Illustrasjon av kjeks på et tastatur

Hvordan be om samtykke til bruk av informasjonskapsler (cookies) og andre sporingsteknologier?

Bruk av informasjonskapsler og lignende teknologier krever et samtykke som er gyldig etter personvernregelverket. Det betyr blant annet at samtykket skal være frivillig, spesifikt, informert og utvetydig. Denne veiledningen gir deg en praktisk innføring i disse kravene.

Innledning

Ekomloven § 3-15 bestemmer at bruk av informasjonskapsler (cookies) og lignende teknologier krever et forhåndssamtykke som er gyldig etter personvernforordningen. Med lovendringen fra 1. januar 2025 er norsk rett i samsvar med EU-retten når det gjelder informasjonskapsler og lignende teknologier, og internettbrukere i Norge får et sterkere vern mot sporing på nett.

Datatilsynet og Nasjonal kommunikasjonsmyndighet (Nkom) har felles tilsynsmyndighet med ekomloven § 3-15. Ansvaret er fordelt mellom Datatilsynet og Nkom gjennom forskrift på følgende måte:

  • Nkom har ansvaret for å vurdere om en teknisk løsning er omfattet av bestemmelsen, og om unntakene fra kravet til informasjon og samtykke i § 3-15 andre ledd er oppfylt.
  • Datatilsynet har ansvar for å vurdere om det gis tilstrekkelig informasjon og om samtykket oppfyller kravene i personvernforordningen.

I denne veiledningen gir vi råd for hvordan du kan innhente et samtykke til informasjonskapsler og lignende teknologier i tråd med kravene i personvernforordningen. For spørsmål om virkeområdet til ekomloven § 3-15, eller om unntakene fra samtykke- og informasjonskravet i § 3-15 andre ledd, henviser vi til Nkom.

Hva er en informasjonskapsel?

En informasjonskapsel, ofte kalt cookie, er en liten tekstfil som lastes ned og lagres på datamaskinen når brukeren åpner en nettside. Informasjonskapsler brukes for eksempel til å lagre innloggingsdetaljer, huske handlekurv i nettbutikken eller registrere hvor brukeren beveger seg rundt på nettstedet.

Personvernforordningens krav til samtykke

Samtykke skal gi brukeren kontroll over hvordan vedkommendes opplysninger brukes gjennom et reelt og rettferdig valg. For at et samtykke skal være gyldig etter personvernforordningen og ekomloven, må det være:

  • frivillig
  • spesifikt
  • informert
  • utvetydig
  • gitt gjennom en aktiv handling
  • dokumenterbart
  • mulig å trekke tilbake like lett som det ble gitt

Du må innhente samtykke før du begynner å bruke informasjonskapsler eller lignende teknologier, for eksempel før du plasserer en informasjonskapsel. Du må oppfylle alle vilkårene for at et samtykke skal være gyldig. Dersom du tilbyr tjenester som bruker informasjonskapsler eller lignende teknologier, er du ansvarlig for å sikre dette.

Dersom du ikke etterlever kravene til samtykke i personvernforordningen, blir ofte kontrollen og valgfriheten som samtykke er ment å gi, illusorisk. Dette gjelder for eksempel villedende eller manipulative samtykkemekanismer, hvor alternativet for å avvise et samtykke til informasjonskapsler gjemmes i kompliserte under-menyer eller andre mer strevsomme mekanismer. 

Hvilke teknologier gjelder denne veiledningen for?

Ekomloven er teknologinøytral og gjelder både for informasjonskapsler og andre teknologier, som lagrer eller henter ut opplysninger fra kommunikasjonsutstyret til brukeren. Kravene i denne veiledningen gjelder for all bruk av teknologi som omfattes av ekomloven § 3-15, og som ikke er omfattet av et av unntakene i andre ledd – for eksempel strengt nødvendige informasjonskapsler.

I denne veiledningen vil vi i fortsettelsen bruke begrepet «informasjonskapsler og lignende teknologier».

Forholdet til personvernregelverket og rettslig grunnlag

Personvernregelverket gjelder for behandling av personopplysninger, og du må ha et rettslig grunnlag for å behandle personopplysninger på en lovlig måte.

Ekomloven § 3-15 er en spesialregulering av bruk av informasjonskapsler og lignende teknologi. Bestemmelsen gjelder for lagring på eller uthenting av informasjon fra kommunikasjonsutstyret til sluttbrukeren, og denne bestemmelsen gjelder uavhengig av om du behandler personopplysninger eller ikke.

Der personvernforordningen har seks alternative rettslige grunnlag for behandling av personopplysninger som du kan vurdere, stiller ekomloven § 3-15 krav om å hente inn samtykke. Ekomloven stiller dermed i praksis strengere krav enn personvernforordningen. Du må følge kravet om samtykke for behandling av personopplysninger så lenge behandlingen gjelder å lagre eller hente ut informasjon fra kommunikasjonsutstyret til sluttbrukeren.

Etterfølgende behandling av personopplysninger som du har lagret i eller skaffet deg adgang til fra brukerens kommunikasjonsutstyr, er regulert av personvernregelverket. I praksis må du innhente samtykke til slik etterfølgende behandling i samme samtykke som du henter inn til bruken av informasjonskapsler, siden disse vil ha samme formål.

Dersom virksomheten din behandler personopplysninger gjennom bruk av informasjonskapsler, kan andre rettslige grunnlag i personvernforordningen enn samtykke nesten aldri brukes for videre behandling av slike personopplysninger. Et eksempel på unntak, hvor for eksempel berettiget interesse kan vurderes, er dersom bruken av informasjonskapslene oppfyller ett av unntaksvilkårene i § 3-15 andre ledd, og behandling av personopplysninger skjer som et strengt nødvendig ledd i dette.

Ansvar og rollefordeling

Dersom du bruker informasjonskapsler eller lignende teknologier på nettsiden eller tjenesten du tilbyr, vil du være ansvarlig for å etterleve ekomloven § 3-15 og være behandlingsansvarlig etter personvernregelverket for behandlingen av personopplysninger knyttet til bruken av slik teknologi.

Hvis du bruker av tredjepartsinformasjonskapsler eller tilsvarende, vil du kunne ha felles behandlingsansvar med tredjeparten i forbindelse med behandlingen av personopplysninger knyttet til bruken av slik teknologi.

Les mer om felles behandlingsansvar. 

Les også mer om behandlingsansvarlige, felles behandlingsansvarlige og databehandlere i veiledningen til det europeiske personvernrådet (edpb.europa.eu).

I alle tilfeller hvor du benytter informasjonskapsler eller lignende teknologier er uansett du ansvarlig for å sikre etterlevelse av både ekomloven og personvernregelverket knyttet til slik bruk.

Hvordan oppfylle krav til samtykke? Ti praktiske råd

Denne veiledningen er bygget av ti kapitler, som er en sjekkliste med ti praktiske råd for hvordan du kan oppfylle kravene til gyldig samtykke, samt hva du må unngå. Under rådene viser vi eksempler på praksiser som kan være lovlige og ulovlige. Eksemplene viser fiktive utsnitt av samtykkebannere og er kun ment for å illustrere. Elementene i et samtykkebanner eller en tilsvarende samtykkemekanisme vil avhenge av hvordan virksomheten din bruker informasjonskapsler og lignende teknologier, og hvordan personopplysninger behandles.

Hvert råd kan gjelde ett eller flere av vilkårene for et gyldig samtykke. Rådene er som følger:

  1. Gi klar og tydelig informasjon i samtykkeboksen
  2. Suppler samtykkebanneret med fullstendig informasjon
  3. Ikke gjør tilgang til nettsiden eller tjenesten betinget av samtykke
  4. La brukeren velge hvilke formål de vil samtykke til eller ikke
  5. Ikke bruk forhåndsavkryssede bokser eller aksept ved passivitet
  6. Ikke la avvisning av samtykke kreve ekstra klikk eller være mer brysomt
  7. Ikke skjul alternativet for å avvise samtykket eller gi det lavere oppmerksomhetsverdi
  8. Bruk klare og enkle formuleringer i knapper eller tilsvarende designløsninger
  9. Gjør det enkelt å trekke tilbake samtykke og informer om dette
  10. Hold orden i eget hus

Mer informasjon

Denne veiledningen er ikke uttømmende. Dersom du ønsker mer informasjon, har blant annet det europeiske Personvernrådet publisert omfattende retningslinjer om kravene til et gyldig samtykke.

Les EDPBs retningslinjer om kravene til et gyldig samtykke.