Ekomloven § 3-15 bestemmer at bruk av informasjonskapsler (cookies) og lignende teknologier krever et forhåndssamtykke som er gyldig etter personvernforordningen. Med lovendringen fra 1. januar 2025 er norsk rett i samsvar med EU-retten når det gjelder informasjonskapsler og lignende teknologier, og internettbrukere i Norge får et sterkere vern mot sporing på nett.

Datatilsynet og Nasjonal kommunikasjonsmyndighet (Nkom) har felles tilsynsmyndighet med ekomloven § 3-15. Ansvaret er fordelt mellom Datatilsynet og Nkom gjennom forskrift på følgende måte:

• Nkom har ansvaret for å vurdere om en teknisk løsning er omfattet av bestemmelsen, og om unntakene fra kravet til informasjon og samtykke i § 3-15 andre ledd er oppfylt.
• Datatilsynet har ansvar for å vurdere om det gis tilstrekkelig informasjon og om samtykket oppfyller kravene i personvernforordningen.

Vi vil i denne veiledningen gi råd for hvordan du kan innhente et samtykke til informasjonskapsler og lignende teknologier i tråd med kravene i personvernforordningen. For spørsmål om virkeområdet til ekomloven § 3-15, eller om unntakene fra samtykke- og informasjonskravet i § 3-15 andre ledd, henviser vi til Nkom.

Personvernforordningens krav til samtykke

Samtykke skal gi brukeren kontroll over hvordan vedkommendes opplysninger brukes gjennom et reelt og rettferdig valg. For at et samtykke skal være gyldig etter personvernforordningen og ekomloven, må det være:

• frivillig
• spesifikt
• informert
• utvetydig
• gitt gjennom en aktiv handling
• dokumenterbart
• mulig å trekke tilbake like lett som det ble gitt

Virksomheten må innhente samtykke før informasjonskapsler eller lignende teknologier brukes, for eksempel før en informasjonskapsel plasseres. Alle vilkårene alle vilkårene må oppfylles for at samtykket skal være gyldig. Dersom virksomheten din tilbyr tjenester som bruker slike teknologier, er du ansvarlig for å sikre dette.

Dersom virksomhetene ikke etterlever kravene til samtykke i personvernforordningen, blir ofte kontrollen og valgfriheten som samtykke er ment å gi, illusorisk. Dette gjelder for eksempel villedende eller manipulative samtykkemekanismer, hvor alternativet for å avvise et samtykke til informasjonskapsler gjemmes i kompliserte undermenyer eller andre mer strevsomme mekanismer. 

Hvilke teknologier gjelder denne veiledningen for?

Ekomloven er teknologinøytral og gjelder både for informasjonskapsler og andre teknologier, som lagrer eller henter ut opplysninger fra kommunikasjonsutstyret til brukeren. Kravene i denne veiledningen gjelder for all bruk av teknologi som omfattes av ekomloven § 3-15, og som ikke er omfattet av et av unntakene i andre ledd – for eksempel strengt nødvendige informasjonskapsler.

I denne veiledningen vil vi i fortsettelsen bruke begrepet «informasjonskapsler og lignende teknologier».

Forholdet til personvernregelverket og rettslig grunnlag

Personvernregelverket gjelder for behandling av personopplysninger, og virksomheten må ha et rettslig grunnlag for å behandle personopplysninger på en lovlig måte.

Ekomloven § 3-15 er en spesialregulering av bruk av informasjonskapsler og lignende teknologi. Bestemmelsen gjelder for lagring på eller uthenting av informasjon fra kommunikasjonsutstyret til sluttbrukeren, og denne bestemmelsen gjelder uavhengig av om du behandler personopplysninger eller ikke.

Der personvernforordningen har seks alternative rettslige grunnlag for behandling av personopplysninger som kan vurderes, stiller ekomloven krav om å hente inn samtykke (§ 3-15). Ekomloven stiller dermed i praksis strengere krav enn personvernforordningen. Kravet om samtykke for behandling av personopplysninger må følges, så lenge behandlingen gjelder å lagre eller hente ut informasjon fra kommunikasjonsutstyret til sluttbrukeren.

Etterfølgende behandling av personopplysninger som virksomheten har lagret i, eller skaffet adgang til, fra brukerens kommunikasjonsutstyr, er regulert av personvernregelverket. I praksis må virksomheten innhente samtykke til slik etterfølgende behandling samtidig som det hentes samtykke til bruken av informasjonskapsler, siden disse vil ha samme formål.

Dersom virksomheten din behandler personopplysninger gjennom bruk av informasjonskapsler, kan andre rettslige grunnlag i personvernforordningen enn samtykke nesten aldri brukes for videre behandling av slike personopplysninger. Et eksempel på unntak, hvor for eksempel berettiget interesse kan vurderes, er dersom bruken av informasjonskapslene oppfyller ett av unntaksvilkårene i § 3-15 andre ledd, og behandling av personopplysninger skjer som et strengt nødvendig ledd i dette.

Ansvar og rollefordeling

Dersom virksomheten bruker informasjonskapsler eller lignende teknologier på nettsiden eller tjenesten dere tilbyr, er virksomheten ansvarlig for å etterleve ekomloven § 3-15. Den vil også være behandlingsansvarlig etter personvernregelverket for behandlingen av personopplysninger knyttet til bruken av slik teknologi.

Hvis virksomheten bruker tredjepartsinformasjonskapsler eller tilsvarende, vil dere også kunne ha felles behandlingsansvar med tredjeparten for behandlingen av personopplysninger ved bruk av slik teknologi.

Les mer om felles behandlingsansvar. 

Les også mer om behandlingsansvarlige, felles behandlingsansvarlige og databehandlere i veiledningen til det europeiske personvernrådet (edpb.europa.eu).

I alle tilfeller hvor virksomheten benytter informasjonskapsler eller lignende teknologier, er uansett virksomheten ansvarlig for å sikre etterlevelse av både ekomloven og personvernregelverket.

Hvordan oppfylle krav til samtykke? Ti praktiske råd

Denne veiledningen har ti kapitler med praktiske råd for hvordan du kan oppfylle kravene til gyldig samtykke, samt hva du må unngå. Under rådene viser vi eksempler på praksiser som kan være lovlige og ulovlige. Eksemplene viser fiktive utsnitt av samtykkebannere og er kun ment for å illustrere. Elementene i et samtykkebanner eller en tilsvarende samtykkemekanisme vil avhenge av hvordan virksomheten din bruker informasjonskapsler og lignende teknologier, og hvordan personopplysninger behandles.

Hvert råd kan gjelde ett eller flere av vilkårene for et gyldig samtykke:

1. Gi klar og tydelig informasjon i samtykkeboksen
2. Suppler samtykkebanneret med fullstendig informasjon
3. Ikke gjør tilgang til nettsiden eller tjenesten betinget av samtykke
4. La brukeren velge hvilke formål de vil samtykke til eller ikke
5. Ikke bruk forhåndsavkryssede bokser eller aksept ved passivitet
6. Ikke la avvisning av samtykke kreve ekstra klikk eller være mer brysomt
7. Ikke skjul alternativet for å avvise samtykket eller gi det lavere oppmerksomhetsverdi
8. Bruk klare og enkle formuleringer i knapper eller tilsvarende designløsninger
9. Gjør det enkelt å trekke tilbake samtykke og informer om dette
10. Hold orden i eget hus

Presist og forståelig, klart og enkelt

Presis og forståelig informasjon er en grunnleggende forutsetning for at brukere kan ta reelle valg, og uten dette kan ikke et samtykke være gyldig. Brukeren skal enkelt kunne forstå konsekvensene av et eventuelt samtykke. Dette inkluderer blant annet hvorfor opplysningene behandles og hva de skal brukes til (formål), hvilke opplysninger som behandles og hvem disse opplysningene eventuelt blir tilgjengelig for, men også andre opplysninger som er nødvendig for at brukeren skal kunne foreta et informert valg.

Informasjonen må gis på et klart og enkelt språk, og ikke unødvendig teknisk eller juridisk. Ikke bruk tvetydige og uklare formuleringer som «vi kan bruke opplysningene til …» eller tilsvarende.

Lagvis presentasjon av informasjon

Det kan ofte være praktisk med en lagvis presentasjon av informasjonen. Da balanserer du kravene til at informasjonen skal være lett tilgjengelig og lettfattelig på den ene siden, og være fullstendig på den andre siden. Den viktigste informasjonen brukeren trenger for å forstå konsekvensen av samtykket skal likevel alltid stå i selve samtykkeboksen, hvor brukeren kan avgi samtykket sitt – og ikke bare finnes i en cookieerklæring eller en nedtrekksmeny som er et klikk unna.

Gi informasjon om utlevering til tredjeparter

Dersom opplysninger blir utlevert til eller tilgjengeliggjort for andre, må du informere om dette. Dersom det er mange mottakere av opplysningene, kan det være mest praktisk å ha en komplett liste i en nedtrekksmeny eller gjennom en lenke, mens første lag i et samtykkebanner kan angi antall og kategorier av mottakere.

Fungerer samtykkeboksen på alle typer enheter?

Pass på at samtykkeboksen fungerer godt på alle relevante enheter nettsiden eller tjenesten besøkes fra, inkludert mobil, nettbrett og pc.

Unngå store mengder tekst i samtykkebanneret

Det er normalt ikke praktisk eller hensiktsmessig å gi fullstendig informasjon i selve samtykkebanneret. Store mengder tekst i samtykkebanneret vil kunne føre til at mange brukere ikke leser informasjonen, og dermed ikke får gitt informerte og gyldige samtykker.

Du kan ofte løse oppbyggingen av samtykke i banneret gjennom å gi brukeren lagvis informasjon. I første lag av samtykkebanneret bør du bare inkludere den viktigste informasjonen som brukeren trenger for å enkelt kunne forstå konsekvensene av samtykket.

Legg den fullstendige informasjonen i en egen erklæring

Du bør ha en erklæring eller tilsvarende med fullstendig informasjon, som brukeren enkelt kan finne gjennom en tydelig lenke eller tilsvarende funksjon i samtykkebanneret. Du må sørge for at informasjonen til enhver tid er lett tilgjengelig, for eksempel ved å ha en tydelig lenke nederst på nettsiden din eller lett tilgjengelig i tjenesten.

Dersom det er praktisk, anbefaler vi at erklæringen blant annet inneholder en kort oversikt med navn og bruksområde for hver informasjonskapsel. På den måten har brukerne mulighet til å forstå hva hver enkelt informasjonskapsel gjør. Det er imidlertid viktig å huske på at også denne informasjonen skal være enkel å forstå for brukerne.

Dersom du gjør tilgangen til nettsiden eller tjenesten betinget av å samtykke, gir du ikke brukeren et reelt valg. I slike tilfeller vil ikke samtykket være gyldig. Dette gjelder blant annet såkalte "cookie-walls".

Dersom du benytter informasjonskapsler eller lignende teknologi for flere ulike formål, skal brukeren fritt kunne velge hvilke formål de ønsker å samtykke til eller ikke. Et samtykke vil normalt ikke være gyldig dersom det ikke er mulig å si ja eller nei til ulike behandlingsaktiviteter med ulike formål, og brukeren i stedet tvinges til å samtykke til alle formål.

Én informasjonskapsel, ett formål

For at dette praktisk skal la seg gjennomføre, anbefaler vi at én og samme informasjonskapsel eller tilsvarende ikke brukes til flere ulike formål.

Samtykke må skje gjennom aktiv og utvetydig handling

Samtykke må skje gjennom en aktiv og utvetydig handling. Det betyr at hvis du bruker avhukingsbokser eller brytere for samtykke til ulike formål, må du som standard sette disse på alternativet om å ikke gi samtykke. Dersom det krever en aktiv handling fra brukeren for å unngå samtykke, slik som å trykke på forhåndsavkryssede bokser eller brytere, vil ikke samtykket være gyldig.

Gyldig samtykke forutsetter interaksjon med et samtykkebanner

Løsninger hvor det å scrolle eller trykke seg videre på nettsiden anses som et implisitt samtykke til bruk av informasjonskapsler, vil heller aldri være lovlig. Dersom brukeren ikke interagerer med et samtykkebanner, skal dette alltid regnes som at samtykke ikke er gitt.

Å la være å samtykke skal være like lett som å samtykke

For at brukeren skal få et fritt og rettferdig valg, må du gjøre det like lett for brukeren å la være å samtykke som å gi samtykke. Hvis løsningen er utformet slik at det å la være å samtykke krever ekstra klikk eller for øvrig er mer brysomt enn å samtykke, vil det normalt innebære at samtykket ikke er gyldig. En bruker besøker normalt mange nettsider i løpet av en dag eller en uke, og dersom brukeren må gjennom ett eller flere ekstra steg for å si nei til å samtykke, blir brukerne i praksis påvirket («nudget»/«dultet») til å gjøre det minst brysomme valget. Dermed er ikke valget rettferdig.

Samtykke og avvisning av samtykke må være i samme lag av informasjon

Dersom brukeren møter en knapp for å samtykke i det første laget, må du på tilsvarende måte tilby et alternativ for å avvise å samtykke i det samme laget. Det er ikke tillatt å ha en knapp for å samtykke i første lag, mens alternativet om å la være å samtykke krever at brukeren trykker seg videre inn på for eksempel «innstillinger», «tilpass informasjonskapsler» eller tilsvarende funksjon i neste lag.

Dersom brukeren velger alternativet hvor de lar være å samtykke, skal du respektere dette valget. Du kan for eksempel ikke bruke ytterligere pop-up-meldinger hvor du spør om brukeren «er sikker på at de ikke ønsker å samtykke» eller tilsvarende.

Legg til rette for at brukere skal slippe å interagere med samtykkebanneret

Noen brukere ønsker kanskje ikke å interagere med et samtykkebanner, og anmodninger om samtykke skal ikke være unødvendig forstyrrende for brukeren. Du bør derfor å inkludere en «lukk» eller «X» knapp øverst i høyre hjørne av banneret. Dette må i så fall være i tillegg til alternativet om å avvise samtykket. Dersom du har et slikt alternativ for å lukke samtykkeboksen, må bruken av dette regnes som at samtykke ikke er gitt, og det kan kun brukes informasjonskapsler eller lignende teknologi som oppfyller unntakene i ekomloven § 3-15 andre ledd.

Du må gi alternativet for å la være å gi samtykke sammenlignbar plassering og oppmerksomhet som alternativet for å samtykke. Dette gjelder både i størrelse, farge og plassering. Vår klare anbefaling er at du gjør valgalternativene likeverdige.

Hvis du benytter knapper eller tilsvarende designløsninger for at brukerne skal samtykke eller ikke, må du gjøre det helt åpenbart for brukeren hvilket valg de tar. Knappene bør derfor ha klare formuleringer som «jeg samtykker», «avvis» eller tilsvarende. Du bør unngå vage eller tekniske formuleringer på knappene.

Informasjonskapsler som er unntatt i ekomloven trenger ikke egne alternativer

Informasjonskapsler som er omfattet av unntakene i ekomloven § 3-15 andre ledd skal ikke samtykkes til, og du trenger derfor ikke egne alternativer som «bare strengt nødvendige informasjonskapsler», «avvis valgfrie informasjonskapsler» eller tilsvarende. Tvert imot, slike formuleringer kan for enkelte brukere virke kompliserende og forvirrende. I stedet kan du heller bare informere om bruken av strengt nødvendige informasjonskapsler i en setning i banneret, eller eventuelt bare ha informasjon om slike informasjonskapsler i en cookie-erklæring eller tilsvarende. Merk også at dersom du kun har informasjonskapsler som er omfattet av unntakene i ekomloven § 3-15 andre ledd, verken trenger eller bør du ha et samtykkebanner.

Bruk et nøytralt og objektivt språk

Ikke bruk ledende eller positivt eller negativt ladede formuleringer i samtykkeboksene.

For at et samtykke skal være gyldig, må det til enhver tid være like lett å trekke tilbake samtykke som å gi samtykke. Du må informere om hvordan samtykket trekkes tilbake i forbindelse med at samtykket innhentes, og vi anbefaler deg å ha en tydelig lenke, et ikon eller lignende i bunnen av nettsiden eller på et lett gjenfinnbart sted i appen hvor brukeren til enhver tid, på en enkel og intuitiv måte, har mulighet til å trekke tilbake samtykkene sine til informasjonskapsler og lignende teknologier.

Hvis brukeren trekker tilbake samtykket, må all behandling av personopplysninger som baserer seg på samtykket opphøre.

Ekstra ansvar i forbindelse med tredjeparter

Dersom du benytter tredjepartsinformasjonskapsler på nettsiden eller tjenesten din, eller for øvrig deler personopplysninger som er innsamlet ved bruk av informasjonskapsler med tredjeparter, innebærer dette et ekstra ansvar for deg dersom brukeren trekker samtykket tilbake. Tredjepartene som har mottatt personopplysningene kan heller ikke fortsette å behandle personopplysningene etter at brukeren har trukket tilbake samtykket sitt, og du som har innhentet samtykket har plikt til å informere tredjepartene om at samtykket er trukket tilbake og at behandlingen må opphøre.

Det er derfor viktig at du sammen med de involverte tredjepartene som mottar personopplysningene, sørger for å ha på plass fungerende mekanismer for å videreformidle at en bruker har trukket tilbake samtykket sitt.

Gå gjennom bruken av informasjonskapsler med jevne mellomrom

Det er ikke nok å bare gjøre en grundig vurdering av bruk av informasjonskapsler og lignende teknologier før de tas i bruk. Du må jevnlig gjennomgå bruken av slik teknologi, om den er nødvendig, samt om kravene i ekomloven og personvernregelverket etterleves.

Vær spesielt oppmerksom på endringer hos tredjeparter

Noe du bør være særlig oppmerksom på, er dersom du bruker tredjepartsinformasjonskapsler eller tilsvarende. Dersom en slik tredjepart gjør endringer på sin side, for eksempel knyttet til hvilke opplysninger de lagrer eller henter inn, eller endrer formålene som opplysningene brukes til, vil det blant annet kreve at du må tilpasse samtykkebannere og øvrig informasjon deretter. I en slik situasjon må du også huske på de som allerede har samtykket må bli informert om endringene og få en ny mulighet til å vurdere samtykket sitt.

Dersom du ikke har kontroll på slike eventuelle endringer, risikerer du at samtykkene du henter inn er ugyldige.

Bruk av samtykkebehandlingsplattformer

Flere virksomheter benytter også en samtykkebehandlingsplattform (CMP) for å innhente samtykke til informasjonskapsler eller lignende teknologier. Selv om virksomheten din bruker en tilbyder av samtykkebehandlingsplattformer, er det fremdeles du som er ansvarlig for at både ekomloven og personvernregelverket etterleves på nettsiden eller tjenesten din.