Artikkel

Nytt forslag til ePrivacy-forordning

- Hva vil forslaget bety for din virksomhet? 

Teknologien muliggjør nye tekniske løsninger for virksomheter, men skaper samtidig nye utfordringer for personvernet. Nå arbeides det på EU-nivå med en ny ePrivacy-forordning (Regulation on Privacy and Electronic Communications) som vil stramme inn reglene tilknyttet elektroniske kommunikasjonstjenester, herunder bruk av cookies.

Publisert 26.03.2021

Gjeldende lov om elektroniske tjenester (ekomloven) har som mål å sikre at alle i Norge, uavhengig av bosted, har tilgang til gode, rimelige og fremtidsrettede elektroniske kommunikasjonstjenester. Loven regulerer derfor krav til kvalitet og tilgjengelighet til tilbydere av elektroniske kommunikasjonstjenester, men også krav til beskyttelse av data og bruk av cookies, også kjent som informasjonskapsler.

Formålet med den foreslåtte forordningen er å skape et regelverk som i større grad er tilpasset den digitale og teknologiske utviklingen i samfunnet. Dette regelverket skal sikre effektiv og god beskyttelse av konfidensialitet, effektiv beskyttelse mot reklame man ikke har bedt om, samt harmonisering, forenkling og oppdatering av regelverket på dette området. Det nye regelverket retter seg mot alle som driver kommunikasjonstjenester på nett, tillater bruk av cookies på sine nettsider eller driver målrettet markedsføring på nett, eksempelvis bredbånds- og telefontjenester, såkalte over-the-top tjenester (Skype, Messenger, WhatsApp) og virksomheter innenfor mediebransjen eller netthandel.

I dag benytter svært mange virksomheter seg av cookies på sine nettsider. Ekomloven stiller i dag krav til samtykke ved bruk av cookies. Det har i en årrekke vært diskusjoner om hvordan dette samtykkekravet skal forstås og hvordan det skal implementeres i praksis. Den teknologiske utviklingen har også skapt et behov for å oppdatere någjeldende regelverk og det har derfor i lang tid vært arbeidet med å ferdigstille en ny ePrivacy-forordning som skal erstatte det någjeldende ePrivacy-direktivet fra 2002. Direktivet er gjort til norsk rett gjennom ekomloven.

Endringer som følge av den foreslåtte forordningen

Vi kan forvente mange endringer

Eprivacy-forordningen er per nå ikke ferdig fremforhandlet på EU-nivå. Det har skjedd flere endringer siden det første forslaget ble fremlagt av EU-kommisjonen i 2017, og flere endringer kan forventes før regelverket til slutt trer i kraft. Uansett bør virksomheter som er omfattet av regelverket allerede nå begynne forberedelsene – for på lik linje som GDPR vil det være mulig å pådra seg overtredelsesgebyr og andre sanksjoner dersom regelverket ikke overholdes.

Det har allerede kommet mange reaksjoner på det foreslåtte regelverket, og enkelte aktører mener at kommersielle interesser ikke har blitt hensyntatt i stor nok grad. Det er reist bekymringer knyttet til at det nye regelverket kan få store økonomiske konsekvenser for blant annet annonsører og andre virksomheter innenfor digital markedsføring. Her står lovgiverne fremfor en vanskelig interesseavveining; Personvern versus næringslivets kommersielle interesser. Hvor skal grensene gå, og hvilke interesser er mest tungtveiende?

Bruk av cookies/informasjonskapsler

Ett av flere formål med den nye forordningen er å sikre mer brukervennlige regler for cookies. I dag benytter svært mange virksomheter seg av cookies på sine nettsider. For cookies som ikke innebærer behandling av personopplysninger, men som er av ren teknisk karakter (i den grad dette skillet er klart), vil det være ekomloven som regulerer bruken. I den grad bruken av cookies vil innebære behandling av personopplysninger (som ofte er tilfelle), vil kravene i GDPR også gjelde.

Ekomloven har i dag særregler om bruken av cookies i § 2-7b. Det følger av denne bestemmelsen at bruk av cookies som en klar hovedregel krever samtykke fra sluttbruker. I dag anses i utgangspunktet forhåndsinnstilling i nettleser om at sluttbruker aksepterer cookies som samtykke. Som følge av EU-domstolens avsagte dom i 2019 («Planet49») er likevel Nasjonal kommunikasjonsmyndighets (Nkom) anbefaling at man i tvilstilfeller bør velge å oppfylle samtykkekravene etter GDPR. I tillegg er det i dag krav om at sluttbruker skal få informasjon om hvilke cookies det aktuelle nettstedet benytter, hvilke personopplysninger som behandles, formålet med behandlingen og hvem som behandler opplysningene. Dette innebærer at virksomheter må utforme tilgjengelige informasjonssider på nettsidene hvor det gis informasjon, samt at det innhentes samtykke fra sluttbruker på en enkel og intuitiv måte.

Slik det ser ut nå vil det som følge av ePrivacy-forordningen komme flere endringer for bruken av cookies:

  • Forslaget klargjør at det ikke er nødvendig med samtykke for cookies som ikke er påtrengende for personvernet. Dette vil eksempelvis gjelde for cookies som skal forbedre sluttbrukerens internettopplevelse eller som benyttes for å telle antall besøkende på en nettside.
  • Det kan se ut til at den går i retning av strengere krav til samtykke. Det er foreslått et krav om samtykke fra sluttbrukeren for at informasjonen som blir etterlatt kan deles med tredjeparter gjennom innstillinger i terminalutstyret (produktet som kan nyttes til elektronisk kommunikasjon). Det ser ut som at regelverket går i retning av en «opt in»-løsning i stedet for en «opt out»-løsning for bruk av cookies.
  • «Cookie walls» innebærer at tilgang til en nettside forutsetter samtykke til bruk av cookies. Dette kan på den ene siden være positivt ved at sluttbruker blir tvunget til å vurdere bruken av cookies. Såkalte «cookie walls» er imidlertid betenkelige dersom man ikke får tilgang til nettsiden hvis man ikke samtykker. Etter forslaget vil «cookie walls» være lovlig i enkelte tilfeller, men kun hvis sluttbruker har et reelt valg mellom to tilsvarende tjenester. Dette vil si at sluttbruker må kunne nekte å gi sitt samtykke, men likevel få tilgang til tilsvarende tjeneste. Det er imidlertid per nå ikke beskrevet hva som utgjør en tilsvarende tjeneste.        

Foreligger det en klar ubalanse i styrkeforholdet mellom tilbyder og sluttbruker er slike «cookie walls» problematisk fordi sluttbrukeren mister sin reelle valgmulighet. Som eksempel kan nevnes det tilfellet hvor tilbyder av en nettside er en offentlig myndighet eller organ som kan sies å ha en dominant posisjon sammenliknet med sluttbruker. I dette tilfellet vil sluttbruker ha få eller ingen alternativer til den offentlige myndighetens eller aktørens nettside.

  • I den siste versjonen av den foreslåtte forordningen er det inntatt regler om såkalt «whitelisting». Dette innebærer at sluttbrukere skal ha lov til å samtykke til visse typer cookies ved å «whiteliste» en eller flere tilbydere/virksomheter gjennom nettleserinnstillingene. Formålet er å hindre at brukere blir overbelastet med forespørsler om samtykke, som man ser at mange sluttbrukere blir i dag. Når en sluttbruker mottar mange slike forespørsler om samtykke er det en risiko for at sluttbrukeren ikke leser informasjonen som gis, og konsekvensen er mindre beskyttelse av personvernet. Det sistnevnte kan nok mange kjenne seg igjen i.

Utover dette kan vi nok forvente flere endringer og/eller presiseringer når det gjelder bruk av cookies. Alle virksomheter som tillater bruk av cookies på sine nettsider bør derfor følge nøye med på utviklingen på området.

Over-the-top tjenester

I dagens samfunn er det en utstrakt bruk av over-the-top tjenester. Den foreslåtte ePrivacy-forordningen krever at slike tjenester oppfyller de samme kravene til fortrolighet og behandling av data som tradisjonelle ekomtilbydere gjør i dag. Med tanke på hvor mange som benytter seg av slike tjenester, og hvor mye data som tjenestene får tilgang til og lagrer, er dette en viktig endring for bedre å kunne sikre personvernet.

Beskyttelse mot «spam»

Forslaget forbyr uønsket elektronisk kommunikasjon via blant annet e-post og SMS. Avhengig av det relevante nasjonale regelverket ser det ut til at sluttbrukere enten vil bli beskyttet som standard innstilling eller ved å benytte seg av en «do not call»-liste for å hindre mottakelsen av markedsføringstelefoner. Virksomheter som markedsfører tjenester per telefon, må vise frem telefonnummeret ved anrop eller bruke en forhåndsinnstilling som gjør at man kan se at anropet er en markedsføringstelefon.

Forholdet til GDPR og plassering av tilsynsansvar

Den foreslåtte ePrivacy-forordningen skal sammen med GDPR sikre og beskytte personvernet. Enkelte områder innenfor elektronisk kommunikasjon, eksempelvis bruk av cookies, vil som i dag bli særlig regulert i ePrivacy-forordningen, mens GDPR vil regulere de områder som ikke dekkes av denne. Det vil derfor være et samspill mellom de to regelverkene, med både likheter og forskjeller. En viktig forskjell er at ePrivacy-forordningen også inneholder regler som skal beskytte juridiske personer (i tillegg til fysiske personer). En likhet er at de har de samme definisjonene når det gjelder kjernebegreper, slik som eksempelvis «consent» (samtykke).

I dag er Nkom tilsynsmyndighet for ekomloven. Dette innebærer at Nkom skal føre tilsyn med at krav fastsatt i loven eller i medhold av loven er oppfylt. For personopplysningsloven og tilhørende GDPR er det Datatilsynet som er tilsynsmyndighet. I den nye ePrivacy forordningen er det foreslått at Datatilsynet skal være tilsynsmyndighet også for dette regelverket. Det blir derfor spennende å se hvordan forholdet mellom disse tilsynsmyndighetene løses i praksis når den nye forordningen trer i kraft.

Spørsmål?

Som nevnt ovenfor vil den foreslåtte ePrivacy-forordningen medføre en rekke viktige endringer som vil påvirke svært mange virksomheter. Det klargjøres blant annet at det ikke er nødvendig med samtykke for cookies som ikke er påtrengende for personvernet, eksempelvis cookies som skal forbedre internettopplevelsen og det kan se ut til at forordningen går i retning av strengere krav til samtykke.

Når den foreslåtte ePrivacy-forordningen trer i kraft, vil det bli behov for lovendringer i norsk rett. Dette gjelder først og fremst i ekomloven, men også for blant annet markedsføringsloven. I tillegg kan det komme ytterligere forslag til endringer i den foreslåtte ePrivacy-forordningen som nødvendiggjør endringer i norsk rett på andre områder. Det er derfor viktig å følge med på utviklingen og være forberedt på at det vil skje viktige endringer i sentrale regelverk som igjen vil føre til nødvendige endringer hos din virksomhet.

Ta kontakt med Deloitte Advokatfirma dersom du har spørsmål knyttet til den foreslåtte ePrivacy-forordningen eller om andre forhold knyttet til elektronisk kommunikasjon, herunder cookies.
 

Var denne siden nyttig?