Hvilke krav gjelder egentlig ved bruk av cookies?

 
 

Som eier av en nettside er det viktig at du gjør deg kjent med kravene rundt bruk av cookies, eller informasjonskapsler som det heter på norsk. Cookies kan gi mange fordeler og benyttes derfor i stor utstrekning. I denne artikkelen vil vi gi deg en oversikt over hvilke regler som gjelder ved bruk av cookies og hva du bør gjøre for å overholde kravene.

 

Cookies - mer enn bare små digitale tekstfiler

Teknisk sett er en cookie en liten datafil. I det en nettside åpnes sendes cookien fra nettsiden og plasseres på brukerens datamaskin. Cookies benyttes for å samle inn relevant informasjon basert på hva den brukes til, for eksempel brukerens IP-adresse eller lokalisering. Nesten alle nettsider benytter cookies.

Eieren av en nettside avgjør hvilke cookies som benyttes, og er ansvarlig for å handle i tråd med regelverket. Det første steget til å overholde kravene, er å gjøre seg kjent med hvilke cookies man benytter seg av, om disse leveres av en tredjepart, hvor dataen overføres, hvor lenge de lagres, hvilken informasjon som samles inn og til hvilket formål.

Det finnes mange ulike typer cookies med ulike formål. På de aller fleste nettsider benyttes cookies for at nødvendige funksjoner skal fungere, slik som handlekurven på en shoppingnettside. Cookies som benyttes for å bedre nettsidens funksjonalitet, men som ikke er strengt nødvendige, kalles funksjonelle cookies. I tillegg er det mange som benytter cookies for å analysere hvordan deres nettside tas i bruk, for å måle statistikk og til å gjennomføre målrettet markedsføring.

Cookies kan være kilden til innsamling av store mengder data. Kombinasjonen av cookies og sporingsfunksjoner som pixeltags eller web beacons gjør at brukeraktivitet kan følges over flere nettsider. Selv om dataene som samles inn gjennom cookies ofte er begrenset og ikke alltid inneholder personopplysninger, kan disse benyttes for å påvirke brukeres valg. Jo mer tilpasset annonser er, jo større sjanse er det for å oppnå klikk. Cookies som benyttes for målrettet markedsføring har særlig vært gjenstand for diskusjon. Årsaken er først og fremst at slike cookies ofte leveres av tredjeparts tilbydere og at informasjonen igjen kan videreføres til andre tredjeparter.

Fordi bruken av cookies har blitt så utbredt og behovet for kontroll har økt tilsvarende, har det vært nødvendig med særskilte reguleringer. I norsk rett er bruken av cookies og lignende teknologi regulert i ekomloven § 2-7 b. Bestemmelsen bygger på ePrivacy direktivet fra EU. Siden de første reguleringene av cookies kom i 2002, har det også skjedd en del teknologiske endringer som har påvirket bruken av cookies, og etter hvert, vår forståelse. Dette har ført til behov for justeringer i gjeldende regelverk samt avklaringer fra myndighetene.

 

Nye retningslinjer fra EU-domstolen

Den såkalte «Planet49-dommen» ble avsagt av EU-domstolen 1. oktober 2019. Saken omhandlet en lotterikonkurranse avholdt på et tysk nettsted. Konkurransen ble arrangert av selskapet Planet49. Forut for konkurransen ble deltakerne presentert for et samtykkeskjema. I skjemaet var et av feltene allerede krysset av, slik at deltakeren indirekte samtykket til cookies for analyse og målrettet markedsføring. Avkrysningen ble vurdert opp mot samtykkekravet i ePrivacy direktivet. Oppsummert kom EU-domstolen med følgende uttalelser;

  1. Forhåndsutfylte avkrysninger kvalifiseres ikke som et gyldig samtykke. Det må avgis et aktivt samtykke, i tråd kravene etter GDPR.

  2. At samtykket skal være spesifikt tilsier at forskjellige formål ikke skal være blandet under ett og samme spørsmål om samtykke.

  3. Samtykkekravet er det samme uansett om det behandles personopplysninger eller ikke.

  4. Det må gis lett forståelig og tilstrekkelig detaljert informasjon, som gjør at brukeren kan forstå hvordan de cookies som anvendes fungerer. Informasjonen må inkludere opplysninger om lagringstid og om data overføres til tredjeparter.

EU-domstolens uttalelser gir viktige avklaringer rundt samtykkekravet i ePrivacy direktivet. Imidlertid står et par spørsmål uavklart. Uttalelsene fra EU-domstolen omhandler kun bruk av cookies for markedsføring, og ikke cookies for andre formål som brukertilpasning og analyse. ePrivacy direktivet vil bli erstattet av ePrivacy forordningen, hvor blant annet samtykkekravet vil strammes opp. Endringene vil sannsynligvis vedtas først i 2023, og tre i kraft i 2025.    

Nasjonal kommunikasjonsmyndighet har gitt signaler om at det vil komme endringer i ekomloven basert på retningslinjene fra Planet49-dommen, men det er ukjent når. Ettersom ekomloven er bygget på ePrivacy direktivet, er det naturlig at uttalelsene fra Planet49-dommen vil få betydning. Inntil lovendringene kommer, kan det være hensiktsmessig å forholde seg til EU-domstolens uttalelser.

 

Samtykkekravet – formålet med cookien er sentralt

Etter norsk lov har det vært ansett tilstrekkelig med et implisitt samtykke for å oppfylle samtykkekravet, uavhengig av hva cookien skal brukes til. Gjeldende praksis går ut på å informere om at man bruker cookies på nettsiden, og overlate til brukeren selv å gjøre noe aktivt for å velge bort cookies i egen nettleser.

Basert på Planet49-dommen gjelder kravene til et «frivillig, spesifikt, informert og utvetydig» samtykke etter GDPR artikkel 4 nr. 11, også ved bruk av cookies for markedsføring.

Kravet til et aktivt samtykke, slik EU-domstolen nå krever, betyr at implisitt samtykke eller «soft opt in», hvor brukeren er presentert med et samtykkebanner og velger å fortsette og bruke nettsiden, ikke lenger er å anse som et gyldig samtykke. For at samtykket skal være spesifikt, må man kunne velge konkret angitte cookies inndelt etter formål.

I Planet49-dommen gikk ikke EU-domstolen nærmere inn på hva som ligger i et frivillig samtykke ved bruk av cookies. Med utgangspunkt i GDPR kan det likevel utledes at kravet til frivillighet innebærer at brukeren skal ha reelt valg før data samles inn. Det er ikke tilstrekkelig at man viser til innstillinger i nettleseren eller tredjeparts tilbyderes egne funksjoner for opt-out.

Selv om vi foreløpig ikke vet hvilke endringer som vil komme i ekomloven, bør man likevel forholde seg til de skjerpede kravene som kan utledes av Planet49-dommen for markedsføringscookies. For mange vil innskjerpingen medføre at eksisterende nettsider må omprogrammeres for å møte samtykkekravet. For noen vil det være enklere å stenge av bruken av cookies for markedsføring. Her må verdien av markedsføringen veies opp mot kostnadene ved endringen.

En rekke nettsteder har allerede implementert løsninger for aktivt samtykke for cookies til både markedsføringsføring, analyse- og funksjonelle formål. Noen har også gjort dette selv om de ikke bruker cookies i markedsføringsøyemed, f.eks. Datatilsynet. Dersom det er nødvendig å foreta tekniske endringer for å møte kravet til et aktivt samtykke, bør det vurderes om tilsvarende endringer også skal gjøres for cookies som benyttes for brukertilpasning og analyse, ettersom vi ikke vet med sikkerhet hvilke endringer som vil gjøres i ekomloven.

Ett særlig spørsmål er hvordan man forholder seg til tredjeparts cookies, dvs. cookies som tilhører en annen tilbyder, for eksempel Google Analytics cookies. Sett i lys av hvilke opplysninger som kan samles inn, hvordan og i hvilken skala cookies kan benyttes, er det liten grunn til at kravene til samtykke for cookies skal være mildere for tredjeparts cookies. Etter vår vurdering burde alle cookies som overfører data til en tredjepart, bygge på et samtykke som oppfyller kravene i GDPR.

Informasjonskravet – hvor åpen må man være?

Planet49-dommen innebærer også skjerpede krav til informasjon om cookies. Brukerne skal ha mulighet til å forstå konsekvensene av å gi samtykke. Hvor detaljert informasjonen må være, vil være situasjonsavhengig. Er det eksempelvis tale om en spesiell type markedsføring, kan det være behov for mer detaljert informasjon, fremfor mer generelle opplysninger. Merk at jo åpnere du velger å være, jo større tillitt vil kunne skapes. Ingen ønsker cookies med en uventet bismak.

For å oppfylle informasjonskravet må det opplyses om formålet med de cookies som benyttes, slik som brukertilpasning, om opplysningene overføres til en tredjepart og hvor lenge de lagres. Det kan opplyses generelt om formålet med cookiene i et banner eller pop up-vindu, med en videre henvisning til mer detaljert informasjon i en cookie-policy.

Ved bruk av tredjeparts cookies, er det ikke alltid nødvendig å opplyse konkret hvem tilbyderen av cookien er. Det kan være tilstrekkelig å vise til de kategorier mottakeren av opplysningene faller under. Mottakeren kan for eksempel klassifiseres som tjenestetilbyder innen markedsføring, hvis det er nødvendig at informasjonen begrenses av konkurransehensyn eller lignende. Dersom opplysningene overføres utenfor EU må det informeres konkret om dette, herunder til hvilket land dataen overføres til.

 

Hva gjør du nå?

Imens vi venter på en endring i ekomloven, bør du begynne å forberede virksomheten din for en implementering av de nye kravene som følger av Planet49-dommen som om de gjelder for deg, i hvert fall hvis du bruker cookies til markedsføringsformål.

Dersom du til nå kun har informert om bruk av cookies på nettsiden uten å innhente samtykke, bør du endre nettsiden slik at besøkende har mulighet til å gi samtykke, før de tar i bruk siden. Det bør gjøres en oppdeling, f.eks. ved bruk av avkrysningsbokser for de ulike formålene som cookies benyttes til.

Du må også gi nærmere og bedre informasjon om hvilke cookies du har, hva de brukes til, av hvem mv., enn det som har vært vanlig til nå, slik at brukere får nok informasjon til å avgjøre om de ønsker å samtykke til bruk av cookies.

 

Har du noen spørsmål rundt cookies, GDPR eller andre personvernrettslige spørsmål, kan vi i Advokatfirmaet Berngaard AS hjelpe deg.

Kontakt Marte Sofie Hatling, Elin Mathisen eller Christine Lie Ulrichsen.

 
 

FORFATTER

Marte Sofie Hatling

+47 418 58 811

martehatling@berngaard.no