INTERNASJONALE PERSONVERN

Regelverk &
Rammeverk

Oppdag personvernreglene som gjelder for virksomheten din og hvordan de kan påvirke virksomheten din i andre land. Her er en gjennomgang av de viktigste internasjonale lovene om personvern.

Hvorfor personvern er viktig for cookies

Nye databeskyttelsesregler og personvernrammeverk dukker opp over hele verden.

Mange land har nå etablert regler og retningslinjer for cokies og samtykke, og hvordan du skal administrere personopplysningene cookies samler inn på nettstedet ditt.

For å hjelpe deg med å navigere i dette nye landskapet har vi samlet inn praktisk informasjon om nasjonale og internasjonale personvernlover og retningslinjer for cookies, og hvordan virksomheten din kan overholde dem.

Finn mer informasjon om landsspesifikke regler og retningslinjer i avsnittene nedenfor.

GDPR – General Data Protection Regulation

General Data Protection Regulation (GDPR) er en lov om databeskyttelse og personvern i EU. Den trådte i kraft 25. mai 2018 i alle europeiske medlemsland og er utformet for å harmonisere personvernlovgivningen i Europa. GDPR har som mål å beskytte EU-borgeres personvern og å omforme organisasjoners tilnærming til innsamling av personopplysninger.

GDPR arbeider spesifikt for å sikre at personopplysninger samles inn og behandles på lovlig grunnlag. Dette inkluderer bruk av cookies og andre sporingsteknologier.

Innsamling og behandling av EU-borgeres personopplysninger krever at du innhenter gyldig samtykke.

Mange av cookie- og sporingsteknologiene som nettsteder bruker i dag, samler inn besøkendes personopplysninger som behandles av tredjeparter for markedsføringsformål.

Dette er vanligvis IP-adresser, geo-plassering og andre online identifikatorer som kan spore brukeratferd på nettet.

Når du bruker cookies som samler inn personlig informasjon, må du innhente gyldig samtykke fra brukeren din for å kunne bruke cookies. Dette gjelder selv om cookies settes av tredjeparter som Google, Facebook, Amazon etc. gjennom nettstedet ditt.

Les mer i denne dybdeartikkelen om hvordan du – som bedrift – innhenter gyldig samtykke for bruk av cookies.

ePersonverndirektivet (europeisk lov om cookies)

ePersonverndirektivet (Personvern og elektronisk kommunikasjonsdirektiv 2002/58/EC) er et europeisk dekret fra 2002. Målet med ePersonverndirektivet er å standardisere regler for databeskyttelse og personvern i elektronisk kommunikasjon i EU.

ePersonverndirektivet regulerer bruken av cookies, e-postmarkedsføringstillatelser og andre områder av personvern for EU-borgere.

ePersonverndirektivet, også kalt den europeiske «cookies-loven», sier at alle nettsteder må informere brukere om cookies og be om samtykke til å bruke cookies.

Dette er den største grunnen til at vi ser et økende antall cookiebannere på internett i dag.

Direktivet er ikke en bindende lov i seg selv – som GDPR – men er en instruks til medlemslandene om å godkjenne sin egen nasjonale lov om temaet. Mange EU-land har gjort nettopp det, og det er derfor nasjonale retningslinjer for cookies eksisterer.

Ratifisert i 2002, revidert i 2009, vil ePersonverndirektivet til slutt bli erstattet av ePrivacy Reguleringen.

ePrivacy Regulering (den kommende europeiske loven om cookies)

ePrivacy Regulering (Forskrift om personvern og elektronisk kommunikasjon) skal erstatte ePersonverndirektivet, bedre kjent som den europeiske loven om cookies.

Formålet med reguleringen er å standardisere elektronisk personvernlovgivning i Europa som skal gjelde for alle europeiske medlemsland.

Målet er å utvide forbrukerpersonvernet på nett til å bedre gjenspeile verden vi lever i. Forgjengeren, ePersonverndirektivet, ble vedtatt i 2002 i en tid hvor sporing og personopplysninger var på et spedbarnsstadium.

ePrivacy Regulering vil gjelde for alle kommunikasjonstjenesteleverandører og virksomheter som samler inn, lagrer og behandler europeiske borgers data, enten det er på nettsteder eller apper som bruker cookies eller annen sporingsteknologi (f.eks. fingeravtrykk, beacons, piksler).

ePrivacy Reguleringen skulle tre i kraft sammen med GDPR i 2018, men har blitt forsinket flere ganger i Europaparlamentet.

CCPA - California Consumer Privacy Act

California Consumer Privacy Act (CCPA) er en personvernlov som er ment å styrke personvernrettigheter og forbrukerbeskyttelse for innbyggere i California, USA.

Med virkning fra 1. januar 2020, regulerer CCPA hvordan bedrifter kan samle inn, dele og behandle personlig informasjon (PI) til innbyggere i California.

For bedrifter betyr CCPA å respektere forbrukernes personvernrettigheter som beskrevet i loven. Bedrifter må evaluere datainnsamling og bruk (behandling), og gjøre nødvendige endringer for å møte de strenge kravene i CCPA.

Når du bruker cookies på nettstedet ditt som samler inn (og til slutt behandler) personopplysningene til innbyggere i California, må du bruke et tilpasset cookiesamtykke-popup som inkluderer en "ikke selg"-link.

Lenken gjør det mulig for besøkende å velge bort annonsering og datainnsamling fra cookies via nettstedet ditt.

Unnlatelse av å overholde CCPA kan resultere i bøter på opptil $7500 for hvert brudd og $750 for hver berørt bruker i sivile skader.

Finn ut om virksomheten din er påvirket av CCPA og hvordan du kan bli CCPA-kompatibel.

CPRA - California Privacy Rights Act

Californian Privacy Rights Act (CPRA) produserer flere tillegg til Californian Consumer Privacy Act (CCPA).

CPRA trer i kraft 1. januar 2023, men er i kraft fra 1. juli 2022. Bedrifter må imidlertid overholde reglene ett år før (fra 1. januar 2022). CPRA utvider CCPA ved å øke forbrukerrettighetene og styrke personvernet for forbrukere og ansatte.

Videre etablerer CPRA et håndhevingsbyrå for å beskytte forbrukere i California mer effektivt. CPRA krever at virksomheter i California eller virksomheter som samler inn og behandler personopplysninger fra borgere fra Caifornia, skal forstå fullt ut hvilke data de behandler og til hvilket formål.

LGPD – Brasil sin databeskyttelseslov

Den generelle databeskyttelsesloven (Lei Geral de Proteção de Dados Pessoais eller LGPD) er en brasiliansk personvernlov som trådte i kraft 15. august 2020.

LGPD bringer klarhet i Brasil sitt juridiske rammeverk når den prøver å forene over 40 forskjellige statuer som styrer bruken av personopplysninger.

Inspirert av European General Data Protection Regulation (GDPR), fastsetter LGPD regler for hvordan bedrifter og organisasjoner har lov til å samle inn, håndtere, lagre og dele personopplysninger om innbyggere i Brasil.

Hvis du er en brasiliansk virksomhet – eller en virksomhet utenfor Brasil sine grenser som driver forretninger på det brasilianske markedet – og du bruker cookies på nettstedet ditt, gjelder LGPD for deg.

I likhet med GDPR, krever LGPD at nettstedeiere samler inn gyldig samtykke til cookies hvis cookies som samler inn besøkendes personopplysninger som IP-adresse, geografisk plassering, bruker-ID, cookie-ID osv.

Les mer i denne dybdeartikkelen om hvordan du – som bedrift – samler inn gyldig samtykke for bruk av cookies i Brasil.

PDPA – Thailand sin lov om beskyttelse av personopplysninger

Thailand sin lov om personopplysningsbeskyttelse (PDPA) ble publisert i Royal Thai Government Gazette 27. mai 2019, og er den første loven som regulerer databeskyttelse i Thailand.

Hovedformålet med Thai PDPA er å regulere behandlingen av personopplysninger for kommersiell bruk og dermed beskytte thailandske borgere mot ulovlig innsamling og bruk av deres personopplysninger.

PDPA gjelder for enhver virksomhet eller organisasjon lokalisert i Thailand, og for alle selskaper som driver virksomhet i Thailand.

Hvis nettstedet ditt bruker cookies, krever PDPA at du innhenter samtykke før du samler inn eller behandler personopplysninger innhentet med cookies eller annen sporingsteknologi.

The Cabinet of Thailand har utsatt håndhevingen av PDPA til 31. mai 2022 på grunn av virkningene av Covid-19.

Les mer i denne dybdeartikkelen om hvordan du – som bedrift – innhenter gyldig samtykke for bruk av cookies.

POPIA – Sør-Afrika sin lov om beskyttelse av personopplysninger

POPIA er Sør-Afrika sin lov om beskyttelse av personopplysninger. POPIA definerer personlig informasjon bredt for å sikre den sørafrikanske befolkningens personvernrettigheter, men loven er modellert etter GDPR.

POPIA gjelder for enhver organisasjon eller virksomhet som ønsker å behandle personopplysningene til sørafrikanske borgere uavhengig av om virksomheten er lokalisert i eller utenfor Sør-Afrika.

Hvis du bruker cookies på nettstedet ditt som samler inn og behandler de besøkendes personopplysninger (f.eks. ved hjelp av Google Analytics, Facebook, Instagram), må du innhente gyldig samtykke.

POPIA definerer samtykke som: «enhver frivillig, spesifikk og informert uttrykk for vilje som det gis tillatelse til behandling av personopplysninger».

Innhenting av gyldig samtykke kan gjøres ved å bruke en cookiessamtykke-popup som informerer om nettstedets cookies, samler inn og lagrer alle brukernes samtykker.

POPIA trådte i kraft 1. juli 2020, og håndhevelsen begynte 1. juli 2021. Manglende overholdelse av POPIA kan føre til bøter på opptil 10 millioner ZAR (€500 000).

PIPEDA – Canada sin lov om beskyttelse av personopplysninger og elektroniske dokumenter

PIPEDA (Personal Information Protection and Electronic Documents Act) er Canada sin personvernlov for innsamling, bruk og behandling av personopplysninger når du utfører kommersielle aktiviteter.

Det viktigste aspektet ved PIPEDA er å innhente samtykke for innsamling og behandling av personopplysninger.

Det betyr at hvis du har et nettsted og du bruker tjenester som bruker cookies via nettstedet ditt (f.eks. Google Analytics, Facebook, YouTube eller en annen tredjepartsleverandør), må du innhente gyldig samtykke for cookies før cookies lagres på besøkendes datamaskin/telefon.

Samle inn gyldig samtykke ved å bruke cookiesamtykke-popup som informerer brukerne om cookies på nettstedet ditt, samler inn og lagrer deres gyldige samtykker.

Personopplysninger kan kun brukes til formålene de ble samlet inn for. Hvis en organisasjon skal bruke den til et annet formål, må de innhente samtykke på nytt.

PIPEDA gjelder for enhver virksomhet eller organisasjon innenfor grensene til det kanadiske territoriet, men også for alle utenfor som driver forretninger med kanadiske statsborgere.

IAB Transparency & Consent Framework TCF 2.0

Interactive Advertising Bureau (IAB) lanserte sin oppdaterte versjon av Transparency and Consent Framework (TCF 2.0) 15. august 2020.

Formålet med TCF 2.0 er å standardisere prosessene for å innhente samtykke fra besøkende på nettstedet for innsamling og behandling av deres personopplysninger.

TCF 2.0 har som mål å øke åpenheten om hvordan brukernes data blir behandlet og av hvem, slik at bedrifter, utgivere og AdTech-leverandører kan fortsette å kjøre programmatisk annonsering i samsvar med GDPR.

Hvis nettstedet ditt bruker cookies, og du følger IAB-standarder, er det spesifikke krav du må implementere i cookiesamtykke-popup før det er kompatibelt.

Schrems II – data til usikre tredjeland

I juli 2020 avsa EU-domstolen dom i Schrems II-saken, og annullerte umiddelbart EU-US Privacy Shield-avtalen som mange selskaper stolte på for å overføre personopplysninger mellom de to territoriene.

Privacy Shield ble ugyldiggjort på grunn av europeiske bekymringer for at EU-borgeres data kan bli gjenstand for overvåking av amerikanske stater og etterretningsbyråer.

Kjennelsen er i daglig tale kjent som Schrems II etter den østerrikske advokaten og aktivisten Max Schrems som startet rettslige klager mot Facebook og deres overføring av personopplysningsmetoder.

Schrems II-dommen krever nå at europeiske virksomheter utfører individuelle vurderinger av dataoverføringer til land som ikke anses som sikre.

4. juni 2021 erstattet EU-kommisjonen det gamle Privacy Shield med Standard Contractual Clauses (SCCs) for overføring av personopplysninger mellom EU og usikre tredjeland (inkl. USA).

Schrems II-dommen er relevant for deg som behandlingsansvarlig dersom du:

Overfør personopplysninger ut av EU/EØS til land som ikke er erklært som “sikrede tredjepartsland” av EU-kommisjonen.

Start med å få en oversikt over hvilke data organisasjonen din overfører ut av EU/EØS.

Undersøk deretter grunnlaget for overføringen, som i dette tilfellet kan være standardkontraktsklausulene.

Hvis du har et nettsted som bruker cookies som er satt av tjenester basert i USA eller som deler data med amerikanske selskaper, bør du:

Finn ut hvilke cookies som deler data utenfor EU/EØS.
Når du finner dem, kontakt cookieleverandørene og be dem bytte til SCC-bruk.

Hvis SCC-er ikke er mulig, er følgende tilnærminger:

Databehandleren stopper dataoverføringen og lar dataene forbli innenfor EU/EØS.
Behandlingsansvarlig innhenter samtykke fra sluttbrukeren til å overføre dataene til USA
Datakontrolleren stopper dataoverføringen ved å bytte til en annen leverandør.

PIPL – lov om beskyttelse av personopplysninger i Folkerepublikken Kina

Personvernloven i Folkerepublikken Kina (PIPL) er den første nasjonale loven om personvern vedtatt i Kina.

PIPL trådte i kraft 1. november 2021, og vil dramatisk påvirke hvordan bedrifter og organisasjoner samler inn, administrerer og behandler kinesiske statsborgeres personopplysninger.

PIPL er modellert etter personvernforordningen GDPR og pålegger strenge restriksjoner på datainnsamling, behandling og overføring. Loven fokuserer hovedsakelig på nettsteder og appers bruk av personopplysninger for å målrette brukere for markedsføringsformål, og for å hindre overføring av personlig informasjon til usikre land.

Målet med PIPL er å beskytte rettighetene og interessene til det kinesiske folket og å regulere behandling av personopplysninger.

For å samle inn og behandle personlig informasjon i Kina eller når du målretter mot kinesiske kunder, må du innhente gyldig samtykke.

Dette betyr at hvis du bruker cookies på nettstedet ditt, må du innhente et gyldig samtykke.

Besøkende må informeres om cookies du bruker, og samtykke til din bruk av cookies selv om cookies er satt av tredjepartsleverandører som Taobao, Tmall eller andre tjenester innenfor eller utenfor kinesisk territorium.

Samtykke under PIPL er definert omtrent som de strenge samtykkekravene i GDPR. Samtykke skal være informert, fritt gitt, spesifikt og entydig.

Google Consent Mode

Google Consent Mode er et API fra Google som ble annonsert i september 2020 som en måte for Google å opprettholde sin robuste digitale annonsevirksomhet samtidig som den ivaretar det økende behovet for forbrukerpersonvern.

API-en lar nettsteder innhente data for sine Google-tjenester som Google Analytics og Google Ads, samtidig som GDPR overholdes.

Google Consent Mode er integrert med et nettsteds Consent Management Platform for å levere data basert på samtykkevalg fra besøkende på nettstedet.

Dette lar deg måle nettstedtrafikk og konverteringer mer effektivt samtidig som du respekterer de besøkendes samtykkevalg for analyse- og annonsecookies.

Slik får du Google Consent Mode på nettstedet til bedriften din.

Reglene for hvordan man samler inn gyldig cookiesamtykke og andre sporingsteknologier blir stadig mer tilpasset over hele verden.

Flere og flere land oppdaterer eller implementerer databeskyttelseslover for å gi bedrifter klare retningslinjer for hvordan de samler inn og bruker personopplysninger.

Regler for innhenting av gyldig samtykke og andre aspekter av databeskyttelseslover kan være komplekse, og det er mange forskjellige tolkninger av hvordan man skal overholde kravene.

Denne delen vil hjelpe deg å forstå reglene som gjelder for innhenting av cookiesamtykke, nettstedsanalyse og andre sporingsteknologier i spesifikke land.

Regler om cookies og samtykke i Danmark – en rask guide

I Danmark er reglene om cookies erklært i den danske cookie loven (“Cookiebekendtgørelsen”) administrert av den danske næringsmyndigheten (“Erhvervsstyrelsen”).

Behandlingen av personopplysninger som de fleste cookies og sporingsteknologier samler inn, administreres imidlertid av det danske datatilsynet, og reglene er tilpasset reglene for databehandling i den personvernforordningen (GDPR).

Hvis du bruker cookies eller annen teknologi for å samle inn og behandle dine besøkendes personopplysninger, må du innhente gyldig samtykke før du plasserer cookies på den besøkendes datamaskin.

Retningslinjene for innhenting av gyldig samtykke i Danmark er ganske strenge og har nylig blitt oppdatert av det danske datatilsynet.

I dette innlegget går vi i dybden med retningslinjene for innsamling av gyldig samtykke til informasjonskapsler i Danmark.

Regler om cookies og samtykke i Norge – en rask guide

I Norge finner du reglene om cookies i den norske loven om elektronisk kommunikasjon (Lov om Elektronisk Kommunikasjon – EKOM).

I 2013 ble det lagt til et nytt vedtak i EKOM-loven om bruk av informasjon lagret i cookies, den såkalte ”cookieparagrafen” §2-7b.

Det står at du må informere brukere om cookies
og innhente samtykke for bruk av cookies.

I november 2019 sa Nasjonal kommunikasjonsmyndighet (NKOM) som forvalter loven uttrykkelig at samtykke er nødvendig før cookies kan plasseres på en nettside.

Hvis cookies samler inn og behandler personopplysninger, bør reglene for samtykke være defininert i personvernforordningen (GDPR), legger Datatilsynet til.

Her går vi i dybden med retningslinjene for innhenting av gyldig cookiessamtykke i Norge.

Regler om cookies og samtykke i Sverige – en rask guide

I henhold til svensk lov om elektronisk kommunikasjon 2003: 389 (Lag om Elektronisk Kommunikation – LEK) skal alle nettsteder som bruker cookies gi de besøkende full tilgang på informasjon om cookies som brukes, hvem som eier dem og hvilke data de samler inn.

I tillegg er nettstedet pålagt å innhente den besøkendes samtykke for å plassere cookies.

Hvis nettstedet ditt bruker cookies som samler inn personlige data som IP-adresser, enhets-ID, geoplassering eller annen informasjon som kan brukes direkte eller indirekte for å identifisere brukeren, må du innhente samtykke i henhold til reglene i GDPR .

I dette innlegget går vi i dybden på retningslinjene for innsamling av gyldig cookiesamtykke i Sverige.

Regler om cookies og samtykke i Finland – en rask guide

Hvis nettstedet ditt bruker cookies, må du innhente et gyldig samtykke Den 4. mai 2021 ga det finske transport- og kommunikasjonsbyrået Traficom ut endringer i de finske retningslinjene for cookies.

Den etterlengtede oppdateringen bringer en slutt på den finske cookiesagaen ettersom retningslinjene nå stemmer overens med reglene for samtykke erklært av General Data Protection Regulation (GDPR).

Hvis nettstedet ditt bruker cookies, må du innhente et gyldig samtykke i henhold til de oppdaterte retningslinjene for finske cookies. Samtykke må gis gjennom en samtykkecookie-popup og overholde reglene for samtykke i GDPR.

Samtykke til cookies kan ikke lenger gis via nettleserinnstillinger, men må oppfylle kravene i GDPR.

Samtykke til cookies må være fritt gitt, spesifikt, informert og utvetydig. Den nye avgjørelsen forventes å påvirke tusenvis av nettsteder og endre praksis for hvordan samtykke til cookies innhentes.

I dette innlegget går vi i dybden med retningslinjene for innsamling av gyldig cookiesamtykke i Finland.

Regler om cookies og samtykke i Frankrike – en rask guide

De franske retningslinjene for cookies administreres av Commission Nationale de l’Informatique et des Libertés (CNIL), og er i høy grad på linje med reglene for samtykke i den generelle personvernforordningen (GDPR).

Med de nyeste franske retningslinjene for cookies, bestemmer CNIL at nettsteder ikke har lov til å plassere cookies for å spore besøkende før den besøkende har gitt sitt eksplisitte samtykke.

Bruk av cookies på et nettsted krever at nettstedet informerer brukere om cookies og innhenter deres samtykke for å bruke dem.

CNIL reviderte retningslinjene for cookies 1. oktober 2020, og hugget reglene for samtykke i stein. Fire raske takeaways fra CNIL-retningslinjene er:

Å scrolle eller sveipe anses ikke lenger som samtykke.
Brukere må aktivt gi samtykke ved å klikke “Jeg godtar”.
Brukere må kunne nekte cookies (klikk ‘Nei’).
Alle brukersamtykke må lagres for dokumentasjon.

CNIL har gitt noen av de største GDPR-bøtene til store teknologiselskaper for ulovlig bruk av cookies og behandling av besøkendes personopplysninger.
I dette innlegget går vi i dybden på retningslinjene for innsamling av gyldig samtykke til cookies i Frankrike.

Regler om cookies og samtykke i Italia – en rask guide

De italienske cookieretningslinjene administreres av den italienske datatilsynet «Il Garante». 10. juli 2021 ga Il Garante ut et nytt sett med retningslinjer for bruk av cookies på nettsteder.

Den sentrale endringen introdusert av Il Garante er behovet for å innhente eksplisitt samtykke fra besøkende på nettstedet til å bruke cookies som samler inn og behandler personopplysninger, dvs. sporing av cookies.

Spesielt må nettsteder innhente brukerens samtykke før de angir cookies (bortsett fra teknisk nødvendige cookies).

Det italienske datatilsynet fremhever en rekke krav for å samle inn gyldig cookiesamtykke som er i tråd med nylig publiserte retningslinjer fra Frankrikes CNIL, Spanias AEPD og Datatilsynet i Danmark.

Formålet med de reviderte retningslinjene er å sikre at italienske nettstedeiere og virksomheter gis klar informasjon om hvordan de skal overholde GDPR og ePersonverndirektive (den «europeiske loven om cookies») når de bruker cookies og andre sporingsteknologier.

I dette innlegget går vi i dybden på retningslinjene for innsamling av gyldig cookiesamtykke i Italia.