GDPR og informasjonskapsler: En komplett guide til etterlevelse
Personvernforordningen (GDPR) endret hvordan nettsteder håndterer informasjonskapsler da den trådte i kraft 25. mai 2018. Selv om ePrivacy-direktivet er den primære EU-loven som regulerer informasjonskapsler, gjelder GDPR alltid når informasjonskapsler behandler personopplysninger – noe som i praksis betyr nesten alltid. Å forstå hvordan GDPR gjelder for informasjonskapsler, er avgjørende for ethvert nettsted som opererer i eller retter seg mot brukere i Det europeiske økonomiske samarbeidsområdet.
Hvordan GDPR gjelder for informasjonskapsler
GDPR nevner ikke informasjonskapsler ved navn. I stedet regulerer den behandling av personopplysninger, definert i artikkel 4 nr. 1 som enhver opplysning om en identifisert eller identifiserbar fysisk person. Fortalepunkt 30 i GDPR slår uttrykkelig fast at nettbaserte identifikatorer – inkludert identifikatorer fra informasjonskapsler – kan brukes til å lage profiler av fysiske personer og identifisere dem. Dette betyr at enhver informasjonskapsel som inneholder eller er knyttet til en unik identifikator, utgjør personopplysninger i henhold til GDPR.
I praksis omfatter dette nesten alle informasjonskapsler utover de mest grunnleggende funksjonelle. Analyseinformasjonskapsler som tildeler en unik besøks-ID, reklameinformasjonskapsler som sporer surfeatferd, og til og med øktinformasjonskapsler knyttet til en brukerkonto behandler alle personopplysninger og faller derfor inn under GDPRs krav.
Artikkel 6: Rettslig grunnlag for behandling
I henhold til artikkel 6 i GDPR krever all behandling av personopplysninger et rettslig grunnlag. For behandling knyttet til informasjonskapsler påberopes to grunnlag oftest:
- Samtykke (artikkel 6 nr. 1 bokstav a): Den registrerte har gitt samtykke til behandlingen for ett eller flere spesifikke formål. Dette er det primære rettslige grunnlaget for de fleste behandlinger av informasjonskapsler, særlig for analyse-, markedsførings- og reklameinformasjonskapsler.
- Berettiget interesse (artikkel 6 nr. 1 bokstav f): Behandlingen er nødvendig for de berettigede interessene til den behandlingsansvarlige, forutsatt at disse interessene ikke overstyres av den registrertes rettigheter og friheter.
Grunnlaget om berettiget interesse har vært gjenstand for betydelig debatt når det gjelder informasjonskapsler. Noen nettstedsoperatører har hevdet at analysesporing tjener en berettiget interesse. Flere datatilsynsmyndigheter har imidlertid avvist dette argumentet for informasjonskapsler som ikke er strengt nødvendige. Franske CNIL, østerrikske DSB og Det europeiske personvernrådet (EDPB) har alle inntatt det standpunktet at samtykke kreves for analyseinformasjonskapsler, og at berettiget interesse ikke kan tjene som rettslig grunnlag for å plassere ikke-essensielle informasjonskapsler på en brukers enhet.
EDPBs retningslinjer 05/2020 om samtykke slår utvetydig fast: «Å scrolle eller fortsette å surfe på et nettsted utgjør ikke gyldig samtykke.» Epoken med underforstått samtykke for informasjonskapsler er over.
Artikkel 7: Vilkår for gyldig samtykke
Artikkel 7 fastsetter vilkårene som samtykke må oppfylle. For at samtykke til informasjonskapsler skal være gyldig i henhold til GDPR, må det være:
- Frivillig gitt: Brukeren må ha et reelt valg. Samtykke er ikke frivillig gitt hvis brukeren ikke kan nekte eller trekke tilbake samtykke uten ulempe. Informasjonskapselvegger som blokkerer tilgang til et nettsted med mindre alle informasjonskapsler godtas, har blitt funnet ikke i samsvar med regelverket av flere datatilsyn, selv om det juridiske landskapet varierer mellom jurisdiksjoner.
- Spesifikt: Samtykke må gis for hvert enkelt formål. Et enkelt «Godta alle» uten mulighet til å samtykke til spesifikke kategorier oppfyller ikke dette kravet.
- Informert: Brukeren må tydelig få vite hva de samtykker til. Dette betyr å identifisere informasjonskapslene, deres formål, dataene som samles inn, og eventuelle involverte tredjeparter.
- Utvetydig: Samtykke må gis gjennom en klar bekreftende handling. Forhåndsavkryssede avkrysningsbokser, taushet eller passivitet utgjør ikke gyldig samtykke.
Artikkel 7 nr. 3 legger til et avgjørende krav: å trekke tilbake samtykke må være like enkelt som å gi det. Hvis en bruker kan godta informasjonskapsler med ett enkelt klikk, må de kunne trekke tilbake det samtykket med samme letthet. En informasjonskapselbanner som gjør «Godta» fremtredende, men gjemmer bort avslagsalternativet på en innstillingsside flere klikk unna, er ikke i samsvar med regelverket.
Artikkel 4 nr. 11: Definisjonen av samtykke
Artikkel 4 nr. 11 definerer samtykke som «enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger om vedkommende».
Denne definisjonen forsterkes av fortalepunkt 32, som slår fast:
«Samtykke bør gis gjennom en tydelig bekreftelse som utgjør en frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte. Dette kan omfatte å krysse av i en boks når man besøker et nettsted. Taushet, forhåndsavkryssede bokser eller passivitet bør ikke utgjøre samtykke.»
Den skjellsettende Planet49-avgjørelsen fra EU-domstolen (CJEU) i oktober 2019 (sak C-673/17) bekreftet denne tolkningen, og fastslo at forhåndsavkryssede avkrysningsbokser ikke utgjør gyldig samtykke for informasjonskapsler.
Åpenhetsforpliktelser: Artikkel 12–14
Artikkel 12 til 14 pålegger behandlingsansvarlige å gi informasjon om databehandling i en konsis, åpen, forståelig og lett tilgjengelig form, med klart og enkelt språk. For informasjonskapsler betyr dette:
- Retningslinjene dine for informasjonskapsler må være skrevet i et språk som vanlige brukere kan forstå – ikke juridisk sjargong.
- Informasjon må gis på tidspunktet for datainnsamling (dvs. før informasjonskapsler plasseres).
- Brukere må få vite identiteten til den behandlingsansvarlige, formålene med behandlingen, kategoriene av data, eventuelle mottakere, lagringsperioder og sine rettigheter.
- Hvis informasjonskapsler deles med tredjeparter (som Google Analytics, Facebook Pixel eller reklamenettverk), må disse tredjepartene identifiseres.
Artikkel 17: Retten til sletting
Artikkel 17 gir de registrerte rett til å få sine personopplysninger slettet. I forbindelse med informasjonskapsler betyr dette at hvis en bruker ber om sletting av sine data, må alle personopplysninger som er samlet inn gjennom informasjonskapsler, slettes. Dette inkluderer analyseprofiler, reklameidentifikatorer og andre data knyttet til identifikatorer fra informasjonskapsler.
For nettstedsoperatører som bruker analyse- eller reklametjenester fra tredjeparter, kan dette være særlig utfordrende, ettersom data kan være lagret hos tredjeparten. Databehandleravtalene dine med tredjepartsleverandører av informasjonskapsler bør inneholde bestemmelser om håndtering av forespørsler om sletting.
GDPR vs. ePrivacy: Hva gjelder når?
Forholdet mellom GDPR og ePrivacy-direktivet kan være forvirrende. Slik samspiller de:
- ePrivacy-direktivet (artikkel 5 nr. 3) regulerer handlingen med å lagre eller få tilgang til informasjon på en brukers enhet. Det krever samtykke for alle informasjonskapsler unntatt de som er strengt nødvendige. Dette er lex specialis (spesiallov) for informasjonskapsler.
- GDPR regulerer den etterfølgende behandlingen av eventuelle personopplysninger som samles inn gjennom informasjonskapsler. Den utgjør rammeverket for hva som utgjør gyldig samtykke, de registrertes rettigheter og forpliktelsene til behandlingsansvarlige.
Rent praktisk: ePrivacy-direktivet forteller deg at du trenger samtykke for å plassere en informasjonskapsel. GDPR forteller deg hvordan gyldig samtykke ser ut, hva du kan gjøre med dataene, og hvilke rettigheter brukere har til dataene. Begge gjelder samtidig.
Datatilsynsmyndigheter og håndheving
Hver EU-medlemsstat har en datatilsynsmyndighet (DPA) som er ansvarlig for å håndheve både GDPR og nasjonale gjennomføringer av ePrivacy-direktivet. Disse myndighetene har fullmakt til å undersøke klager, gjennomføre tilsyn og ilegge bøter på opptil 4 % av global årlig omsetning eller 20 millioner euro, avhengig av hva som er høyest.
Håndheving knyttet til informasjonskapsler har akselerert dramatisk siden 2020. Datatilsyn over hele Europa har gått fra veiledning og advarsler til betydelige bøter, noe som gjør etterlevelse av regelverket for informasjonskapsler til en reell forretningsrisiko snarere enn en teoretisk bekymring.
Store GDPR-bøter knyttet til informasjonskapsler
Følgende håndhevingssaker viser de reelle økonomiske konsekvensene av manglende etterlevelse av regelverket for informasjonskapsler:
| Selskap | Bot | Myndighet | År | Hovedproblem |
|---|---|---|---|---|
| Amazon Europe | 746 millioner euro | CNPD (Luxembourg) | 2021 | Reklamesporing og samtykkemekanismer i strid med regelverket |
| Google LLC | 150 millioner euro | CNIL (Frankrike) | 2022 | Å avslå informasjonskapsler var ikke like enkelt som å godta dem |
| Facebook (Meta) | 60 millioner euro | CNIL (Frankrike) | 2022 | Ingen enkel mekanisme for å avslå informasjonskapsler |
| Microsoft (Bing) | 60 millioner euro | CNIL (Frankrike) | 2022 | Informasjonskapsler plassert uten samtykke, ingen enkel avslagsmekanisme |
| TikTok | 5 millioner euro | CNIL (Frankrike) | 2023 | Å avslå informasjonskapsler krevde flere klikk enn å godta |
| Criteo | 40 millioner euro | CNIL (Frankrike) | 2023 | Manglende innhenting av gyldig samtykke for sporingsinformasjonskapsler |
| Vueling Airlines | 30 000 euro | AEPD (Spania) | 2020 | Ingen mulighet til å avslå informasjonskapsler, kun «godta» |
Disse bøtene er ikke begrenset til store selskaper. Små og mellomstore bedrifter har også blitt rammet av håndhevingssaker, særlig i Frankrike, Italia og Tyskland. CNIL alene utstedte over 100 formelle pålegg til nettsteder av alle størrelser om etterlevelse av regelverket for informasjonskapsler i 2021.
Praktisk sjekkliste for GDPR-etterlevelse av informasjonskapsler
Bruk denne sjekklisten for å verifisere at nettstedet ditt oppfyller GDPR-kravene for informasjonskapsler:
- Identifiser alle informasjonskapsler nettstedet ditt plasserer, inkludert de som plasseres av tredjepartsskript som analyse, reklame og widgeter for sosiale medier.
- Klassifiser hver informasjonskapsel som strengt nødvendig, funksjonell, analyse eller markedsføring/reklame.
- Innfør forhåndssamtykke for alle ikke-essensielle informasjonskapsler. Ingen analyse- eller markedsføringsinformasjonskapsler bør aktiveres før brukeren har gitt samtykke.
- Presenter samtykkevalg på en rettferdig måte. Muligheten til å avslå informasjonskapsler må være like fremtredende og tilgjengelig som muligheten til å godta dem.
- Tilby detaljert samtykke. Brukere må kunne samtykke til spesifikke kategorier av informasjonskapsler i stedet for å bli tvunget til et alt-eller-ingenting-valg.
- Ikke bruk forhåndsavkryssede bokser. Alle valgfrie kategorier av informasjonskapsler må være uavkrysset som standard.
- Gi tydelig informasjon om formålet med hver informasjonskapsel, dataene den samler inn, hvem som har tilgang til dataene, og hvor lenge informasjonskapselen varer.
- Identifiser tredjeparter. Navngi tredjepartstjenestene som plasserer informasjonskapsler på nettstedet ditt (Google Analytics, Facebook Pixel, HubSpot osv.).
- Gjør tilbaketrekking enkelt. Sørg for en vedvarende, lett tilgjengelig måte for brukere å endre sine preferanser for informasjonskapsler etter det første samtykket. En lenke i bunnteksten eller et flytende ikon er vanlige løsninger.
- Lagre samtykkeregistreringer. Før en logg over når hver bruker ga samtykke, hva de samtykket til, og versjonen av retningslinjene for informasjonskapsler som gjaldt på det tidspunktet.
- Respekter samtykkevalg teknisk. Sørg for at det å avslå samtykke faktisk forhindrer at de tilsvarende informasjonskapslene plasseres. Dette krever blokkering av skript før samtykke, ikke bare sletting av informasjonskapsler i etterkant.
- Hold ved like retningslinjer for informasjonskapsler som er oppdaterte, nøyaktige og skrevet i et klart språk. Oppdater dem hver gang du legger til nye informasjonskapsler eller tredjepartstjenester.
- Håndter forespørsler fra registrerte. Ha en prosess for å svare på forespørsler om sletting som inkluderer data samlet inn via informasjonskapsler.
- Skann regelmessig. Kjør automatiserte skanninger av informasjonskapsler minst månedlig og etter hver utrulling for å fange opp nye informasjonskapsler introdusert av oppdaterte skript eller programtillegg.
Etterlevelse av regelverket for informasjonskapsler under GDPR er ikke en engangsøvelse. Det krever kontinuerlig oppmerksomhet etter hvert som nettstedet ditt utvikler seg, nye skript legges til og regulatorisk veiledning oppdateres. Organisasjonene som behandler det som en løpende prosess snarere enn en avkrysningsøvelse, er de som unngår håndhevingssaker – og bygger tillit hos brukerne sine underveis.
Overholder nettstedet ditt informasjonskapselreglene?
Skann nettstedet ditt gratis og finn alle informasjonskapsler på noen få minutter.
Skann informasjonskapslene dine gratis