Den nylig avsagte EU-dommen Planet49 slår blant annet fast at et samtykke til bruk av informasjonskapsler må være aktivt, slik GDPR krever. Videre må informasjonen om hvordan cookiene fungerer være så god at den gjennomsnittlige brukeren kan forstå konsekvensene og resultatet av sitt samtykke.
Den norske ekomloven som regulerer plassering og lagring av cookies bygger på EUs kommunikasjonsverndirektiv (2002/58/EF). Derfor må den norske lovgivningen forholde seg til EU-domstolens rettspraksis der denne presiserer hvordan EU-lovgivningen skal forstås.
Planet49-dommens konklusjon er imidlertid i sterk kontrast med de norske forarbeidene til ekomloven som eksplisitt uttrykker at «kravet til samtykke er av praktiske årsaker ikke sammenfallende med krav til samtykke etter personopplysningsloven».
I tråd med forarbeidenes uttalelse har samtykker blitt ansett som gyldig så lenge de er innhentet via en teknisk innstilling eller forhåndsinnstilling i nettleser. Forutsetningen var at nettsiden som benyttet seg av cookies ga nærmere informasjon om bruken av cookies i en cookie- eller personvernerklæring.
Etter domsavsigelsen har flere advokater tatt til orde for at nettsider med fordel kan vente med å forholde seg til skjerpingen av samtykkekravet så lenge Nasjonal kommunikasjonsmyndighet (Nkom), ikke har foretatt seg noe. Hvor aktivt bedrifter ønsker å forholde seg til innskjerpingen av samtykkekravet for cookies vil selvfølgelig være en kommersiell avgjørelse som hver enkelt virksomhet må ta.
Å benytte Nkom som en hvilepute vil imidlertid mest sannsynlig være en kortvarig «løsning». Nkom har i kjølvannet av Planet49-dommen allerede uttalt at de har startet sin vurdering av behov for nye presiseringer av den norske ekomloven.
Årsaken til den manglende etterlevelsen kan skyldes manglende kunnskap
Etterfølgende behandling av cookies med personopplysninger reguleres av GDPR og ikke ekomloven. Erfaringsmessig gis det imidlertid sjeldent informasjon eller innhentes samtykke ved markedsføring på for eksempel Facebook, til tross for at nettsidens markedsføring baserer seg på profilering av brukernes personopplysninger innhentet gjennom cookies og liknende teknologier.
Årsaken til den manglende etterlevelsen kan skyldes manglende kunnskap, eller at nettsider sliter med å innhente nødvendig samtykke, samtidig som konkurrenter ikke følger reglene.
Det vil kunne oppleves invaderende dersom en analyse av brukerens søkehistorikk og «likes» benyttes, uten at brukeren er informert
Selv om samtykketrøtthet hos brukerne kan medføre at «popups» trykkes vekk, eller ignoreres uten at innholdet blir lest, er verden gjennom personvernskandaler som eksempelvis Cambridge Analytica blitt mer bevisst på hvordan personopplysninger kan misbrukes på en skremmende måte.
Det vil kunne oppleves invaderende dersom en analyse av brukerens søkehistorikk og «likes» benyttes, uten at brukeren er informert eller har samtykket til dette, for å manipulere brukernes adferd ved å spille på brukernes usikkerheter og følelser. Åpenhet og valgmuligheter for brukerne kan derfor bidra til å gi virksomhetene troverdighet og et konkurransefortrinn.
Det engelske datatilsynet har nå gitt uttrykk for at tilsyn knyttet til cookies vil bli prioritert fremover. Tilsynet ber derfor borgerne sine om å melde inn hendelser. Et liknende fokus vil trolig også komme til Norge.
Sett i lys av utviklingen vi ser i EU, i tillegg til Nkoms snarlige oppfølging av EU-domstolens rettspraksis, kan det allerede nå være lurt for nettsteder som benytter seg av cookies å vurdere hvorvidt det faktisk er behov for å innhente samtykke fra brukerne, samt oppdatere måten de gir informasjon og innhenter samtykker på.
Christine Stousland
Advokat i Bull & Co Advokatfirma