Alle nettsider må overholde personvernopplysningsloven - GDPR

Er nettstedet ditt GDPR kompatibelt?

GDPR på nettsider – General Data Protection Regulation (GDPR) gjelder for alle* nettsteder i Norge og er lovpålagt ihenhold til Nkom og Lovdata.

* Bedrifter, privatpersoner og foreninger som drifter egen nettside har siden 20. juli 2018 vært lovpålagt å overholde personopplysningsloven (GDPR).

Få GDPR på din nettside i dag!

Med vår løsning sjekkes det jevnlig om GDPR på nettsteder og sin bruk av informasjonskapsler og nettsporing er i samsvar med GDPR og ePrivacy-direktivet (ePR). Rapport* viser hvilke data nettstedet ditt samler inn og deler med tredjeparter – også nyttig for CCPA-overholdelse (California Consumer Privacy Act).

* Se cookie rapport for denne nettsiden.

GDPR - spørsmål og svar

Er du usikker på om du følger reglene og retningslinjene som gjelder i Norge og Europa? Eller vet du innerst inne at du ikke gjør det, og er samtidig bekymret for hvordan det vil påvirke resultatene av markedsføringen din?

Kontakt oss for hjelp i dag.

Svaret er JA!
NKOM og Datatilsynet har valgt å opptre som en «hjelper» og ikke som en «dommer», det er veldig bra! Dette betyr alikevel at bøter blir gitt ut, for lovverket er helt klart på kravene rundt GDPR og Personvern i norge. Vi anbefaler du er i forkant og ikke blir utsatt for bøter.

Kontakt oss for hjelp i dag.

Det er mange tilbydere på markedet med ulike priskalkyler. Pris settes iht. hyppighet på overvåkning av nettsiden. Avhengig av hvor stor hjemmesiden er koster løsninger fra ca. *kr. 100 pr. mnd og oppover.

* Priser vises ofte eksklusive merverdiavgift på nett.

Kontakt oss for et tilbud på GDPR for nettsiden din.

NKom informerer om GDPR på nettsider

GDPR på nettsider er viktig å holde oppdatert.  Nedenfor finner du utfyllende informasjon om ulike typer informasjonskapsler, hva ekomloven sier om bruk av informasjonskapsler, hvordan kravene til bruk av informasjonskapsler kan oppfylles og hvordan du kan administrere nettleserens innstillinger. 

Kilde FAQ: Nkom.no

Informasjonskapsler kan være nyttige både for eieren og brukeren av en nettside. Eieren av nettsiden kan tilpasse tjenesten ut fra informasjonen som lagres. For brukeren kan besøk på nettsiden oppleves mer brukervennlig og tilpasset.

Informasjonskapsler kan være:

  • sesjonsavhengig informasjonskapsel
  • fast informasjonskapsel
  • første eller tredjeparts informasjonskapsel

Sesjonsavhengig informasjonskapsel (session cookie)

Sesjonsavhengig informasjonskapsel slettes etter endt sesjon, det vil si når du lukker nettleseren. Disse informasjonskapslene brukes blant annet for å registrere en bruker er inne på nettsiden og få oversikt over hva brukeren gjør på siden.

Fast informasjonskapsel (persistent cookie)

Fast informasjonskapsel slettes ikke etter endt sesjon. Faste informasjonskapsler kan ofte inneholde informasjon om autentisering, språkinnstillinger og menyvalg. Det gjør at fremtidige besøk på nettsiden er raskere og mer tilpasset brukeren. De fleste faste informasjonskapsler har en utløpsdato der de slettes automatisk etter en viss periode.

Tredjeparts informasjonskapsel (third party cookie)

Tredjeparts informasjonskapsel er en informasjonskapsel (fast eller sesjonsavhengig) som settes av en annen enn den som driver nettstedet som brukeren besøker. Eksempel på dette er annonser og reklamebannere på nettaviser.

Informasjonskapsler kan være nyttige både for eieren og brukeren av en nettside. Eieren av nettsiden kan tilpasse tjenesten ut fra informasjonen som lagres. For brukeren kan besøk på nettsiden oppleves mer brukervennlig og tilpasset.

Informasjonskapsler kan være:

  • sesjonsavhengig informasjonskapsel
  • fast informasjonskapsel
  • første eller tredjeparts informasjonskapsel

Sesjonsavhengig informasjonskapsel (session cookie)

Sesjonsavhengig informasjonskapsel slettes etter endt sesjon, det vil si når du lukker nettleseren. Disse informasjonskapslene brukes blant annet for å registrere en bruker er inne på nettsiden og få oversikt over hva brukeren gjør på siden.

Fast informasjonskapsel (persistent cookie)

Fast informasjonskapsel slettes ikke etter endt sesjon. Faste informasjonskapsler kan ofte inneholde informasjon om autentisering, språkinnstillinger og menyvalg. Det gjør at fremtidige besøk på nettsiden er raskere og mer tilpasset brukeren. De fleste faste informasjonskapsler har en utløpsdato der de slettes automatisk etter en viss periode.

Tredjeparts informasjonskapsel (third party cookie)

Tredjeparts informasjonskapsel er en informasjonskapsel (fast eller sesjonsavhengig) som settes av en annen enn den som driver nettstedet som brukeren besøker. Eksempel på dette er annonser og reklamebannere på nettaviser.

Det er altså en forutsetning for bruk av informasjonskapsler at sluttbruker har samtykket til bruken. Samtykke kan gis ved at sluttbruker benytter en teknisk innstilling i nettleser eller tilsvarende i tilfeller der dette er teknisk mulig og effektivt.

Forutsetningene for at bruker skal kunne gi samtykke er følgende:

  • Det finnes klar og tydelig informasjon tilgjengelig på det aktuelle nettstedet om hvilke informasjonskapsler som benyttes 
  • Informasjon om hvilke opplysninger som behandles. 
  • Informasjon om formålet med behandlingen 
  • Informasjon om hvem som behandler opplysningene 

Forhåndsinnstilling i nettleser om at brukeren aksepterer informasjonskapsler anses som samtykke. Det er tilstrekkelig at brukeren samtykker én gang for det samme formålet. Brukeren skal til enhver tid ha mulighet til å trekke tilbake sitt samtykke.

Kravet til klar og tydelig informasjon anses oppfylt når:

  • Informasjonen er lett synlig når bruker kommer inn på nettstedet. For eksempel en lett synlig lenke i topptekst, bunntekst, en tekstboks på forsiden eller en «pop-up» der ordet cookies eller informasjonskapsler nevnes slik at det er tydelig hva en informerer om.
  • Informasjonen inneholder opplysninger om hvilke informasjonskapsler som brukes, hvilke opplysninger som behandles, formål og hvem som behandler opplysningene.

Nkom får en del henvendelser angående samtykke etter ekomloven § 2-7b. Dette skyldes at det i Europa er vanlig med samtykke i tråd med personopplysningsforordningen også for informasjonskapsler og at det kan være vanskelig å skille rent teknisk mellom hvilke informasjonskapsler som faller inn under ekomloven § 2-7b og hvilke informasjonskapsler som krever samtykke i henhold til personopplysningslovgivningen

Europeisk regelverk

EU-domstolen avsa 1. oktober 2019 dom i sak C-673/17 (Planet49), som omhandler samtykke etter art. 5(3) i kommunikasjonsverndirektivet (ePrivacy-direktivet), direktiv 2002/58/EF.

I dommen konkluderes det med at et samtykke etter denne bestemmelsen, sett i sammenheng med det tidligere personverndirektivet og personvernforordningen (GDPR) ikke er et gyldig avgitt samtykke når samtykket er gitt ved hjelp av et på forhånd avkrysset felt hvor brukeren må fjerne krysset for å nekte samtykke.

Europakommisjonen la i 2017 frem et forslag til en ny kommunikasjonsvernforordning som skal erstatte kommunikasjonsverndirektivet fra 2002.

Forslaget er fortsatt til behandling, og Rådet ble enige om sin posisjon til forslaget 10. februar 2021. Utviklingen i Europa ser ut til å gå i retning av strengere krav til samtykke. 

Nkom vil vurdere behov for justeringer av regelverket som følge av utviklingen. I mellomtiden er det viktig å merke seg at dersom det er tvil om en oppfyller kravene i personopplysningsloven, så bør en velge samtykke etter personopplysningslovgivningen (samtykke i tråd med GDPR) for å være på den sikre siden. Det samme gjelder om en er ansvarlig for en nettside som også retter seg mot andre europeiske land.

Anbefalingen gjelder der det er tvil om hvorvidt en informasjonskapsel lagrer eller behandler opplysninger som faller inn under ekomloven § 2-7b, eller om det er behandling av personopplysninger som krever samtykke. 

I 2013 ble det tatt inn en ny bestemmelse i ekomloven om vilkårene knyttet til lagring av opplysninger i kommunikasjonsutstyr – den såkalte «cookie paragrafen» i § 2-7b. Bestemmelsen er en lovfesting av det som tidligere var regulert i ekomforskriften § 7-3, – men i noe utvidet og endret form.

§ 2-7b Bruk av informasjonskapsler/cookies

Lagring av opplysninger i brukers kommunikasjonsutstyr, eller å skaffe seg adgang til slike, er ikke tillatt uten at brukeren er informert om hvilke opplysninger som behandles, formålet med behandlingen, hvem som behandler opplysningene, og har samtykket til dette. Første punktum er ikke til hinder for teknisk lagring av eller adgang til opplysninger:

  1. utelukkende for det formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett
  2. som er nødvendig for å levere en informasjonssamfunnstjeneste etter brukerens uttrykkelige forespørsel.

Hensynet bak bestemmelsen

Ekomloven § 2-7b skal være med å sikre brukernes personvern på ekomområdet. Bestemmelsen retter seg i hovedsak mot personvernkrenkende teknikker som spionprogram og liknende, og er ikke ment å innebære noe hinder mot å benytte lovlige teknikker.

Bestemmelsen beskytter brukerne ved at det er gitt et skjerpet krav om informasjon og samtykke dersom det skal benyttes informasjonskapsler. Lagring av opplysninger og behandling av disse opplysningene er ikke tillatt, med mindre bruker er informert om, og har samtykket til, hvilke opplysninger som behandles, hva formålet med denne behandlingen er og hvem som behandler opplysningene.

Hvem omfattes av bestemmelsen

All virksomhet knyttet til elektronisk kommunikasjon omfattes av bestemmelsen. Som eksempler kan her nevnes mediehus, annonsører på Internett og tilbydere av handel på nett. Ekomloven § 1-2 fastsetter lovens saklige virkeområde

Unntak fra bestemmelsen

§ 2-7b, 1 og 2 pkt. er det gitt unntak fra hovedregelen om krav til informasjon og samtykke. Unntaket gjelder de tilfeller der lagring eller uthenting av opplysninger utelukkende har som formål å overføre kommunikasjon i et elektronisk nett, eller der det er nødvendig for å levere en informasjonssamfunnstjeneste etter brukers uttrykkelige forespørsel. Hva som oppfyller kravet om nødvendighet vil måtte vurderes konkret i det enkelte tilfelle og ses i tråd med den teknologiske utviklingen. Som eksempel på unntak etter § 2-7b pkt. 2 kan nevnes opprettelse av brukerprofil i sosiale medier eller nettbutikk.

Tredjeparts informasjonskapsler

Etter § 2-7b er det selve handlingen, det å lagre eller hente informasjon, som er omfattet. Det er altså den som bestemmer hvordan lagringen skjer, og formålet med lagringen eller innhentingen, som må påse at kravene til informasjon til brukeren oppfylles. Når det gjelder tredjeparts informasjonskapsel (ofte en annonse for et annet nettsted), vil den som setter en slik informasjonskapsel (ofte annonsøren), være ansvarlig for å oppfylle informasjonskravet for sitt eget nettsted.

Den som tillater bruk av tredjeparts informasjonskapsler på eget nettsted, må også informere om dette i tillegg til informasjon om egne informasjonskapsler.

La oss ta en kopp kaffe og snakke om nettsider!

På grunn av smitte prøver vi å gjennomføre flest møter digitalt, for å redusere smittespredning i samfunnet.

Daglig leder David Jensen hos Oslo Webdesign AS