Hopp til innhold
Du er her: Forsiden Teknisk Internett Cookies Informasjonskapsler/cookies
Sist oppdatert

Informasjonskapsler/cookies

En informasjonskapsel, ofte kalt cookie, er en liten tekstfil som lastes ned og lagres på brukers datamaskin når brukeren åpner en nettside. Informasjonskapselen brukes for eksempel til å lagre innloggingsdetaljer, huske handlekurv i nettbutikken eller registrere hvor brukeren beveger seg rundt på nettstedet.

Informasjonskapsler kan være nyttig både for eieren og brukeren av en nettside. Eieren av nettsiden kan tilpasse tjenesten ut fra informasjonen som lagres. For brukeren kan besøk på nettsiden oppleves mer brukervennlig og tilpasset.

Ulike typer informasjonskapsler/cookies

Informasjonskapsler kan være:

  • sesjonsavhengig eller fast informasjonskapsel
  • første eller tredjeparts informasjonskapsel

Sesjonsavhengig informasjonskapsel/session cookie

Disse slettes etter endt sesjon, det vil si når bruker lukker nettleseren. Disse brukes blant annet for å registrere at en bruker er inne på nettsiden og hvilke valg hun gjør.

Fast informasjonskapsel/persistent cookie

Disse slettes ikke etter endt sesjon. Faste informasjonskapsler kan typisk inneholde informasjon om autentisering, språkinnstillinger og menypreferanser. Dette gjør at framtidige besøk hos nettsiden vil være raskere og mer tilpasset brukeren. De fleste faste informasjonskapsler har en utløpsdato der de slettes automatisk etter en viss periode.

Tredjeparts informasjonskapsel/third party cookie

Dette er en informasjonskapsel (fast eller sesjonsavhengig) som settes av en annen enn den som driver nettstedet som brukeren besøker. Typisk kan dette være annonser og reklamebannere på nettaviser mv.

Ekomlovens vilkår for bruk av cookies

I 2013 ble det tatt inn en ny bestemmelse i ekomloven om vilkårene knyttet til lagring av opplysninger i kommunikasjonsutstyr - den såkalte «cookie paragrafen» i § 2-7b. Bestemmelsen er en lovfesting av det som tidligere var regulert i ekomforskriften § 7-3, - men i noe utvidet og endret form.

§ 2-7b Bruk av informasjonskapsler/cookies

Lagring av opplysninger i brukers kommunikasjonsutstyr, eller å skaffe seg adgang til slike, er ikke tillatt uten at brukeren er informert om hvilke opplysninger som behandles, formålet med behandlingen, hvem som behandler opplysningene, og har samtykket til dette. Første punktum er ikke til hinder for teknisk lagring av eller adgang til opplysninger:

  1. utelukkende for det formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett
  2. som er nødvendig for å levere en informasjonssamfunnstjeneste etter brukerens uttrykkelige forespørsel.

Hensynet bak bestemmelsen

Ekomloven § 2-7b skal være med å sikre brukernes personvern på ekomområdet. Bestemmelsen retter seg i hovedsak mot personvernkrenkende teknikker som spionprogram og liknende, og er ikke ment å innebære noe hinder mot å benytte lovlige teknikker.

Bestemmelsen beskytter brukers kommunikasjonsutstyr, ved at det er gitt et skjerpet krav om informasjon og samtykke fra bruker dersom det skal benyttes informasjonskapsler/cookies. Lagring av opplysninger og behandling av disse opplysningene er ikke tillatt med mindre bruker er informert om, og har samtykket til, hvilke opplysninger som behandles, hva formålet med denne behandlingen er og hvem som behandler opplysningene.

Hvem omfattes av bestemmelsen

Ekomloven § 1-2 fastsetter lovens saklige virkeområde, som er utvidet i forhold til tidligere i og med at begrepet «overføring» er tatt ut av beskrivelsen av elektronisk kommunikasjon.

Lovens virkeområde omfatter nå all virksomhet knyttet til elektronisk kommunikasjon, herunder tilrettelegging, formidling, tilbud og bruk av elektroniske kommunikasjonsnett, elektronisk kommunikasjonstjeneste, tilhørende fasiliteter og tilhørende tjenester sentralt. Dette betyr i praksis at alle som bestemmer midler og formål med lagring av informasjon i informasjonskapsler/cookies omfattes av ekomloven og kravene om å gi tilstrekkelig informasjon og innhente samtykke i henhold til ekomloven § 2-7b. Som eksempler kan her nevnes mediehus, annonsører på Internett og tilbydere av handel på nett.

Unntak fra bestemmelsen

§ 2-7b, 1 og 2 pkt. er det gitt unntak fra hovedregelen om krav til informasjon og samtykke. Unntaket gjelder de tilfeller der lagring eller uthenting av opplysninger utelukkende har som formål å overføre kommunikasjon i et elektronisk nett, eller der det er nødvendig for å levere en informasjonssamfunnstjeneste etter brukers uttrykkelige forespørsel. Hva som oppfyller kravet om nødvendighet vil måtte vurderes konkret i det enkelte tilfelle og ses i tråd med den teknologiske utviklingen. Som eksempel på unntak etter § 2-7b pkt. 2 kan nevnes opprettelse av brukerprofil i sosiale medier eller nettbutikk.

Hvordan oppfylle krav til samtykke?

Det er altså en forutsetning for bruk av informasjonskapsler/cookies at sluttbruker har samtykket til bruken. Forutsatt at det finnes klar og tydelig informasjon tilgjengelig på det aktuelle nettstedet om hvilke informasjonskapsler/cookies som benyttes, hvilke opplysninger som behandles, formålet med behandlingen og hvem som behandler opplysningene, kan samtykke avgis ved at sluttbruker benytter en teknisk innstilling i nettleser eller tilsvarende i tilfeller der dette er teknisk mulig og effektivt.

Det fremgår av lovens forarbeider at forhåndsinnstilling i nettleser om at brukeren aksepterer informasjonskapsler/cookies anses som samtykke. Det er tilstrekkelig at brukeren samtykker én gang for det samme formålet. Brukeren skal til enhver tid ha mulighet til å trekke tilbake sitt samtykke.

Nkom får en del henvendelser angående samtykke etter ekomloven § 2-7b. Dette skyldes at det i Europa er vanlig med samtykke i tråd med personopplysningsforordningen også for cookies og at det kan være vanskelig å skille rent teknisk mellom hvilke cookies som faller inn under ekomloven § 2-7b og hvilke cookies som krever samtykke i henhold til personopplysningslovgivningen.

EU-domstolen avsa 1. oktober 2019 dom i sak C-673/17 (Planet49), som omhandler samtykke etter art. 5(3) i kommunikasjonsverndirektivet (ePrivacy-direktivet), direktiv 2002/58/EF. I dommen konkluderes det med at et samtykke etter denne bestemmelsen, sett i sammenheng med det tidligere personverndirektivet og personvernforordningen (GDPR) ikke er et gyldig avgitt samtykke når samtykket er gitt ved hjelp av et på forhånd avkrysset felt som brukeren kan avkrysse for å nekte samtykke.

Europakommisjonen la i 2017 frem et forslag til en ny kommunikasjonsvernforordning som skal erstatte kommunikasjonsverndirektivet fra 2002. Dette forslaget diskuteres fortsatt av medlemslandene.
Utviklingen i Europa ser ut til å gå i retning av strengere krav til samtykke. Nkom vil vurdere behov for justeringer av regelverket som følge av utviklingen. I mellomtiden er det viktig å merke seg at dersom det er tvil om hvorvidt en cookie lagrer eller behandler opplysninger som faller inn under ekomloven § 2-7b eller om det er behandling av personopplysninger som krever samtykke som oppfyller kravene i personopplysningslovgivningen bør man velge samtykke etter personopplysningslovgivningen (samtykke i tråd med GDPR) for å være på den sikre siden. Det samme gjelder om man er ansvarlig for en nettside som også retter seg mot andre europeiske land.

Hvordan oppfylle krav til informasjon?

Kravet til klar og tydelig informasjon anses oppfylt når:

  • Informasjonen er lett synlig når bruker kommer inn på nettstedet. For eksempel en lett synlig lenke i topptekst, bunntekst, en tekstboks på forsiden eller en «pop-up» der ordet cookies eller informasjonskapsler nevnes slik at det er tydelig hva en informerer om».
  • Informasjonen inneholder opplysninger om hvilke informasjonskapsler som brukes, hvilke opplysninger som behandles, formål og hvem som behandler opplysningene.

Tredjeparts informasjonskapsler

Etter § 2.7b er det selve handlingen, det å lagre eller hente informasjon, som er omfattet. Det er altså den som bestemmer hvordan lagringen skjer, og formålet med lagringen eller innhentingen, som må påse at kravene til informasjon til brukeren oppfylles. Når det gjelder tredjeparts informasjonskapsel (typisk en annonse på et annet nettsted), vil den som setter en slik informasjonskapsel (typisk annonsøren), være ansvarlig for å oppfylle informasjonskravet for sitt eget nettsted.

Den som tillater bruk av tredjeparts informasjonskapsler på eget nettsted, må også informere om dette i tillegg til informasjon om egne informasjonskapsler.