Artikkel
Forslag til ny ekomlov fører til strengere krav til cookie-samtykke
Deloitte Advokatfirma
Regjeringen foreslår å skjerpe kravene til samtykke for bruk av cookies i ny ekomlov. Dette innebærer blant annet at forhåndsinnstilte samtykkeinnstillinger i nettleseren som utgangspunkt ikke vil være lov. Tilbyr din virksomhet annonsørtjenester eller handel på nett, eller driver du annen virksomhet knyttet til behandling av informasjonskapsler og elektronisk kommunikasjon, kan du bli påvirket av lovforslaget om det blir vedtatt.
Publisert 18.08.2022
I juli sendte regjeringen på høring et forslag til en ny ekomlov, med høringsfrist 15. oktober. En av de sentrale endringene i den nye loven, er et krav om aktivt samtykke for informasjonskapsler (cookies) i tråd med personvernforordningen (GDPR), uavhengig av om det er personopplysninger som behandles. Dette vil særlig påvirke forhåndsinnstillinger om cookies i nettleser og programvare.
De viktigste endringene som er foreslått for cookies er:
- Samtykke etter ekomloven forstås på samme måte som samtykke etter GDPR
- Det er krav om aktivt samtykke til cookies gjennom en «opt in»-mulighet
- Forhåndsutfylte innstillinger i nettlesere som tillater bruk av cookies blir ikke lenger lov
Endringsforslaget berører alle virksomheter som behandler cookies. Virksomheter bør derfor allerede nå forberede seg på å endre samtykkepraksisen sin i tråd med høringsforslaget. I Frankrike mottok den franske avisen Le Figaro i juli et overtredelsesgebyr på 50 000 euro for manglende cookiesamtykke fra internettbrukerne sine. Går forslaget gjennom, noe det hovedsakelig forventes å gjøre, kan man forvente lignende bøter også i Norge.
Dagens regler om cookies
Etter dagens ekomlov § 2-7 b er det ikke tillatt å lagre eller skaffe seg adgang til opplysninger i kommunikasjonsutstyr uten at bruker er informert om formålet, hvem som behandler opplysningene og hvilke opplysninger som behandles. I tillegg må brukeren samtykke til behandlingen og ha mulighet for å trekke samtykket tilbake.
I dag kan kravet til samtykke oppfylles gjennom forhåndsinnstillinger i nettleseren. Det er altså ikke krav om at brukeren selv aktivt må velge innstillinger. Forutsetningen er at bruker kan finne informasjon på den aktuelle nettsiden om hvilke opplysninger som behandles, hvem som behandler dem, formålet med behandlingen og hvilke teknikker/cookies som benyttes.
Det er heller ikke krav om samtykke for lagring av opplysninger i cookies der formålet utelukkende er å overføre kommunikasjon i elektronisk kommunikasjonsnett, ei heller for lagring og adgang som er nødvendig for å levere en informasjonssamfunnstjeneste brukeren uttrykkelig har etterspurt. Som eksempel på cookies som omfattes av unntaket nevner Nasjonal kommunikasjonsmyndighet (NKOM) opprettelse av brukerprofiler i sosiale medier eller nettbutikk.
For cookies som ikke innebærer behandling av personopplysninger, men som er av ren teknisk karakter (i den grad dette skillet er klart), vil det være ekomloven som regulerer bruken. Om bruken av cookies vil innebære behandling av personopplysninger (som ofte er tilfellet), vil imidlertid kravene i GDPR gjelde i tillegg.
Samtykke i ekomloven skal forstås på samme måte som i GDPR
En utfordring ved bruken av cookies etter dagens regelverk er at det har vært vanskelig å skille rent teknisk mellom hvilke cookies som faller innenfor ekomloven § 2-7b og hvilke som krever tilleggssamtykke etter GDPR. Dette spørsmålet ble behandlet av EU-domstolen i 2019 da den tok stilling til forholdet mellom kommunikasjonsverndirektivet (også kjent som ePrivacy-direktivet) og GDPR i sak C-673/17 (Planet49).
Domstolen fastslo at det ikke er et prinsipielt skille i kommunikasjonsverndirektivet mellom personopplysninger og andre opplysninger som hentes inn fra bruker gjennom cookies. Dette ble begrunnet med at kommunikasjonsverndirektivet artikkel 5 (3) også har som formål å beskytte sluttbrukeren mot innblanding i privatsfæren, uavhengig av om dette innebærer behandling av personopplysninger. Følgelig måtte samtykke etter kommunikasjonsverndirektivet forstås på samme måte som etter GDPR.
I etterkant av EU-domstolens avgjørelse, oppstod det usikkerheter i Norge for hvordan norske regler skulle forstås. NKOM har etter avgjørelsen anbefalt at man i tvilstilfeller bør velge å oppfylle samtykkekravene etter GDPR. Behovet for den nye lovendringen tolkes derfor til å reflektere de skjerpede kravene til samtykke som gjelder i EU for bruk av cookies, og virksomheter bør forberede seg på dette.
Krav om aktivt samtykke
I forslaget til ny ekomlov foreslås en ny bestemmelse, § 3-7, om bruk av cookies. I bestemmelsen presiseres betydningen av samtykke, nemlig at dette skal være «frivillig, spesifikt, informert og utvetydig», i tråd med forståelsen av samtykke etter kommunikasjonsverndirektivet og GDPR. Videre kreves det en aktiv handling fra vedkommende for at samtykket er gyldig. Dette vil innebære at forhåndsdefinerte standardinnstillinger som tillater bruk av cookies i dag, i utgangspunktet ikke vil oppfylle kravet til samtykke.
Heller ikke forhåndsutfylte bokser på nettsidene vil oppfylle kravet til samtykke. Det kreves en aktiv «opt in»-mulighet, og det skal være like enkelt å trekke samtykket tilbake som det var å gi det. Dette er fordi at i ved bruk av allerede utfylte bokser eller lignende, vil det kunne stilles tvil ved om en person har avgitt gyldig samtykke når denne «aksepterer». Har personen selv huket av i forskjellige ruter og det er lett tilgjengelig informasjon om betydningen av dette, så vil samtykket være gyldig.
«Nødvendige» cookies er unntatt samtykkekravet
Det gjeldende unntaket fra samtykkekravet som gjelder teknisk lagring eller adgang til opplysninger som er «nødvendig» for å levere tjenesten, er videreført i forslaget. Det betyr at så lenge man bruker cookies utelukkende til slike formål og det ikke er snakk om innhenting av personopplysninger, så kan disse plasseres uten krav om samtykke. Forslaget definerer imidlertid ikke hva som er «nødvendig». Etter forarbeidene til nåværende bestemmelse, fremgår det at «hva som oppfyller kravet om nødvendighet vil måtte vurderes konkret i det enkelte tilfelle og ses i tråd med den teknologiske utviklingen» (Prop.69 L (2012-2013)).
Det er naturlig å innfortolke den samme forståelsen i nytt lovforslag, hvilket må sies å gi lite veiledning for virksomheter. Departementet har gjennom behandlingen av det nye forslaget en gylden anledning til å konkretisere hva som ligger i dette. Fra et virksomhetsperspektiv, hvor man kanskje er avhengig av brukernes cookies som del av virksomhetens forretningsmodell, vil en slik avklaring være svært nyttig for å forstå hvor grensen går.
Dagens praksis gir brukerne samtykketretthet
Mange norske virksomheter har allerede implementert de nye kravene, inkludert Datatilsynet. Norske internettbrukere vil derfor sannsynligvis ikke merke stor forskjell, og fremdeles måtte forholde seg til “cookie-bannere" når de surfer på internett.
Et spørsmål som blir diskutert i forslaget, er om sluttbruker kan gi et generelt forhåndssamtykke til cookies gjennom å aktivt ta valg i innstillingene i nettleser eller lignende. Planet 49-dommen tok ikke et klart standpunkt til dette. Etter departementets syn vil likevel samtykkekravet være oppfylt ved bruk av en slik løsning, så lenge samtykket er blitt gitt gjennom et aktivt valg fra brukeren første gang. Dette understøttes av at det i forslaget til ny ePrivacy-forordning er presisert at samtykke kan gis gjennom slike tekniske innstillinger i software. Det er derfor nærliggende å anta at kravet vil være oppfylt dersom sluttbrukeren aktivt velger en innstilling i nettleser eller lignende som tillater bruk av cookies.
Datatilsynet og Forbrukertilsynet har imidlertid i sin høringsuttalelse stilt seg kritisk til en slik løsning. Grunnen til dette er manglende begrunnelse for hvordan et samtykke gjennom tekniske innstillinger i praksis kan gjennomføres. Tilsynsmyndighetene mener at en teknisk løsning som ivaretar kravene til samtykke i GDPR gjennom innstillinger i nettleseren ikke finnes i dag.
Selv om cookie-bannere er utformet på en måte som oppfyller kravene til samtykke i GPDR, opplever flere internettbrukere irritasjon over disse og samtykketretthet. Selv om vi er enige i at gyldig GPDR-samtykke må være utgangspunktet, bidrar dagens praksis, hvor brukeren hele tiden må ta stilling til nye cookie-bannere, ikke til godt personvern. I praksis tar de fleste ikke reell stilling til informasjonen, og klikker passivt gjennom. Forslaget til ny ekomlov er derfor en fin anledning til både tilsyn og relevante aktører å komme med forslag til løsninger som både er bruker- og personvernvennlig. Personvernorganisasjonen NOYB har for eksempel presentert en alternativ løsning som skal være personvernvennlig. Løsningen går ut på å gi den registrerte et overordnet styringsverktøy som samler samtykker og typetilfeller av nettsider som man ønsker å samtykke til, i tillegg til en egen «Whitelist». Kanskje dette er fremtiden?
Virksomheter bør uansett forberede seg på nye samtykkekrav
Høringsfristen var 15. oktober, og vi følger spent med på hvilke innspill som vil komme inn og departementets vurdering av disse. Det er likevel forventet at lovforslaget i sin hovedform vil gå gjennom. Som nevnt har mange virksomheter allerede implementert de nye kravene. Det betyr trolig at virksomheter som ikke har implementert kravene allerede nå bør vurdere å endre sin praksis for innsamling av cookies i tråd med det nye forslaget, slik at man får en «opt in» mulighet fremfor «opt out».
Tjenester: Personvern og teknologi
Forslag
GDPR og SCHREMS II – Oppdaterte retningslinjer fra Det europeiske personvernrådet
Deloitte Advokatfirma
Nytt forslag til ePrivacy-forordning
- Hva vil forslaget bety for din virksomhet?