Ja, det stemmer at begge de nevnte lovene også har krav om at brukeren skal kunne gi samtykke til at personopplysninger samles inn og at cookies er i bruk. Det var vi innom i en artikkel om cookie-popup og personvern-banner. Denne gangen ser vi på hvordan en personvernerklæring og god informasjon om cookies kan utformes i tråd med norsk lovgivning.

Hva må Personvernerklæringen og cookie-informasjonen inneholde?

  1. Hvilke personopplysninger samler nettsiden inn og hva er hensikten?

  2. Hvordan lagres, behandles personopplysninger, og hvem har adgang til dem?

  3. Hvem er ansvarlig og hvem kan brukeren kontakte for sletting av sine opplysninger?

  4. Hvordan godkjenner eller reserverer brukeren seg mot cookies?

  5. Hvilke cookies benytter nettsiden og hvorfor brukes de?

Tanken bak lovene

En viktig hensikt med Personopplysningsloven (GDPR) er at alle nettsidebrukere skal vite og forstå når og hvordan deres personopplysninger behandles. Det skal være enkelt å finne informasjon om dette, og det skal være både gratis og enkelt å be om sletting av opplysninger og trekke tilbake et samtykke.

Cookies er en teknologi som kan samle inn personlige opplysninger uten at en bruker merker det. Derfor krever Ekomloven (i den såkalte cookie-paragrafen) at brukerne må samtykke til at cookies benyttes, og de må informeres om hvilke cookies nettsiden lagrer.

En eller to erklæringer?

GDPR og Ekomloven er to ulike lover, men kravene de stiller til en nettside er delvis overlappende. Derfor er det ikke uvanlig at man har med informasjonen om cookies i personvernerklæring. Å samle personvern- og cookie-informasjon i en artikkel gjør webredaktørens arbeid enklere. Hvis nettsiden får en ny funksjon som både bruker cookies og samler inn personopplysninger har man bare én side å oppdatere. Samtidig finner brukerne informasjonen enkelt på samme sted. 
For store virksomheter som behandler mye data eller har omfattende nettside-systemer er to separate artikler en bedre løsning. 

Uansett hva man velger må informasjonen være enkel å finne! Norsk Kommunikasjonsmyndighet skriver at cookie-informasjonen bør finnes på en lett synlig lenke i topptekst, bunntekst, en tekstboks på forsiden eller en «pop-up» der ordet cookies eller informasjonskapsler nevnes slik at det er tydelig hva en informerer om. 

Vi anbefaler å unngå popups og heller legge lenken i toppen eller bunnen av alle sider på nettstedet.

Hva må være med?

La oss starte med personopplysningene. Dette bør være med i nettsidens personvernerklæring:

  • Hvilke personopplysninger behandles? Beskriv hvilke personopplysninger som samles inn, hvordan og hvorfor de samles inn. 

  • Hvem har tilgang til opplysningene og utleveres opplysningene til andre? Dersom opplysningene deles med tredjeparter, hvem er det og hvor lagres opplysningene? Fra 16.juli i år kan det bli forbudt å lagre personopplysinger i USA - se nederst i artikkelen.

  • Informer om brukernes rett til innsyn i egne personopplysninger, samt krav på retting av mangelfulle opplysninger eller sletting. Hvem er ansvarlig og hvordan tar brukeren kontakt?

Merk at tolkningen av GDPR er i stadig endring. 16. juli falt det dom i den såkalte "Schrems II"-dommen, som i praksis forbyr europeiske bedrifter å lagre persondata på amerikanske servere.  Dette kan få store konsekvenser for hvilke tekniske løsninger og programvare norske bedrifter kan benytte - les mer hos Datatilsynet

Og så var det informasjonen om cookies: Her bør brukeren få en oversikt over alle cookies nettsiden benytter. En webutvikler hjelper deg raskt med å lage en liste over alle cookies en nettside benytter.

  • Hvilke cookies bruker publiseringsløsningen, og hva er hensikten med dem? Er noen cookies knyttet til innhold som for eksempel videovisning eller andre spesifikke funksjoner?

  • Statistikk og brukeranalyse: Hvis Google Analytics eller andre verktøy benyttes, bør dette omtales sammen med cookiene som hører til dem.

  • Er noen cookies knyttet til digital markedsføring? Dette kalles tredjeparts cookies, og det kan variere hvor mange cookies som er i bruk fra en annonsekanal. Dermed lar det seg ikke gjøre å lage en fast liste av cookies som benyttes, men sosiale medier og annonsekanaler har sine egne sider med cookie-informasjon. Disse kan man linke til.

Må man liste opp alle cookies?

Ja, vi anbefaler det, men det er ikke et absolutt krav i Ekomloven. Full åpenhet skaper tillit, så man bør omtale alle førsteparts cookies. Som nevnt over kan man benytter seg av systemer eller annonsering som lagrer tredjeparts cookies. Her har man ikke den samme oversikten, men bør fortelle om sin egen hensikt med å benytte systemene og linke til tredjeparts egen nettside som omhandler cookies.

Forklar hvordan brukerne reserverer seg mot cookies

Alle brukere må samtykke til bruk av cookies på en nettside. Mange nettsider gjør dette med et cookiebanner hvor brukerne godkjenner eller reserverer seg mot cookies. Dette er dessverre en teknisk blindgate siden nettsiden må lagre brukernes nei-til-cookie i nettopp en cookie.
Den eneste fornuftige måten dette kan løses på er derfor å la brukerne styre dette i nettleser-innstillingene, slik Nasjonal kommunikasjonsmyndighet foreslår.

Dette må brukerne få informasjon om hvordan gjøres, og det enkleste er å linke direkte til nettvett.no sin oppskrift for dette.

Hvor ofte bør jeg oppdatere artikkelen?

Så ofte som det trengs. Når man gjør endringer på nettsidene og tar i bruk nye cookies, bør dette inn. Legger man ut et påmeldingsskjema eller fyrer igang digital markedsføring, så legge til informasjon om både cookiene og personvern-aspektene ved disse.

Omtalen av personvern og cookies bør ha en gjennomgang minst hvert halvår, slik at man er trygg på at den er up-to-date.

Tone of voice

Dette feltet dreier seg både om jus, og internett-teknologi. Det er fort gjort å bruke juridiske eller tekniske fremmedord som folk flest ikke forstår. Men her er GDPR artikkel 12.1 klinkende klar: Tekst om personvern skal være kortfattet, åpen, forståelig og lett tilgjengelig!
*Det er ikke vanskelig å finne eksempler på det motsatte. Personvernerklæringer som er forfattet av jurister, og som tar alle mulige forbehold, blir fort for tunge å lese. 
Og enda verre: en nettside som tåkelegger brukernes rettigheter er direkte mistenkelig! Enten har ikke virksomheten god nok forståelse av temaet selv, eller så misbruker de personlige opplysninger uten lovlig hjemmel eller samtykke. Eller kanskje begge deler!

Hensikten med personvernartikkelen og cookie-informasjonen er nettopp at folk skal bli trygge på at deres rettigheter er ivaretatt på en god måte! Da kreves det åpenhet og transparens.

Kutt snirklete språket, vanskelige fremmedord og unødvendige forbeholder!

Domsavsigelser om GDPR - Schrems II

Merk at tolkningen av GDPR har blitt avgjort av flere rettsaker. 16. juli falt det dom i den såkalte "Schrems II"-dommen, som i praksis forbyr europeiske bedrifter å lagre persondata på amerikanske servere.  Dette kan få store konsekvenser for norske bedrifter - les mer hos Datatilsynet