En informasjonskapsel, ofte kalt cookie, er en liten tekstfil som lastes ned og lagres på brukers datamaskin når brukeren åpner en nettside.

Informasjonskapselen brukes for eksempel til å lagre innloggingsdetaljer, registrere hvor brukeren beveger seg rundt på nettstedet eller huske handlekurv i nettbutikker. Den som står bak informasjonskapselen, altså den behandlingsansvarlige, kan tilpasse tjenestene sine ut fra informasjonen som lagres.

Hvordan er cookies regulert i loven?

I dag er det ekomloven og ePrivacy-direktivet på den ene siden, og personopplysningsloven og personvernforordningen (GDPR) på den andre siden, som regulerer bruk av cookies.

Ekomloven § 2-7b regulerer samtykke til og informasjon om informasjonskapsler. NKOM er kompetent fagmyndighet for denne bestemmelsen. NKOM og ekomlovens forarbeider sier foreløpig at samtykke til å sette cookies kan gis gjennom nettleserinnstillingene. For øvrig gjør ekomloven § 2-7b enkelte unntak fra samtykkekravet og informasjonsplikten.

Personopplysningsloven, som Datatilsynet er tilsynsmyndighet for, regulerer behandling av personopplysninger. Personopplysninger kan blant annet samles inn gjennom cookies. I så fall må man blant annet ha et behandlingsgrunnlag og gi informasjon om behandling av personopplysninger. Dette er krav som kommer i tillegg til samtykke og informasjon etter ekomloven. 

Ny tolkning i lys av personvernforordningen

I mars 2019 kom det en uttalelse fra Personvernrådet (EDPB), der det blant legges til grunn at samtykke til cookies må være et GDPR-gyldig samtykke. EU-domstolen kom i oktober 2019 til samme resultat i den såkalte Planet 49-dommen. Det vil si at kravene til samtykke for å plassere cookies på nettsider i EU er høyere enn tidligere, og her er det ikke mulig å gi samtykke gjennom nettleserinnstillingene.

NKOM vurderer nå om det er behov for å endre tolkningen av hva som utgjør gyldig samtykke for å plassere cookies på norske nettsteder.

Les Datatilsynets cookie-erklæring