En informasjonskapsel, ofte kalt cookie, er en liten tekstfil som lastes ned og lagres på brukers datamaskin når brukeren åpner en nettside.
Informasjonskapselen brukes for eksempel til å lagre innloggingsdetaljer, registrere hvor brukeren beveger seg rundt på nettstedet eller huske handlekurv i nettbutikker. Den som står bak informasjonskapselen, altså den behandlingsansvarlige, kan tilpasse tjenestene sine ut fra informasjonen som lagres.
I dag er det ekomloven og ePrivacy-direktivet på den ene siden, og personopplysningsloven og personvernforordningen (GDPR) på den andre siden, som regulerer bruk av cookies.
Ekomloven § 2-7b regulerer samtykke til og informasjon om informasjonskapsler. NKOM er kompetent fagmyndighet for denne bestemmelsen. NKOM og ekomlovens forarbeider sier foreløpig at samtykke til å sette cookies kan gis gjennom nettleserinnstillingene. For øvrig gjør ekomloven § 2-7b enkelte unntak fra samtykkekravet og informasjonsplikten.
Personopplysningsloven, som Datatilsynet er tilsynsmyndighet for, regulerer behandling av personopplysninger. Personopplysninger kan blant annet samles inn gjennom cookies. I så fall må man blant annet ha et behandlingsgrunnlag og gi informasjon om behandling av personopplysninger. Dette er krav som kommer i tillegg til samtykke og informasjon etter ekomloven.
I mars 2019 kom det en uttalelse fra Personvernrådet (EDPB), der det blant legges til grunn at samtykke til cookies må være et GDPR-gyldig samtykke. EU-domstolen kom i oktober 2019 til samme resultat i den såkalte Planet 49-dommen. Det vil si at kravene til samtykke for å plassere cookies på nettsider i EU er høyere enn tidligere, og her er det ikke mulig å gi samtykke gjennom nettleserinnstillingene.
NKOM vurderer nå om det er behov for å endre tolkningen av hva som utgjør gyldig samtykke for å plassere cookies på norske nettsteder.
Personopplysningsloven inneholder noen personvernprinsipper som alle virksomheter må følge. Ett av prinsippene er ansvarlighet. Dette prinsippet går ut på at virksomheten skal ha full oversikt over sin behandling av personopplysninger og iverksette tekniske og organisatoriske tiltak som gjør at loven følges. Dette betyr at hver enkelt virksomhet må gjøre mange viktige vurderinger på egen hånd – før de samler inn og bruker personopplysninger.