En informasjonskapsel, ofte kalt cookie, er en liten tekstfil som lastes ned og lagres på brukers datamaskin når brukeren åpner en nettside.
Informasjonskapselen brukes for eksempel til å lagre innloggingsdetaljer, registrere hvor brukeren beveger seg rundt på nettstedet eller huske handlekurv i nettbutikker. Den som står bak informasjonskapselen, som er behandlingsansvarlig, kan tilpasse tjenestene sine ut fra informasjonen som lagres.
I dag er det ekomloven og ePrivacy-direktivet på den ene siden, og personopplysningsloven og GDPR på den andre siden, som regulerer bruk av cookies.
Ekomloven § 2-7b regulerer samtykke til og informasjon om informasjonskapsler. Her er det NKOM som er kompetent fagmyndighet. Tidligere har NKOM og ekomlovens forarbeider sagt at samtykke til å sette cookies kan gis gjennom nettleserinnstillingene. For øvrig gjør ekomloven § 2-7b noen unntak fra samtykkekravet og informasjonsplikten.
Personopplysningsloven, som Datatilsynet er tilsynsmyndighet for, regulerer behandling av personopplysninger. Personopplysninger kan blant annet samles inn gjennom cookies. I så fall må man ha et behandlingsgrunnlag og gi informasjon om behandling av personopplysninger.
Dette er krav som kommer i tillegg til samtykke og informasjon etter ekomloven, så det er viktig å skille mellom de to tingene.
Frem til nå har Datatilsynet fulgt NKOM og ekomlovens forarbeiders veiledning om cookies. Etter at GDPR ble vedtatt, har det imidlertid oppstått usikkerhet og uenighet både i Norge og Europa om hvordan cookie-reglene skal tolkes.
I midten av mars 2019 kom det en uttalelse fra Personvernrådet (EDPB), der det blant legges til grunn at samtykke til cookies må være et GDPR-gyldig samtykke. Det vil si at samtykke ikke lenger gis gjennom nettleserinnstillingene. Den ferske uttalelsen bekrefter at GDPR har hevet standarden i EØS for samtykke etter flere lover enn bare personopplysningsloven.
Datatilsynets (Datatilsynet.no) nye personvern- og cookieerklæring vil være klar i løpet av kort tid.
Cookies på Datatilsynet.no omhandler stort sett Siteimprove, et analyseverktøy vi faset inn tidlig i 2019. Vi har risikovurdert Siteimprove først. Dette analyseverktøyet brukes blant annet til å hente ut lesertall og vise hvilke temaer folk leser hyppigst – men også til å finne brutte lenker på våre sider og i vedlegg, eller til å indikere når saker trenger annen redaksjonell oppdatering.
Vi legger vekt på anonymitet i innhenting av statistikk, og jobber for tiden med å lage en egen cookie-erklæring i tillegg til personvernerklæringen.
Vi er i en prosess der vi lager et nytt nettsted. Ved lansering av et revidert Datatilsynet.no om noen uker, kommer vi trolig til å innføre et cookiebanner. Jurister og teknologer arbeider for tiden med en revidering av personvernerklæringen vår og lager ny tekst til nettsidene. I denne prosessen foretar vi også en risikovurdering av cookiebannerløsning.