GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

GDPR på nettet

Regler for informasjonskapsler på et nettsted under GDPR

Regler for informasjonskapsler på et nettsted under GDPR er basert på det såkalte ePrivacy Directive. Både GDPR og ePrivacy-direktivet inneholder mange viktige EU-regler om informasjonskapsler. 

Bruk av informasjonskapsler

Bedrifter som har et nettsted, som for tiden er flertallet, har en tendens til å bruke informasjonskapsler av forskjellige slag og til forskjellige formål. Hvis bruken av informasjonskapsler også betyr at personopplysninger lagres i informasjonskapselen, for eksempel en persons IP-adresse eller e-postadresse, gjelder GDPR også.

Derfor er det viktig for bedrifter å kjenne til gjeldende regler om informasjonskapsler på et nettsted under GDPR når de bruker informasjonskapsler.

What breaches of the GDPR can lead to an administrative fine?

Hva er informasjonskapsler?

Enkelt forklart er små tekstfiler med informasjonskapsler som inneholder en viss mengde informasjon, som nettstedet kan lagre på den besøkendes enhet (f.eks. datamaskin, mobil eller nettbrett). Informasjonskapsler er en form for online identifikator og online identifikatorer, som kan utgjøre personopplysninger i henhold til betraktning 30 i GDPR. Dette skyldes at informasjonskapsler kan etterlate spor som, i kombinasjon med andre data mottatt av servere, kan brukes til å opprette profiler av fysiske personer og identifisere dem. 

En person kan knyttes til online identifikatorer levert av sine enheter, applikasjoner, verktøy og protokoller, for eksempel informasjonskapsler. Informasjonskapsler er dermed en form for online identifikator, og noe av informasjonen i informasjonskapsler kan utgjøre personlige data, for eksempel et brukernavn, IP-adresse eller e-postadresse.

Hva er formålet med informasjonskapsler?

Bruken av informasjonskapsler kan gjøres av et selskap til flere formål. Informasjonskapsler kan for eksempel gjøre det mulig for selskapet som driver nettstedet, å: 

  • Hent informasjon som allerede er lagret i den besøkendes enhet.
  • Lagre ny informasjon i den besøkendes enhet. Lagring kan skje både under et enkelt besøk (midlertidig informasjonskapsel) og mellom flere besøk (permanent informasjonskapsel).
  • Se hva den besøkende har gjort på nettstedet, ved å lagre data om deres aktiviteter og interaksjoner på nettstedet.
  • sikre at nettstedets kritiske funksjoner fungerer tilfredsstillende,
  • Overføre visse data mellom nettstedet og den besøkendes enhet, eller til en tredjepart.
  • Lagre informasjon på den besøkendes enhet, for eksempel brukerens valgte språkinnstillinger for nettstedet.
  • Gjøre det mulig å målrette mot den besøkende neste gang han besøker nettstedet, basert på hans demonstrerte interesser og bruk av nettstedet.

Er det forskjell på permanente og midlertidige cookies?

Ja, det er flere forskjeller mellom permanente informasjonskapsler og midlertidige informasjonskapsler. Dette er to forskjellige typer informasjonskapsler, og hovedforskjellene er som følger:

Measures that companies need to take to comply with GDPR
Midlertidige informasjonskapsler

Midlertidige informasjonskapsler (også kjent som øktinformasjonskapsler) lagres midlertidig i enhetens minne og har ingen utløpsdato. Disse informasjonskapslene er aktive og lagres kun under den aktuelle nettleserøkten. De slettes deretter automatisk fra enheten når nettleseren lukkes. Det vil si at lagring av midlertidige informasjonskapsler bare skjer i perioden når den besøkende surfer på nettstedet, til den besøkende lukker nettleseren. Midlertidige informasjonskapsler brukes ofte til å aktivere visse funksjoner på nettstedet og for å opprettholde en brukerøkt.

What is the definition of anonymised data?
Tidsbundne informasjonskapsler

Tidsbundne informasjonskapsler (også kjent som permanente informasjonskapsler) lagres i stedet på enheten i en fast periode. Lagringstiden kan ses i innstillingene for informasjonskapsler. Tidsbundne informasjonskapsler forblir lagret i enheten selv etter at den besøkende har lukket nettleseren, til utløpsdatoen er passert eller til manuell fjerning. Det er vanlig at tidsbundne informasjonskapsler brukes til å lagre brukerpreferanser for fremtidige besøk på nettstedet, for eksempel språkinnstillingene valgt av brukeren.

Hva er forskjellen mellom essensielle og ikke-essensielle cookies?

Nødvendige og ikke-essensielle informasjonskapsler er to forskjellige kategorier av informasjonskapsler. Disse er også underlagt forskjellige regler om informasjonskapsler på et nettsted i henhold til GDPR og ePrivacy Directive. Nedenfor finner du mer informasjon om forskjellen mellom disse cookie-kategoriene.

Nødvendige informasjonskapsler

Det finnes informasjonskapsler som må brukes for at et nettsted skal fungere skikkelig. Det gjelder hovedsakelig informasjonskapsler som muliggjør funksjonaliteten til nettstedet og levering av de elektroniske tjenestene som den besøkende ber om. For å kunne bruke de nødvendige informasjonskapslene, er det ikke nødvendig med samtykke fra den besøkende. Dette betyr at informasjonskapsler kategorisert etter behov alltid vil bli brukt. Det er imidlertid viktig at selskapet er klar over at de nødvendige informasjonskapslene må sikre grunnleggende og sikkerhetsfunksjoner som er viktige for den besøkende på nettstedet. Det handler derfor ikke om hva selskapet mener er nødvendig eller ikke.

Ikke-essensielle informasjonskapsler

Disse informasjonskapslene er ikke nødvendige for at de grunnleggende funksjonene på nettstedet skal fungere riktig. De brukes i stedet for andre formål, for eksempel å analysere trafikken på nettstedet, forbedre brukeropplevelsen, statistiske formål, etc.

Spesifikke krav til bruk av informasjonskapsler og gjeldende regler om informasjonskapsler på et nettsted i henhold til GDPR

  • Informasjonskrav: Selskapet må alltid informere besøkende på nettstedet om bruken av informasjonskapsler. Dette gjelder uavhengig av om selskapet bare bruker essensielle informasjonskapsler, eller også ikke-essensielle informasjonskapsler. Målet er å gi den besøkende et klart bilde av hvordan informasjonskapsler fungerer i praksis og å hjelpe dem med å ta informerte beslutninger om bruken av informasjonskapsler. Informasjonen skal gis av selskapet som publiserer en cookie-melding, noen ganger også referert til som en cookie-policy. Dette kan med fordel publiseres på nettsidens bunntekst for enkel tilgang, og bør også kobles i et mulig cookie-banner der den besøkende kan administrere sine cookie-innstillinger. 
  • Samtykke: For at et selskap skal kunne bruke ikke-essensielle informasjonskapsler, må nettstedets besøkende aktivt samtykke til det. I tillegg har den besøkende rett til å trekke tilbake samtykket når som helst, i hvilket tilfelle bruken av disse ikke-essensielle informasjonskapslene skal opphøre umiddelbart. Hvis den besøkende ikke samtykker, eller har gitt ugyldig samtykke, skal ikke-essensielle informasjonskapsler ikke lagres på den besøkendes enhet. 

Eksempler på hva som utgjør ugyldige samtykker:

  • Når det ikke er mulig å trekke tilbake et gitt samtykke eller det er for vanskelig å gjøre det, er samtykket ugyldig. Et utgangspunkt er at tilbaketrekking av samtykke skal være like enkelt som å gi samtykke. 
  • Knappene «Acceptera» eller «Neka» i informasjonskapselbanneret må ikke utformes på en måte som påvirker den besøkendes valg. For eksempel er «Godta»-knappen stor og grønn, mens «Neka»-knappen er mindre og grå.
  • Passive godkjenninger er ikke gyldige. Det er med andre ord ikke tillatt å lagre ikke-essensielle informasjonskapsler der en besøkende verken har akseptert eller nektet bruk av informasjonskapsler. 
  • Hvis det krysses av i en samtykkeboks, utgjør det ikke et gyldig samtykke, da det ikke anses å være aktivt gitt av den besøkende selv. 

Hva må vises i informasjonskapselmeldingen om bruk av informasjonskapsler

Det er flere punkter som skal gjøres når et selskap informerer de registrerte om bruken av informasjonskapsler på nettstedet. Se nedenfor: 

  • Firmadetaljer, for eksempel firmanavn, bedriftsregistreringsnummer og kontaktinformasjon. 
  • En liste over hver cookie selskapet har til hensikt å bruke. Denne listen skal oppdateres regelmessig for å gjenspeile gjeldende bruk av informasjonskapsler. Listen skal minst inneholde følgende opplysninger:
    • Navnet på hver enkelt informasjonskapsel.
    • kategoriene og informasjonskapslene de tilhører.
    • Lagringsperioden som gjelder for hver informasjonskapsel.
    • En beskrivelse av formålet med bruken av hver informasjonskapsel. 
    • Enten det er tredjeparts informasjonskapsler eller ikke. Hvis det er en tredjeparts informasjonskapsel eller hvis informasjonen deles med en tredjepart, skal dette angis.  
  • Hvordan den besøkende på nettstedet kan trekke tilbake sitt samtykke. 
  • Hvordan den besøkende på nettstedet kan administrere sine innstillinger for lagring av informasjonskapsler.

Hvordan kan en besøkende på nettstedet administrere sine innstillinger angående lagring av ikke-essensielle informasjonskapsler?

Den besøkende til et nettsted kan selv kontrollere og administrere hvordan ikke-essensielle informasjonskapsler kan lagres på enheten ved hjelp av forskjellige metoder. For eksempel skal den besøkende ha mulighet til helt eller delvis å aktivere eller deaktivere ikke-essensielle informasjonskapsler. Det er imidlertid viktig å informere den besøkende om at inaktivering av ikke-essensielle informasjonskapsler, helt eller delvis, kan påvirke funksjonaliteten til nettstedet og kan forhindre at visse funksjoner fungerer som tiltenkt. 

Nedenfor kan du finne ut hvordan den besøkende kan administrere sine cookie-innstillinger.

1. Installert cookie-løsning på nettsiden

Hvis nettstedet bruker ikke-essensielle informasjonskapsler og har en installert informasjonskapselløsning aktivert, for eksempel via et cookie-plugin, bør den besøkende i det minste kunne gjøre følgende handlinger gjennom den: 

  • Godta alle informasjonskapsler. 
  • Avvis alle ikke-essensielle informasjonskapsler. 
  • Gi tilpasset samtykke for ulike kategorier av informasjonskapsler.

Vær oppmerksom på at selskapet ikke trenger å installere en informasjonskapselløsning når de bare bruker nødvendige informasjonskapsler. Dette er fordi selskapet alltid har lov til å bruke de nødvendige informasjonskapslene, uten samtykke fra den besøkende. 

Når skal cookie-banneret vises?

Informasjonskapselbanneret skal vises når den besøkende besøker nettstedet for første gang. Den skal da også vises når det gjøres betydelige endringer i informasjonskapselmeldingen, informasjonskapslene som brukes eller kategoriene av informasjonskapsler som brukes. Dette må gjøres for å sikre at ethvert samtykke gitt eller tidligere gitt av den besøkende oppfyller kravene som skal anses som gyldige. 

Hvordan kan den besøkende trekke tilbake sitt samtykke eller endre sitt valg?

I tillegg skal den besøkende til nettstedet ha mulighet til å trekke det tilbake når som helst, med forbehold om hans eller hennes samtykke. Dette bør gjøres ved å gjøre det mulig å gjenåpne cookie-banneret, for å endre innstillingene. Dette gjøres ofte gjennom en liten widget nederst på hjemmesiden, eller gjennom tilstedeværelsen av en «administrer informasjonskapselinnstillinger» -knapp i bunnteksten på nettstedet. Det skal være enkelt å finne innstillingene igjen. Målet er å gi besøkende fleksibilitet til å tilpasse sine cookie-innstillinger for nettstedet i henhold til deres preferanser og behov. 

2. Nettleserinnstillinger

Den besøkende til et nettsted kan også begrense bruken av informasjonskapsler ved å justere innstillingene i nettleseren. Mange nettlesere tillater brukeren å blokkere ikke-essensielle informasjonskapsler eller krever at brukeren aktivt autoriserer hver ny informasjonskapsel før de lagres på enheten. 

Nettleserinnstillingene kan også tillate brukeren å blokkere tredjeparts informasjonskapsler. I noen tilfeller kan brukeren også merke ofte besøkte nettsteder som «pålitelige», noe som betyr at informasjonskapsler fra slike nettsteder alltid aksepteres. I tillegg kan brukeren, via nettleserinnstillingene, fjerne spesifikke individuelle informasjonskapsler som er lagret eller rense alle tidligere informasjonskapsler.

Hvor kan disse funksjonene bli funnet i nettleseren?

Disse funksjonene er ofte tilgjengelige under menyalternativene «Innstillinger», «Hjelp» eller «Verktøy». Vær oppmerksom på at funksjonene kan variere avhengig av nettleseren som brukes av den besøkende (for eksempel Chrome, Firefox, Safari, Edge, Opera, etc.). 

Hvis den besøkende trenger hjelp til å konfigurere nettleserinnstillingene, bør de kontakte nettleserutgiveren eller besøke hjelpesidene for mer informasjon og støtte.

Må innstillingene for informasjonskapsler tilpasses på hver nettleser og enhet?

Ja, informasjonskapselinnstillingene må tilpasses på hver nettleser og enhet. Selskapet bør informere nettstedet besøkende tilsvarende, for å sikre at deres preferanser gjelder overalt i alle enheter og nettsteder de bruker. 

Oppfyller justeringen av nettleserens innstillinger for informasjonskapsler kravene i GDPR?

For at nettstedets besøkende skal anses å ha gitt gyldig samtykke i henhold til GDPR, må dette gjøres ved en aktiv handling. Derfor er det viktig å huske på at justering av innstillinger via nettleseren ikke alltid er tilstrekkelig, hvis nettstedet bruker ikke-essensielle informasjonskapsler som krever forhåndssamtykke. Derfor bør selskapet anbefale besøkende på nettstedet å bruke informasjonskapselinnstillingene på selskapets nettsted i stedet, via den installerte informasjonskapselløsningen, for å administrere deres samtykke. 

«Jeg forstår» og «Jeg er enig» betyr to forskjellige ting

Det er viktig å sette riktig tekst på knappene som den besøkende kan velge å klikke på, for å administrere informasjonskapselinnstillingene via den installerte informasjonskapselløsningen eller informasjonskapselbanneret på nettstedet.

Knappteksten «Jeg forstår» betyr ikke at den besøkende gir samtykke til bruk av informasjonskapsler. Det skal være «Jeg godtar» eller «godta» på knappen. I tillegg må nettstedets besøkende ha mulighet til å «Neka» -informasjonskapsler, samt å åpne «informasjonskapselinnstillingene». Dette gjelder også etter at samtykke er gitt. Den besøkende må være i stand til å trekke tilbake sitt samtykke så enkelt som han eller hun kan, eller å endre hans eller hennes innstillinger på annen måte. Dette er en av de viktigste reglene for informasjonskapsler på et nettsted under GDPR.

Er det tillatt å ha en cookie-vegg på nettsiden?

Nei, det er forbudt å designe nettstedets cookie-banner som en cookie-vegg. En cookie-vegg betyr at en vegg av informasjon om cookies opptar hele eller store deler av nettstedet. Ofte er cookie vegger plassert i midten av skjermen og opptar en stor overflate, noe som gjør det umulig å lese teksten bak cookie veggen. 

For at den besøkende på nettstedet skal kunne få tilgang til informasjonen på nettstedet, må de godta informasjonskapsler. En cookie-vegg forplikter dermed den besøkende til å godta informasjonskapsler for å kunne bruke nettstedet. Slikt samtykke kan derfor ikke anses som fritt gitt. Derfor er det ikke tillatt å ha en cookie-vegg på sin nettside.

Personvernforordningen (GDPR) på nettet

Databeskyttelse som standard og personvern ved design

Bedrifter som er behandlingsansvarlige skal ha databeskyttelse ved design som kreves av artikkel 25 GDPR. Det samme gjelder databeskyttelse som standard. Databeskyttelse betyr som standard at selskaper som tilbyr for eksempel en digital tjeneste eller lignende, bør ha personvernvennlige innstillinger. For eksempel ved å implementere en funksjonalitet som tillater brukere å trekke tilbake sitt gitte samtykke. Selskaper som behandler personopplysninger må også iverksette tilstrekkelige organisatoriske og tekniske sikkerhetstiltak for å beskytte personopplysningene. Eksempler på tekniske sikkerhetsforanstaltninger inkluderer virusbeskyttelse, multifaktorautentisering ved innlogging, backupfiler, etc. Eksempler på organisatoriske sikkerhetsforanstaltninger inkluderer opplæring av ansatte om databeskyttelse og å ha klare instruksjoner og prosedyrer for behandling av personopplysninger. 

Lyst til å lære mer?

Les mer
Skroll til toppen