og lignende teknologi i EU-regelverket.

Se Det europeiske Personvernrådets retningslinjer om det tekniske virkeområdet for direktivbestemmelsen (eng).

Det er viktig at virksomhetene har oversikt over bruk cookies og lignende teknologier på tjenestene de tilbyr.

Unntakene fra kravet til samtykke er snevre

Det er to unntak fra kravet om samtykke ved bruk av cookies og lignende teknologier.

Kravet til samtykke gjelder ikke for teknisk lagring av eller adgang til opplysninger:

  1. utelukkende for det formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett, eller
  2. som er strengt nødvendig for å levere en informasjonssamfunnstjeneste etter den aktuelle sluttbrukerens eller brukerens uttrykkelige forespørsel.

Det første unntaket retter seg først og fremst mot ekomtilbydere.

Det andre unntaket gjelder bare der bruk av informasjonskapselen er en forutsetning for å kunne levere tjenesten.