Ulovlig bruk av cookies

Flere nettsteder bruker cookies ulovlig, og EUs Datatilsyn slår hardt ned på dette. I Frankrike har tilsynet varslet gebyr på 100 millioner euro til Google for ulovlig sporing med cookies. Hva kan du eller din bedrift gjøre for å bruke cookies lovlig?

SAMTYKKE: Det kreves at brukerne selv skal kunne bestemme om de vil at det brukes cookies. Foto: Dreamstime
Jus

Artikkel av: Advokatfullmektig Cecilia Vinje Hagland,og advokat/partner Magnus Ødegaard, i Bing Hodneland advokatselskap DA

Flere nettsteder bruker cookies ulovlig, og EUs Datatilsyn slår hardt ned på dette. I Frankrike har tilsynet varslet gebyr på 100 millioner euro til Google for ulovlig sporing med cookies. Hva kan du eller din bedrift gjøre for å bruke cookies lovlig?

Cookies

De fleste nettsider bruker cookies. Cookies, eller informasjonskapsler, er en liten datafil som lagres på din datamaskin ved besøk på nettsider. Dette gjør det mulig å få kunnskap om brukere av nettsiden, og kan gi verdifull informasjon som kan brukes til å optimalisere nettsiden.

Ulike typer cookies

Cookies kommer i flere former. Vanligst er cookies som benyttes for å forbedre nettsider. Slike cookies eksisterer for at nettsider kan brukes mer effektivt, og lagrer informasjon om innlogging, bevegelseshistorikk og annen informasjon om hva en bruker foretar seg på nettsiden.

Advokatfullmektig Cecilia Vinje Hagland, Bing Hodneland advokatselskap DA Foto: Selskapet

Cookies kan også benyttes til sporing, slik at markedsføring kan tilpasses direkte til brukere av nettsider. Slike cookies sporer atferden vår på internett, for eksempel om man har søkt på en type flyreise. Du har kanskje lagt merke til at annonser for flyreiser begynner å forfølge deg rundt på nettet?

Dette er fordi denne typen cookies normalt samler inn lokasjonsdata og IP-adresser. Sistnevnte defineres som en personopplysning ved at den kan spores tilbake til en bestemt maskinvare og dermed til en enkeltperson. På denne måten kan aktører benytte slike cookies for målrettet reklame som er svært verdifullt for annonsemarkedet.

Regler om bruk av cookies

Fordi bruken av cookies varierer, reguleres det også av forskjellige lover. Disse regelverkene supplerer hverandre, men oppstiller flere ulike krav til hvordan cookies skal brukes. Det kan derfor være vanskelig og uoversiktlig å vite hvilke krav som gjelder.

Ekomloven og e-privacy direktivet

Ekomloven og e-privacy direktivet styrer hvordan elektronisk kommunikasjon skal foregå. Her reguleres det hva slags informasjon som må gis der cookies benyttes, og det oppstilles et krav om samtykke for slik bruk.

Formålet er å beskytte brukere av ulike nettsider, og gjennom Ekomlovens såkalte «cookieparagraf» oppstilles det flere krav for at cookies lovlig skal kunne benyttes.

Dersom det skal kunne benyttes cookies, må brukeren få informasjon på nettstedet om:

· de cookies som benyttes

· hva slags opplysninger som behandles, og hvorfor disse behandles gjennom cookies

· hvem som behandler opplysningene.

Informasjonskravet oppfylles enklest ved en «pop-up» eller tekstboks på nettsiden, som synliggjør informasjonen man er pålagt å gi. Det er derfor du gjentatte ganger må trykke deg forbi pop-ups og andre samtykkebokser for å få tilgang til innholdet på siden.

For å forhindre bøter fra NKOM, som fører tilsyn ved bruk av cookies, er det likevel ikke bare kravet til klar og tydelig informasjon som må oppfylles. I tillegg er det kun tillatt med cookies der brukeren samtykker til dette.

Samtykke til bruk av cookies

Samtykke kan gis ved at bruker av nettsiden huker av en boks, eller foreløpig, gjennom forhåndsinnstillinger på brukerens nettleser om at bruker aksepterer cookies. Sistnevnte forutsetter imidlertid at cookies som benyttes ikke samler inn personopplysninger om brukere, og vil trolig endres snart som følge av strengere krav i EU.

Der cookies behandler personopplysninger, må innehaver av nettstedet som bruker slike cookies oppfylle kravene i GDPR (General Data Protection Regulation). Hvis man ikke gjør det, kan Datatilsynet gi høye gebyrer for overtredelser av personvernreglene.

GDPR

Der cookies samler inn personopplysninger, gjelder GDPR i tillegg til Ekomloven. Da stilles det strengere krav til samtykket som skal avgis.

Hovedregelen for samtykke etter GDPR er at det skal gis en frivillig, spesifikk, informert og utvetydig viljeserklæring. Dette er ikke oppfylt dersom innstillingene på forhånd er satt slik at brukeren aksepterer cookies, heller ikke ved passivitet eller forhåndsavhukede bokser.

Der cookies samler inn personopplysninger om brukere må man derfor forsikre seg om å oppfylle kravene i GDPR, og gjør man ikke dette kan Datatilsynet som fører tilsyn med GDPR, gi potensielt store bøter.

Samtykke etter GDPR

GDPR krever at brukerne selv krysser av om de vil samtykke til at det brukes cookies. Det skal være mulig å benytte nettsiden selv om brukeren velger å ikke samtykke til slik bruk.

Dersom brukeren samtykker til cookies, skal dette kunne dokumenteres og det skal i tillegg være mulig å trekke tilbake dette samtykket.

I tillegg skal det gis informasjon. Informasjonen overlapper til dels med informasjonskravet etter Ekomloven, men GDPR krever i tillegg at det gis en del opplysninger:

·det skal opplyses om hvilke formål cookies benyttes, for eksempel om informasjonen som samles inn brukes til statistikk eller markedsføring

·det skal være klart for brukeren om opplysningene om hvilken hjemmeside du har besøkt eller hvilken IP-adresse du har, deles med andre og hvem dette i så fall er

·Brukeren skal få informasjon om hvor lenge det tas vare på cookies

·Det skal gis informasjon om man er behandlingsansvarlig eller felles behandlingsansvarlig

·At samtykket når som helst kan trekkes tilbake, og hvordan dette gjøres

Informasjonen skal være lett tilgjengelig på nettsiden, gjerne gjennom en egen cookieerklæring.

Hva kan man gjøre for å behandle cookies lovlig?

Nettsider bør gjennomgås og det bør undersøkes hvilke cookies som benyttes, og om det i det hele tatt er grunnlag for å bruke disse.

Det bør i tillegg undersøkes om cookies som brukes kun samler inn opplysninger som optimaliserer nettsiden, eller om det også behandles personopplysninger som IP-adresse. Dette kan være vanskelig i praksis, og som hovedregel bør man derfor alltid sørge for at samtykket brukeren avgir er i tråd med GDPR.

Dette samsvarer også best med utviklingen i EU, hvor det kan se ut til at det oppstilles strenge krav til samtykke, selv der det ikke behandles personopplysninger. For å være på den sikre siden med tanke på risiko for høye bøter fra datatilsynet bør man sørge for at kravene i GDPR er oppfylt - også når man bestemmer hvilke cookies som skal plasseres på eget nettsted, hvordan man informerer om disse, og hvilke cookies man trenger samtykke fra de besøkende til for at de skal brukes.

Bekymret?

Fortvil ikke!

Aktører som Google jobber med ny teknologi som skal forhindre at brukere spores. Det kan derfor synes som at cookies sin æra på hjemmesider snart er over.

I EU jobbes det i tillegg med å oppdatere e-privacy direktivet, slik at det skal gis enklere regler for å forhindre mengder med pop-ups og tungvinte samtykkeforespørsler. De nye reglene tar sikte på å være mer brukervennlige, slik at man ved et enkelt tastetrykk skal godta eller avvise cookies som behandler personopplysninger.

Trolig vil man derfor i fremtiden ikke lenger måtte trykke seg gjennom nye samtykkebokser på hvert enkelt nettsted, men inntil dette regelverket er på plass vil man fortsatt måtte tilpasse bruken av cookies etter de gjeldende krav.

Artikkelen er skrevet av advokatfullmektigCecilia Vinje Hagland, og advokat/partner Magnus Ødegaard, Bing Hodneland advokatselskap DA.