GDPR: Hva er cookies, og må du ha samtykke for å bruke dem?

GDPR nettsider og cookies

Cookies og GDPR på nettsiden din er ditt ansvar

Etter GDPR, ny personvernforordning, plikter du å informere tydelig om hvordan du behandler personopplysninger på nettstedet ditt (og for øvrig i hele virksomheten din).

Les også: GDPR på nettsider: dette plikter du å informere om

Hvis du bruker et byrå eller får hjelp av en person til det tekniske, er det fortsatt ditt ansvar å sørge for at riktige grep tas.

Du kan ikke skylde på en databehandler eller leverandør om Datatilsynet banker på døren (akkurat som at du heller ikke kan skylde på regnskapsføreren din om du får bokettersyn og en saftig bot fra Skatteetaten – du som daglig leder er fortsatt den som er øverst ansvarlig).

Hvis du allerede vet hva cookies er kan du bla deg helt ned for å lese om du trenger samtykke for å bruke dem. 👇

Fortsatt usikker på hva GDPR, ny personvernforordning, er? Da bør du lese dette innlegget: Hva er GDPR for deg som driver en liten bedrift

Hva er cookies/informasjonskapsler?

En «cookie», på norsk «informasjonskapsel», er en liten datamengde som nettleseren din mottar fra nettsider du besøker, og som lagres som en fil på harddisken din.

SNL skriver: "En cookie kan inneholde informasjon som brukeren har registrert på siden, for eksempel brukernavn og passord i kryptert form, og som oversendes nettsiden ved påfølgende besøk. På den måten er det ikke nødvendig å registrere informasjonen mer enn én gang."

Cookies kan inneholde mange ulike typer informasjon og kan lagres kun for det ene besøket du gjør, eller i mange år. Du kan fjerne og/eller blokkere slike cookies, les mer om det nedenfor.

Du trenger ikke å skjønne så mye av selve teknologien som ligger i cookies, men du må vite hvilke cookies du har på ditt nettsted, informere om disse i en personvernerklæring eller cookieerklæring og ev. innhente samtykke til bruk.

Les også: GDPR: Trenger du egentlig en personvernerklæring?

Du har sikkert opplevd (mange ganger!) at ting du har søkt på, f.eks. nye joggesko, datamaskin eller ryggsekk, plutselig forfølger deg overalt på nettet. Du ser disse joggeskoene når du går inn på Google for å søke på noe annet, når du skal lese nettavisen eller scroller gjennom nyhetsoppdateringen på Facebook. Det er cookies som gjør dette mulig.

PS: Det er ikke bare cookies du plikter å informere om, men også alle slags verktøy du bruker, f.eks. for analyse (Google Analytics, Hotjar) eller markedsføring (Facebook Pixel, LinkedIn Insights Tag).

Ulike typer cookies/informasjonskapsler

Det finnes flere typer informasjonskapsler og måter å kategorisere dem på. De kan klassifiseres etter varighet, f.eks. at de kun varer for én enkelt økt (sesjonsavhengig/session cookie) eller i et visst antall dager/måneder/år (fast/persistent cookie).

Man kan også snakke om cookies som er strengt nødvendig eller essensielle, altså som  settes i nettleseren din for at nettsiden skal fungere (at du kan se innholdet og/eller utføre visse handlinger), og de som ikke er det. Nedenfor har vi listet opp informasjonskapsler etter ulike formål, altså hva som er hensikten med bruken.

Tekniske/funksjonelle cookies

Noen cookies er nødvendige for at en nettside eller en funksjon på en nettside i det hele tatt skal fungere. Du får f.eks. ikke logget inn i nettbanken, lagt ting i en handlekurv eller gjennomført et nettkjøp uten disse cookiene. Hvis du ikke aksepterer cookiene, får du heller ikke brukt nettsiden/tjenesten.

Noen cookies settes for bedre brukervennlighet, f.eks. så du slipper å logge inn på nytt for hvert besøk (i en nettbasert medlemsportal eller et nettkurs) eller endre innstillinger for hver gang (f.eks. valgt språk, valuta og lignende).

Statistikk-/analysecookies

Andre cookies brukes for å analysere trafikk på eller bruk av en nettside. Google AnalyticsPiwikHotjar og Crazy Egg er verktøy som setter slike cookies, som forklart over.

Markedsføringscookies

Dette er cookies som oftest settes av tredjeparter og der formålet er å målrette annonsering til den besøkende. De kan ofte spore brukere over flere nettsider og kan være ganske «aggressive».

Slike cookies kan sende data til mange flere enn bare én enkelt tredjepart, og en rekke aktører bruker dette til å bygge opp omfattende personprofiler som igjen selges til høystbydende over hele verden. Les mer om personprofilering på det digitale annonsemarkedet hos Datatilsynet.

Slike cookies brukes også av verktøy nevnt over; Facebook PixelLinkedIn Insights TagPinterest Tag med flere. De gjør det mulig å spore besøkende på nettsiden din til disse sosiale plattformene, slik at annonsene du kjører der treffer bedre.

Les også: Troverdige kilder du kan stole på i GDPR-arbeidet (og ikke)

Annonse- og affiliatecookies (sponsede lenker, innhold og annonser)

Annonse- og affiliatecookies er litt annerledes fra markedsføringscookies fordi de har til hensikt å spore en bruker helt frem til et salg er gjennomført (som først kan skje etter en prøveperiode på x antall dager/uker).

For eksempel, hvis du klikker på en annonse på et nettsted og gjennomfører et kjøp av produktet/tjenesten som var annonsert, vil noen trolig tjene på dette. Det kan være helt uproblematisk, men det skal være tydelig merket.

Det som er viktig, er at du tydelig informerer om at du bruker affiliatelenker. Vi ser dessverre svært ofte at folk/virksomheter promoterer innhold de får betalt for å promotere. Husk at det verken er lov eller smart – fordi du fremstår som uprofesjonell, useriøs og lite troverdig!

Må du ha samtykke for å bruke cookies?

Tendensen i Europa (se nedenfor) er helt klart at det går mot krav om samtykke med GDPR-standard for bruk av cookies og teknologi som ikke er strengt nødvendige, f.eks. knyttet til analyse og markedsføring. Her venter vi på at den nye ePrivacy-forordningen skal komme, som allerede er forsinket med over to år.

I tillegg, og noe som gjør situasjonen særlig utfordrende her i Norge, er at vi har (minst) tre ulike lovverk å forholde oss til, og at det europeiske kommunikasjonvernsdirektivet er implementert i to av dem (det som tilsvarer "PECR" i UK). Det er også et problem at ingen av de tre tilsynsmyndighetene våre kommer ut og sier helt tydelig hva som gjelder for bruk av markedsføringscookies.

Uten å bli for teknisk og gå for dypt ned i materien, skal jeg heller prøve å gi en oversikt nedenfor, og noen tanker om hvordan jeg tolker alt dette.

Foreløpig oppsummering og (egen) tolkning

I februar 2020 publiserte Forbrukertilsynet og Datatilsynet en ny veileder om digitale tjenester og forbrukeres personopplysninger (kilde). Og kortversjonen er at ved bruk av cookies må du kjenne til og eventuelt følge tre lovverk:

  1. Ved bruk av (hvilken som helst type) cookies må du forholde deg til ekomloven, og opplyse om denne bruken (beskrive type cookie, formål og varighet) - tilsynsmyndighet er Nasjonal kommunikasjonsmyndighet (Nkom)
  2. Hvis du samler inn personopplysninger via cookies, må du også følge personopplysningsloven og dermed ha et rettslig grunnlag for denne behandlingen - tilsynsmyndighet er Datatilsynet
  3. Hvis du bruker cookies til markedsføring og/eller personalisering, må du i tillegg følge markedsføringsloven - tilsynsmyndighet er Forbrukertilsynet

Min tolkning for Norge, basert på de tre lovverkene og tilsynsmyndighetene som listet opp nedenfor, er oppsummert:

👉 Du må alltid informere om at du bruker cookies og annen sporingsteknologi på nettsiden din. Det gjør du i en cookieerklæring, og den må som minimum inneholde hva slags type cookie det er, hva formålet med bruker er, og hvor lenge den settes (varighet).

👉 Du må ha samtykke til all bruk av cookies og sporingsteknologi, uansett hva formålet med bruken er og hva slags type cookie det er snakk om. For cookies som er nødvendige, kan samtykket gis, som Nkom beskriver på sine sider: "ved at sluttbruker benytter en teknisk innstilling i nettleser eller tilsvarende i tilfeller der dette er teknisk mulig og effektivt". Det betyr at du ikke trenger å gjøre noe selv på siden din.

👉 Dersom det samles inn personopplysninger gjennom cookies, gjelder personopplysningsloven i tillegg til ekomloven, og du må ha et rettslig grunnlag for behandlingen. Dette kan være berettiget interesse eller samtykke. I Norge kan man trolig lene seg på berettiget interesse for cookies knyttet til analyse av nettsidetrafikken, i alle fall inntil den nye ePrivacy-forordningen kommer. Husk at du i så fall må dokumentere den berettigede interessen etter Datatilsynets instrukser.

👉 Men (!), dersom personopplysningene som samles gjennom cookies, brukes til markedsføring, må du ha et rettslig grunnlag både etter personvernforordningen og markedsføringsloven. Og etter markedsføringsloven må du enten ha forhåndssamtykke, eller så kan du sende markedsføring der du har et "eksisterende kundeforhold" (som er ganske strenge kriterier). For sistnevnte kunne da det rettslige grunnlaget etter GDPR (for behandlingen av personopplysningene) vært berettiget interesse.

Men, berettiget interesse kan altså ikke brukes der du ikke har dette eksisterende kundeforholdet, som også er svært vanskelig (om ikke umulig) å definere for en besøkende på nettsiden din.

Konklusjon (?)

Konklusjonen blir dermed (trolig) at du må ha samtykke, på forhånd, til bruk av cookies for markedsføringsformål, etter kravene i markedsføringsloven. Dette samtykket kan samtidig oppfylle kravene til rettslig grunnlag etter personvernforordningen (GDPR), i tråd med det Datatilsynet skriver om dette på denne siden. Du kan med andre ord ikke plassere slike cookies på nettsiden din, uten at den besøkende aktivt samtykker til bruken. Da må du bruke et verktøy på siden din, som gjør dette mulig.

I denne sammenhengen kan jeg også nevne prinsippet om lex specialis, som enkelt forklart betyr at "spesielle regler" går foran mer "generelle regler". I en nylig uttalelse fra Personvernrådet sier de nemlig at: "the controller cannot rely on the full range of possible lawful grounds provided by article 6 of the GDPR", fordi en her måtte ta høyde for at krav om samtykke etter cookielovgivningen (lex specialis) går foran de generelle reglene i GDPR. Dette vil også gjelde for forholdet markedsføringsloven - personopplysningsloven.

Videre skriver Nkom på sine sider: "dersom det er tvil om en oppfyller kravene i personopplysningsloven, så bør en velge samtykke etter personopplysningslovgivningen (samtykke i tråd med GDPR) for å være på den sikre siden" (kilde).

Det danske datatilsynet kom med nye retningslinjer i februar, der det fremkommer tydelig at du må ha et rettslig grunnlag etter GDPR hvis du behandler personopplysninger på nettsiden din (kilde).

Det britiske datatilsynet, ICO, har lenge vurdert at du må ha samtykke etter "GDPR-standard" for alle cookies som ikke er nødvendige, og da må samtykket være frivillig, informert, spesifikt, aktivt avgitt, dokumenterbart, mulig å trekke tilbake, og ikke blandet med annen informasjon (f.eks. vilkår) (kilde).

Derfor vil ikke et banner på siden din være nok, om du bruker cookies (eller annen teknologi) som ikke er nødvendige, og som samler inn (behandler) personopplysninger.

De fleste vil ta i bruk et samtykkeverktøy, Consent Management Tool, til å hente inn og administrere samtykker på nettsiden sin. Eksempler på slike verktøy er CookieBot og Cookie Information.

Fortsatt en gråsone...

Inntil tilsynsmyndighetene her til lands kommer med tydeligere retningslinjer og/eller at den nye ePrivacy-forordningen snart kommer, så dette blir avklart uansett, anbefaler jeg at du:

  • Har en tydelig cookieerklæring på nettsiden din og at du lenker til denne i bunnteksten (eller bruker et banner, pop-up eller lignende)
  • Er sikker på at du lener deg på de riktige rettslige grunnlagene dersom noen av cookiene du bruker, behandler personopplysninger (som ofte er tilfelle)
  • Innhenter samtykke på forhånd til bruk av cookies for markedsføringsformål

NB! Pass også på at personvernerklæringen din faktisk inneholder alle nødvendige punkter som skal være med etter GDPR. Slik vår mal for personvernerklæring har her.

PS: En annen måte å målrette annonsering på sosiale medier på er å laste opp lister med kontaktinformasjon, f.eks. navn, telefonnummer eller e-postadresser, til annonseringsverktøyene (f.eks. Facebook Ads Manager). Husk at du må ha et rettslig grunnlag for slik behandling av personopplysninger. I veilederen nevnt over skriver Datatilsynet at "Ikke gjenbruk personopplysninger som er innhentet for et helt annet formål, til profilering eller målrettet markedsføring, med mindre du får et gyldig samtykke til slik gjenbruk".

Les også: GDPR på nettsider: dette plikter du å informere om