Nye cookie-regler fra 1. januar
Kravene til samtykke for bruk av informasjonskapsler (cookies) og lignende teknologier ble skjerpet 1. januar.
Stortinget vedtok ny ekomlov som trådte i kraft 1. januar 2025. Den nye loven sier at bruk av informasjonskapsler (cookies) og lignende teknologier krever et samtykke som er gyldig etter personvernforordningen (GDPR) for å være lovlig. Datatilsynet og Nasjonal kommunikasjonsmyndighet (Nkom) skal ha felles tilsynsmyndighet med bestemmelsen. Endringen innebærer at norsk rett er i samsvar med EU-retten når det gjelder cookies og lignende teknologier, og at norske internettbrukere i Norge får et sterkere vern mot sporing på nett.
Se Lov om elektronisk kommunikasjon (ekomloven) på lovdata.no
Datatilsynet og Nasjonal kommunikasjonsmyndighet (Nkom) vil komme med mer veiledning om de nye reglene etter hvert, men nedenfor følger en kort oversikt over det viktigste som virksomheter må være klar over om den nye ekomloven § 3-15. Vi viser også til hvor man kan finne mer informasjon.
Samtykke må oppfylle kravene i personvernforordningen
Den største endringen i de nye reglene er at samtykke til bruk av cookies og lignende teknologier må oppfylle kravene til samtykke i personvernforordningen for å være gyldig. Frem til nå har det for eksempel vært tilstrekkelig at standardinnstillinger i nettlesere tillater cookies. For at et samtykke skal være gyldig etter den nye loven, må det være:
- frivillig
- spesifikt
- informert
- utvetydig
- gitt gjennom en aktiv handling
- dokumenterbart
- mulig å trekke tilbake like lett som det ble gitt
Det er viktig at virksomheter vurderer om de må endre sin praksis for hvordan samtykke innhentes for bruk av cookies og lignende teknologier. Alle vilkårene må være oppfylt for at samtykke skal være gyldig, og virksomheter som tilbyr tjenester som bruker cookies eller lignende teknologier er ansvarlige for å sikre dette.
Kravene til et gyldig samtykke innebærer blant annet at det skal være like lett å si nei som å si ja til å samtykke. Dersom det er mer komplisert å si nei, eller nei-alternativet ikke gis sammenlignbar oppmerksomhet som ja-alternativet, får ikke brukeren et rettferdig valg. Brukeren må også få lett tilgjengelig og forståelig informasjon som gjør at de enkelt kan forstå konsekvensene av et eventuelt samtykke.
Det europeiske Personvernrådet (EDPB), som består av datatilsynsmyndighetene i EØS, har publisert retningslinjer om kravene til et gyldig samtykke.
Les EDPBs retningslinjer om kravene til et gyldig samtykke (eng).
Se også Datatilsynets generelle veiledning om hva som ligger i kravene til et gyldig samtykke.
Bestemmelsen er teknologinøytral
Ekomloven § 3-15 regulerer lagring av eller det å skaffe seg tilgang til opplysninger i brukerens kommunikasjonsutstyr. Med kommunikasjonsutstyr menes for eksempel mobiltelefon, nettbrett eller datamaskin. Bestemmelsen er teknologinøytral, og gjelder både for cookies og andre teknologier som lagrer eller henter ut opplysninger fra kommunikasjonsutstyret til brukeren.
Det er også viktig å være klar over at bestemmelsen gjelder for lagring og tilgang til alle slags opplysninger. Bestemmelsen gjelder altså uavhengig av om det er snakk om personopplysninger eller ikke.
Ekomloven § 3-15 gjennomfører kommunikasjonsverndirektivet artikkel 5 nr. 3 i norsk rett, som er bestemmelsen om cookies og lignende teknologi i EU-regelverket.
Det er viktig at virksomhetene har oversikt over bruk cookies og lignende teknologier på tjenestene de tilbyr.
Unntakene fra kravet til samtykke er snevre
Det er to unntak fra kravet om samtykke ved bruk av cookies og lignende teknologier.
Kravet til samtykke gjelder ikke for teknisk lagring av eller adgang til opplysninger:
- utelukkende for det formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett, eller
- som er strengt nødvendig for å levere en informasjonssamfunnstjeneste etter den aktuelle sluttbrukerens eller brukerens uttrykkelige forespørsel.
Det første unntaket retter seg først og fremst mot ekomtilbydere.
Det andre unntaket gjelder bare der bruk av informasjonskapselen er en forutsetning for å kunne levere tjenesten.
Mer veiledning kommer
Vi har forståelse for at virksomheter fikk kort tid til å omstille seg for før ikrafttredelsen. Hovedfokuset vårt i den første tiden etter ikrafttredelsen vil derfor være å gi virksomheter veiledning om regelendringene. Vi arbeider nå med mer veiledning som vil legges ut på nettsidene våre så snart det er klart. Vi anbefaler også virksomheten din nå prioriterer arbeid med etterlevelse av de nye reglene om dette ikke allerede er på plass.
Tilsynsmyndigheten med ekomloven § 3-15 er gjennom forskrift fordelt mellom Datatilsynet og Nkom på følgende måte:
- Nkom har ansvaret for å vurdere om en teknisk løsning er omfattet av bestemmelsen, og hvorvidt unntakene fra kravet til informasjon og samtykke i andre ledd er oppfylt. Ved spørsmål om dette henviser vi derfor til å ta kontakt med Nkom.
- Datatilsynet har ansvar for å vurdere om det gis tilstrekkelig informasjon og om samtykke oppfyller kravene i personvernforordningen.
Fant du det du lette etter?
På denne siden kan du sende inn et skjema. For å gjøre det må du først akseptere en cookie. Du kan trekke tilbake samtykket når som helst ved å velge «administrer cookies» nederst på våre sider.
På denne siden kan du sende inn et skjema. For å gjøre det må du først akseptere en cookie. Du kan trekke tilbake samtykket når som helst ved å velge «administrer cookies» nederst på våre sider.