Krav til bruk av cookies

Fra 01.01.2025 gjelder det nye og strengere krav til bruk av cookies og tilsvarende sporingsteknologi, som pixels og fingerprinting. Bruk av cookies må heretter være frivillig, spesifikt, informert og aktivt - som tilsvarer samtykkekravene etter GDPR. Unntaket gjelder kun for cookies som er «strengt nødvendige».

Dette innebærer at det ikke vil være mulig å innhente samtykke for bruk av cookies gjennom standardinnstillinger i nettleseren. Det vil heller ikke være tilstrekkelig å bare informere om cookie-bruken i en personvernerklæring eller via et «passivt» cookie-banner, slik det tidligere var antatt for cookies for analyse- og statistikk formål (i motsetning til for markedsføringsformål).

Anbefalinger - de viktigste kravene

Vi anbefaler alle virksomheter å gjennomgå sin praksis for bruk av cookies og gjøre nødvendige endringer. For de fleste virksomheter innebærer kravene til cookies at de må:

• Slutte å bruke cookies for annet enn «strengt nødvendige cookies», med mindre de implementerer et cookie-banner på «riktig måte». 
• Sørge for at cookie-banneret er satt opp med informasjon som enkelt forklarer hvilke konsekvenser samtykket har, og at informasjonen i hele cookie-banneret henger sammen. Ofte ser vi at standardteksten til cookie-bannerleverandøren ikke tilpasses godt nok.
• Sette opp cookie-bannere slik at samtykke til annet enn «nødvendig cookies» krever en aktiv handling, for hvert formål i tråd med samtykkekravene i GDPR. Forhåndsavkryssede bokser el er ikke OK.
• Sørge for at det er like enkelt for besøkene å avvise cookies som å samtykke, og at begge valg gis i samme lag av banneret.
• Vurder hvilken informasjon du synes er greit å samle inn via cookies. Vurder særlig bruk av cookies som vil medføre deling av informasjon med tredjeparter. Datatilsynet har vært spesielt skeptiske til deling av informasjon med Meta (Facebook), som kan gjøres via cookies med navnet _fbp (Meta Pixel).
• Sørge for at tilgang til nettstedet eller tjenester ikke er betinget av at brukeren samtykker til cookies ("cookie walls"). Brukeren skal ha et reelt valg, og samtykke som innhentes som vilkår for tilgang, er ikke gyldig.
• Påse at cookie-bannerløsningen sørger for dokumentasjon og forvaltning av besøkenes samtykker.
• Øke bevisstheten om at bruk av cookies kan føre til at det behandles eller deles sensitive personopplysninger med andre virksomheten, for eksempel opplysninger om helse, religion, seksuell orientering eller politisk syn. Dette kan skje indirekte gjennom besøksmønstre eller kjøpshistorikk. Slik behandling er i utgangspunktet forbudt, med mindre det foreligger eksplisitt samtykke eller annet gyldig unntak.
• Øke bevisstheten om at etterfølgende bruk av informasjon som innhentes via cookies og tilsvarende teknologi krever rettslig grunnlag/behandlingsgrunnlag iht. GDPR dersom det innebærer en behandling av personopplysninger. Et samtykke til bruk av cookies dekker bare det, og ikke annen bruk.
• Vurdere endringer i virksomhetens personvernerklæring, og personvernprotokoll. Med innføring av et nytt cookiebanner, blir ofte personvernerklæringen feil eller misvisende.

Samarbeid mellom nettstedsleverandør og advokat 

Bruk av cookies og implementering av cookie-banner bør normalt gjøres i samarbeid med virksomhetens nettstedsleverandør og advokat eller juridiske rådgivere for å sikre etterlevelse av gjeldende kravene til bruk av cookies og personvern.

Fremtidige endringer

Det er verdt å merke seg at det pågår et arbeid med ny kommunikasjonsvernforordning i EU om bl.a. bruk av cookies, samtidig som annen teknologi forventes å erstatte tradisjonelle cookies, særlig tredjeparts-cookies. Derfor kan det være smart å legge en langsiktig plan, og jevnlig revidere bruk av cookies og tilsvarende teknologi.

Trenger du hjelp?

Advokatfirmaet Dehn har omfattende erfaring med teknologirett. Har du spørsmål om jus og teknologi? Ta kontakt med Grete Funderud Stillum.