1. Kartlegg hvilke sporingspiksler, cookies og andre sporingsverktøy tjenesten din bruker. Vær særlig oppmerksom på sporingsverktøy som kan bruke opplysningene til sine egne formål eller som deler opplysningene videre.
2. Vurder hva slags personer som bruker tjenesten din og hva slags slutninger som kan trekkes om dem, direkte eller direkte, basert deres besøkshistorikk. Noen ganger kan du for eksempel trekke slutninger om noens helse, sexliv, religion, politiske syn eller økonomiske stilling, og dette er veldig beskyttelsesverdig informasjon.
3. Dersom tjenesten din retter seg mot barn, eller dersom det er mulig å utlede beskyttelsesverdig informasjon om de besøkende, anbefaler vi på det sterkeste at du slutter å bruke sporingsverktøy som deler eller tilgjengeliggjør informasjon for tredjeparter. Det er svært vanskelig å overholde loven hvis du bruker denne typen sporingsverktøy i slike situasjoner.
4. I den grad du beholder sporingsverktøy, er hovedregelen at du trenger et gyldig samtykke fra den enkelte. Husk at du ikke kan dulte enkeltpersoner til å samtykke ved å gjøre samtykke-knappen mer synlig eller fremtredende, eller ved å gjøre det vanskeligere eller mer tidkrevende å takke nei. Det må være mulig for en bruker å takke nei til sporingsverktøy og likevel kunne bruke tjenesten din.
5. Du må gi korrekt og forståelig informasjon om hva sporingsverktøyene gjør, og hvordan de påvirker den enkelte og deres personvern, så folkelig som mulig. Denne informasjonen må du gi før du ber om samtykke, men den må også være tilgjengelig i ettertid, for eksempel i en personvernerklæring.
6. Hvis du ikke har kontroll over et sporingsverktøy, vær føre var og fjern det. Husk at hvis du velger å ta i bruk sporingsverktøy på tjenesten din, vil du alltid sitte med et visst ansvar. Dersom du ikke får et frivillig og informert samtykke, dersom du ikke vet eller klarer å forklare på en folkelig måte hvordan verktøyet fungerer, eller du ikke klarer å demonstrere for Datatilsynet at du følger loven, risikerer du å få pålegg eller sanksjoner fra Datatilsynet, herunder overtredelsesgebyr.

Vi har gjennomført tilsyn med en rekke nettsteder som bruker ulike former for sporingspiksler og informasjonskapsler. Veiledningen bruker gjennomgående eksempler fra dette tilsynet. 

Sporingspiksler (ofte omtalt som «pixel») er en teknologi som automatisk sender informasjon om de som besøker et nettsted eller en app videre til en tredjepart. Dette kan være informasjon om hvilke nettsider personene er inne på, hvilke handlinger de foretar seg eller hva de legger i handlekurven.

Vi har en egen veiledning for bruk av informasjonskapsler og kravene til samtykke. 

Det finnes også mange andre former for sporing på nett, som for eksempel «device fingerprinting».

Mange bruker sporingsverktøy for markedsføringsformål. Dette kan for eksempel være for å måle effekten av markedsføring og kampanjer på sosiale medier. Sporingsverktøy kan også brukes til å persontilpasse markedføring på andre plattformer ut fra hva en person har foretatt seg på tjenesten din (for eksempel såkalt «retargeting»).

Et problem er at selskapene som tilbyr sporingsverktøyene, ofte forbeholder seg retten til å selv bruke dataene som sporingsverktøyene samler inn til egne formål. Det er ofte snakk om store teknologiselskaper som lever av å vite mest mulig om flest mulig. Når du tar i bruk sporingsverktøy, risikerer du altså å bidra til disse selskapenes datainnsamling og overvåking av enkeltpersoner på tvers av internett. Dette har juridiske konsekvenser for virksomheter som tar dem i bruk og fører til personverninngrep for enkeltpersoner som er eksponert for slik bruk.

Veldig ofte kan en persons surfehistorikk, alene eller ved hjelp av sammenstilling av data fra ulike kilder, gjøre det mulig å utlede private eller sensitive personopplysninger. For eksempel har Datatilsynet sett flere eksempler på at nettsteder som bruker sporingsverktøy deler opplysninger som indirekte kan si noe om deres helse – uten å mene det. Dette er svært alvorlig. Nettsteder som velger å ta i bruk sporingsverktøy sitter med ansvaret når slike ting skjer.

Datatilsynets sporingstilsyn identifiserte flere personvernutfordringer

Vi har gjennomført tilsyn med en rekke nettsteder som bruker ulike former for sporingspiksler og informasjonskapsler:

• 116111.no – en offentlig tjeneste for barn som er i en sårbar posisjon, for eksempel som har blitt utsatt for vold eller overgrep, og som trenger å snakke med en trygg voksen. Tjenesten drives av Kristiansand kommune.
• apotekfordeg.no – et nettapotek.
• bibel.no – et kristent nettsted som publiserer bibeltekster, selger bibler og tar imot donasjoner til Det norske bibelselskap.
• drdropin.no – et nettsted som tilbyr legetjenester.
• ifengsel.no – en samtaletjeneste fra Kirkens Bymisjon for barn som har en forelder i fengsel.
• nhi.no – et nettsted som tilbyr informasjon om ulike sykdommer, tilstander og diagnoser.

Vi fant ulike brudd på personvernreglene i alle sakene. Blant annet observerte vi følgende lovbrudd:

• Besøkende fikk uriktig informasjon om at de var anonyme når de ikke var det.
• Særlige kategorier personopplysninger om besøkende ble ulovlig tilgjengeliggjort for tredjeparter.
• Personopplysninger om barn ble ulovlig tilgjengeliggjort for tredjeparter.
• Besøkende ble «dultet» til å samtykke.
• Besøkende fikk informasjon som var villedende, vanskelig å forstå eller som ikke forklarte konsekvensene av å gi samtykke.

Vi kommer med flere eksempler fra sporingstilsynene i veiledningen nedenfor.

I saken om nettstedet 116111.no valgte Datatilsynet å ilegge et overtredelsesgebyr på 250 000 kroner. Grunnen til dette er at det er snakk om et offentlig nettsted og ulovlig behandling av barns personopplysninger. Sporingspiksler har automatisk sendt informasjon om de som besøker nettstedet videre til en tredjepart, uten at regelverkets krav til rettslig grunnlag eller informasjon til brukerne var oppfylt. Gebyret er imidlertid lavere enn det som ble varslet, siden Kristiansand kommune har samarbeidet godt og iverksatt en rekke tiltak for å rydde opp og hindre liknende brudd i fremtiden.

I de andre sakene ila Datatilsynet irettesettelser. I denne omgangen var reaksjonene stort sett milde, særlig fordi det er første gang Datatilsynet foretar denne typen tilsyn, og i lys av at formålet med tilsynene er økt bevisstgjøring. I fremtiden kan reaksjonene være mye strengere.

Merk at Datatilsynet er særlig bekymret for bruk av sporingsverktøy for kommersielle eller markedsføringsformål.

De fleste sporingsverktøy er laget for å kjenne igjen personer over tid. For å gjøre dette bruker verktøyene ofte (men ikke alltid) ulike nettidentifikatorer, altså ID-koder, som består av tall og/eller bokstaver. Eksempler på nettidentifikatorer inkluderer IP-adresse, cookie-ID eller MAC-adresse. Ved hjelp av nettidentifikatorer kan verktøyene kjenne igjen de besøkende og skille dem fra hverandre. På denne måten blir det også enkelt å spore enkeltpersoner på tvers av ulike nettsteder og apper - og på den måten koble sammen data om dem.

I de aller fleste tilfeller vil det være mulig å knytte opplysningene fra sporingsverktøyene til en enkeltperson som kan identifiseres. Da regnes også opplysningene som personopplysninger, og personvernforordningen (GDPR) gjelder. Det er ikke avgjørende hvorvidt personen er identifisert, men heller hvorvidt det er mulig for noen å identifisere vedkommende, om nødvendig ved hjelp av ytterligere informasjon som det er mulig å få tilgang til.

Tommelfingerregelen er derfor at dersom du bruker sporingsverktøy på nettsiden eller i appen din, behandler du personopplysninger. Veldig ofte vil dessuten disse personopplysningene deles med eller tilgjengeliggjøres for selskapet som tilbyr verktøyet.

I sporingstilsynene omtalt over brukte nettstedene sporingsverktøy fra Snap (Snap Pixel), Google (DoubleClick), Meta (Meta Pixel), Microsoft (UET Tag) og Xandr (uuid2, Adnxs.com). Ved å bruke disse verktøyene, tilgjengeliggjorde nettsidene personopplysninger om enkeltpersoner som besøkte nettstedene, for disse selskapene.

Denne typen opplysninger er særlig sensitive. I ytterste konsekvens kan de for eksempel brukes til å diskriminere enkeltpersoner. Derfor er det i utgangspunktet forbudt å behandle denne typen personopplysninger, med mindre du kan vise til et gyldig unntak fra forbudet. I praksis er ofte eksplisitt samtykke det eneste reelle unntaket i markedsføringssammenhenger.

Les mer om særlige kategorier personopplysninger. 

Sporingsverktøy vil typisk dele med tredjeparter hvem som har vært inne på tjenesten din og hva de gjorde der. Ofte kan besøk på bestemte nettsider eller apper indirekte avsløre særlige kategorier personopplysninger. Dette er typisk tilfellet der det er snakk om tjenester som spesifikt retter seg mot sensitive grupper, for eksempel personer med bestemte diagnoser, seksuelle minoriteter eller medlemmer av en religion. Dersom det blir kjent at en person bruker en slik tjeneste, kan andre indirekte skjønne at personen tilhører gruppen som tjenesten retter seg mot.

Også når det er snakk om tjenester som bare omhandler eller knytter seg til sensitive temaer, kan det være mulig å utlede særlige kategorier personopplysninger om de som bruker tjenesten basert på hvordan de bruker tjenesten.

Hvis du driver en tjeneste som knytter seg til sensitive temaer eller utsatte grupper, må du altså vurdere grundig hva slags slutninger det er mulig å trekke om brukerne – direkte eller indirekte – før du tar i bruk sporingsverktøy.

Praksis fra EU-domstolen

EU-domstoler har avsagt flere dommer om hvor terskelen går for hva som utgjør særlige kategorier personopplysninger. Domstolens praksis tilsier at denne terskelen er veldig lav, sett i lys av formålet med reglene: å beskytte enkeltpersoners grunnleggende rett til personvern.

I den såkalte Lindenapotheke-saken (C-21/23) var ett av spørsmålene hvorvidt kjøp i et nettapotek utgjorde særlige kategorier personopplysninger, i dette tilfellet opplysninger om kjøpernes helse. Domstolen besvarte spørsmålet bekreftende. Det har ingenting å si om produktene er reseptbelagte eller ikke, så lenge de direkte eller indirekte kan si noe om kjøperens helsetilstand. Domstolen mente videre at kjøpsinformasjonen utgjør særlige kategorier personopplysninger uavhengig av om slutningene du kan dra om kjøperne er korrekte. Med andre ord har det ingenting å si at du ikke vet om kjøperen skal bruke produktet selv eller om hen kjøper det på vegne av noen andre.

Erfaringer fra sporingstilsynene

I tre av tilsynssakene våre kom vi frem til at nettstedet tilgjengeliggjorde særlige kategorier personopplysninger med tredjeparter.

Saken om apotekfordeg.no gjaldt et nettapotek, akkurat som Lindenapotheke-saken fra EU-domstolen. Når de besøkende på nettsiden interagerte med produkter som kunne si noe om deres helse eller seksuelle forhold (for eksempel graviditetstester, klamydiatester eller nødprevensjon), utgjorde dette særlige kategorier personopplysninger. Apotekfordeg.no tilgjengeliggjorde disse opplysningene ulovlig for tredjeparter.

Nettstedet nhi.no publiserer artikler om ulike sykdommer, diagnoser og helsetilstander. Det kan være ulike grunner til at en person besøker denne typen nettsted. Samtidig er det en kjensgjerning at for enkelte besøkende vil besøkene deres over tid tegne et mønster – for eksempel hvis de leser om en gitt diagnose eller tett relaterte diagnoser gjentatte ganger – som kan si noe om deres helsetilstand eller seksuelle forhold. Derfor utgjør informasjon om besøk på nettstedet særlige kategorier personopplysninger, og nettstedet brøt loven da de tilgjengeliggjorde disse personopplysningene for tredjeparter uten gyldig samtykke.

Tilsvarende kom vi også frem til at besøksmønstre over tid på nettstedet bibel.no gjør det mulig å indirekte utlede personopplysninger om kristen tro, blant annet fordi dette er et nettsted som publiserer kristne tekster og tar imot donasjoner til Det norske bibelselskap. Derfor skulle ikke opplysninger om enkeltpersoners besøk på nettstedet vært tilgjengeliggjort for andre uten samtykke.

Andre beskyttelsesverdige personopplysninger

Merk at det også finnes flere former for beskyttelsesverdig personopplysninger enn de som er definert som særlige kategorier personopplysninger. Et eksempel på dette er opplysninger om privatøkonomi. Det kan være like problematisk dersom denne typen personopplysninger kommer på avveier.

Du som tar i bruk sporingsverktøy har ansvar for å beskytte alle typer personopplysninger.

Spesielt om behandling av personopplysninger om barn

Et annet eksempel på beskyttelsesverdige personopplysninger er personopplysninger om barn.

I sporingstilsynet så vi at nettstedet 116111.no tilgjengeliggjorde personopplysninger om barn i vanskelige situasjoner for tredjeparter. Nettstedet ifengsel.no tilgjengeliggjorde personopplysninger om barn med foreldre i fengsel. I begge tilfellene er det snakk om personopplysninger som krever særskilt vern selv om de ikke er definert som særlige kategorier personopplysninger. Derfor var det også veldig alvorlig at disse opplysningene ble tilgjengeliggjort for tredjeparter uten gyldig samtykke.

Barn er særlig sårbare på nett. De har ikke nødvendigvis forutsetninger for å forstå hva sporing og profilering innebærer for dem, og det kan være vanskeligere for barn å beskytte seg mot dette. Derfor har barn et særlig krav på beskyttelse, og personopplysningene deres bør ivaretas tilsvarende.

Som hovedregel bør ikke barns personopplysninger behandles for markedsføringsformål.

Felles for alle reglene i personopplysningsloven og personvernforordningen er at de bygger på noen grunnleggende prinsipper. Prinsippene gir på ulike måter uttrykk for at behandling av personopplysninger skal skje på en måte som sikrer forutsigbarhet og forholdsmessighet for enkeltpersoner.

Generelt om personvernprinsippene. 

Lovlighet

Ett av de sentrale personvernprinsippene er lovlighet. Det vil si at for å behandle personopplysninger må du ha et rettslig grunnlag, altså et grunnlag som gir deg lov til å behandle andres personopplysninger. Dette gjelder også ved bruk av sporingsverktøy som informasjonskapsler eller sporingspiksler.

Det finnes seks mulige rettslige grunnlag. I mange tilfeller er imidlertid samtykke det eneste praktiske rettslige grunnlaget:

• Ved bruk av informasjonskapsler som ikke er strengt nødvendige, sier ekomloven at du må ha gyldig samtykke. Det er viktig å merke seg at sporingspiksler som regel innebærer bruk av informasjonskapsler.
• Ved behandling av særlige kategorier personopplysninger for markedsføringsformål, er eksplisitt samtykke som regel det eneste reelle unntaket fra forbudet mot å behandle denne typen opplysninger.
• Også der det ellers er snakk om behandling av beskyttelsesverdige, private eller sensitive personopplysninger for markedsføringsformål, er det i praksis vanskelig å basere seg på et annet rettslig grunnlag enn samtykke.

Les mer om rettslig grunnlag.

For at et samtykke skal være gyldig, er det flere elementer som må være på plass, blant annet:

• Samtykke må være frivillig.
• Samtykke må være spesifikt.
• Samtykke må være informert.
• Samtykke må være utvetydig.
• Samtykke må avgis gjennom en aktiv handling - passivitet kan ikke utgjøre et samtykke.
• Det må være mulig å la være å gi samtykke uten å bli utestengt fra tjenesten.
• Det må være like lett å si nei som å si ja.
• Det må være like lett å trekke tilbake samtykke som det var å gi det.

I sporingstilsynet så vi flere brudd knyttet til samtykke. For eksempel var det flere av nettsidene som ikke ba om samtykke selv om det var påkrevd.

Vi så også at flere av samtykkeforespørslene fremhevet samtykke-knappen ved hjelp av fargebruk. Samtykke-knappen ble gitt en særlig fremtredende farge, mens de andre knappene hadde samme farge som bakgrunnen. Dermed ble de besøkende på nettstedet «dultet» til å samtykke. Dette er et eksempel på utnyttelse av såkalte «kognitive bias» – fargebruken kan gjøre at brukerne ikke gjør egne bevisste valg, men heller velger det enkleste alternativet, uten tanke på egne personvernpreferanser eller eventuelle konsekvenser av valget. Derfor var ikke samtykket frivillig.

I tilsynet mot drdropin.no så vi at mens det var mulig å takke ja på første lag av samtykkeforespørselen, måtte brukerne klikke seg videre til innstillingene for å takke nei. Med andre ord var det vanskeligere å si nei enn ja, og dette kan påvirke brukerne til å ta valg de ellers ikke ville tatt. Samtykket var hverken frivillig eller utvetydig.

Åpenhet

Et annet sentralt personvernprinsipp er åpenhet. Det vil si at de som bruker en tjeneste har rett til å få informasjon om hvordan personopplysningene deres behandles og hvordan det kan påvirke dem. Informasjonen skal være lett å forstå og bruke et klart og enkelt språk. Det gjelder alltid, men det er særlig viktig når informasjonen skal leses av barn.

Én side av åpenhetsprinsippet er at brukere skal få tilstrekkelig informasjon om hva de blir bedt om samtykke til og hvilke konsekvenser et samtykke vil ha.

I sporingstilsynet så vi flere eksempler på nettsteder som lovte de besøkende anonymitet, selv om nettstedene brukte sporingsverktøy som behandlet brukernes personopplysninger og tilgjengeliggjorde dem for tredjeparter. Dette er ikke lov. All informasjonen som gis om behandling av personopplysninger må være korrekt. Feilaktig informasjon kan svekke brukernes tillit og skape usikkerhet om hvordan behandlingen av opplysninger om dem foregår. 

For øvrig har Datatilsynet observert flere eksempler på at informasjonen som gis om sporingsverktøy er veldig teknisk og vag. Hvis du eier et nettsted eller en app er det viktig at du kan forklare med egne ord hva de ulike sporingsverktøyene gjør med de besøkendes personopplysninger, og hvordan de fungerer, på en folkelig og lettfattelig måte. Personvernreglene krever at du gir informasjon om hvordan de besøkendes personopplysninger behandles, på en forståelig måte med klart og enkelt språk. Hvis du ikke klarer det, kan du heller ikke bruke slike sporingsverktøy. 

I de tekniske undersøkelsene av nettstedene omtalt over har Datatilsynet benyttet verktøyet «EDPB website auditing tool» (edpb.europa.eu). Verktøyet identifiserer hvilke informasjonskapsler som settes i brukerens nettleser ved besøk på en nettside og gir informasjon om hva de gjør. Resultater lagres lokalt i applikasjonen og kan eksporteres og importeres. Verktøyet har åpen kildekode.

Datatilsynet har også, blant annet, benyttet nettleser-utvidelsene «Meta Pixel Helper» (developers.facebook.com) og «Snap Pixel Helper» for å identifisere om nettstedene har implementert sporingsteknologi fra Meta og Snap Inc.