Ny dom om cookies fra EU-domstolen – strengere samtykkekrav

Advokatfullmektig Grete Eline Brunsvig, Bing Hodneland advokatselskap DA Foto: Bing Hodneland advokatselskap DA

Ny avgjørelse fra EU – samme samtykkekrav som etter GDPR. Flere nettsteder bruker cookies ulovlig.

Av: advokatfullmektig Grete Eline Brunsvig og advokat/partner Magnus Ødegaard, Bing Hodneland advokatselskap i Bing Hodneland advokatselskap DA.

Har du irritert deg over alle nettstedene som krever at du trykker deg forbi en cookies-banner eller pop-up før du får tilgang til innholdet på siden? Eller har du eller din bedrift et nettsted som bruker cookies hvor dere er usikre på om dere bruker cookies lovlig?

Advokatfullmektig Grete Eline Brunsvig, Bing Hodneland advokatselskap DA Foto: Bing Hodneland advokatselskap DA

EU har gitt regler i form av direktiv og forordning som regulerer cookies, herunder informasjonskrav og samtykkekrav, og i Norge har vi implementert disse reglene i forskjellige lover. I bransjen har det vært usikkert hvilke krav som gjelder for bruk av cookies på nettsteder.

Den 1. oktober 2019 ga EU-domstolen i Planet49-saken bransjen mange svar.

Den viktigste avklaringen dommen gir oss er at nettsteder i EU må innhente et aktivt samtykke fra sluttbrukere for å kunne bruke cookies lovlig. Domstolen stilte svært strenge krav til slikt samtykke siden samtykkekravene ble likestilt med kravene til samtykke etter GDPR. Dette sammenfaller med en uttalelse fra Personvernrådet fra mars 2019.

Hvorfor er cookies så viktig?

Cookies kan brukes for å spore sluttbrukerens aktiviteter på nettet. Noen ganger er dette nyttig, som for eksempel for å lagre innloggingsdetaljer eller huske hvilke varer sluttbrukeren har lagt i handlekurven i nettbutikken. Andre ganger brukes de til sporing som ikke er like nyttig for sluttbrukeren, for eksempel for å tilpasse markedsføring mot sluttbrukeren.

Cookies er veldig viktig for annonsemarkedet. Et eksempel er hvis en sluttbruker har søkt på nettet etter en ny TV, får sluttbrukeren plutselig en masse reklame for TV-er på forskjellige nettsteder som oppsøkes.

Sluttbrukere utsettes for markedsføring som forutsetter at markedsførerne har inngående innsikt i sluttbrukernes vaner, interesser, smak og kontaktnett for å treffe best mulig. Dette kaller Datatilsynet i en rapport fra november 2015 for «det store datakappløpet».

I rapporten fra Datatilsynet fremgår det at i gjennomsnitt 43 ulike selskap er inne på norske nettaviser og registrerer hva sluttbrukerne gjør, og mellom 100 og 200 cookies ble plassert på sluttbrukerens nettleser ved besøk på forsiden til seks norske nettaviser.

Hva er problemet?

Utgangspunktet har lenge vært at det kreves samtykke for bruk av cookies. Problemet er at det har vært usikkert hva som er kravene til hvordan samtykket skal se ut og når det skal brukes.

I Norge er cookies regulert i ekomloven fra 2003, basert på ePrivacy direktivet fra 2002.

Det er noen nyanser i bestemmelsene mellom direktivet og ekomloven. Likevel er hovedregelen i begge regelverk det samme: Det kreves samtykke fra sluttbrukeren for at cookies skal benyttes på sluttbrukerens brukeratferd mv. Det kreves ikke samtykke dersom slike cookies utelukkende har til formål å overføre elektronisk kommunikasjon, eller hvis de er nødvendige for å levere en internettjeneste sluttbrukeren uttrykkelig har forespurt.

I fjor trådte GDPR i kraft. GDPR er en generell lov som regulerer behandling av personopplysninger. EU planla opprinnelig å oppdatere ePrivacy regelverket samtidig med GDPR slik at en ny ePrivacy forordning skulle tre i kraft samtidig med GDPR. EU er fortsatt ikke vedtatt en slik ePrivacy-forordning som ville ha oppdatert reglene om cookies. Dette har medført at EU-domstolen måtte tolke eldre lovgivning i lys av nyere problemstillinger og GDPR.

Planet49-saken

Planet49 arrangerte en lotterikonkurranse på en nettsted i Tyskland der sluttbrukere kunne vinne en Mac.

For å delta i lotteriet måtte sluttbrukeren samtykke til å bli kontaktet av tredjeparter med markedsføringsformål – og slik samtykkeboks var tom. Dette samtykket ble ikke behandlet av EU-domstolen slik at GDPRs samtykkekrav ikke ble ytterligere klargjort. Generaladvokaten uttalte i mars 2019 at slikt samtykke trolig er ulovlig fordi det er satt som vilkår for å delta i en konkurranse.

I tillegg kunne sluttbrukeren velge å samtykke til cookies som sporet sluttbrukerens aktivitet på nett med det formål å tilpasse markedsføring. Denne andre samtykkeboksen var allerede huket av som «akseptert», men var ikke et vilkår for å delta i konkurransen. Det er dette cookies-samtykket som EU-domstolen behandlet.

Klargjøring av samtykkekravet

EU-domstolen kom frem til at cookie-samtykket ikke var et gyldig samtykke.

I dommen ble det bl.a. vist til ordlyden i ePrivacy direktivet og GDPR. Det ble uttalt at forhåndsavhukede bokser ikke er et gyldig samtykke for cookies fordi det ikke anses som en aktiv handling fra sluttbrukeren. Det forhold at sluttbrukeren selv hadde valgt å delta i konkurransen, var heller ikke å anse som et gyldig samtykke til cookies.

GDPR er kjent for å stille strengere krav til samtykke enn tidligere regelverk. EU-domstolen uttalte at det er uten betydning hvorvidt cookies innebærer en behandling av personopplysninger eller ikke – det vil fortsatt gjelde samme krav til samtykke for cookies om slike cookies behandler personopplysninger eller kun data, og kravene til samtykke må følge samtykkekravene etter GDPR.

Denne tolkningen medfører at mange nettsteder i EU i dag bryter loven. Mange nettsteder har forhåndsavhukede samtykkebokser, mens andre nettsteder kun informerer om at nettstedet bruker cookies uten å be om samtykke på noen måte.

Klargjøring av informasjonsplikten

I tillegg påpekte EU-domstolen at det uansett gjelder en informasjonsplikt for nettstedet som bruker cookies. Nettstedet må informere om mer enn bare at nettstedet har visse cookies og hva som er formålet med disse.

EU-domstolen sa at nettstedet også må informere sluttbrukerne om varigheten av cookies og om tredjeparter kan få tilgang til dem. GDPR krever uansett at informasjon om behandling av personopplysninger fremstilles til sluttbrukeren på en åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk.

Mildere regler for cookies i Norge

I Norge er det først og fremst ekomloven som gjelder for cookies. Forarbeidene til ekomloven stadfester at nettleserinnstillinger hos sluttbrukeren holder som samtykke fra sluttbrukeren for cookies fra nettsteder. Samme regel var også opprinnelig foreslått i utkast til ny forordning om ePrivacy slik at sluttbrukerne skulle slippe å samtykke til noe nytt på hvert nettsted.

Per dags dato omtaler norske tilsynsmyndighetene reglene for cookies forskjellig. NKOM forklarer på sitt nettsted bruk av cookies kun etter ekomloven. Datatilsynet har derimot valgt å rette seg etter Personvernrådets og EU-domstolens tolkning fra 2019.

Dersom du har et nettsted i Norge, er det lurt å tilpasse bruk av cookies etter gjeldende krav i EU. Samtykkekrav etter ekomloven vil trolig endres i samme retning. I Norge er i praksis informasjonskravene om cookies de samme som i EU.

Fakta om cookies

Cookies: En cookie (en informasjonskapsel) er tekstfiler som leverandør av en nettsted kan lagre på sluttbrukerens enhet (mobil, nettbrett, datamaskin o.l.) som nettsideleverandøren kan få tilgang til igjen senere når sluttbrukeren besøker nettsiden på nytt, f.eks. for forenkle navigering på nettsiden, forenkle transaksjoner eller få tilgang til sluttbrukerens brukeratferd.

Datatilsynet: Norsk tilsynsmyndighet for personvern og GDPR.

Direktiv: En EU-rettsakt (en slags EU-lov) hvor EU-land innen en gitt tidsfrist er pålagt å innføre den nasjonale lovgivning som er nødvendig for å oppfylle direktivets intensjon.

Ekomloven: Norsk lov fra 2003 som regulerer elektronisk kommunikasjon. Lovens § 2-7b oppstiller hovedregelen om samtykke og gjør unntak for visse type cookies.

ePrivacy direktivet: Gjeldende direktiv fra EU 2002, sist oppdatert i 2009, som blant annet regulerer bruk av cookies i EU.

Forordning: En EU-rettsakt (en slags EU-lov) som, i motsetning til et direktiv, er direkte anvendelig i EU-landene straks forordningen trer i kraft. En forordning får først direkte virkning som norsk rett når den tas inn som en rettsakt gjennom EØS-avtalen.

EU-domstolen: EUs egen domstol i Luxembourg som uttaler seg om spørsmål knyttet til EU-regelverket. Høyesterett i EU-land kan henvise konkrete spørsmål til EU-domstolen for rådgivning før de selv fatter en dom i saken. EU-domstolens avgjørelser får betydning for tolkning av EU-retten, og dermed også norsk rett.

GDPR: EUs Generelle personvernforordning fra 2016 som trådte i kraft i EU 25. mai 2018 og i Norge 20. juli 2018. GDPR gjelder som norsk lov gjennom personopplysningsloven.

NKOM: Nasjonal kommunikasjonsmyndighet, norsk tilsynsmyndighet for post og televerk og kompetent fagmyndighet for ekomloven.

Personvernrådet: EDPB (European Data Protection Board, tidligere kalt Atikkel29-gruppen) er et EU-organ som består av ett medlem fra hvert EU-lands datatilsyn. EDPB uttaler seg om tolkning av EUs personvernlovgivning.

Artikkelen er skrevet av advokatfullmektig Grete Eline Brunsvig og advokat/partner Magnus Ødegaard, Bing Hodneland advokatselskap DA.


Les også