Når kreves samtykke til informasjonskapsler?
Hovedregelen er enkel: samtykke kreves for alle informasjonskapsler bortsett fra dem som er strengt nødvendige. Men detaljene betyr noe. Å vite nøyaktig når samtykke kreves og ikke kreves, forhindrer både overoppfyllelse (å irritere brukere med unødvendige samtykkeforespørsler) og underoppfyllelse (å plassere informasjonskapsler uten rettslig grunnlag).
Hovedregelen
ePrivacy-direktivets artikkel 5(3) fastsetter utgangspunktet:
Medlemsstatene skal sikre at lagring av informasjon, eller tilgang til allerede lagret informasjon, i det terminalutstyret til en abonnent eller bruker bare er tillatt på betingelse av at den berørte abonnenten eller brukeren har gitt sitt samtykke, etter å ha fått klar og fullstendig informasjon [...] om formålene med behandlingen.
Dette omfatter alle informasjonskapsler, all lokal lagring, all lagring eller tilgang på enhetsnivå. Hvis nettstedet ditt skriver noe som helst til brukerens enhet, er samtykke standardkravet.
Unntaket for strengt nødvendige
Den samme artikkelen gir det eneste unntaket:
Dette skal ikke hindre noen teknisk lagring eller tilgang som utelukkende har som formål å utføre overføring av en kommunikasjon over et elektronisk kommunikasjonsnett, eller som er strengt nødvendig for at leverandøren av en informasjonssamfunnstjeneste som abonnenten eller brukeren uttrykkelig har bedt om, skal kunne levere tjenesten.
Dette unntaket har to deler:
- Teknisk overføring: Informasjonskapsler som er teknisk nødvendige for at kommunikasjonen skal kunne skje. Dette er snevert — i praksis begrenset til informasjonskapsler for lastbalansering og lignende nettverksnødvendigheter.
- Strengt nødvendig for tjenesten: Informasjonskapsler som er avgjørende for en tjeneste brukeren uttrykkelig har bedt om. Nøkkelfrasen er «uttrykkelig bedt om av abonnenten eller brukeren». Tjenesten må være noe brukeren har bedt om, og informasjonskapselen må være uunnværlig for å levere den.
Informasjonskapsler som er strengt nødvendige (ingen samtykke kreves)
- Informasjonskapsler for øktautentisering. Når en bruker logger inn, er øktinformasjonskapselen som opprettholder den autentiserte tilstanden strengt nødvendig for tjenesten de ba om (tilgang til kontoen sin).
- Informasjonskapsler for handlekurv. På et e-handelsnettsted er informasjonskapselen som holder oversikt over varene i handlekurven strengt nødvendig for handletjenesten brukeren benytter.
- CSRF-beskyttelsestokener. Disse er strengt nødvendige for sikker håndtering av skjemainnsendinger.
- Informasjonskapsler for samtykkevalg. Informasjonskapselen som lagrer brukerens samtykkevalg er strengt nødvendig — uten den kan du ikke respektere personvernvalgene deres.
- Informasjonskapsler knyttet til inndata. Informasjonskapsler som husker skjemainndata gjennom en flertrinnsprosess (som et betalingsskjema) der brukeren har startet prosessen.
- Informasjonskapsler for lastbalansering. Tekniske informasjonskapsler som ruter forespørsler til riktig server. Disse faller inn under «overførings»-delen av unntaket.
- Informasjonskapsler for tilpasning av brukergrensesnitt. Når en bruker uttrykkelig velger et språk eller tema via en kontroll på siden, er informasjonskapselen som lagrer valget strengt nødvendig for tjenesten de ba om. Dette avhenger imidlertid av konteksten — se nedenfor.
Informasjonskapsler som IKKE er strengt nødvendige (samtykke kreves)
- Analyseinformasjonskapsler. Måling av nettstedstrafikk gagner nettstedsoperatøren, ikke brukeren. Brukeren ba ikke om en trafikkanalysetjeneste.
- Informasjonskapsler for annonsering og retargeting. Disse tjener annonsørenes og nettstedsoperatørens interesser, aldri brukerens.
- Informasjonskapsler for deling i sosiale medier. Disse settes av tredjeparts sosiale nettverk, ikke for en tjeneste brukeren ba om.
- Informasjonskapsler for A/B-testing. Disse tjener operatørens optimaliseringsmål.
- Informasjonskapsler for tilknyttet sporing. Disse sporer hvilken partner som henviste brukeren, og tjener operatørens forretningsinteresser.
- Informasjonskapsler for vedvarende innlogging («husk meg»). EDPB har påpekt at selv om en øktinformasjonskapsel for en pågående innlogging er nødvendig, går en vedvarende informasjonskapsel som holder brukeren innlogget på tvers av økter lenger enn det som er strengt nødvendig. Brukeren kan logge inn på nytt.
- Informasjonskapsler for ytelsesovervåking. Informasjonskapsler brukt til å overvåke innlastingstider, feilrater og lignende tekniske måltall tjener operatøren, ikke brukeren.
Debatten om førsteparts analyse
Et av de mest omstridte områdene innen samtykke til informasjonskapsler er om førsteparts analyseinformasjonskapsler kan brukes uten samtykke. Svaret varierer fra jurisdiksjon til jurisdiksjon og er under utvikling.
CNILs standpunkt (Frankrike)
Den franske CNIL har utgitt spesifikk veiledning som fastslår at visse informasjonskapsler for målgruppemåling kan være unntatt fra samtykke, forutsatt at:
- Formålet er strengt begrenset til å måle målgruppe (ingen sporing på tvers av nettsteder)
- Dataene deles ikke med tredjeparter
- Informasjonskapslene kun er førsteparts
- Dataene kun brukes til å produsere anonym statistikk
- Informasjonskapslene har begrenset levetid (maksimalt 13 måneder)
- Brukerne informeres om bruken av dem
- Brukerne kan reservere seg
Under disse betingelsene anser CNIL visse verktøy (som Matomo konfigurert i en personvernsvennlig modus) som kvalifiserte for unntaket. Google Analytics kvalifiserer ikke, primært fordi Google behandler dataene på sin egen infrastruktur og kan bruke dem til sine egne formål.
Den nederlandske AP-en (Nederland)
Den nederlandske Autoriteit Persoonsgegevens har på tilsvarende måte antydet at analyseinformasjonskapsler med minimal personvernpåvirkning kan brukes uten samtykke, men har satt betingelser som tilsvarer CNILs.
Andre jurisdiksjoner
De fleste andre europeiske datatilsyn har ikke vedtatt et eksplisitt analyseunntak. ICO (Storbritannia) har fastslått at analyseinformasjonskapsler krever samtykke. De tyske datatilsynene krever generelt samtykke for alle ikke-essensielle informasjonskapsler. Det spanske AEPDs standpunkt er i tråd med å kreve samtykke.
Praktisk anbefaling
Med mindre du utelukkende opererer i Frankrike eller Nederland og kan oppfylle alle CNIL/AP-betingelsene, er den tryggeste tilnærmingen å behandle analyseinformasjonskapsler som samtykkekrevende. Hvis du likevel baserer deg på analyseunntaket, bør du dokumentere begrunnelsen din, sikre at du oppfyller hver eneste betingelse og følge med på regulatoriske utviklinger — dette området er fortsatt i endring.
Samtykkeunntak etter formål: et beslutningsdiagram
For hver informasjonskapsel på nettstedet ditt, gå gjennom disse spørsmålene:
- Er informasjonskapselen teknisk nødvendig for at kommunikasjonen skal kunne overføres? (f.eks. lastbalansering) Hvis ja: ikke behov for samtykke. Hvis nei: gå videre.
- Har brukeren uttrykkelig bedt om en tjeneste som krever denne informasjonskapselen? (f.eks. innlogging, legge til varer i handlekurven) Hvis ja: gå videre. Hvis nei: samtykke kreves.
- Ville den forespurte tjenesten ikke fungere uten akkurat denne informasjonskapselen? Hvis ja: ikke behov for samtykke (strengt nødvendig). Hvis tjenesten ville fungere, men være mindre praktisk: samtykke kreves.
- Er informasjonskapselen førsteparts, begrenset til aggregert analyse, med data som ikke deles med tredjeparter, og befinner du deg i en jurisdiksjon med et analyseunntak? Hvis ja på alle: potensielt unntatt, men dokumenter begrunnelsen din. Hvis nei på noen: samtykke kreves.
- I alle andre tilfeller: samtykke kreves.
Spesielle situasjoner
Informasjonskapselvegger
En informasjonskapselvegg blokkerer tilgangen til et nettsted med mindre brukeren godtar informasjonskapsler. EDPBs standpunkt er at informasjonskapselvegger generelt hindrer at samtykke gis «frivillig» og derfor ikke er i samsvar med regelverket. Enkelte datatilsyn (særlig den nederlandske AP, etter en rettsavgjørelse) har imidlertid antydet at informasjonskapselvegger kan være akseptable dersom det tilbys et reelt, likeverdig alternativ — som en betalt, informasjonskapselfri versjon av tjenesten. Dette forblir et omstridt område.
Betalingsmur kontra informasjonskapselvegg
Noen utgivere tilbyr en «samtykk eller betal»-modell: godta sporingsinformasjonskapsler for gratis tilgang, eller betal for en informasjonskapselfri opplevelse. EDPB utstedte en uttalelse i 2024 om denne praksisen, der de erkjente at den kan være tillatt under visse betingelser, men uttrykte bekymring for at «betal»-alternativet må være reelt rimelig og ikke satt til en pris utformet for å tvinge frem samtykke.
Barn
I henhold til GDPR artikkel 8 krever samtykke for informasjonssamfunnstjenester rettet mot barn verifisering, og for barn under en viss alder (som varierer fra 13 til 16 avhengig av medlemsstaten) foreldresamtykke. Hvis nettstedet ditt retter seg mot barn, er kravene til samtykke til informasjonskapsler strengere.
Ansatte og B2B-sammenhenger
ePrivacy-direktivet gjelder «abonnenten eller brukeren» — ikke bare forbrukere. Hvis din B2B-SaaS-plattform bruker ikke-essensielle informasjonskapsler, kreves fortsatt samtykke fra den enkelte brukeren, selv i en forretningssammenheng.
Hva skjer uten gyldig samtykke
Hvis du plasserer ikke-essensielle informasjonskapsler uten gyldig samtykke:
- Dataene du samler inn kan være ulovlige etter både ePrivacy-direktivet og GDPR.
- Du risikerer bøter etter GDPR på inntil 20 millioner euro eller 4 % av global årlig omsetning, avhengig av hva som er høyest (artikkel 83(5)).
- Du kan bli pålagt å slette de ulovlig innsamlede dataene.
- Analyse- og annonseringsdataene dine kan bli kompromittert — hvis det rettslige grunnlaget for innsamlingen er ugyldig, kan ikke dataene brukes lovlig.
- Nedstrøms mottakere av dataene (annonsenettverk, analyseleverandører) kan også bli holdt ansvarlige.
Dette er ikke hypotetiske risikoer. CNIL bøtela Google med 150 millioner euro og Facebook med 60 millioner euro spesifikt for brudd på reglene om samtykke til informasjonskapsler. Mindre bedrifter har fått bøter på titusener av euro for tilsvarende feil.
Passiro identifiserer hver eneste informasjonskapsel på nettstedet ditt og merker dem som krever samtykke, slik at du kan være trygg på at samtykkemekanismen din dekker de riktige informasjonskapslene — verken mer eller mindre.
Deretter skal vi sammenligne de to grunnleggende samtykkemodellene: opt-in kontra opt-out, og hvilken som gjelder hvor.
Overholder nettstedet ditt informasjonskapselreglene?
Skann nettstedet ditt gratis og finn alle informasjonskapsler på noen få minutter.
Skann informasjonskapslene dine gratis