Innledning
Ekomloven § 3-15 bestemmer at bruk av informasjonskapsler (cookies) og lignende teknologier krever et forhåndssamtykke som er gyldig etter personvernforordningen. Med lovendringen fra 1. januar 2025 er norsk rett i samsvar med EU-retten når det gjelder informasjonskapsler og lignende teknologier, og internettbrukere i Norge får et sterkere vern mot sporing på nett.
§ 3-15. Bruk av informasjonskapsler mv.
Det er ikke tillatt å lagre eller å skaffe seg tilgang til opplysninger i sluttbrukers eller brukers kommunikasjonsutstyr uten at den aktuelle sluttbrukeren eller brukeren er informert om blant annet hvilke opplysninger som behandles, formålet med behandlingen og hvem som behandler opplysningene, og uten at den aktuelle sluttbrukeren eller brukeren har gitt samtykke. Samtykke skal oppfylle kravene til samtykke i personvernforordningen.
Første ledd gjelder ikke for teknisk lagring av eller adgang til opplysninger
a. utelukkende for det formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett, eller
b. som er strengt nødvendig for å levere en informasjonssamfunnstjeneste etter den aktuelle sluttbrukerens eller brukerens uttrykkelige forespørsel.
Datatilsynet og Nasjonal kommunikasjonsmyndighet (Nkom) har felles tilsynsmyndighet med ekomloven § 3-15. Ansvaret er fordelt mellom Datatilsynet og Nkom gjennom forskrift på følgende måte:
- Nkom har ansvaret for å vurdere om en teknisk løsning er omfattet av bestemmelsen, og om unntakene fra kravet til informasjon og samtykke i § 3-15 andre ledd er oppfylt.
- Datatilsynet har ansvar for å vurdere om det gis tilstrekkelig informasjon og om samtykket oppfyller kravene i personvernforordningen.
Vi vil i denne veiledningen gi råd for hvordan du kan innhente et samtykke til informasjonskapsler og lignende teknologier i tråd med kravene i personvernforordningen. For spørsmål om virkeområdet til ekomloven § 3-15, eller om unntakene fra samtykke- og informasjonskravet i § 3-15 andre ledd, henviser vi til Nkom.
Hva er en informasjonskapsel?
En informasjonskapsel, ofte kalt cookie, er en liten tekstfil som lastes ned og lagres på datamaskinen når brukeren åpner en nettside. Informasjonskapsler brukes for eksempel til å lagre innloggingsdetaljer, huske handlekurv i nettbutikken eller registrere hvor brukeren beveger seg rundt på nettstedet.
Personvernforordningens krav til samtykke
Samtykke skal gi brukeren kontroll over hvordan vedkommendes opplysninger brukes gjennom et reelt og rettferdig valg. For at et samtykke skal være gyldig etter personvernforordningen og ekomloven, må det være:
- frivillig
- spesifikt
- informert
- utvetydig
- gitt gjennom en aktiv handling
- dokumenterbart
- mulig å trekke tilbake like lett som det ble gitt
Virksomheten må innhente samtykke før informasjonskapsler eller lignende teknologier brukes, for eksempel før en informasjonskapsel plasseres. Alle vilkårene alle vilkårene må oppfylles for at samtykket skal være gyldig. Dersom virksomheten din tilbyr tjenester som bruker slike teknologier, er du ansvarlig for å sikre dette.
Dersom virksomhetene ikke etterlever kravene til samtykke i personvernforordningen, blir ofte kontrollen og valgfriheten som samtykke er ment å gi, illusorisk. Dette gjelder for eksempel villedende eller manipulative samtykkemekanismer, hvor alternativet for å avvise et samtykke til informasjonskapsler gjemmes i kompliserte undermenyer eller andre mer strevsomme mekanismer.
Hvilke teknologier gjelder denne veiledningen for?
Ekomloven er teknologinøytral og gjelder både for informasjonskapsler og andre teknologier, som lagrer eller henter ut opplysninger fra kommunikasjonsutstyret til brukeren. Kravene i denne veiledningen gjelder for all bruk av teknologi som omfattes av ekomloven § 3-15, og som ikke er omfattet av et av unntakene i andre ledd – for eksempel strengt nødvendige informasjonskapsler.
I denne veiledningen vil vi i fortsettelsen bruke begrepet «informasjonskapsler og lignende teknologier».
Forholdet til personvernregelverket og rettslig grunnlag
Personvernregelverket gjelder for behandling av personopplysninger, og virksomheten må ha et rettslig grunnlag for å behandle personopplysninger på en lovlig måte.
Ekomloven § 3-15 er en spesialregulering av bruk av informasjonskapsler og lignende teknologi. Bestemmelsen gjelder for lagring på eller uthenting av informasjon fra kommunikasjonsutstyret til sluttbrukeren, og denne bestemmelsen gjelder uavhengig av om du behandler personopplysninger eller ikke.
Der personvernforordningen har seks alternative rettslige grunnlag for behandling av personopplysninger som kan vurderes, stiller ekomloven krav om å hente inn samtykke (§ 3-15). Ekomloven stiller dermed i praksis strengere krav enn personvernforordningen. Kravet om samtykke for behandling av personopplysninger må følges, så lenge behandlingen gjelder å lagre eller hente ut informasjon fra kommunikasjonsutstyret til sluttbrukeren.
Etterfølgende behandling av personopplysninger som virksomheten har lagret i, eller skaffet adgang til, fra brukerens kommunikasjonsutstyr, er regulert av personvernregelverket. I praksis må virksomheten innhente samtykke til slik etterfølgende behandling samtidig som det hentes samtykke til bruken av informasjonskapsler, siden disse vil ha samme formål.
Dersom virksomheten din behandler personopplysninger gjennom bruk av informasjonskapsler, kan andre rettslige grunnlag i personvernforordningen enn samtykke nesten aldri brukes for videre behandling av slike personopplysninger. Et eksempel på unntak, hvor for eksempel berettiget interesse kan vurderes, er dersom bruken av informasjonskapslene oppfyller ett av unntaksvilkårene i § 3-15 andre ledd, og behandling av personopplysninger skjer som et strengt nødvendig ledd i dette.
Ansvar og rollefordeling
Dersom virksomheten bruker informasjonskapsler eller lignende teknologier på nettsiden eller tjenesten dere tilbyr, er virksomheten ansvarlig for å etterleve ekomloven § 3-15. Den vil også være behandlingsansvarlig etter personvernregelverket for behandlingen av personopplysninger knyttet til bruken av slik teknologi.
Hvis virksomheten bruker tredjepartsinformasjonskapsler eller tilsvarende, vil dere også kunne ha felles behandlingsansvar med tredjeparten for behandlingen av personopplysninger ved bruk av slik teknologi.
Les mer om felles behandlingsansvar.
Les også mer om behandlingsansvarlige, felles behandlingsansvarlige og databehandlere i veiledningen til det europeiske personvernrådet (edpb.europa.eu).
I alle tilfeller hvor virksomheten benytter informasjonskapsler eller lignende teknologier, er uansett virksomheten ansvarlig for å sikre etterlevelse av både ekomloven og personvernregelverket.
Hvordan oppfylle krav til samtykke? Ti praktiske råd
Denne veiledningen har ti kapitler med praktiske råd for hvordan du kan oppfylle kravene til gyldig samtykke, samt hva du må unngå. Under rådene viser vi eksempler på praksiser som kan være lovlige og ulovlige. Eksemplene viser fiktive utsnitt av samtykkebannere og er kun ment for å illustrere. Elementene i et samtykkebanner eller en tilsvarende samtykkemekanisme vil avhenge av hvordan virksomheten din bruker informasjonskapsler og lignende teknologier, og hvordan personopplysninger behandles.
Hvert råd kan gjelde ett eller flere av vilkårene for et gyldig samtykke:
- Gi klar og tydelig informasjon i samtykkeboksen
- Suppler samtykkebanneret med fullstendig informasjon
- Ikke gjør tilgang til nettsiden eller tjenesten betinget av samtykke
- La brukeren velge hvilke formål de vil samtykke til eller ikke
- Ikke bruk forhåndsavkryssede bokser eller aksept ved passivitet
- Ikke la avvisning av samtykke kreve ekstra klikk eller være mer brysomt
- Ikke skjul alternativet for å avvise samtykket eller gi det lavere oppmerksomhetsverdi
- Bruk klare og enkle formuleringer i knapper eller tilsvarende designløsninger
- Gjør det enkelt å trekke tilbake samtykke og informer om dette
- Hold orden i eget hus
Mer informasjon
Denne veiledningen er ikke uttømmende. Dersom du ønsker mer informasjon, har blant annet det europeiske Personvernrådet publisert omfattende retningslinjer om kravene til et gyldig samtykke.