Cookie-krav skjerpet av uvitenhet?

I denne artikkelen ser advokat Christine Stousland i Bull & Co på hvordan tendenser i EU tilsier at kravene til samtykke ved bruk av cookies er strengere enn det vi tidligere har antatt i Norge.

Christine Stousland, advokat, Bull & Co Advokatfirma AS.
Christine Stousland, advokat, Bull & Co Advokatfirma AS. (Bull & Co)

I denne artikkelen ser advokat Christine Stousland i Bull & Co på hvordan tendenser i EU tilsier at kravene til samtykke ved bruk av cookies er strengere enn det vi tidligere har antatt i Norge.

 

  • Christine Stousland, advokat, Bull & Co Advokatfirma AS

Selv om motstanden mot pop-ups har vært sterk, så er det lite som tyder på at den europeiske skjerpingen av samtykkekravet vil endres med det første. Dette tilsier at det allerede nå kan være lurt for nettsteder som benytter seg av cookies til å vurdere hvorvidt det faktisk er behov for å innhente samtykke fra brukerne, samt oppdatere måten de gir informasjon og innhenter samtykker på.

 Min erfaring er at det særlig syndes når nettsteder behandler personopplysninger de har innhentet ved hjelp av cookies til etterfølgende markedsføring gjennom for eksempel Facebook og Google. Dette er behandling som omfattes av GDPR og at det stilles derfor krav til både behandlingsgrunnlag og informasjon.

1. Stor usikkerhet

Vi har alle fått med oss den store flommen av samtykkeforespørsler som kom i kjølevannet av den nye personopplysningsloven, herunder GDPR. Regelverket stiller strenge krav til at samtykker er frivillige, spesifikke, informerte og kommer til uttrykk gjennom en utvetydig handling. Regelverkets fortaletekst fastslår at forhåndsavkryssede bokser eller inaktivitet ikke utgjør et gyldig samtykke. Bruk av ugyldige samtykker kan videre resultere i skyhøye bøter.

Det har hersket usikkerhet om hvilke krav som stilles til samtykke for nettsider som bruker cookies - informasjonskapsler. Må det f.eks. innhentes via pop-up vinduer? Det er stor variasjon i bruken av pop-up vinduer, hva slags informasjon som gis og hvordan.

Det har nå kommet nye signaler om at kravene til samtykke er skjerpet. I denne artikkelen vil vi se på:

  • Hva slags krav stilles egentlig til samtykke ved bruk av cookies?
  • Hvilken betydning har det dersom informasjonskapslene kan spores tilbake til en IP adresse eller annen personopplysning?

Adgangen til og vilkårene for å benytte cookies reguleres av ekomloven. Ekomloven bygger på kommunikasjonsverndirektivet (2002/58/EF), heretter omtalt som direktivet. I likhet med personopplysningsloven stiller ekomloven krav til at samtykket er frivillig, spesifikk, informert og er utvetydig avgitt. Ordlyden i personopplysningsloven og ekomloven tilsier derfor at samtykkekravet for generelle personopplysninger og cookies burde være sammenfallende.

I de norske forarbeidene til ekomloven heter det imidlertid at: "Kravet til samtykke er av praktiske årsaker ikke sammenfallende med krav til samtykke etter personopplysningsloven». Forarbeidene fastslår videre at

«kravet til samtykke vil være oppfylt ved at sluttbruker benytter en teknisk innstilling i nettleser eller tilsvarende i de tilfeller der dette er teknisk mulig og effektivt. Også forhåndsinnstilling i nettleser om at brukeren aksepterer informasjonskapsler/cookies anses å utgjøre et samtykke, forutsatt at det finnes klar og tydelig informasjon tilgjengelig på det aktuelle nettstedet om hvilke informasjonskapsler/cookies og lignede teknikker som benyttes, hvilke opplysninger som behandles, formålet med behandlingen og hvem som behandler opplysningene.»

Kravene vil typisk kunne ivaretas ved at nettstedet som plasserer cookies gir den nødvendige utfyllende informasjonen i en cookieerklæring, slik som har vært praksis i Norge.

Til tross for denne presiseringen i forarbeidene har vi den siste tiden i stadig større grad sett at flere nettsider benytter seg av cookie pop-ups med forespørsel om samtykke. Grunnen er at GDPR har ført til at usikkerheten om hvilke krav som stilles til samtykke for bruk av cookies har økt betraktelig, og da særlig de kapslene som omfatter personopplysninger.

2. Hva slags samtykkekrav stilles det til cookies? 

Spørsmålet om hva slags krav som stilles til samtykke av cookies har kommet på spissen i en sak mot et tysk selskap som driver online-lotteri. Lotteriselskapet, Planet 49, benyttet en forhåndsavkrysset cookie-boks.

EU-domstolen avgjørelse av 1. oktober 2019s konkluderer med at det i tråd med direktivet, som den norske ekomloven bygger på, ikke forelå et gyldig samtykke til plassering av cookies på klagerens nettleser fordi:

  1. Samtykket ikke bygget på en aktiv handling.
  2. Tilstrekkelig informasjon var ikke gitt, og samtykket var derfor ikke informert.

2.1 Aktiv handling kreves

EU-domstolen presiserer at direktivets krav til et aktivt samtykke må anses som like strengt som GDPR, til tross for at GDPR har en tydeligere i sin formulering av kravet. På bakgrunn av dette konkluderer EU-domstolen med at forhåndsutfylte samtykke-bokser, på samme måte som for GDPR, ikke oppfyller kravene til samtykke ved bruk av cookies.

2.2 Informasjonen må være god

Videre behandler EU-domstolen spørsmålet om hva slags informasjon som nettstedet må gi brukeren for at samtykket skal anses som informert og derfor gyldig. Domstolen viser til generaladvokat Szpunars forslag til avgjørelse i saken hvor generaladvokaten konkluderer han med at det må gis tilstrekkelig informasjon slik at brukeren kan forstå konsekvensene og resultatet av sitt samtykke, som f.eks. hvor lenge informasjonskapslene lagres og om de deles med tredjeparter. Generaladvokaten begrunner det strenge informasjonskravet med at det ikke vil være anledning å anta at den gjennomsnittlige europeiske forbruker har noen inngående kunnskap om hvordan cookies fungerer.

2.3 Det europeiske personvernrådet og ulike datatilsyn støtter resultatet i dommen

Både det engelske datatilsynet (ICO) og det franske datatilsynet (CNIL) er enig i generaladvokat Szpunars påstand om et europeiske forbrukere mangler kunnskap om hvordan cookies fungerer. I ICOs og CNILs cookie-veiledninger av henholdsvis 3. og 4. juli 2019 konkluderer datatilsynene med at dagens forhåndssamtykke i nettleserinnstillingene ikke kan anses som et gyldig samtykke.

Bakgrunnen for datatilsynenes standpunkt begrunnes med at gjennomsnittspersonen i dag ikke vet hvordan den kan endre nettleserinnstillingene sine. Konsekvensen er derfor at dagens forhåndsinnstilte nettleserinnstillinger ikke på en korrekt måte reflekterer brukerens reelle cookie- preferanser. Kravet til informert samtykke kan av den grunn ikke være oppfylt basert på forhåndssamtykke i nettleseren alene. Samtykket må derfor innhentes på annen måte.

Les også

Datatilsynene utelukker ikke at fremtidens nettleserinnstillinger vil kunne sannsynliggjøre at brukeren faktisk har vurdert de eksisterende nettleserinnstillingene på en informert måte, men at løsningen per dags dato ikke utgjør et gyldig samtykke. Samtidig påpeker ICO at det kan bli vanskelig å innhente samtykke utelukkende basert på nettleserinnstillingene også i fremtiden ettersom ikke alle nødvendigvis har de mest oppdaterte og personvernvennlige nettleserinnstillingene, flere personer gjerne brukere samme nettleser og fremkomsten av «internet of things».

Det europeiske personvernrådet legger også til grunn i sin uttalelse av 12. mars 2019 at samtykke til cookies må oppfylle kravene til samtykke etter GDPR for å være gyldig. Datatilsynet i Norge har basert på denne uttalelsen publisert en kort uttalelse på sine nettsider om at det ikke lengre er mulig å innhente gyldig samtykke for å plassere cookies på nettsider gjennom nettleserinnstillingene. En slik konklusjon avviker fra den norske rådende tolkningen av ekomlovens forarbeider.

3. Skille mellom cookies med eller uten personopplysninger?

I de tilfeller hvor direktivet gir mer spesialiserte rettsregler enn GDPR, så skal de spesielle reglene komme til anvendelse foran mer generelle regler i henhold til tolkningsregelen lex specialis. Ekomlovens regler regulerer derfor plasseringen av cookies eller liknende teknologier i brukerens nettleser. Den etterfølgende behandlingen av personopplysninger innhentet ved bruk av cookies, reguleres imidlertid av GDPR.[1] Etterfølgende behandling krever derfor et behandlingsgrunnlag etter GDPR.

Den franske tilsynsmyndigheten CNIL uttrykker at det kun er samtykke som kan utgjøre lovlig behandlingsgrunnlag for den etterfølgende behandlingen av personopplysninger. ICO nøyer seg med å gi uttrykk for at berettiget interesse sjeldent kan anses som lovlig viderebehandling av personopplysninger innhentet innhentet ved bruk av cookies.[2] I alle tilfeller bør behandlingsansvarlig gjøre en konkret vurdering av hva som vil være korrekt behandlingsgrunnlag.

I Planet 49-saken stilles det spørsmål ved om Tyskland hadde implementert direktivet på korrekt måte ettersom tysk rett stilte mindre strenge krav til samtykke ved plassering av cookies i de tilfellene hvor cookies ikke omfattet personopplysninger.

Les også

EU-domstolen fastslo at EU- direktivet ikke gjorde dette skillet. Domstolen viste videre til generaladvokatens resonnement om at enhver bruk av cookies og liknende teknologier har et betydning for den private sfæren og at det derfor ikke foreligger noe grunnlag for å behandle cookies som ikke er personopplysninger mindre strengt enn de som anses som personopplysninger.

På bakgrunn av dette konkluderte EU-domstolen med at ekom-lovens samtykkekrav ved plasseringen av cookies på brukerens nettleser være like strengt som GDPR uavhengig av om cookies omfatter personopplysninger eller ikke.

4. Er norsk lov i strid med EU retten?

Siden EU-domstolen har konkludert med at forhåndssamtykke i brukerenes nettleser ikke er tilstrekkelig for å sikre et gyldig samtykke etter direktivet, vil dette ha betydning for norske borgere.

Mest sannsynlig vil Norge måtte tolke de norske bestemmelsene som bygger på europeiske direktivet slik at de sammenfaller med den rettslige utviklingen som skjer i EU. Av den grunn er det derfor nærliggende å tro at norsk rett vil endre seg slik at et forhåndssamtykke i nettleseren per dags dato må tolkes slik at det ikke er tilstrekkelig «effektivt» for å sikre gyldig samtykke fra brukerne.

Les også

Nasjonal kommunikasjonsmyndighet, som kompetent fagmyndighet for dagens cookie-bestemmelse, har foreløpig ikke kommet med noen ny norsk tolkning av hvordan dagens ekomlovgivning skal forstås i lys av den rettslige utviklingen i EU. Norske borgere er imidlertid bundet til å forholde seg til den rettslige utviklingen i EU som skjer på cookie-området.

Når det gjelder hva som er tilstrekkelig god nok informasjon har både ICO og den franske tilsynsmyndigheten CNIL gitt uttrykk for at de aksepterer en løsning hvor virksomheter ber om et felles samtykke for alle cookies på nettsiden, men at brukeren må få mulighet til å gi spesifikke samtykker dersom brukeren ønsker mer informasjon eller valgmuligheter.

5. Anbefaling

Det er mye som tyder på at den strenge innskjerpingen av samtykkekravet vi nå er vitne til vil videreføres nå som ekomloven skal erstattes med kommunikasjonsvernforordningen (ePrivacy regulation) i nærmeste fremtid. Dette tilsier at det allerede nå kan være lurt for nettsteder som benytter seg av cookies til å oppdatere måten de gir informasjon og innhenter samtykker på ved å benytte seg av cookie pop-ups. Unntak for samtykkekravet gjelder likevel i de tilfeller der lagring eller uthenting av opplysninger utelukkende har som formål å overføre kommunikasjon i et elektronisk nett, eller der det er nødvendig for å levere en informasjonssamfunnstjeneste etter brukers uttrykkelige forespørsel som f.eks. lagre varer i en handlekurv. På samme måte som for GDPR vil brudd på kommunikasjonsforordningens krav om aktivt samtykke kunne resultere i skyhøye bøter. Her er det viktig at virksomhetene faktisk foretar en konkret vurdering av de cookiesene som benyttes på virksomhetens nettsider. Det vil også være hensiktsmessig å oppdatere de eksisterende og ikke gyldige samtykkene som har blitt innhentet basert på et passivt samtykke.

Les også

Videre er min erfaring at svært mange virksomheter ikke er bevisst på at den etterfølgende behandlingen av personopplysninger omfattes av GDPR og at det derfor stilles krav til både behandlingsgrunnlag og informasjon. Dette blir stadig mer aktuelt ettersom dagens markedsføring i økende grad baserer seg på en profilering av brukerne basert på cookies og liknende teknologi. Særlig aktuelt er dette når formålet er å skreddersy markedsføring direkte til enkelte individer gjennom f.eks. Facebook og Google.

[1] Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR, in particular regarding the competance, tasks and powers of data protection authorities, adopted on 12 March 2019.

[2] https://iapp.org/resources/article/ico-and-cnil-revised-cookie-guidelines-convergence-and-divergence/

Kommentarer (7)

Kommentarer (7)
Til toppen