Har du full kontroll på ditt nettsted og hvordan samtykke til cookies (informasjonskapsler) innhentes? Fra 1. januar 2025 trådte nye krav til bruk av informasjonskapsler, «cookies», i kraft i Norge. Den oppdaterte Ekomloven skjerper kravene til hvordan samtykke for bruk av cookies skal innhentes.
For mange norske virksomheter betyr dette at dagens praksis for innhenting av samtykke må endres for å sikre etterlevelse av loven. Formålet med den nye loven er å gi norske brukere bedre kontroll over hvordan deres digitale aktiviteter spores, og er utformet for å harmonisere norsk lov med EU-retten. Datatilsynet og Nasjonal kommunikasjonsmyndighet (Nkom) har fått felles tilsynsmyndighet for de nye reglene.
I denne bloggen gir vi deg en oversikt over de nye reglene, hvilke unntak som finnes, og hva bedriften din må gjøre for å være i samsvar med loven.
Hva innebærer de nye cookie-reglene?
Den største endringen er at samtykke for bruk av cookies nå må oppfylle de strenge kravene i personvernforordningen (GDPR). Dette betyr at et gyldig samtykke må være:
- Frivillig
- Spesifikt
- Informert
- Utvetydig
- Gitt gjennom en aktiv handling
- Dokumenterbart
- Mulig å trekke tilbake like enkelt som det ble gitt
For eksempel er det ikke lenger tilstrekkelig å informere brukeren via en pop-up som «dette nettstedet bruker cookies». Brukeren må aktivt gi sitt samtykke, og det skal være like enkelt å takke nei som å takke ja.
Les også: GDPR har strenge krav til samtykke om personopplysninger
BEHOV FOR GDPR BISTAND?
Er du usikker på om bedriften din overholder reglene om GDPR og personvern? Vi tar gjerne en gjennomgang og ser på dette sammen med deg.
Teknologinøytrale bestemmelser: Det gjelder ikke bare cookies
Ekomloven § 3-15 regulerer lagring og tilgang til informasjon på brukerens utstyr, som mobiltelefoner, nettbrett og datamaskiner. Bestemmelsen omfatter dermed mer enn bare cookies. Den gjelder også andre teknologier som sporer eller henter ut opplysninger fra brukerens kommunikasjonsutstyr, inkludert både personopplysninger og andre typer data.
Dette er unntakene fra de nye cookie-reglene
Det finnes to unntak fra kravet om samtykke:
- Teknisk lagring for å overføre kommunikasjon i et elektronisk nettverk. Dette inkluderer for eksempel cookies som sikrer jevn ytelse gjennom lastbalansering eller som oppdager og korrigerer feil i dataoverføring, som for eksempel strømming eller sanntidschat.
- Lagring som er strengt nødvendig for å levere en informasjonssamfunnstjeneste som brukeren eksplisitt har bedt om. Dette kan inkludere cookies som husker varer i en handlekurv, holder brukeren innlogget under en økt, lagrer språkinnstillinger for enklere navigasjon, eller sikrer at skjema- og betalingsinformasjon bevares mellom sider.
Unntakene er imidlertid snevre og gjelder hovedsakelig cookies som er avgjørende for tjenestens tekniske funksjonalitet.
Hva betyr dette for din virksomhet?
Strengere krav til samtykke kan føre til at færre brukere gir tillatelse til bruk av ikke-essensielle cookies. Dette kan påvirke datainnsamlingen som mange markedsføringsstrategier er avhengige av. Derfor er det viktig at du vurderer alternative metoder for å analysere og måle brukeradferd på nettstedene dine.
Dersom du bruker cookies til sporing og analyse må du gjøre følgende:
- Revidere dine samtykkebannere: Det skal være tydelige alternativer for brukerne, hvor nei-alternativet gis samme oppmerksomhet som ja-alternativet. Samtykkebanner må oppfylle GDPR kravene som beskrevet ovenfor.
- Informere brukerne grundig: Forklar hvilke data som samles inn, formålet med datainnsamlingen, og hvem som behandler informasjonen.
- Sørge for å ha gode løsninger for dokumentasjon: Alle samtykker må lagres og være tilgjengelige for revisjon.
- Sørge for at brukeren enkelt kan trekke tilbake sitt samtykke: Brukeren skal kunne endre eller trekke tilbake sitt samtykke når som helst, på en like enkel måte som det ble gitt. Dette kan for eksempel gjøres ved å tilby en tydelig knapp eller lenke på nettsiden som gir tilgang til å justere samtykkeinnstillingene.
- Pass på at personvernerklæringen er oppdatert: Personvernerklæringen må gjenspeile virksomhetens praksis for bruk av cookies og informere om hvilke data som samles inn, hvorfor de brukes, hvordan de behandles, og hvilke rettigheter brukeren har.
Les også: GDPR - 7 tiltak du må prioritere
Trenger du hjelp med å tilpasse deg de nye cookie-reglene?
Våre advokater har lang erfaring med å bistå kunder med GDPR og personvern spørsmål. Dersom du er usikker på om du overholder de nye cookie-reglene hjelper vi deg gjerne med å ta en vurdering og deretter råd og veiledning om nødvendig. Ta kontakt for en uforpliktende samtale.
BEHOV FOR GDPR BISTAND?
Er du usikker på om bedriften din overholder reglene om GDPR og personvern? Vi tar gjerne en gjennomgang og ser på dette sammen med deg.
