Cookies og informasjonskapsler

En informasjonskapsel, ofte kalt cookie, er en liten tekstfil som lastes ned og lagres på brukers datamaskin når brukeren åpner en nettside.

Informasjonskapselen brukes for eksempel til å lagre innloggingsdetaljer, registrere hvor brukeren beveger seg rundt på nettstedet eller huske handlekurv i nettbutikker. Den som står bak informasjonskapselen, som er behandlingsansvarlig, kan tilpasse tjenestene sine ut fra informasjonen som lagres.

Hvordan er cookies regulert i loven?

I dag er det ekomloven og ePrivacy-direktivet på den ene siden, og personopplysningsloven og GDPR på den andre siden, som regulerer bruk av cookies.

Ekomloven § 2-7b regulerer samtykke til og informasjon om informasjonskapsler. Her er det NKOM som er kompetent fagmyndighet. Tidligere har NKOM og ekomlovens forarbeider sagt at samtykke til å sette cookies kan gis gjennom nettleserinnstillingene. For øvrig gjør ekomloven § 2-7b noen unntak fra samtykkekravet og informasjonsplikten.

Personopplysningsloven, som Datatilsynet er tilsynsmyndighet for, regulerer behandling av personopplysninger. Personopplysninger kan blant annet samles inn gjennom cookies. I så fall må man ha et behandlingsgrunnlag og gi informasjon om behandling av personopplysninger.

Dette er krav som kommer i tillegg til samtykke og informasjon etter ekomloven, så det er viktig å skille mellom de to tingene. 

Ny tolkning i lys av personvernforordningen

Frem til nå har Datatilsynet fulgt NKOM og ekomlovens forarbeiders veiledning om cookies. Etter at GDPR ble vedtatt, har det imidlertid oppstått usikkerhet og uenighet både i Norge og Europa om hvordan cookie-reglene skal tolkes.

I midten av mars 2019 kom det en uttalelse fra Personvernrådet (EDPB), der det blant legges til grunn at samtykke til cookies må være et GDPR-gyldig samtykke. Det vil si at samtykke ikke lenger gis gjennom nettleserinnstillingene. Den ferske uttalelsen bekrefter at GDPR har hevet standarden i EØS for samtykke etter flere lover enn bare personopplysningsloven.

Datatilsynets (Datatilsynet.no) nye personvern- og cookieerklæring vil være klar i løpet av kort tid.

Om Datatilsynets nettside

Cookies på Datatilsynet.no omhandler stort sett Siteimprove, et analyseverktøy vi faset inn tidlig i 2019. Vi har risikovurdert Siteimprove først. Dette analyseverktøyet brukes blant annet til å hente ut lesertall og vise hvilke temaer folk leser hyppigst – men også til å finne brutte lenker på våre sider og i vedlegg, eller til å indikere når saker trenger annen redaksjonell oppdatering.

Vi legger vekt på anonymitet i innhenting av statistikk, og jobber for tiden med å lage en egen cookie-erklæring i tillegg til personvernerklæringen.

Vi er i en prosess der vi lager et nytt nettsted. Ved lansering av et revidert Datatilsynet.no om noen uker, kommer vi trolig til å innføre et cookiebanner. Jurister og teknologer arbeider for tiden med en revidering av personvernerklæringen vår og lager ny tekst til nettsidene. I denne prosessen foretar vi også en risikovurdering av cookiebannerløsning.

Relatert innhold

25