Hvilke krav stilles for å bruke cookies på nettsider?

Nytt lovforslag 1. mars klargjør kravene til cookies.

Advokat Magnus Ødegaard, partner i Bing Hodneland advokatselskap DA: Foto: Selskapet
Politikk

Artikkel av: advokat Magnus Ødegaard, partner i Bing Hodneland advokatselskap DA.Hva er en cookie?Med «cookie» menes en liten datamengde som den som surfer på Internett, kan motta fra ulike nettsider som besøkes. Slike datamengder lagres som en fil lokalt på brukerens harddisk.Utgangspunktet er at slike cookies er tillatt.•Det er som regel ønskelig at nettleseren skal kunne huske hvilke nettsteder brukeren har besøkt tidligere. Et annet eksempel er at brukernavn og passord i kryptert form lagres i cookie-filen som oversendes nettsiden ved påfølgende besøk. På den måten er det ikke nødvendig å registrere informasjonen mer enn én gang. Et tredje eksempel er at cookies brukes for å håndtere brukerens elektroniske handlekurv.•Siden slike filer inneholder mye informasjon om brukerens surfevaner og andre gjøremål på nettet, er slik informasjon kommersielt interessant. Et eksempel er at Facebook ved hjelp av slike data kan sette samme reklameannonser tilpasset interessene brukervanene har avslørt. Årsaken er at noen nettsider har flere cookies - både cookie om bruken som går til selve nettsiden og cookie som går til nettsidens annonsører. Sistnevnte bruk er det mange som ikke ønsker.•I tillegg kan cookies også misbrukes, f.eks. av spionprogrammer.Nettlesere og brannmurer kan innstilles til ikke å godta cookies. Et eksempel er nettleseren Explorer hvor brukeren ved å trykke Verktøy (tannhjul-symbolet) og Personvern bl.a. kan velge mellom Blokkere alle cookies, høy, middels og lav sikkerhet til Godta all bruk av cookies.Nytt lovforslag 1. mars 2013 for cookiesSamferdselsdepartementet sendte 1. mars ut et lovforslag som innebærer flere endringer i ekomloven. En av disse endringene gjelder cookies.Lovforslaget er ikke til hinder for teknisk lagring av eller adgang til opplysninger utelukkende for det formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett som er nødvendig for å levere en informasjonssamfunnstjeneste etter brukerens uttrykkelige forespørsel. Departementet uttaler at hva som er nødvendig, må vurderes konkret og vurderes i lys av den teknologiske utviklingen.Ut over dette må cookies oppfylle visse krav for å være lovlig:«Lagring av opplysninger i brukers kommunikasjonsutstyr, eller å skaffe seg adgang til slike, er ikke tillatt uten at brukeren er informert om hvilke opplysninger som behandles, formålet med behandlingen, hvem som behandler opplysningene, og har samtykket til dette».Hva anser departementet som tilstrekkelig for at en sluttbruker har gitt slikt samtykke? Det anses tilstrekkelig å samtykke en gang for samme formål. Brukeren skal gis mulighet for å trekke tilbake sitt samtykke.Informasjonen på nettstedet som bruker cookies, må ha klar og tydelig informasjon om hvilke teknikker som brukes, hvilke opplysninger som behandles, hvem som behandler disse og hva formålet med behandlingen er.Departementet uttaler at også en forhåndsinnstilling i nettleseren om at brukeren godtar cookies, anses å utgjøre et samtykke forutsatt informasjonen på nettstedet er så klart og tydelig. På den annen side kan også en innstilling i nettleseren brukes for å dokumentere at brukeren ikke har gitt samtykke.Dette lovforslaget gjelder uavhengig av om opplysningene inneholder personopplysninger eller ikke. Innholdet i kravet til samtykke vil av praktiske grunner ikke være sammenfallende med samtykkekravet i personopplysningsloven.Hvem får ansvaret for å oppdatere nettsidene med informasjon om bruk av cookies?Det er den som bestemmer midler og formål for lagring eller henting av informasjon ved hjelp av cookies, som omfattes av lovforslaget. Lovforslaget vil derfor medføre konsekvenser for de som er ansvarlige for et nettsted hvor cookies benyttes.Dersom dette lovforslaget trer i kraft, må nettsidene oppdateres eller endres for å oppfylle forslagets krav. I praksis er det selskapet eller virksomheten som står ansvarlig for et nettsted, som får ansvaret for å oppdatere informasjonen om selskapets/virksomhetens bruk av cookies på eget nettsted.Departementet påpeker i lovforslaget at private nettsider som genererer mye trafikk og hvor tredjeparts applikasjon brukes for å publisere reklame, kan kreve at slik tredjepart presenterer nødvendig informasjon sammen med reklamen. Dette betyr at en blogger kan kreve at annonsøren på sin blogg, oppdaterer bloggsiden om bruk av cookies.Cookies kan inneholde personopplysninger Siden en cookie kan inneholde opplysninger som direkte eller indirekte kan knyttes til en identifiserbar enkeltperson, må slike cookies også håndteres i henhold til personopplysningslovens krav. Dette ble bl.a. fastslått av Datatilsynet som i januar 2013 vurderte Skattedirektoratets bruk av Google analytics - et populært analyseverktøy som inneholder cookies for å måle bruken av et nettsted:Datatilsynet påpekte at cookies som lagrer IP-adresser til brukerne, må følge grunnkravene i personopplysningsloven. Dette medfører tilleggskrav for de som pålegges plikter etter personopplysningsloven. Tilleggskravene (grunnkravene) medfører at den behandlingsansvarlige skal sørge for at personopplysningene som behandles,1.bare behandles når dette er tillatt (lovhjemmel eller med samtykke fra den registrerte til slik behandling, mens noe strengere krav for sensitive personopplysninger),2.bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet,3.ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker,4.er tilstrekkelige og relevante for formålet med behandlingen, og5.er korrekte og oppdatert, og ikke lagres lenger enn det som nødvendig ut fra formålet med behandlingen.Videre uttalte Datatilsynet at alle grunnkravene som angitt ovenfor, må være oppfylt samtidig for at en lovlig behandling av personopplysninger skal kunne finne sted. Datatilsynet understreket at de ulike behandlingsmåtene - innsamlingen, registreringen og lagringen - må vurderes hver for seg.Deretter foretok Datatilsynet en konkret vurdering:•Datatilsynet påpekte at informasjonen som gis til brukerne om innsamlingen, kunne være i strid med personopplysningsloven siden informasjonen var dels motstridende og dels uklar.•Det er Skattedirektoratet som har ansvaret for at personopplysningene ikke lagres lenger enn nødvendig. Siden anonymiseringen ikke skjer før etter opplysningene er sendt til Google i USA, presiserte Datatilsynet at Skattedirektoratet må påse og dokumentere at anonymiseringen skjer så snart det anførte formålet med behandlingen er oppfylt.•Googles retningslinjer for personvern fremstår som om Google ønsker å behandle innsamlede personopplysninger til egne formål. Datatilsynet kunne ikke se at det forelå noe rettslig grunnlag for en slik utlevering til Google, med mindre den registrertes informerte forhåndssamtykke var innhentet. Datatilsynet påpekte at det er Skattedirektoratets juridiske ansvar å godtgjøre at et slikt grunnlag foreligger.Oppsummering Det er positivt at lovgiver klargjør rettstilstanden og åpner for den typen bruk av cookies som er kommersielt ønskelig og normalt akseptabelt for brukere av Internett.Departementets presisering av samtykkekravet medfører en oppfordring til alle brukere om å passe på innstillingene for cookies i sin nettleser. Dersom sikkerheten i nettleseren endres fra «middels» til «høy», vil brukeren få beskjed når f.eks. e-postløsningen Gmail fra Google og andre tredjeparts applikasjoner ikke lenger fungerer etter slik endring. I praksis vil derfor de fleste brukere ikke stille nettleseren til «Blokkering av cookies» eller «høy sikkerhet». Dette kan tilsi at innstillingen «middels sikkerhet» vil tolkes som at brukeren ikke har akseptert cookies som brukes for å tilby brukeren skreddersydd annonsering.Lovforslaget innebærer større krav til informasjon på nettsider som inneholder cookies, og dette er andre krav enn det personopplysningsloven oppstiller for bruk av cookies når personopplysninger behandles.Artikkelen er skrevet av advokat Magnus Ødegaard, partner i Bing Hodneland advokatselskap DA.

Nyheter
Teknologi