Har dere kontroll med bruken av cookies på deres nettsted?


Det er regler om bruk av informasjonskapsler (cookies) i Norge. Men det kan være krevende å holde oversikt over hvilke informasjonskapsler som ligger på ditt nettsted til enhver tid. Du bør også vite hvordan disse informasjonskapslene behandler personopplysninger fra de som besøker nettsiden. Sørger du for at de som legger igjen personopplysninger er kjent med informasjonskapslene og hva de gjør?


Mange oppfyller ikke kravene

I 2015 undersøkte Nasjonal kommunikasjonsmyndighet (Nkom) de 500 mest besøkte nettsidene i Norge. Undersøkelsen viste at fire av fem nettsider som ble undersøkt ikke oppfylte kravene i bestemmelsen som krever at brukeren er informert om bruken av informasjonskapsler (cookies) på et nettsted.

Mange nettsteder brukere flere informasjonskapsler, for eksempel ved bruk av tilleggstjenester fra tredjeparter. Webanalyseverktøy, slik som Google Analytics, kan innebære behandling av personopplysninger i form av IP-adresser som samles inn fra brukerne. Brukerne av nettstedet må derfor informeres om bruken og hva disse opplysningene brukes til.

Hva er en informasjonskapsel (cookie)?

En cookie er en tekstfil som lastes ned og lagres på brukerens elektroniske enhet (for eksempel datamaskin) når brukeren åpner en nettside. Det eksisterer ulike typer av cookies. Det kan være sesjonsavhengige cookies som registrerer bruk og som vil bli slettet etter at brukeren har endt sesjonen. Det kan også benyttes faste cookies som har en bestemt utløpsdato, for eksempel informasjon om språkinnstillinger. Det kan også benyttes tredjeparts cookies. Annonser og reklamebannere er eksempler på tredjeparts cookies.

Regler om bruk av informasjonskapsler (cookies)

I Norge reguleres bruk av informasjonskapsler (cookies) i ekomloven. Ekomloven ble sist endret i 2013 for blant annet å inkludere regler for håndtering av cookies på nettsteder i tråd med EU direktivet ePrivacy.

Ekomloven § 2-7 b. Bruk av informasjonskapsler/cookies

Lagring av opplysninger i brukers kommunikasjonsutstyr, eller å skaffe seg adgang til slike, er ikke tillatt uten at brukeren er informert om hvilke opplysninger som behandles, formålet med behandlingen, hvem som behandler opplysningene, og har samtykket til dette. Første punktum er ikke til hinder for teknisk lagring av eller adgang til opplysninger.

1. utelukkende for det formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett

2. som er nødvendig for å levere en informasjonssamfunnstjeneste etter brukerens uttrykkelige forespørsel.

Hensynet bak regelverket er å sikre brukeres personvern ved elektronisk kommunikasjon, i hovedsak mot personvernkrenkede teknikker som for eksempel spionprogram. Bestemmelsen har til hensikt å beskytte brukeres kommunikasjonsutstyr ved krav om informasjon og samtykke fra bruker dersom det skal benyttes cookies.

Brukeren skal derfor som hovedregel være informert om, og har samtykket til, hvilke opplysninger som behandles. Brukeren skal også være informert om formålet med behandlingen og hvem som behandler opplysningene. Et eksempel på personvernerklæring er Datatilsynets personvernerklæring.

Cookies og EUs personvernforordning (GDPR)

Informasjonskapsler er nevnt én gang i EUs personvernforordning (GDPR). Fortale 30 til GDPR stadfester at:

Natural persons may be associated with online identifiers […] such as internet protocol addresses, cookie identifiers or other identifiers […]. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.

Dersom en informasjonskapsel kan identifisere en enkeltperson, anses det som behandling av personopplysninger. Dette bekreftes av fortale 26 til GDPR, som stadfester at hvilken som helst opplysning som kan bli brukt til å identifisere en enkeltperson, direkte eler indirekte (alene eller sammen med andre opplysninger), er personopplysninger. Pseudoniminering er ikke til hinder for at opplysningene kan forstås som personopplysninger.

Ikke alle informasjonskapsler blir brukt på en måte som kan identifisere enkeltpersoner, men de som gjør det vil innebære behandling av personopplysninger. Dette kan for eksempel inkludere informasjonskapsler for analyse, markedsføring og funksjonalitet (for eksempel undersøkelser).

Virksomheter som behandler personopplysninger som innhentes fra cookies må ha et lovlig behandlingsgrunnlag. Dersom det ikke finnes eller kan innhentes, skal behandlingen stanses. Samtykke i form av forhåndsavkryssede bokser, er ikke tilstrekkelig etter personvernforordningen. Et samtykke etter personvernforordningen skal være frivillig, spesifikt, informert og utvetydig. Det skal også være like enkelt å trekke tilbake et samtykke som det er å gi samtykke. Derfor kan det i noen tilfeller også være fornuftig å undersøke om det er andre behandlingsgrunnlag for noen av de behandlingsaktivitetene som følger med informasjonskapsler.

Vår anbefaling er at de som har nettsted undersøker hvilke cookies som benyttes på nettstedet og hvordan disse behandler personopplysninger. Det må sikres at det eksisterer lovlig behandlingsgrunnlag og at det gis tilstrekkelig informasjon i personvernerklæringen på nettstedet.