I et innlegg i Finansavisen 14. november kommenterer Thomas Olsen og Tore Ruud fra Advokatfirmaet Simonsen Vogt Wiig høringsrunden til ny ekomlov fra i høst. Kommunal- og moderniseringsdepartementet har foreslått at kravene til samtykke til bruk av cookies og lignende sporingsteknologier må oppfylle samtykkekravene i GDPR, slik som i resten av EU og EØS. Et viktig spørsmål i høringen er om samtykke fortsatt kan innhentes gjennom nettleserinstillinger.
Med dagens tekniske løsninger for nettleserinstillinger, mener Datatilsynet at det i praksis ikke mulig å innhente et gyldig samtykke etter kravene i GDPR på denne måten, blant annet fordi de benytter forhåndsinnstillinger som tillater cookies og at brukeren ikke tar et aktivt valg.
I motsetning til resten av Europa, åpnet Norge i 2013 for at en forhåndsinnstilling i nettleser om at bruker aksepterer cookies kan anses som et samtykke. Hvordan dette kan kalles et samtykke i noen som helst form, er vanskelig å forstå. I stedet for å ta et aktivt valg om man ønsker å bli sporet eller ikke, blir man sporet fra første stund. Norske brukeres personvern blir i realiteten avgjort av forhåndsinnstillinger som utformes av utenlandske teknologiselskaper som Google eller Apple.
Forfatterne tar til orde for at denne «pragmatiske» løsningen bør beholdes, og at vår argumentasjon ikke i tilstrekkelig grad vektlegger brukervennlighet. De trekker blant annet frem at samtykkebokser er plagsomme og skaper «samtykketrøtthet».
Mange av samtykkeboksene man ser på internett i dag er designet for å være nettopp plagsomme og kompliserte i et forsøk på å påvirke brukeren til å trykke ja
Vi er enig i at samtykkebokser ikke er en perfekt løsning, men per i dag finnes det ingen gode alternativer. Som forfatterne nevner, jobbes det med å få til alternative løsninger til samtykkebokser, men vi kan ikke sette personvernet på vent i mellomtiden.
Mange av samtykkeboksene man ser på internett i dag er designet for å være nettopp plagsomme og kompliserte i et forsøk på å påvirke brukeren til å trykke ja. Etter GDPR skal samtykkebokser derimot lages på måter som gir brukerne et reelt valg, og det skal være like lett å si nei som ja. Med et strengere regelverk kan man kontrollere om samtykkeboksene ivaretar disse kravene. At det er mer brukervennlig å spore internettbrukere uten å spørre, er vi uenig i.
Forfatterne mener videre at flere bransjer, og særlig mediebransjen, vil kunne få reduserte annonseinntekter dersom Datatilsynet får gehør. De skriver at man skal være varsom med å pålegge norske virksomheter strengere krav enn det som finnes ellers i Europa.
Vi vil ikke pålegge norske medier eller andre norske virksomheter strengere krav enn ellers i Europa, men ønsker tvert imot at norske virksomheter og andre som sporer norske internettbrukere må forholde seg til de samme kravene som resten av Europa har hatt i nesten ti år.
Dagens særnorske og personvernfiendtlige cookie-regelverk gjelder ikke bare for norske virksomheter. Dette regelverket gjelder på samme måte for Facebook, Google og alle andre som benytter cookies eller lignende sporingsteknologier på internettbrukere i Norge. Det er fritt vilt.
Det er på overtid at vi retter opp feilen fra 2013 og gir internettbrukere i Norge muligheten til å velge om de vil gi sine personopplysninger til kompliserte annonsenettverk bak kulissene som de fleste ikke har forutsetning for å forstå hvordan opererer.
Kristian Bygnes
Juridisk rådgiver i Datatilsynet
Anders S. Obrestad
Seniorrådgiver i Datatilsynet
