Innledning
Ekomloven § 3-15 bestemmer at bruk av informasjonskapsler (cookies) og lignende teknologier krever et forhåndssamtykke som er gyldig etter personvernforordningen. Med lovendringen fra 1. januar 2025 er norsk rett i samsvar med EU-retten når det gjelder informasjonskapsler og lignende teknologier, og internettbrukere i Norge får et sterkere vern mot sporing på nett.
§ 3-15. Bruk av informasjonskapsler mv.
Det er ikke tillatt å lagre eller å skaffe seg tilgang til opplysninger i sluttbrukers eller brukers kommunikasjonsutstyr uten at den aktuelle sluttbrukeren eller brukeren er informert om blant annet hvilke opplysninger som behandles, formålet med behandlingen og hvem som behandler opplysningene, og uten at den aktuelle sluttbrukeren eller brukeren har gitt samtykke. Samtykke skal oppfylle kravene til samtykke i personvernforordningen.
Første ledd gjelder ikke for teknisk lagring av eller adgang til opplysninger
a. utelukkende for det formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett, eller
b. som er strengt nødvendig for å levere en informasjonssamfunnstjeneste etter den aktuelle sluttbrukerens eller brukerens uttrykkelige forespørsel.
Datatilsynet og Nasjonal kommunikasjonsmyndighet (Nkom) har felles tilsynsmyndighet med ekomloven § 3-15. Ansvaret er fordelt mellom Datatilsynet og Nkom gjennom forskrift på følgende måte:
- Nkom har ansvaret for å vurdere om en teknisk løsning er omfattet av bestemmelsen, og om unntakene fra kravet til informasjon og samtykke i § 3-15 andre ledd er oppfylt.
- Datatilsynet har ansvar for å vurdere om det gis tilstrekkelig informasjon og om samtykket oppfyller kravene i personvernforordningen.
I denne veiledningen gir vi råd for hvordan du kan innhente et samtykke til informasjonskapsler og lignende teknologier i tråd med kravene i personvernforordningen. For spørsmål om virkeområdet til ekomloven § 3-15, eller om unntakene fra samtykke- og informasjonskravet i § 3-15 andre ledd, henviser vi til Nkom.
Hva er en informasjonskapsel?
En informasjonskapsel, ofte kalt cookie, er en liten tekstfil som lastes ned og lagres på datamaskinen når brukeren åpner en nettside. Informasjonskapsler brukes for eksempel til å lagre innloggingsdetaljer, huske handlekurv i nettbutikken eller registrere hvor brukeren beveger seg rundt på nettstedet.
Personvernforordningens krav til samtykke
Samtykke skal gi brukeren kontroll over hvordan vedkommendes opplysninger brukes gjennom et reelt og rettferdig valg. For at et samtykke skal være gyldig etter personvernforordningen og ekomloven, må det være:
- frivillig
- spesifikt
- informert
- utvetydig
- gitt gjennom en aktiv handling
- dokumenterbart
- mulig å trekke tilbake like lett som det ble gitt
Du må innhente samtykke før du begynner å bruke informasjonskapsler eller lignende teknologier, for eksempel før du plasserer en informasjonskapsel. Du må oppfylle alle vilkårene for at et samtykke skal være gyldig. Dersom du tilbyr tjenester som bruker informasjonskapsler eller lignende teknologier, er du ansvarlig for å sikre dette.
Dersom du ikke etterlever kravene til samtykke i personvernforordningen, blir ofte kontrollen og valgfriheten som samtykke er ment å gi, illusorisk. Dette gjelder for eksempel villedende eller manipulative samtykkemekanismer, hvor alternativet for å avvise et samtykke til informasjonskapsler gjemmes i kompliserte under-menyer eller andre mer strevsomme mekanismer.
Hvilke teknologier gjelder denne veiledningen for?
Ekomloven er teknologinøytral og gjelder både for informasjonskapsler og andre teknologier, som lagrer eller henter ut opplysninger fra kommunikasjonsutstyret til brukeren. Kravene i denne veiledningen gjelder for all bruk av teknologi som omfattes av ekomloven § 3-15, og som ikke er omfattet av et av unntakene i andre ledd – for eksempel strengt nødvendige informasjonskapsler.
I denne veiledningen vil vi i fortsettelsen bruke begrepet «informasjonskapsler og lignende teknologier».
Forholdet til personvernregelverket og rettslig grunnlag
Personvernregelverket gjelder for behandling av personopplysninger, og du må ha et rettslig grunnlag for å behandle personopplysninger på en lovlig måte.
Ekomloven § 3-15 er en spesialregulering av bruk av informasjonskapsler og lignende teknologi. Bestemmelsen gjelder for lagring på eller uthenting av informasjon fra kommunikasjonsutstyret til sluttbrukeren, og denne bestemmelsen gjelder uavhengig av om du behandler personopplysninger eller ikke.
Der personvernforordningen har seks alternative rettslige grunnlag for behandling av personopplysninger som du kan vurdere, stiller ekomloven § 3-15 krav om å hente inn samtykke. Ekomloven stiller dermed i praksis strengere krav enn personvernforordningen. Du må følge kravet om samtykke for behandling av personopplysninger så lenge behandlingen gjelder å lagre eller hente ut informasjon fra kommunikasjonsutstyret til sluttbrukeren.
Etterfølgende behandling av personopplysninger som du har lagret i eller skaffet deg adgang til fra brukerens kommunikasjonsutstyr, er regulert av personvernregelverket. I praksis må du innhente samtykke til slik etterfølgende behandling i samme samtykke som du henter inn til bruken av informasjonskapsler, siden disse vil ha samme formål.
Dersom virksomheten din behandler personopplysninger gjennom bruk av informasjonskapsler, kan andre rettslige grunnlag i personvernforordningen enn samtykke nesten aldri brukes for videre behandling av slike personopplysninger. Et eksempel på unntak, hvor for eksempel berettiget interesse kan vurderes, er dersom bruken av informasjonskapslene oppfyller ett av unntaksvilkårene i § 3-15 andre ledd, og behandling av personopplysninger skjer som et strengt nødvendig ledd i dette.
Ansvar og rollefordeling
Dersom du bruker informasjonskapsler eller lignende teknologier på nettsiden eller tjenesten du tilbyr, vil du være ansvarlig for å etterleve ekomloven § 3-15 og være behandlingsansvarlig etter personvernregelverket for behandlingen av personopplysninger knyttet til bruken av slik teknologi.
Hvis du bruker av tredjepartsinformasjonskapsler eller tilsvarende, vil du kunne ha felles behandlingsansvar med tredjeparten i forbindelse med behandlingen av personopplysninger knyttet til bruken av slik teknologi.
Les mer om felles behandlingsansvar.
Les også mer om behandlingsansvarlige, felles behandlingsansvarlige og databehandlere i veiledningen til det europeiske personvernrådet (edpb.europa.eu).
I alle tilfeller hvor du benytter informasjonskapsler eller lignende teknologier er uansett du ansvarlig for å sikre etterlevelse av både ekomloven og personvernregelverket knyttet til slik bruk.
Hvordan oppfylle krav til samtykke? Ti praktiske råd
Denne veiledningen er bygget av ti kapitler, som er en sjekkliste med ti praktiske råd for hvordan du kan oppfylle kravene til gyldig samtykke, samt hva du må unngå. Under rådene viser vi eksempler på praksiser som kan være lovlige og ulovlige. Eksemplene viser fiktive utsnitt av samtykkebannere og er kun ment for å illustrere. Elementene i et samtykkebanner eller en tilsvarende samtykkemekanisme vil avhenge av hvordan virksomheten din bruker informasjonskapsler og lignende teknologier, og hvordan personopplysninger behandles.
Hvert råd kan gjelde ett eller flere av vilkårene for et gyldig samtykke. Rådene er som følger:
- Gi klar og tydelig informasjon i samtykkeboksen
- Suppler samtykkebanneret med fullstendig informasjon
- Ikke gjør tilgang til nettsiden eller tjenesten betinget av samtykke
- La brukeren velge hvilke formål de vil samtykke til eller ikke
- Ikke bruk forhåndsavkryssede bokser eller aksept ved passivitet
- Ikke la avvisning av samtykke kreve ekstra klikk eller være mer brysomt
- Ikke skjul alternativet for å avvise samtykket eller gi det lavere oppmerksomhetsverdi
- Bruk klare og enkle formuleringer i knapper eller tilsvarende designløsninger
- Gjør det enkelt å trekke tilbake samtykke og informer om dette
- Hold orden i eget hus
Mer informasjon
Denne veiledningen er ikke uttømmende. Dersom du ønsker mer informasjon, har blant annet det europeiske Personvernrådet publisert omfattende retningslinjer om kravene til et gyldig samtykke.