Aksept om bruk av informasjonskapsler (cookies) på nettsider – nødvendig eller ikke?

Når du går inn på nettsider, så kan det komme opp en varselboks som varsler om at siden benytter informasjonskapsler (cookies) og samler inn data. Du må ofte klikke på at du aksepterer dette for å lukke varselet eller kommer videre til siden. Mange nettsider har dette, men er det nødvendig og påkrevet med et slikt varsel? 

Hva er informasjonskapsler/cookies? 

En cookie, eller informasjonskapsel som det kalles på norsk, er en liten tekstfil som lagres på datamaskinen eller den mobile enheten til brukeren. Bruker du nettleseren Chrome, kan du klikke skrive inn følgende i adressefeltet for å se på alle cookiene som er lagret på din maskin: chrome://settings/cookies. Du kan selv velge om det skal lagres informasjonskapsler på din datamaskin, men nettleseren din er satt opp til å akseptere informasjonskapsler om du ikke selv ha endret innstillingene. 

Informasjonskapsler benyttes til ulike formål, hvor de mest vanlige er å individualisere brukere (dette omtales som å identifisere brukere enkelte steder, bl.a. i informasjon fra EU, men det stemmer ikke – det er å skille brukere fra hverandre) og å huske brukeres preferanser og valg på nettsider, som informasjon lagt inn i skjemaer mv. I tillegg brukes informsjonskapsler i stor grad av annonsenettverk for å avdekke bruksmønsteret til brukeren og koble til brukerens preferanser for å gi mer relevante annonser. 

Informasjonskapsler er normalt gitt en holdbarhetstid, hvoretter de slettes og må fornyes. Det skilles også mellom informasjonskapsler som den som samler informasjonen etablerer selv (førsteparts informasjonskapsler) eller tredjeparts informasjonskapsler, som benyttes av flere, bl.a. annonsenettverk. 

Hvorfor og hvordan må man varsle om informasjonskapsler/cookies? 

Informasjonskapsler kan dermed benyttes til å samle inn og behandle personopplysninger, selv om et fåtall informasjonskapsler virkelig gjør dette. Ved behandling av personopplysninger er man pålagt å følge personvernlovgivningen, som i Norge er personopplysningsloven, og i EU er personverndirektivet. I tillegg er det regulering for elektronisk kommunikasjon ved ePrivacy-direktivet som er implementert i norsk rett gjennom lov om elektronisk kommunikasjon (ekom-loven). I sistnevnte finnes reguleringen for bruken av informasjonskapsler i § 2-7 b, hvor det står:

§ 2-7 b.Bruk av informasjonskapsler/cookies
Lagring av opplysninger i brukers kommunikasjonsutstyr, eller å skaffe seg adgang til slike, er ikke tillatt uten at brukeren er informert om hvilke opplysninger som behandles, formålet med behandlingen, hvem som behandler opplysningene, og har samtykket til dette. Første punktum er ikke til hinder for teknisk lagring av eller adgang til opplysninger:
1. utelukkende for det formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett
2. som er nødvendig for å levere en informasjonssamfunnstjeneste etter brukerens uttrykkelige forespørsel.

Det kreves altså at brukerne må være informert om hvilke opplysninger som behandles, formålet med behandlingen, hvem som behandler opplysningene og at brukerne har samtykket til bruken. Informasjon om behandlingen, kan gjøres f.eks. på denne måten, eller som Datatilsynet har gjort det

EUs ekspertgruppe for personvern, Article 29 Working Party, har også vurdert kravene til varsel (pdf) om bruk av informasjonskapsler, og funnet at en rekke virksomheter er unntatt fra det å varsle om informasjonskapsler. Virksomheter som krever at man logger seg inn for å bruke nettstedene, som Facebook og sosiale media, har også tatt inn informasjon om bruk av informasjonskapsler i sine vilkår, slik at man ikke trenger å varsle om bruken. 

Hva kreves av samtykke? 

Som nevnt må det informeres om lagring og behandling av opplysningene som samles inn med informasjonskapsler. Bruk av informasjonskapsler er ikke tillatt med mindre bruker er informert som nevnt ovenfor, og har samtykket til bruken av informasjonskapsler.

Det er i noen tilfelle det er unntak fra kravet om samtykke, avhengig av hvilken informasjon som samles inn og hvordan informasjonskapslene brukes. Informasjonskapsler som utstedes av nettsiden selv, såkalte førsteparts informasjonskapsler, krever ikke samtykke, såfremt disse informasjonskapslene har en utløpsdato som ikke overstiger ett år. Alle tredjeparts informasjonskapsler og informasjonskapsler uten utløpsdato krever samtykke. 

Nkom, som forvalter ekom-loven i Norge, forstår kravet til samtykke i loven til at det er tilstrekkelig at man lar innstillingene i nettleseren være innstilt på å akseptere informasjonskapsler. Det kreves altså ikke at man har et varsel på nettsiden, og at brukeren bekrefter bruken av informasjonskapsler. Ved å gå inn og hente informasjon og/eller benytte tjenester på nettsidene, samtykker altså brukeren i at det settes informasjonskapsler i nettleseren. Dette vil være de fleste som derfor aksepterer dette, i og med at de fleste nettlesere er innstilt slik at de automatisk aksepterer informasjonskapsler. Dersom brukeren ikke vil akseptere bruken av informasjonskapsler, må denne gå  i innstillingene på nettleseren for å endre slik at informasjonskapsler ikke aksepteres. Dette vil også gjøre at en del nettsider ikke fungerer som de skal. 

Forutsatt at det derfor finnes klar og tydelig informasjon tilgjengelig på det aktuelle nettstedet om hvilke informasjonskapsler som benyttes, hvilke opplysninger som behandles, formålet med behandlingen og hvem som behandler opplysningene, kan samtykke avgis ved at sluttbruker benytter en teknisk innstilling i nettleser eller tilsvarende i tilfeller der dette er teknisk mulig og effektivt. Det er altså ikke nødvendig å ha varsel på nettsidene som informerer og ber om brukerens samtykke til bruk av informasjonskapsler. Dette er også i overensstemmelse med hva Datatilsynet mener

Les mer: 

Og for ordens skyld, her er informasjon om bruk av informasjonskapsler og behandling av personopplysninger hos Teknologirett

Bli den første til å kommentere på "Aksept om bruk av informasjonskapsler (cookies) på nettsider – nødvendig eller ikke?"

Legg inn en kommentar

Ikke gå glipp av noe!

Motta nyhetsbrev fra Teknologirett: