INFORMASJONSKAPSLER

En informasjonskapsel, ofte kalt cookie, er en liten tekstfil som lastes ned og lagres på brukers datamaskin når brukeren åpner en nettside. Informasjonskapselen brukes for eksempel til å lagre innloggingsdetaljer, huske handlekurv i nettbutikken eller registrere hvor brukeren beveger seg rundt på nettstedet.

Informasjonskapsler kan være nyttig både for eieren og brukeren av en nettside. Eieren av nettsiden kan tilpasse tjenesten ut fra informasjonen som lagres. For brukeren kan besøk på nettsiden oppleves mer brukervennlig og tilpasset.

Ulike typer informasjonskapsler/cookies

Informasjonskapsler kan være:

  • sesjonsavhengig eller fast informasjonskapsel
  • første eller tredjeparts informasjonskapsel

Sesjonsavhengig informasjonskapsel/session cookie

Disse slettes etter endt sesjon, det vil si når bruker lukker nettleseren. Disse brukes blant annet for å registrere at en bruker er inne på nettsiden og hvilke valg hun gjør.

Fast informasjonskapsel/persistent cookie

Disse slettes ikke etter endt sesjon. Faste informasjonskapsler kan typisk inneholde informasjon om autentisering, språkinnstillinger og menypreferanser. Dette gjør at framtidige besøk hos nettsiden vil være raskere og mer tilpasset brukeren. De fleste faste informasjonskapsler har en utløpsdato der de slettes automatisk etter en viss periode

Tredjeparts informasjonskapsel/third party cookie

Dette er en informasjonskapsel (fast eller sesjonsavhengig) som settes av en annen enn den som driver nettstedet som brukeren besøker. Typisk kan dette være annonser og reklamebannere på nettaviser m.v..

Ny lovregulering

Den reviderte ekomloven av 1. juli 2013 har en ny bestemmelse om vilkårene knyttet til lagring av opplysninger i kommunikasjonsutstyr - den såkalte «cookie paragrafen» i § 2-7b. Bestemmelsen er en lovfesting av det som tidligere var regulert i ekomforskriften § 7-3, - men i noe utvidet og endret form.

  • 2-7b Bruk av informasjonskapsler/cookies

Lagring av opplysninger i brukers kommunikasjonsutstyr, eller å skaffe seg adgang til slike, er ikke tillatt uten at brukeren er informert om hvilke opplysninger som behandles, formålet med behandlingen, hvem som behandler opplysningene, og har samtykket til dette. Første punktum er ikke til hinder for teknisk lagring av eller adgang til opplysninger:

  1. utelukkende for det formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett
  2. som er nødvendig for å levere en informasjonssamfunnstjeneste etter brukerens uttrykkelige forespørsel.

Hensynet bak bestemmelsen

Ekomloven § 2-7b skal være med å sikre brukernes personvern på ekomområdet. Bestemmelsen retter seg i hovedsak mot personvernkrenkende teknikker som spionprogram og liknende, og er ikke ment å innebære noe hinder mot å benytte lovlige teknikker.

Bestemmelsen beskytter brukers kommunikasjonsutstyr, ved at det er gitt et skjerpet krav om informasjon og samtykke fra bruker dersom det skal benyttes informasjonskapsler/cookies. Lagring av opplysninger og behandling av disse opplysningene er ikke tillatt med mindre bruker er informert om, og har samtykket til, hvilke opplysninger som behandles, hva formålet med denne behandlingen er og hvem som behandler opplysningene.

Hvem omfattes av bestemmelsen

Ekomloven § 1-2 fastsetter lovens saklige virkeområde, som er utvidet i forhold til tidligere i og med at begrepet «overføring» er tatt ut av beskrivelsen av elektronisk kommunikasjon.

Lovens virkeområde omfatter nå all virksomhet knyttet til elektronisk kommunikasjon, herunder tilrettelegging, formidling, tilbud og bruk av elektroniske kommunikasjonsnett, elektronisk kommunikasjonstjeneste, tilhørende fasiliteter og tilhørende tjenester sentralt. Dette betyr i praksis at alle som bestemmer midler og formål med lagring av informasjon i informasjonskapsler/cookies omfattes av ekomloven og kravene om å gi tilstrekkelig informasjon og innhente samtykke i henhold til ekomloven § 2-7b. Som eksempler kan her nevnes mediehus, annonsører på Internett og tilbydere av handel på nett.

Unntak fra bestemmelsen

  • 2-7b, 1 og 2 pkt. er det gitt unntak fra hovedregelen om krav til informasjon og samtykke. Unntaket gjelder de tilfeller der lagring eller uthenting av opplysninger utelukkende har som formål å overføre kommunikasjon i et elektronisk nett, eller der det er nødvendig for å levere en informasjonssamfunnstjeneste etter brukers uttrykkelige forespørsel. Hva som oppfyller kravet om nødvendighet vil måtte vurderes konkret i det enkelte tilfelle og ses i tråd med den teknologiske utviklingen. Som eksempel på unntak etter § 2-7b pkt. 2 kan nevnes opprettelse av brukerprofil i sosiale medier eller nettbutikk.

Hvordan oppfylle krav til samtykke?

Det er altså en forutsetning for bruk av informasjonskapsler/cookies at sluttbruker har samtykket til bruken. Forutsatt at det finnes klar og tydelig informasjon tilgjengelig på det aktuelle nettstedet om hvilke informasjonskapsler/cookies som benyttes, hvilke opplysninger som behandles, formålet med behandlingen og hvem som behandler opplysningene, kan samtykke avgis ved at sluttbruker benytter en teknisk innstilling i nettleser eller tilsvarende i tilfeller der dette er teknisk mulig og effektivt.

Forhåndsinnstilling i nettleser om at brukeren aksepterer informasjonskapsler/cookies anses som samtykke. Det er tilstrekkelig at brukeren samtykker én gang for det samme formålet. Brukeren skal til enhver tid ha mulighet til å trekke tilbake sitt samtykke.

Hvordan oppfylle krav til informasjon?

Kravet til klar og tydelig informasjon anses oppfylt når:

  • Informasjonen er lett synlig når bruker kommer inn på nettstedet. For eksempel en lett synlig lenke i topptekst, bunntekst, en tekstboks på forsiden eller en «pop-up» der ordet cookies eller informasjonskapsler nevnes slik at det er tydelig hva en informerer om».
  • Informasjonen inneholder opplysninger om hvilke informasjonskapsler som brukes, hvilke opplysninger som behandles, formål og hvem som behandler opplysningene.

Informasjonskrav i forhold til tredjeparts informasjonskapsler

Etter § 2.7b er det selve handlingen, det å lagre eller hente informasjon, som er omfattet. Det er altså den som bestemmer midler og formål for lagringen eller innhenting av informasjon som må påse at kravene til informasjon oppfylles. I forhold til bruk av tredjeparts informasjonskapsel, typisk en annonse på et annet nettsted, vil den som setter en slik informasjonskapsel, typisk annonsøren, være ansvarlig for å oppfylle informasjonskravet på sitt eget nettsted.

Den som tillater bruk av tredjeparts informasjonskapsler på eget nettsted må også informere om dette i tillegg til informasjon om egne informasjonskapsler.