En informasjonskapsel, ofte kalt cookie, er en liten tekstfil som lastes ned og lagres på datamaskinen når brukeren åpner en nettside. Informasjonskapselen brukes for eksempel til å lagre innloggingsdetaljer, huske handlekurv i nettbutikken eller registrere hvor brukeren beveger seg rundt på nettstedet. 

Ulike typer informasjonskapsler

Informasjonskapsler kan være nyttige både for eieren og brukeren av en nettside. Eieren av nettsiden kan tilpasse tjenesten ut fra informasjonen som lagres. For brukeren kan besøk på nettsiden oppleves mer brukervennlig og tilpasset.

Informasjonskapsler kan være:

  • sesjonsavhengig informasjonskapsel
  • fast informasjonskapsel
  • første eller tredjeparts informasjonskapsel

Sesjonsavhengig informasjonskapsel (session cookie)

Sesjonsavhengig informasjonskapsel slettes etter endt sesjon, det vil si når du lukker nettleseren. Disse informasjonskapslene brukes blant annet for å registrere en bruker er inne på nettsiden og få oversikt over hva brukeren gjør på siden.

Fast informasjonskapsel (persistent cookie)

Fast informasjonskapsel slettes ikke etter endt sesjon. Faste informasjonskapsler kan ofte inneholde informasjon om autentisering, språkinnstillinger og menyvalg. Det gjør at fremtidige besøk på nettsiden er raskere og mer tilpasset brukeren. De fleste faste informasjonskapsler har en utløpsdato der de slettes automatisk etter en viss periode.

Tredjeparts informasjonskapsel (third party cookie)

Tredjeparts informasjonskapsel er en informasjonskapsel (fast eller sesjonsavhengig) som settes av en annen enn den som driver nettstedet som brukeren besøker. Eksempel på dette er annonser og reklamebannere på nettaviser.

Hvordan oppfylle krav til samtykke?

Det er altså en forutsetning for bruk av informasjonskapsler at sluttbruker har samtykket til bruken. Samtykke kan gis ved at sluttbruker benytter en teknisk innstilling i nettleser eller tilsvarende i tilfeller der dette er teknisk mulig og effektivt.

Forutsetningene for at bruker skal kunne gi samtykke er følgende:

  • Det finnes klar og tydelig informasjon tilgjengelig på det aktuelle nettstedet om hvilke informasjonskapsler som benyttes 
  • Informasjon om hvilke opplysninger som behandles. 
  • Informasjon om formålet med behandlingen 
  • Informasjon om hvem som behandler opplysningene 

Forhåndsinnstilling i nettleser om at brukeren aksepterer informasjonskapsler anses som samtykke. Det er tilstrekkelig at brukeren samtykker én gang for det samme formålet. Brukeren skal til enhver tid ha mulighet til å trekke tilbake sitt samtykke.

Hvordan oppfylle krav til informasjon?

Kravet til klar og tydelig informasjon anses oppfylt når:

  • Informasjonen er lett synlig når bruker kommer inn på nettstedet. For eksempel en lett synlig lenke i topptekst, bunntekst, en tekstboks på forsiden eller en «pop-up» der ordet cookies eller informasjonskapsler nevnes slik at det er tydelig hva en informerer om.
  • Informasjonen inneholder opplysninger om hvilke informasjonskapsler som brukes, hvilke opplysninger som behandles, formål og hvem som behandler opplysningene.

Slik administrerer du informasjonskapsler

Se nettvett.no

Nkom svarer på spørsmål

Nkom får en del henvendelser angående samtykke etter ekomloven § 2-7b. Dette skyldes at det i Europa er vanlig med samtykke i tråd med personopplysningsforordningen også for informasjonskapsler og at det kan være vanskelig å skille rent teknisk mellom hvilke informasjonskapsler som faller inn under ekomloven § 2-7b og hvilke informasjonskapsler som krever samtykke i henhold til personopplysningslovgivningen

Europeisk regelverk

EU-domstolen avsa 1. oktober 2019 dom i sak C-673/17 (Planet49), som omhandler samtykke etter art. 5(3) i kommunikasjonsverndirektivet (ePrivacy-direktivet), direktiv 2002/58/EF.

I dommen konkluderes det med at et samtykke etter denne bestemmelsen, sett i sammenheng med det tidligere personverndirektivet og personvernforordningen (GDPR) ikke er et gyldig avgitt samtykke når samtykket er gitt ved hjelp av et på forhånd avkrysset felt hvor brukeren må fjerne krysset for å nekte samtykke.

Europakommisjonen la i 2017 frem et forslag til en ny kommunikasjonsvernforordning som skal erstatte kommunikasjonsverndirektivet fra 2002.

Forslaget er fortsatt til behandling, og Rådet ble enige om sin posisjon til forslaget 10. februar 2021. Utviklingen i Europa ser ut til å gå i retning av strengere krav til samtykke. 

Anbefaling fra Nkom

Nkom vil vurdere behov for justeringer av regelverket som følge av utviklingen. I mellomtiden er det viktig å merke seg at dersom det er tvil om en oppfyller kravene i personopplysningsloven, så bør en velge samtykke etter personopplysningslovgivningen (samtykke i tråd med GDPR) for å være på den sikre siden. Det samme gjelder om en er ansvarlig for en nettside som også retter seg mot andre europeiske land.

Anbefalingen gjelder der det er tvil om hvorvidt en informasjonskapsel lagrer eller behandler opplysninger som faller inn under ekomloven § 2-7b, eller om det er behandling av personopplysninger som krever samtykke. 

Ekomlovens vilkår for bruk av informasjonskapsler

I 2013 ble det tatt inn en ny bestemmelse i ekomloven om vilkårene knyttet til lagring av opplysninger i kommunikasjonsutstyr - den såkalte «cookie paragrafen» i § 2-7b. Bestemmelsen er en lovfesting av det som tidligere var regulert i ekomforskriften § 7-3, - men i noe utvidet og endret form.

§ 2-7b Bruk av informasjonskapsler/cookies

Lagring av opplysninger i brukers kommunikasjonsutstyr, eller å skaffe seg adgang til slike, er ikke tillatt uten at brukeren er informert om hvilke opplysninger som behandles, formålet med behandlingen, hvem som behandler opplysningene, og har samtykket til dette. Første punktum er ikke til hinder for teknisk lagring av eller adgang til opplysninger:

  1. utelukkende for det formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett
  2. som er nødvendig for å levere en informasjonssamfunnstjeneste etter brukerens uttrykkelige forespørsel.

Hensynet bak bestemmelsen

Ekomloven § 2-7b skal være med å sikre brukernes personvern på ekomområdet. Bestemmelsen retter seg i hovedsak mot personvernkrenkende teknikker som spionprogram og liknende, og er ikke ment å innebære noe hinder mot å benytte lovlige teknikker.

Bestemmelsen beskytter brukerne ved at det er gitt et skjerpet krav om informasjon og samtykke dersom det skal benyttes informasjonskapsler. Lagring av opplysninger og behandling av disse opplysningene er ikke tillatt, med mindre bruker er informert om, og har samtykket til, hvilke opplysninger som behandles, hva formålet med denne behandlingen er og hvem som behandler opplysningene.

Hvem omfattes av bestemmelsen

All virksomhet knyttet til elektronisk kommunikasjon omfattes av bestemmelsen. Som eksempler kan her nevnes mediehus, annonsører på Internett og tilbydere av handel på nett. Ekomloven § 1-2 fastsetter lovens saklige virkeområde

Unntak fra bestemmelsen

§ 2-7b, 1 og 2 pkt. er det gitt unntak fra hovedregelen om krav til informasjon og samtykke. Unntaket gjelder de tilfeller der lagring eller uthenting av opplysninger utelukkende har som formål å overføre kommunikasjon i et elektronisk nett, eller der det er nødvendig for å levere en informasjonssamfunnstjeneste etter brukers uttrykkelige forespørsel. Hva som oppfyller kravet om nødvendighet vil måtte vurderes konkret i det enkelte tilfelle og ses i tråd med den teknologiske utviklingen. Som eksempel på unntak etter § 2-7b pkt. 2 kan nevnes opprettelse av brukerprofil i sosiale medier eller nettbutikk.

Tredjeparts informasjonskapsler

Etter § 2-7b er det selve handlingen, det å lagre eller hente informasjon, som er omfattet. Det er altså den som bestemmer hvordan lagringen skjer, og formålet med lagringen eller innhentingen, som må påse at kravene til informasjon til brukeren oppfylles. Når det gjelder tredjeparts informasjonskapsel (ofte en annonse for et annet nettsted), vil den som setter en slik informasjonskapsel (ofte annonsøren), være ansvarlig for å oppfylle informasjonskravet for sitt eget nettsted.

Den som tillater bruk av tredjeparts informasjonskapsler på eget nettsted, må også informere om dette i tillegg til informasjon om egne informasjonskapsler.