Forhold deg til personvernforordningen (GDPR)

Når du tar i bruk verktøy for analyse og sporing på nettstedet, må du være forberedt på å følge reglene i personvernforordningen (GDPR). Dette gjelder selv om du ikke kjenner navnet eller identiteten til de som besøker nettstedet ditt. Analyseverktøyene samler nemlig inn mye informasjon om de besøkende som enten alene eller i kombinasjon kan utgjøre personopplysninger.

En IP-adresse vil som regel i seg selv regnes som en personopplysning. Cookie-ID, lokasjonsdata eller detaljert informasjon om brukernes enheter kan også utgjøre personopplysninger. Ofte blir slik informasjon kombinert med informasjon om de besøkendes adferd på nettstedet, og da regnes også dette som personopplysninger.
Les mer om personopplysninger.

Minimer datainnsamlingen

Det er ikke lov å samle inn flere personopplysninger enn du faktisk har behov for. Dersom du i dag har et analyseverktøy som samler inn opplysninger som du ikke bruker til noe, bryter du loven. Velg et analyseverktøy som bare gir deg den informasjonen du trenger og faktisk har nytte av.

Det er heller ikke lov å lagre personopplysninger lenger enn nødvendig.
Les mer om dataminimering, lagringsbegrensning og de andre personvernprinsippene.

Ikke stol på at samtykke-banneret redder deg

I praksis må du samle inn gyldig forhåndssamtykke fra de som besøker nettstedet ditt for å bruke sporingsverktøy.

Det er ulike regelverk som regulerer bruk av informasjonskapsler (cookies), og behandling av personopplysninger. Bruk av informasjonskapsler og lignende teknologi som lagrer eller skaffer tilgang til opplysninger i brukerens enheter, reguleres av ekomloven § 3-15. Denne bestemmelsen gjelder uavhengig av om du behandler personopplysninger eller ikke. Ekomloven krever et forhåndssamtykke som er gyldig etter personvernforordningen.

Les mer om samtykke.

Personvernregelverket regulerer etterfølgende behandling av personopplysninger som du har lagret i, eller hentet ut fra, brukerens kommunikasjonsutstyr ved besøk på nettstedet ditt. I praksis må du innhente samtykke til slik etterfølgende behandling samtidig som det hentes inn samtykke til bruken av informasjonskapsler. Andre rettslige grunnlag i personvernforordningen enn samtykke vil nesten aldri kunne brukes for videre behandling av slike personopplysninger.

Det finnes mange løsninger på markedet for samtykkebannere, ofte kalt "cookie-bannere", som kan konfigureres på ulike måter. Her er det viktig å være oppmerksom på at ikke alle konfigurasjoner er i tråd med lovens krav til gyldig samtykke. Det er du som er ansvarlig for å sette opp banneret riktig, og det er du som er ansvarlig for at både ekomloven og personvernregelverket etterleves på nettstedet ditt. Vi har utfyllende veiledning som gir konkrete råd og eksempler til hvordan du kan innhente samtykke til bruk av informasjonskapsler og lignende teknologier i tråd med personvernregelverket.

Gå til veiledning om samtykke til informasjonskapsler og sporingsteknologier.

Unngå at andre kan bruke personopplysninger fra nettstedet

Ofte må du lese tjenestevilkårene nøye for å forstå hva slags verktøy du har med å gjøre. Noen verktøy behandler bare personopplysninger på virksomhetens vegne og slik eieren av nettstedet bestemmer. Andre verktøy tar forbehold om at de selv kan bestemme over personopplysningene eller kan bruke dem for sine egne formål.

Det krever nøye vurderinger for å at bruk av verktøy i den sistnevnte situasjonen blir lovlig. Med andre ord er det stor fare for å trå feil hvis du ikke vet hva du holder på med. Vår anbefaling er derfor å velge verktøy som lover å bare behandle personopplysninger på dine vegne og slik du bestemmer.

Noen nettsider krever mer forsiktighet enn andre

Noen personopplysninger har særlig beskyttelse etter personvernforordningen. Det kan være opplysninger om noens helse, legning, seksuelle forhold, religion, etnisitet, politiske oppfatning eller filosofiske overbevisning. Dette kaller vi «særlige kategorier personopplysninger». Det skal mer til for å kunne behandle denne typen opplysninger lovlig nettopp fordi de er sensitive.

På noen nettsteder kan de besøkendes adferd i seg selv avsløre særlige kategorier personopplysninger. Det kan for eksempel være nettsteder som tilbyr tjenester innen psykisk helsehjelp, som selger medisiner eller som er rettet mot visse minoriteter. Vår klare anbefaling er at slike nettsteder unngår sporings- og analyseverktøy som behandler personopplysninger, siden det skal lite til for å bryte loven i slike tilfeller.

Datatilsynet er også bekymret over bruk av sporingsverktøy på offentlige nettsteder. En undersøkelse gjennomført av Teknologirådet (tekologiradet.no) viste at mange offentlige nettsider bruker sporingsverktøy som er inngripende og/eller som kan tillate tredjeparter å bruke personopplysningene til egne formål. Undersøkelsen tyder på at flere offentlige organer ikke følger loven i dag. Det offentlige bør imidlertid gå foran som et godt eksempel. Dessuten er det i samfunnets interesse at alle tør å oppsøke viktig informasjon fra offentlige organer, uten frykt for overvåking og sporing.

Unngå at personopplysninger flyter til utrygge land

Mange verktøy har kontor eller underleverandører i land utenfor EU/EØS. Dette må du undersøke før du tar i bruk verktøyet. I utgangspunktet er det nemlig ikke lov å overføre personopplysninger ut av EU/EØS. Fjerntilgang fra et land utenfor EU/EØS regnes som en overføring.

Sjekk tjenestevilkårene og se etter følgende:
- Kan data sendes til eller behandles i et land utenfor EU/EØS?
- Tilbyr verktøyet fjernsupport fra et land utenfor EU/EØS?
- Tar verktøyet forbehold om at det kan utlevere data til myndighetene i et land utenfor EU/EØS?

Hvis ja: Dersom det aktuelle landet står på lista over land og områder med et tilstrekkelig beskyttelsesnivå, er det OK å bruke verktøyet. Se oversikten her. Dersom landet det er snakk om er USA, sjekk om virksomheten står på lista over godkjente virksomheter.

Dersom det aktuelle landet derimot ikke står på lista over land og områder med tilstrekkelig beskyttelsesnivå, er situasjonen adskillig mer komplisert. Det krever grundige vurderinger og eventuelt tekniske tiltak for å bruke løsningen lovlig i slike tilfeller. Dersom du ønsker å begi deg ut på dette arbeidet, har vi laget en veileder som forklarer hva reglene krever. Hvis ikke, bør du se deg om etter et annet verktøy.

Vær åpen

De besøkende har rett til informasjon om hvordan du behandler personopplysningene deres. Pass på at du gir ærlig og enkelt forståelig informasjon om dette. Hvis du synes det er ubehagelig å fortelle hva du faktisk gjør med de besøkendes data, er det et tegn på at du kanskje burde endre praksis.
Les mer om hva du må gi informasjon om.

Respekter de besøkendes rettigheter

Når du behandler de besøkendes personopplysninger, har de en rekke rettigheter. For eksempel har de rett til innsyn i egne data, og de kan noen ganger også be om sletting. Du må være i stand til å behandle slike forespørsler innen én måned. Det kan være at de registrerte må oppgi tilleggsinformasjon for at du skal være i stand til å finne igjen dataene deres i verktøyet.
Les mer om plikten din til å legge til rette for at de besøkende skal kunne ivareta rettighetene sine
Vi har også laget en oversiktsside med enkeltpersonenes rettigheter.

Les deg opp – og ikke vær redd for å spørre om hjelp

Det finnes flere plikter i personvernforordningen som ikke er nevnt her – for eksempel når det gjelder hvilke formål du kan bruke personopplysninger til eller informasjonssikkerhet og avvikshåndtering.
Vi har laget en samleside med alle virksomhetens plikter etter GDPR som kan være til hjelp i arbeidet.

Dersom du synes det er vanskelig å forstå veiledningene, kan du eventuelt ringe veiledningstjenesten vår.