ePrivacy-direktivet: EUs cookielov forklart
Når folk snakker om «EUs cookielov», sikter de vanligvis til ePrivacy-direktivet — nærmere bestemt artikkel 5(3). Selv om GDPR får de fleste overskriftene, er det ePrivacy-direktivet som direkte regulerer bruken av informasjonskapsler og lignende sporingsteknologier. Å forstå dette direktivet, forholdet til GDPR og den kommende ePrivacy-forordningen er avgjørende for alle som er ansvarlige for cookie-samsvar på et europeisk nettsted.
Hva er ePrivacy-direktivet?
ePrivacy-direktivet (offisielt Direktiv 2002/58/EF) ble vedtatt 12. juli 2002 som en del av EUs rammeverk for personvern i telekommunikasjon. Det var opprinnelig rettet mot personvern i elektronisk kommunikasjon — og dekket temaer som fortrolighet i kommunikasjon, trafikkdata, spam og oppringers identitet.
I 2009 ble direktivet betydelig endret gjennom Direktiv 2009/136/EF (ofte kalt «borgerrettighetsdirektivet»). Denne endringen innførte samtykkekravet for informasjonskapsler slik vi kjenner det i dag, og erstattet den tidligere reservasjonsordningen med en modell basert på aktivt samtykke. Før 2009 måtte nettsteder bare informere brukerne om informasjonskapsler og gi dem rett til å nekte. Etter 2009 ble forhåndssamtykke obligatorisk for alle ikke-nødvendige informasjonskapsler.
I motsetning til GDPR, som er en forordning (direkte gjeldende i alle medlemsstater), er ePrivacy-direktivet et direktiv (hver medlemsstat må innarbeide det i nasjonal lovgivning). Det betyr at de konkrete cookie-reglene varierer fra land til land, selv om de underliggende kravene er de samme.
Artikkel 5(3): Regelen om cookie-samtykke
Artikkel 5(3) i ePrivacy-direktivet er bestemmelsen som direkte regulerer informasjonskapsler. I endret form lyder den:
«Medlemsstatene skal sikre at lagring av informasjon, eller tilgang til informasjon som allerede er lagret, i terminalutstyret til en abonnent eller bruker bare tillates på betingelse av at den berørte abonnenten eller brukeren har gitt sitt samtykke, etter å ha fått klar og fullstendig informasjon, i samsvar med [personverndirektivet, nå GDPR], blant annet om formålene med behandlingen.»
Denne bestemmelsen fastsetter flere sentrale krav:
- Virkeområde: Den omfatter enhver lagring av informasjon på en brukers enhet, eller tilgang til informasjon som er lagret på en brukers enhet. Dette inkluderer informasjonskapsler, men også local storage, IndexedDB, enhetsfingeravtrykk, sporingspiksler og enhver annen teknologi som leser fra eller skriver til brukerens enhet.
- Forhåndssamtykke: Samtykke må innhentes før informasjonen lagres eller det oppnås tilgang — ikke etterpå.
- Informert samtykke: Brukeren må få klar og fullstendig informasjon om formålene med lagringen eller tilgangen.
- Samtykkestandard: Henvisningen til GDPR (opprinnelig personverndirektivet) innebærer at GDPRs definisjon og vilkår for samtykke gjelder. Samtykke må være frivillig, spesifikt, informert og utvetydig.
Unntaket for «strengt nødvendige»
Artikkel 5(3) inneholder et viktig unntak i sitt andre punktum:
«Dette skal ikke være til hinder for teknisk lagring eller tilgang som utelukkende har til formål å gjennomføre overføring av en kommunikasjon over et elektronisk kommunikasjonsnett, eller som er strengt nødvendig for at leverandøren av en informasjonssamfunnstjeneste som abonnenten eller brukeren uttrykkelig har bedt om, skal kunne levere tjenesten.»
Dette unntaket dekker to kategorier informasjonskapsler som ikke krever samtykke:
- Informasjonskapsler som er nødvendige for å overføre en kommunikasjon (f.eks. informasjonskapsler for lastbalansering).
- Informasjonskapsler som er strengt nødvendige for å levere en tjeneste brukeren uttrykkelig har bedt om (f.eks. informasjonskapsler for handlekurv, informasjonskapsler for autentiseringsøkter, informasjonskapsler for brukerpreferanser i en tjeneste brukeren aktivt benytter).
Forgjengeren til Det europeiske personvernrådet, artikkel 29-gruppen, ga detaljert veiledning om hvilke informasjonskapsler som kvalifiserer som strengt nødvendige i uttalelse 04/2012. Eksempler inkluderer:
- Unntatt (ingen samtykke kreves): Øktinformasjonskapsler for brukerinput (skjemaer med flere trinn), autentiseringsinformasjonskapsler, informasjonskapsler for handlekurv, sikkerhetsinformasjonskapsler (CSRF-tokens), øktinformasjonskapsler for multimediaavspiller, informasjonskapsler for lastbalansering, informasjonskapsler for UI-tilpasning (språkvalg) for den gjeldende økten.
- Ikke unntatt (samtykke kreves): Analyseinformasjonskapsler (inkludert Google Analytics), reklameinformasjonskapsler, informasjonskapsler for deling/sporing på sosiale medier, vedvarende preferanseinformasjonskapsler som varer utover økten, alle informasjonskapsler for tredjepartssporing.
Det avgjørende skillet går mellom informasjonskapsler som tjener brukerens uttrykkelige forespørsel og informasjonskapsler som tjener nettstedsoperatørens interesser. En informasjonskapsel for språkvalg som settes fordi brukeren klikket på en språkvelger, er strengt nødvendig. En analyseinformasjonskapsel som settes for å hjelpe nettstedsoperatøren å forstå trafikken, er det ikke — selv om operatøren anser den som viktig.
Hvordan ePrivacy og GDPR virker sammen
Forholdet mellom ePrivacy-direktivet og GDPR er ett av lex specialis (spesiallov) og lex generalis (generell lov). ePrivacy-direktivet er spesialloven som regulerer personvern i elektronisk kommunikasjon, mens GDPR er det generelle rammeverket for personvern.
I praksis betyr dette:
- ePrivacy-direktivet regulerer hvorvidt du kan plassere en informasjonskapsel på en brukers enhet. Det krever samtykke for ikke-nødvendige informasjonskapsler, uavhengig av om informasjonskapselen inneholder personopplysninger.
- GDPR regulerer hva som utgjør gyldig samtykke og hvordan du kan behandle personopplysninger som samles inn gjennom informasjonskapsler. Det gir også håndhevingsrammeverket, inkludert retten til å klage til datatilsyn og den omfattende bøteordningen.
Dette betyr at selv en informasjonskapsel som ikke inneholder personopplysninger (for eksempel en tilfeldig generert analyseidentifikator uten kobling til andre data) fortsatt krever samtykke etter ePrivacy-direktivet, fordi artikkel 5(3) gjelder all lagring på brukerens enhet — ikke bare lagring av personopplysninger.
Motsatt, dersom du behandler personopplysninger gjennom informasjonskapsler, må du overholde hele GDPR-rammeverket: rettslig grunnlag, åpenhet, den registrertes rettigheter, vurderinger av personvernkonsekvenser og alle andre plikter.
Nasjonale gjennomføringer
Fordi ePrivacy-direktivet er et direktiv og ikke en forordning, har hver EU-medlemsstat innarbeidet det i nasjonal lovgivning med visse variasjoner. Selv om kjernekravet — samtykke før ikke-nødvendige informasjonskapsler — er konsistent på tvers av alle medlemsstater, finnes det merkbare forskjeller når det gjelder:
- Håndhevingsintensitet: Frankrike (CNIL) og Italia (Garante) har vært mest aktive i håndhevingen av cookie-regler, mens andre land har fokusert ressursene sine andre steder.
- Spesifikke unntak: Noen land har vedtatt noe bredere eller snevrere tolkninger av unntaket for «strengt nødvendige».
- Analyseinformasjonskapsler: Noen datatilsyn har utforsket om riktig konfigurerte, personvernbevarende analyseverktøy (f.eks. anonymisert analyse uten sporing på tvers av nettsteder) kan kvalifisere for et grunnlag basert på berettiget interesse. Det franske CNILs unntak for verktøy for målgruppemåling under bestemte vilkår er det mest kjente eksemplet, selv om det fortsatt er omstridt.
- Cookievegger: Lovligheten av cookievegger (som krever samtykke for tilgang til et nettsted) varierer mellom jurisdiksjoner. Det nederlandske datatilsynet og EDPB har inntatt en streng holdning mot dem, mens det franske Conseil d'Etat fant dem tillatt under visse vilkår.
Den foreslåtte ePrivacy-forordningen
Europakommisjonen publiserte et forslag til en ePrivacy-forordning i januar 2017, ment å erstatte ePrivacy-direktivet og tilpasse cookie-reglene til GDPR. Mer enn ni år senere er forordningen fortsatt under forhandling, noe som gjør den til en av de lengstvarende lovgivningsprosessene i EUs historie.
Sentrale endringer i det foreslåtte regelverket
Selv om den endelige teksten ennå ikke er avtalt, har forslaget og påfølgende rådsposisjoner antydet flere betydelige endringer:
- Direkte anvendelse: Som en forordning i stedet for et direktiv vil ePrivacy-forordningen gjelde ensartet på tvers av alle medlemsstater, og dermed fjerne dagens fragmentering.
- Nettleserbasert samtykke: Tidlige forslag inneholdt bestemmelser om at brukere kan angi sine cookie-preferanser på nettlesernivå i stedet for å svare på individuelle cookie-bannere på hvert enkelt nettsted. Dette ville forenkle brukeropplevelsen dramatisk, selv om de tekniske og politiske utfordringene er betydelige.
- Utvidet virkeområde: Forordningen vil utvides til å dekke over-the-top-kommunikasjonstjenester (OTT) som WhatsApp og Skype, som ikke dekkes av dagens direktiv.
- Tydeligere unntak: Forordningen tar sikte på å klargjøre hvilke typer informasjonskapsler som er unntatt fra samtykke, og potensielt utvide unntaket til å omfatte visse typer målgruppemåling.
- Regler for metadata: Nye bestemmelser som regulerer behandlingen av kommunikasjonsmetadata (posisjonsdata, tilkoblingstidspunkter) utover det dagens direktiv dekker.
- Harmonisert håndheving: Forordningen vil etablere en konsistent håndhevingsmekanisme, sannsynligvis modellert etter GDPRs prinsipp om én kontaktpunkt (one-stop-shop).
Nåværende status og tidslinje
Per tidlig 2026 er ePrivacy-forordningen fortsatt i triologforhandlinger mellom Europaparlamentet, Rådet for Den europeiske union og Europakommisjonen. Fremdriften har vært langsom på grunn av grunnleggende uenigheter om flere punkter, inkludert den nettleserbaserte samtykkemekanismen, omfanget av unntaket for «strengt nødvendige» og reglene for behandling av metadata.
Det mest realistiske scenariet er at forordningen ikke vil bli ferdigstilt før tidligst i 2027, med en ytterligere overgangsperiode på 12–24 måneder før den trer i kraft. Nettstedsoperatører bør fortsette å overholde det nåværende ePrivacy-direktivet slik det er innarbeidet i deres nasjonale lovgivning, supplert av GDPRs samtykkerammeverk.
Praktiske konsekvenser for nettstedseiere
Uavhengig av den regulatoriske usikkerheten rundt den kommende ePrivacy-forordningen er dagens regler tydelige og aktivt håndhevet. Nettstedseiere bør:
- Behandle dagens regelverk som utgangspunktet. Samtykkekravet for ikke-nødvendige informasjonskapsler er etablert lov i hele EU. Ikke vent på ePrivacy-forordningen for å implementere samsvar.
- Blokkere ikke-nødvendige informasjonskapsler før samtykke. Dette er den teknisk mest utfordrende delen av samsvar, men det er ikke til forhandling. Din cookie-samtykkemekanisme må hindre skript i å sette informasjonskapsler før brukeren aktivt har samtykket.
- Anvende GDPRs samtykkestandard. Når ePrivacy-direktivet sier «samtykke», mener det GDPR-samtykke: frivillig, spesifikt, informert, utvetydig og bekreftet gjennom en tydelig, aktiv handling.
- Dokumentere dine strengt nødvendige informasjonskapsler. Før en tydelig oversikt over hvilke informasjonskapsler du anser som strengt nødvendige og hvorfor. Vær forberedt på å begrunne denne klassifiseringen dersom den utfordres av et datatilsyn.
- Følge med på nasjonal utvikling. Fordi ePrivacy-direktivet er gjennomført ulikt i hvert land, hold deg oppdatert om veiledningen og håndhevingsaktiviteten til datatilsynene i landene der brukerne dine befinner seg.
- Forberede deg på ePrivacy-forordningen. Selv om tidslinjen er usikker, er retningen tydelig: mer harmoniserte regler, potensielt bredere samtykkemekanismer og fortsatt vekt på brukerpersonvern. Å bygge et robust samtykkeadministrasjonssystem nå vil gjøre overgangen smidigere når den kommer.
ePrivacy-direktivet kan være over to tiår gammelt, men det er fortsatt hjørnesteinen i cookieloven i Europa. Kombinert med GDPRs samtykkerammeverk og de aktive håndhevingsprogrammene til nasjonale datatilsyn skaper det et regulatorisk miljø der cookie-samsvar ikke er valgfritt — det er en juridisk forpliktelse med reelle økonomiske konsekvenser ved manglende etterlevelse.
Overholder nettstedet ditt informasjonskapselreglene?
Skann nettstedet ditt gratis og finn alle informasjonskapsler på noen få minutter.
Skann informasjonskapslene dine gratis