Informasjonskapsler/cookies

Her finner du informasjon om ulike typer informasjonskapsler, hva ekomloven sier om bruk av informasjonskapsler og hvordan kravene til bruk av informasjonskapsler kan oppfylles.

20.12.2024

En informasjonskapsel, ofte kalt cookie, er en liten tekstfil som lastes ned og lagres på datamaskinen når brukeren åpner en nettside. Informasjonskapselen brukes for eksempel til å lagre innloggingsdetaljer, huske handlekurv i nettbutikken eller registrere hvor brukeren beveger seg rundt på nettstedet.

Nye cookie-regler fra 1. januar

Fra nyttår skjerpes kravene til samtykke for bruk av informasjonskapsler (cookies) og lignende teknologier.

Stortinget har vedtatt ny ekomlov som trer i kraft 1. januar 2025. Den nye loven sier at bruk av informasjonskapsler (cookies) og lignende teknologier krever et samtykke som er gyldig etter personvernforordningen (GDPR) for å være lovlig. Datatilsynet og Nasjonal kommunikasjonsmyndighet (Nkom) skal ha felles tilsynsmyndighet med bestemmelsen. Endringen innebærer at norsk rett er i samsvar med EU-retten når det gjelder cookies og lignende teknologier, og at norske internettbrukere i Norge får et sterkere vern mot sporing på nett.

Datatilsynet og Nasjonal kommunikasjonsmyndighet (Nkom) vil komme med mer veiledning om de nye reglene på nyåret, men nedenfor følger en kort oversikt over det viktigste som virksomheter må være klar over om den nye ekomloven § 3-15 som vil gjelde fra 1. januar 2025. Vi viser også til hvor man kan finne mer informasjon.

Samtykke må oppfylle kravene i personvernforordningen.

Den største endringen i de nye reglene er at samtykke til bruk av cookies og lignende teknologier må oppfylle kravene til samtykke i personvernforordningen for å være gyldig. Frem til nå har det for eksempel vært tilstrekkelig at standardinnstillinger i nettlesere tillater cookies. For at et samtykke skal være gyldig etter den nye loven, må det være:

frivillig
spesifikt
informert
utvetydig
gitt gjennom en aktiv handling
dokumenterbart
mulig å trekke tilbake like lett som det ble gitt

Det er viktig at virksomheter vurderer om de må endre sin praksis for hvordan samtykke innhentes for bruk av cookies og lignende teknologier. Alle vilkårene må være oppfylt for at samtykke skal være gyldig, og virksomheter som tilbyr tjenester som bruker cookies eller lignende teknologier er ansvarlige for å sikre dette.

Kravene til et gyldig samtykke innebærer blant annet at det skal være like lett å si nei som å si ja til å samtykke. Dersom det er mer komplisert å si nei, eller nei-alternativet ikke gis sammenlignbar oppmerksomhet som ja-alternativet, får ikke brukeren et rettferdig valg. Brukeren må også få lett tilgjengelig og forståelig informasjon som gjør at de enkelt kan forstå konsekvensene av et eventuelt samtykke.

Det europeiske Personvernrådet (EDPB), som består av datatilsynsmyndighetene i EØS, har publisert retningslinjer om kravene til et gyldig samtykke. Disse kan man lese her.

Datatilsynet har også generell veiledning om hva som ligger i kravene til et gyldig samtykke her.

Bestemmelsen er teknologinøytral.

Ekomloven § 3-15 regulerer lagring av eller å skaffe seg tilgang til opplysninger i brukerens kommunikasjonsutstyr. Med kommunikasjonsutstyr menes for eksempel mobiltelefon, nettbrett eller datamaskin. Bestemmelsen er teknologinøytral, og gjelder både for cookies og andre teknologier som lagrer eller henter ut opplysninger fra kommunikasjonsutstyret til brukeren.

Det er også viktig å være klar over at bestemmelsen gjelder for lagring og tilgang til alle slags opplysninger. Bestemmelsen gjelder altså uavhengig av om det er snakk om personopplysninger eller ikke.

Ekomloven § 3-15 gjennomfører kommunikasjonsverndirektivet artikkel 5 nr. 3 i norsk rett, som er bestemmelsen om cookies og lignende teknologi i EU-regelverket. Det europeiske Personvernrådet har publisert retningslinjer om det tekniske virkeområdet for direktivbestemmelsen, som kan leses her.

Unntakene fra kravet til samtykke er snevre.

Det er to unntak fra kravet om samtykke ved bruk av cookies og lignende teknologier.

Kravet til samtykke gjelder ikke for teknisk lagring av eller adgang til opplysninger:

utelukkende for det formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett, eller
som er strengt nødvendig for å levere en informasjonssamfunnstjeneste etter den aktuelle sluttbrukerens eller brukerens uttrykkelige forespørsel.

Det første unntaket retter seg først og fremst mot ekomtilbydere.

Det andre unntaket gjelder bare der bruk av informasjonskapselen er en forutsetning for å kunne levere tjenesten.

Ulike typer informasjonskapsler.

Informasjonskapsler kan være nyttige både for eieren og brukeren av en nettside. Eieren av nettsiden kan tilpasse tjenesten ut fra informasjonen som lagres. For brukeren kan besøk på nettsiden oppleves mer brukervennlig og tilpasset.

Informasjonskapsler kan være:

sesjonsavhengig informasjonskapsel
fast informasjonskapsel
første eller tredjeparts informasjonskapsel

Sesjonsavhengig informasjonskapsel (session cookie)

Sesjonsavhengig informasjonskapsel slettes etter endt sesjon, det vil si når du lukker nettleseren. Disse informasjonskapslene brukes blant annet for å registrere en bruker er inne på nettsiden og få oversikt over hva brukeren gjør på siden.

Fast informasjonskapsel (persistent cookie)

Fast informasjonskapsel slettes ikke etter endt sesjon. Faste informasjonskapsler kan ofte inneholde informasjon om autentisering, språkinnstillinger og menyvalg. Det gjør at fremtidige besøk på nettsiden er raskere og mer tilpasset brukeren. De fleste faste informasjonskapsler har en utløpsdato der de slettes automatisk etter en viss periode.

Tredjeparts informasjonskapsel (third party cookie)

Tredjeparts informasjonskapsel er en informasjonskapsel (fast eller sesjonsavhengig) som settes av en annen enn den som driver nettstedet som brukeren besøker. Eksempel på dette er annonser og reklamebannere på nettaviser.

Hensynet bak bestemmelsen.

Ekomloven § 3-15 skal være med å sikre brukernes personvern på ekomområdet. Bestemmelsen retter seg i hovedsak mot personvernkrenkende teknikker som spionprogram og liknende, og er ikke ment å innebære noe hinder mot å benytte lovlige teknikker.

Bestemmelsen beskytter brukerne ved at det er gitt krav om informasjon og samtykke dersom det skal benyttes informasjonskapsler. Lagring av opplysninger og behandling av disse opplysningene er ikke tillatt, med mindre bruker er informert om, og har samtykket til behandlingen.

Hvem omfattes av bestemmelsen?

All virksomhet knyttet til elektronisk kommunikasjon omfattes av bestemmelsen. Som eksempler kan her nevnes mediehus, annonsører på Internett og tilbydere av handel på nett.

Ekomlovens §§ 1-2 og 1-3 fastsetter lovens saklige og geografiske virkeområde.

Lover og regler

Lov om behandling av personopplysninger (personopplysningsloven)

Lov om elektronisk kommunikasjon (ekomloven)