Trenger du å lære mer om EUs kommunika­sjon­vern­direktiv («cookie-loven»)?

EUs kommunika­sjonvern­direktiv gjelder for EØS-området, som omfatter EU-medlemslandene i tillegg til Island, Liechtenstein og Norge. Det gjelder ikke i Storbritannia. Enhetene som dette direktivet gjelder for, omfatter:

• Bedrifter som driver med elektronisk/digital direktemarkedsføring, for eksempel e-post, SMS, telefonsamtaler og annen kommunika­sjon
• bedrifter eller utviklere som lager nettsteder, eller programvare som bruker informa­sjonskapsler eller sporingsteknologier
• bedrifter eller personer som driver nettsteder eller programvare, og som er ansvarlige for å sikre at tjenestene oppfyller kravene
• leverandører av elektroniske kommunika­sjonstjenester, som omfatter:
• leverandører av internett (ISP-er)
• VoIP-leverandører
• meldingsapper og lignende tjenesteleverandører
• leverandører av telefontjenester
• leverandører av tingenes Internett (IOT)
• leverandører av offentlige kataloger, f.eks. for e-post eller telefon

Hvis bedriften din gjør noe av det følgende for personer i EU, må du overholde EUs kommunika­sjonvern­direktiv. Dette vil bli enda viktigere når kommunika­sjons­vern­forordningen, dvs. den bindende rettsakten som er basert på kommunika­sjon­vern­direktivet, trer i kraft.

• levere elektroniske kommunikasjonstjenester
• behandle kommunika­sjonsdata
• få tilgang til informasjon fra enheter
• tilby offentlig tilgjengelige kataloger
• sende markedsførings­kommunikasjon

Ja. EUs kommunika­sjonverndirektiv (offisielt «direktivet om personvern og elektronisk kommunikasjon», 2002/58/EF) ble vedtatt tidligere, i 2002. EUs person­vernforordning trådte i kraft i 2018 og er i Norge underlagt personopplysningsloven. Selv om direktivet ofte kalles «cookie law» på engelsk – 'EU-retten om informasjonskapsler' – er det teknisk sett ikke en bindende rettsakt (som en lov). Det er altså ikke noe som heter «loven om informasjonskapsler». I stedet er direktivet et sett med instruksjoner til EUs medlemsland (og de som behandler opplysninger om EU-borgere), og ikke en del av gjeldende rett. Direktivet er ment å veilede EUs medlemsland, slik at de kan lage sine egne lover i samsvar med direktivet. EUs kommunika­sjonverndirektiv vil bli erstattet av EUs kommunika­sjonsvernforordning, som vil være en bindende rettsakt. Dette forventes å skje i 2023, med en overgangsperiode på 24 måneder.

EUs kommunikasjonverndirektiv, som på engelsk også kalles «cookie law» eller forkortes «ePD», regulerer bruken av informasjonskapsler på nettsteder, markedsføring via e-post, dataminimering og andre sider ved personvernet. Det legger vekt på å beskytte elektronisk kommunikasjonsinnhold og metadata. Disse dataene kategoriseres ikke på samme måte som «personopplysninger», som EUs personvernforordning handler om, selv om de kan inneholde personopplysninger. Alle elektroniske kommunikasjonsdata omfattes av EUs kommunika­sjonverndirektiv. Hvis elektroniske kommunikasjonsdata som samles inn og behandles, også inneholder personopplysninger, er de også omfattet av person­vernforordningen og kommunika­sjonverndirektivet.

EUs personvernforordning er en bindende rettsakt som omfatter alle EUs medlemsland og innbyggere, og i tillegg til de funksjonene EUs kommunika­sjonverndirektiv dekker, inneholder personvernforordningen prinsipper for å styre innsamling og behandling av, og for å regulere personvern i videre forstand. Den er derfor ikke begrenset til bare elektronisk kommunikasjon, data eller opplysninger.

Ifølge EUs kommunika­sjonverndirektiv er det nødvendig å innhente samtykke i tråd med person­vernforordningen for å kunne samle inn og behandle data fra informasjonskapsler som brukes på nettsteder. Dette kan man gjøre med en løsning for samtykkehåndtering, for eksempel et banner for informasjonskapsler.

Det gis unntak fra dette kravet hvis informasjonskapslene utelukkende brukes til å overføre kommunikasjon over et elektronisk kommunikasjonsnettverk, eller hvis de er strengt nødvendige for å levere en informa­sjonssamfunnstjeneste som abonnenten eller brukeren uttrykkelig har bedt om. Noen unntaksfunksjoner som krever informasjonskapsler, kan omfatte autentisering, handlekurver, sikkerhet (med begrenset varighet), programtillegg for sosiale medier eller tilpasning av grensesnitt.

For å overholde EUs kommunika­sjonverndirektiv (eller EUs personvernforordning) må bedrifter:

• innhente gyldig samtykke fra brukerne før det benyttes informasjonskapsler, unntatt cookies som er helt nødvendige
• gi konkret og korrekt informasjon om informasjonskapslene som brukes, hvilke data de sporer, og hva de gjør, før de innhenter samtykke
• dokumentere og lagre brukersamtykke på en sikker måte
• gi brukerne tilgang til nettstedet sitt (eller en annen tjeneste), selv om brukerne ikke vil tillate bruk av noen eller alle informasjonskapsler som ikke er helt nødvendige– gjøre det mulig for brukerne å endre eller trekke tilbake samtykket like enkelt som det er å gi det

Det er enkelt å installere en plattform for samtykkehåndtering (CMP), for eksempel Cookiebot CMP, og oppsettet er brukervennlig. Det gjør at bedrifter kan gi informasjon om personvern og innhente og lagre gyldig samtykke fra brukere. CMP-plattformen vil også skanne nettsteder for å finne ut hvilke cookies og sporingsteknologier som er i bruk, og blokkere bruken av dem inntil det er innhentet brukersamtykke til dem, slik at personvernregelverket blir fulgt. Med geolokaliserings­funksjoner kan CMP-plattformen tilpasse meldinger og funksjoner basert på hvor brukeren befinner seg, for eksempel for å sikre særskilt overholdelse av EUs kommunika­sjonverndirektiv. Takket være automatisert samtykkehåndtering holder CMP-plattformen seg også oppdatert på lovverket og teknologien for å bidra til at regelverket følges.

EUs kommunika­sjonverndirektiv handler om bedrifters ansvar ved behandling av elektroniske kommunika­sjonsdata. Det handler derfor ikke konkret om forbrukernes rettigheter. EU-direktivet om cookies virker imidlertid sammen med EUs person­vernforordning, slik at det er rettighetene til forbrukere/EU-borgere (og EØS-borgere) som beskrevet der, som er de viktigste.

Les mer om forbrukernes rettigheter og person­vernforordningen (GDPR).

EUs kommunikasjon­verndirektiv er ikke en bindende rettsakt, så myndighetene kan ikke straffe noen for å bryte direktivet. Men ifølge utkastet til EUs kommunika­sjonsvernforordning, som vil erstatter direktivet, vil de fremtidige bøtene være i samsvar med de bøtene som er fastsatt for brudd på EUs person­vernforordning:

• opptil 2 % av selskapets årlige omsetning på verdensbasis, høyst 10 millioner euro, for mindre alvorlige overtredelser
• opptil 4 % av selskapets årlige omsetning på verdensbasis, høyst 20 millioner euro, for alvorlige overtredelser

De enkelte person­vernmyndighetene i EUs medlemsland vil ilegge disse bøtene. Det vil også være mulig med ikke-økonomiske straffetiltak, noe som kan omfatte tiltak som å begrense eller stoppe datainnsamlingen.

Ikke helt. EUs kommunika­sjonverndirektiv ble vedtatt i 2002 og endret i 2009. Det er et direktiv, så det inneholder instruksjoner til EU-land og foretak som leverer elektronisk kommunikasjon til EU-borgere, om vern av elektronisk kommunika­sjonsrelatert innhold og metadata. Det er ikke en bindende rettsakt (slik som en lov), der forbrukerne er rettslig beskyttet, eller der overtredere kan straffes.

EUs kommunika­sjonsvernforordning er en bindende rettsakt som forventes å tre i kraft i 2023. Den tar alle opplysninger og instrukser fra EUs kommunika­sjonverndirektiv og gjør dem til gjeldende rett. Brudd på personvernet knyttet til elektronisk kommunikasjon vil være rettslig underlagt denne forordningen. Planen er at det skal være en 24-måneders overgangsperiode etter at EUs kommunika­sjonsvernforordning trer i kraft.

Både kommunika­sjonverndirektivet og kommunika­sjonsvernforordningen skal utfylle personvern­forordningen.

Ikke nødvendigvis, men det ene kan omfatte det andre. EUs kommunika­sjon­vern­direktiv legger vekt på beskyttelse av elektronisk kommunika­sjons­innhold og metadata (elektroniske kommunika­sjonsdata). Det finnes noen typer elektroniske kommunika­sjonsdata som ikke oppfyller definisjonen av personopplysninger (som altså ikke kan identifisere en enkeltperson). Noen elektroniske kommunika­sjonsdata kan imidlertid inneholde person­opplysninger, dvs. hvis dataene enkeltvis eller samlet kan identifisere en person. Dette kan omfatte åpenbar informasjon som navn, ID-numre, telefonnumre eller e-postadresser, men også IP-adresser, informasjon i informa­sjonskapsler i nettleseren eller sensitive person­opplysninger som kjønn, livssyn, politisk tilhørighet eller medisinsk informasjon.

Hvis elektroniske kommunika­sjonsdata inneholder person­opplysninger, vil de også være omfattet av EUs person­vernforordning.

Vi kan ikke gi juridiske råd, og vi anbefaler at du rådfører deg med en advokat om den spesifikke situasjonen for bedriften din og databehandlingen deres. Generelt er det viktig å vite hvilket regelverk du må overholde. Du trenger for eksempel ikke å ha det samme ansvaret i henhold til EUs kommunikasjonverndirektiv som i henhold til EUs personvernforordning eller personvernretten i USA.

Men i tillegg til å være et lovkrav, skaper det gode brukeropplevelser å være åpen med brukerne om innsamling og bruk av data, og når man ber om og respekterer de samtykkevalgene brukerne foretar. Det bygger tillit til bedriften din og bidrar til høyere engasjement og langsiktige relasjoner.

Det er absolutt mulig at bedrifter som driver virksomhet i flere regioner eller land, må følge flere sett med regelverk. Bedrifter som allerede overholder EUs personvernforordning, trenger ofte bare å gjøre små justeringer for å overholde EUs kommunikasjonverndirektiv, eller enkelte andre rettsakter, på grunn av omfanget og kravene, og fordi de to er ment å utfylle hverandre. Men vi kan ikke gi deg juridiske råd, og vi anbefaler at du rådfører deg med en advokat om den spesifikke situasjonen for bedriften din og databehandlingen deres. En løsning for samtykkehåndtering som Cookiebot CMP kan gjøre det mulig å presentere forskjellige alternativer for brukere i forskjellige land ved hjelp av geolokaliseringsfunksjoner. Dette kan gjøre deg i stand til å oppgi riktig informasjon om personvern og innhente samtykke på riktig måte for å overholde forskjellige regelverk.

Vi kan ikke gi juridiske råd eller garantere samsvar med personvernreglene i spesifikke regelverk, og vi anbefaler at du rådfører deg med en advokat om den spesifikke situasjonen for bedriften din og databehandlingen deres.

Men det er viktig å vite hvilket regelverk du må overholde, og hvilke krav det stiller til forbrukerrettigheter, opplysning, samtykke og databruk. Det er også viktig å vite hvilke cookies og andre sporingsteknologier som brukes på nettstedet ditt, slik at du kan innhente korrekt samtykke.

Det er viktig å sørge for at brukerne er godt informert om samtykkevalgene sine, og det er også viktig å presentere alle valgalternativene likt. Det skal ikke brukes mørke felter eller mønstre, eller andre elementer, for å påvirke eller lure brukerne til å gi samtykke.

Dessuten må du sørge for at det ikke samles inn og behandles mer data, eller flere opplysninger, enn det som er nødvendig for de formålene som er oppgitt. Sørg for at opplysningene er korrekte, og for at de bare lagres så lenge det er nødvendig for å oppfylle behandlingsformålet. Oppretthold de nødvendige standardene for sikkerhet og personvern, og sørg for at det er innført prosesser for å opprettholde ansvarsfordelingen.

En plattform for samtykkehåndtering (CMP) kan hjelpe deg med ikke bare å innhente og lagre samtykke på riktig måte, men også med å sikre at du legger frem og har korrekt og oppdatert informasjon om hvilke databehandlingstjenester som er i bruk (f.eks. informasjonskapsler).

Vi kan ikke gi juridiske råd eller garantere samsvar med personvernreglene i spesifikke regelverk, og vi anbefaler at du rådfører deg med en advokat om den spesifikke situasjonen for bedriften din og databehandlingen deres. Men det er viktig å vite hvilket regelverk du må overholde, og hvilke krav det stiller til forbrukerrettigheter, opplysning, samtykke og databruk. Det er også viktig å vite hvilke informasjonskapsler og andre sporingsteknologier som brukes på nettstedet ditt, slik at du kan innhente korrekt samtykke.

Det er viktig å sørge for at samtykke blir innhentet på riktig måte, og at brukerne blir tydelig informert om hvilke valg de har i forhold til samtykke. Det skal ikke brukes mørke felter eller mønstre, eller andre elementer, for å påvirke eller lure brukerne til å gi samtykke.

Dessuten må du sørge for at det ikke samles inn og behandles mer data, eller flere opplysninger, enn det som er nødvendig for de formålene som er oppgitt. Sørg for at opplysningene er korrekte, og for at de bare lagres så lenge det er nødvendig for å oppfylle behandlingsformålet. Oppretthold de nødvendige standardene for sikkerhet og personvern, og sørg for at det er innført prosesser for å opprettholde ansvarsfordelingen. En plattform for samtykkehåndtering (CMP) kan hjelpe deg med ikke bare å innhente og lagre samtykke på riktig måte, men også med å sikre at du legger frem og har korrekt og oppdatert informasjon om hvilke databehandlingstjenester som er i bruk (f.eks. informasjonskapsler).

Det trenger ikke å skje, selv om vi ikke kan garantere for hvordan individuelle CMP-implementeringer vil virke i praksis. Det er mange måter å optimalisere plattformen for samtykkehåndteringen (CMP) på for å øke samtykkegraden og dataflyten. Det er viktig å ha et flott brukergrensesnitt som passer til bedriftens profil, som har et klart budskap, og som tilbyr brukervennlig funksjonalitet. Det er også viktig å gjøre det enkelt for brukerne å forstå hvordan dataene deres behandles, og hvilke valgalternativer de har for samtykke. Cookiebot CMP har også verktøy som analyserer og optimaliserer CMP-plattformens ytelse, slik at du oppnår maksimal datafangst. Det bør også bemerkes at mange ledende annonsører i økende grad insisterer på at man dokumenterer samtykke før de gjør forretninger med bedrifter. Det kan altså påvirke annonseinntektene hvis det ikke innhentes korrekt samtykke.

Gratisabonnementet omfatter ikke følgende standardfunksjoner for Premium-abonnementet:

• tilpasning av banner
• tilpasning av erklæring
• flere språk
• dataeksport
• geolokalisering
• massesamtykke
• samtykkestatistikk
• internt domenealias for utvikling, testing og oppsett

Ta en titt på siden Plans & Pricing (Abonnementer og priser) for å få mer informasjon eller foreta en fullstendig sammenligning.

Vi har ingen kontrakter for Cookiebot CMP, og det er ingen skjulte avgifter eller langsiktige forpliktelser. Du kan avbryte abonnementet når som helst.

Det avhenger av bedriftens behov og antall domener og undersider du har.

Ta en titt på siden «Plans & Pricing» (Abonnementer og priser) for å få mer informasjon tilpasset bedriftens særskilte behov.

Ja, du kan når som helst avbryte den gratis prøveversjonen eller abonnementet hvis du tidligere har registrert deg. Du kan gjøre dette via siden «My account» (Min konto). Hvis du nedgraderer eller avbryter abonnementet, får dette virkning når gjeldende faktureringsperiode er over.