EU-domstolen presiserer samtykkekrav til cookies

Cookies har den siste tiden skapt hodebry og irritasjon for mange, både de som skal forholde seg til et uharmonisert regelverk, og de som daglig trykker vekk pop-ups mens de surfer på nettet. EU-domstolen har nå kommet med flere viktige avklaringer, som vil ha betydning for de fleste som drifter nettsider i EU/EØS.

For mange er nok GDPR mest evinnelige popups med personvernerklæringer som må godkjennes – enten man leser dem eller ikke.
For mange er nok GDPR mest evinnelige popups med personvernerklæringer som må godkjennes – enten man leser dem eller ikke. (Foto: Eirik Tangeraas Lygre)

Cookies har den siste tiden skapt hodebry og irritasjon for mange, både de som skal forholde seg til et uharmonisert regelverk, og de som daglig trykker vekk pop-ups mens de surfer på nettet. EU-domstolen har nå kommet med flere viktige avklaringer, som vil ha betydning for de fleste som drifter nettsider i EU/EØS.

  • Advokatfullmektigene Christian Werner Skovly og Jarle Langeland, Advokatfirmaet Føyen Torkildsen AS
Advokatfullmektigene Christian Werner Skovly og Jarle Langeland, Advokatfirmaet Føyen Torkildsen AS.
Advokatfullmektigene Christian Werner Skovly og Jarle Langeland, Advokatfirmaet Føyen Torkildsen AS Foto: Erik Buraas / STUDIO B13

EU-domstolen har avsagt dom i saken Planet49. Planet49 arrangerte en konkurranse på internett hvor man kunne vinne en Mac. For å delta måtte brukeren fylle inn personalia og ta stilling til to sjekkbokser, hvorav den første måtte aksepteres for å kunne delta i konkurransen.

Den første sjekkboksen bad om aksept for å bli kontaktet av markedsføringspartnere av Planet 49 – opptil 30 stykker. Den andre sjekkboksen bad om at flere cookies ble plassert på brukerens maskin, slik at Planet49 kunne monitorere brukerens atferd på samarbeidspartnernes netssider, med det formål å rette tilpasset markedsføring mot brukeren.

I den første sjekkboksen måtte brukeren aktivt krysse av for å akseptere, mens den andre sjekkboksen var forhåndsutfylt som standard. For å ikke motta cookies måtte brukeren altså aktivt fjerne avkrysningen i den andre sjekkboksen.

EU-domstolen fikk forelagt flere spørsmål. For det første om en slik forhåndsavkrysset sjekkboks var tilstrekkelig samtykke etter kommunikasjonsverndirektivets regulering av cookies. For det andre var spørsmålet om dette skal forstås annerledes dersom cookie-bruken medfører behandling av personopplysninger. For det tredje om man ved bruk av cookies må opplyse om hvor lenge cookien forblir lagret, og om tredjeparter har tilgang til den.

EU-domstolens konklusjoner: EU-domstolen setter likhetstegn mellom kravene til samtykke etter kommunikasjonsverndirektivet (herunder cookiebestemmelsen) og etter personvernforordningen (GDPR). Samtykke til å plassere cookies skal dermed være frivillig, spesifikt, informert og utvetydig, jf. GDPR artikkel 4 (11). 

EU-domstolen presiserer at forhåndsavkryssede bokser ikke vil oppfylle kravene til samtykke, noe som vi nå har fått en uttrykkelig avklaring på. At brukeren selv aktivt valgte å delta i konkurransen ved å trykke på en knapp ved innsendelsen av svarene var i seg selv ikke tilstrekkelig, slik Planet49 hevdet.

Kommunikasjonsverndirektivets krav til samtykke gjelder uavhengig av om det behandles personopplysninger eller ikke, men har unntak for cookies som er strengt nødvendige for å levere nettjenesten. EU-domstolen slår fast at samtykkekravet for å sette cookies er likt enten det behandles personopplysninger eller ikke. 

Domstolen bekreftet også at det må gis informasjon til brukerne om lagringstid for cookien, og om tredjeparter har tilgang til informasjonen som er lagret i den.

Les også

I EU-landene får domstolens tolkning direkte virkning. Nettsideeiere i EU som bruker såkalte cookie-walls eller -popups, hvor man aktivt må fjerne avkrysning til cookies, lever farlig. Det samme gjør for øvrig EU-domstolen selv, som på sine egne nettsider har lagt opp til en slik løsning. 

Betydning for Norge: I Norge, hvor cookie-bestemmelsen er implementert gjennom lov om elektronisk kommunikasjon, har myndighetene til nå lagt til grunn at samtykke til cookies kan gis “gjennom innstillinger i nettleseren”. Både lovens forarbeider og Nkoms veiledning presiserer dette. Det vil si at hvis man ikke har skrudd av cookies i for eksempel Chrome eller Firefox, anses det som et samtykke når man besøker nettsider som setter cookies.

En utstrakt bruk av unike identifikatorer medfører imidlertid at det ofte behandles personopplysninger ved hjelp av cookies, og man må da uansett forholde seg til personopplysningsloven og GDPR. Her kreves det et behandlingsgrunnlag, hvor ett av de mulige behandlingsgrunnlagene er nettopp samtykke.

Les også

EU-domstolens avgjørelse har ikke direkte virkning i norsk rett. Det er imidlertid mye som tyder på at etablert praksis i Norge ikke lenger vil ses på som en riktig implementering av kommunikasjonsverndirektivet. Norge som stat kan dermed i teorien tas inn for EU-domstolen med påstand om traktatbrudd. Dette er en lang vei å gå, og vi antar at Kommunal- og moderniseringsdepartementet og Nkom før den tid vil komme med en presisering av hvordan den norske bestemmelsen skal praktiseres etter dommen.

Kommentarer (10)

Kommentarer (10)
Til toppen