Forhold deg til personvernforordningen (GDPR)

Når du tar i bruk verktøy for analyse og sporing på nettstedet, må du være forberedt på å følge reglene i personvernforordningen (GDPR). Dette gjelder selv om du ikke kjenner navnet eller identiteten til de som besøker nettstedet ditt. Analyseverktøyene samler nemlig inn mye informasjon om de besøkende som enten alene eller i kombinasjon kan utgjøre personopplysninger.

En IP-adresse vil som regel i seg selv regnes som en personopplysning. Cookie-ID, lokasjonsdata eller detaljert informasjon om brukernes enheter kan også utgjøre personopplysninger. Ofte blir slik informasjon kombinert med informasjon om de besøkendes adferd på nettstedet, og da regnes også dette som personopplysninger.
Les mer om personopplysninger.

Minimer datainnsamlingen

Det er ikke lov å samle inn flere personopplysninger enn du faktisk har behov for. Dersom du i dag har et analyseverktøy som samler inn opplysninger som du ikke bruker til noe, bryter du loven. Velg et analyseverktøy som bare gir deg den informasjonen du trenger og faktisk har nytte av.

Det er heller ikke lov å lagre personopplysninger lenger enn nødvendig.
Les mer om dataminimering, lagringsbegrensning og de andre personvernprinsippene.

Ikke stol på at cookie-banneret redder deg

Det er ulike regler for henholdsvis plassering av nettkapsler/cookies og behandling av personopplysninger. Et cookie-banner som bare oppfyller minimumskravene etter de norske cookie-regelverket, gir deg ikke lov til å bruke personopplysningene til de besøkende etter personvernforordningen. Du må da ha et såkalt behandlingsgrunnlag for å behandle personopplysninger. Det vil si at det ikke er fritt fram å behandle brukernes personopplysninger.
Les mer om behandlingsgrunnlagene.

Dersom du baserer analyse og sporing på samtykke, må du huske at personvernforordningen setter mange krav for at et samtykke skal være gyldig. For eksempel kreves det en aktiv handling (slik som å trykke på en knapp eller lignende). Det må være like lett å takke nei som å takke ja, og brukere som ikke samtykker, må ikke bli utsatt for negative konsekvenser. Brukerne må forstå hva de eventuelt samtykker til, og det må være mulig å trekke tilbake samtykket. Hvis nettstedet skal bruke personopplysninger til flere formål, skal det også være mulig å samtykke til hvert formål separat.
Les mer om samtykke.

Unngå at andre kan bruke personopplysninger fra nettstedet

Ofte må du lese tjenestevilkårene nøye for å forstå hva slags verktøy du har med å gjøre. Noen verktøy behandler bare personopplysninger på virksomhetens vegne og slik eieren av nettstedet bestemmer. Andre verktøy tar forbehold om at de selv kan bestemme over personopplysningene eller kan bruke dem for sine egne formål.

Det krever nøye vurderinger for å at bruk av verktøy i den sistnevnte situasjonen blir lovlig. Med andre ord er det stor fare for å trå feil hvis du ikke vet hva du holder på med. Vår anbefaling er derfor å velge verktøy som lover å bare behandle personopplysninger på dine vegne og slik du bestemmer.

Noen nettsider krever mer forsiktighet enn andre

Noen personopplysninger har særlig beskyttelse etter personvernforordningen. Det kan være opplysninger om noens helse, legning, seksuelle forhold, religion, etnisitet, politiske oppfatning eller filosofiske overbevisning. Dette kaller vi «særlige kategorier personopplysninger». Det skal mer til for å kunne behandle denne typen opplysninger lovlig nettopp fordi de er sensitive.

På noen nettsteder kan de besøkendes adferd i seg selv avsløre særlige kategorier personopplysninger. Det kan for eksempel være nettsteder som tilbyr tjenester innen psykisk helsehjelp, som selger medisiner eller som er rettet mot visse minoriteter. Vår klare anbefaling er at slike nettsteder unngår sporings- og analyseverktøy som behandler personopplysninger, siden det skal lite til for å bryte loven i slike tilfeller.

Datatilsynet er også bekymret over bruk av sporingsverktøy på offentlige nettsteder. En undersøkelse gjennomført av Teknologirådet (tekologiradet.no) viste at mange offentlige nettsider bruker sporingsverktøy som er inngripende og/eller som kan tillate tredjeparter å bruke personopplysningene til egne formål. Undersøkelsen tyder på at flere offentlige organer ikke følger loven i dag. Det offentlige bør imidlertid gå foran som et godt eksempel. Dessuten er det i samfunnets interesse at alle tør å oppsøke viktig informasjon fra offentlige organer, uten frykt for overvåking og sporing.

Unngå at personopplysninger flyter til utrygge land

Mange verktøy har kontor eller underleverandører i land utenfor EU/EØS. Dette må du undersøke før du tar i bruk verktøyet. I utgangspunktet er det nemlig ikke lov å overføre personopplysninger ut av EU/EØS. Fjerntilgang fra et land utenfor EU/EØS regnes som en overføring.

Sjekk tjenestevilkårene og se etter følgende:
- Kan data sendes til eller behandles i et land utenfor EU/EØS?
- Tilbyr verktøyet fjernsupport fra et land utenfor EU/EØS?
- Tar verktøyet forbehold om at det kan utlevere data til myndighetene i et land utenfor EU/EØS?

Hvis ja: Dersom det aktuelle landet står på lista over land og områder med et tilstrekkelig beskyttelsesnivå, er det OK å bruke verktøyet. Se oversikten her. Dersom landet det er snakk om er USA, sjekk om virksomheten står på lista over godkjente virksomheter.

Dersom det aktuelle landet derimot ikke står på lista over land og områder med tilstrekkelig beskyttelsesnivå, er situasjonen adskillig mer komplisert. Det krever grundige vurderinger og eventuelt tekniske tiltak for å bruke løsningen lovlig i slike tilfeller. Dersom du ønsker å begi deg ut på dette arbeidet, har vi laget en veileder som forklarer hva reglene krever. Hvis ikke, bør du se deg om etter et annet verktøy.

Vær åpen

De besøkende har rett til informasjon om hvordan du behandler personopplysningene deres. Pass på at du gir ærlig og enkelt forståelig informasjon om dette. Hvis du synes det er ubehagelig å fortelle hva du faktisk gjør med de besøkendes data, er det et tegn på at du kanskje burde endre praksis.
Les mer om hva du må gi informasjon om.

Respekter de besøkendes rettigheter

Når du behandler de besøkendes personopplysninger, har de en rekke rettigheter. For eksempel har de rett til innsyn i egne data, og de kan noen ganger også be om sletting. Du må være i stand til å behandle slike forespørsler innen én måned. Det kan være at de registrerte må oppgi tilleggsinformasjon for at du skal være i stand til å finne igjen dataene deres i verktøyet.
Les mer om plikten din til å legge til rette for at de besøkende skal kunne ivareta rettighetene sine
Vi har også laget en oversiktsside med enkeltpersonenes rettigheter.

Les deg opp – og ikke vær redd for å spørre om hjelp

Det finnes flere plikter i personvernforordningen som ikke er nevnt her – for eksempel når det gjelder hvilke formål du kan bruke personopplysninger til eller informasjonssikkerhet og avvikshåndtering.
Vi har laget en samleside med alle virksomhetens plikter etter GDPR som kan være til hjelp i arbeidet.

Dersom du synes det er vanskelig å forstå veiledningene, kan du eventuelt ringe veiledningstjenesten vår.