Tilbake til blogg

Personvernerklæring: Slik lager du en gyldig personvernerklæring for nettsiden din

Komplett guide til personvernerklæring etter GDPR. Lær hva som må med, krav til informasjon om cookies, analyse og tredjepartstjenester.

Pakto.ai-redaksjonen

Hvorfor trenger du en personvernerklæring?

Enhver virksomhet som behandler personopplysninger er forpliktet til å informere de registrerte om hvordan deres data behandles. Denne plikten følger av GDPR artikkel 12, 13 og 14, samt den norske personopplysningsloven § 1, som slår fast at loven skal beskytte den enkelte mot at personvernet krenkes gjennom behandling av personopplysninger.

I praksis betyr dette at nesten alle nettsider trenger en personvernerklæring. Dersom du bruker et kontaktskjema, nyhetsbrev, nettbutikk, analysetjenester som Google Analytics, eller selv enkle cookies, behandler du personopplysninger og er underlagt informasjonsplikten.

Manglende eller mangelfull personvernerklæring kan føre til klager til Datatilsynet, pålegg om retting og i ytterste konsekvens overtredelsesgebyr på opptil 20 millioner euro eller 4 % av global omsetning etter GDPR artikkel 83.

Hva må personvernerklæringen inneholde?

GDPR artikkel 13 lister opp spesifikke opplysninger som skal gis til de registrerte. Her er en gjennomgang av hvert punkt:

Behandlingsansvarlig

Du må tydelig oppgi hvem som er behandlingsansvarlig for personopplysningene:

  • Firmanavn og organisasjonsnummer
  • Postadresse
  • E-postadresse for henvendelser om personvern
  • Eventuelt kontaktinformasjon til personvernombud (DPO)

Formål og behandlingsgrunnlag

For hver type behandling må du opplyse om:

  • Formålet: Hvorfor samler du inn opplysningene? (f.eks. levering av tjenester, markedsføring, kundeservice)
  • Behandlingsgrunnlag: Hvilket rettslig grunnlag bygger behandlingen på? De vanligste grunnlagene er:
    • Samtykke (GDPR art. 6(1)(a))
    • Oppfyllelse av avtale (art. 6(1)(b))
    • Rettslig forpliktelse (art. 6(1)(c))
    • Berettiget interesse (art. 6(1)(f))

Kategorier av personopplysninger

Gi en oversikt over hvilke opplysninger du samler inn:

  • Kontaktopplysninger (navn, e-post, telefon, adresse)
  • Betalingsinformasjon
  • Tekniske data (IP-adresse, nettlesertype, enhetsinfo)
  • Bruksmønstre og navigasjonsdata
  • Kommunikasjonshistorikk

Mottakere og deling

Opplys om hvem personopplysningene deles med:

  • Interne avdelinger
  • Databehandlere (f.eks. skylagringstjenester, e-postleverandører)
  • Tredjeparter (f.eks. betalingsløsninger, markedsføringspartnere)
  • Overføring til land utenfor EØS

Lagringstid

For hver kategori av personopplysninger bør du oppgi hvor lenge de lagres, eller kriteriene som brukes for å bestemme lagringstiden. For eksempel:

  • Kundeopplysninger: Så lenge kundeforholdet varer, pluss 5 år etter bokføringsloven
  • Nyhetsbrevabonnenter: Inntil samtykke trekkes tilbake
  • Serverlogger: 30 dager

Cookies og sporingsteknologi

Cookies krever særskilt oppmerksomhet i personvernerklæringen. Etter ekomloven § 2-7b og GDPR gjelder følgende:

Kategorier av cookies

  • Nødvendige cookies: Kreves for at nettsiden skal fungere (f.eks. handlekurv, innlogging). Disse krever ikke samtykke.
  • Analytiske cookies: Brukes for trafikkmåling og brukeranalyse (f.eks. Google Analytics). Krever samtykke.
  • Markedsføringscookies: Brukes til målrettet annonsering (f.eks. Facebook Pixel, Google Ads). Krever samtykke.
  • Funksjonelle cookies: Husker brukerpreferanser som språk og region. Krever normalt samtykke.

Krav til cookie-samtykke

Du må innhente aktivt samtykke før analytiske og markedsføringscookies settes. Et cookie-banner må:

  • Gi tydelig informasjon om hvilke cookies som brukes
  • Tilby reelle valgmuligheter (ikke bare "Godta alle")
  • Ikke bruke forhåndsavkryssede bokser
  • Gjøre det like enkelt å avslå som å godta
  • Lagre dokumentasjon på samtykket

Analysetjenester og tredjepartstjenester

For de fleste nettsider er tredjepartstjenester en viktig del av personvernerklæringen. Vanlige tjenester som krever omtale:

Analyseverktøy

  • Google Analytics: Samler inn data om brukeratferd, sidevisninger og konverteringer. Overføring til USA krever tilleggstiltak etter Schrems II-dommen.
  • Plausible/Fathom: Personvernvennlige alternativer som ikke bruker cookies.

Markedsføringsverktøy

  • Meta Pixel / Facebook Pixel: Sporer brukeratferd for annonsemålretting.
  • Google Ads remarketing: Brukes til å vise annonser til tidligere besøkende.

Andre tredjepartstjenester

  • Betalingsløsninger: Klarna, Vipps, Stripe
  • Nyhetsbrevtjenester: Mailchimp, Brevo
  • Chat-widgeter: Intercom, Zendesk
  • Innbyggede medier: YouTube, Google Maps

For hver tjeneste bør du opplyse om hva den brukes til, hvilke data som deles, og hvor dataene behandles.

De registrertes rettigheter

Personvernerklæringen skal tydelig informere om rettighetene de registrerte har etter GDPR:

  • Rett til innsyn (art. 15): Be om kopi av alle personopplysninger som behandles
  • Rett til retting (art. 16): Kreve at uriktige opplysninger korrigeres
  • Rett til sletting (art. 17): Kreve at opplysninger slettes ("retten til å bli glemt")
  • Rett til begrensning (art. 18): Kreve at behandlingen begrenses
  • Rett til dataportabilitet (art. 20): Motta data i et strukturert, maskinlesbart format
  • Rett til å protestere (art. 21): Protestere mot behandling basert på berettiget interesse
  • Rett til å trekke samtykke: Når som helst trekke tilbake et avgitt samtykke

Du bør også opplyse om retten til å klage til Datatilsynet dersom de registrerte mener personvernet er krenket.

Oppdatering og versjonshåndtering

En personvernerklæring er et levende dokument som bør oppdateres jevnlig:

  • Oppgi dato for siste oppdatering tydelig i erklæringen
  • Vurder erklæringen ved innføring av nye tjenester eller verktøy
  • Informer brukerne om vesentlige endringer, for eksempel via e-post eller banner
  • Oppbevar tidligere versjoner for å dokumentere etterlevelse over tid
  • Gjennomfør en årlig gjennomgang som minimum

Språk og tilgjengelighet

Etter GDPR artikkel 12 skal informasjonen gis på en klar og forståelig måte. Dette innebærer:

  • Bruk et enkelt og tydelig språk, unngå unødvendig juridisk sjargong
  • Gjør erklæringen tilgjengelig fra alle sider på nettsiden (typisk i bunnteksten)
  • Vurder om du trenger erklæringen på flere språk basert på din brukergruppe

Lag din personvernerklæring med Pakto.ai

Med Pakto.ai kan du generere profesjonelle juridiske dokumenter på sekunder. Spar tid og sikre at dokumentene dine er i tråd med norsk lov.

Kom i gang gratis →

Ofte stilte spørsmål

Er det lovpålagt å ha personvernerklæring på nettsiden?
Ja, dersom du behandler personopplysninger (inkludert bruk av cookies, kontaktskjemaer eller analyse-verktøy), er du etter GDPR artikkel 13 og 14 og personopplysningsloven § 1 pliktig til å informere de registrerte om behandlingen i en personvernerklæring.
Hva må en personvernerklæring inneholde?
En personvernerklæring må inneholde identiteten til behandlingsansvarlig, formålet med behandlingen, behandlingsgrunnlag, hvilke personopplysninger som samles inn, hvem de deles med, lagringstid, informasjon om de registrertes rettigheter og kontaktopplysninger til personvernombud der det er påkrevd.
Hvor ofte bør personvernerklæringen oppdateres?
Personvernerklæringen bør oppdateres hver gang det skjer endringer i hvordan du behandler personopplysninger, for eksempel ved nye tjenester, nye analyseverktøy eller nye samarbeidspartnere. Det anbefales å gjennomgå erklæringen minst én gang i året.

Lag dette dokumentet med Pakto.ai

Spar tid og penger — generer profesjonelle juridiske dokumenter med AI på sekunder.

Kom i gang gratis