Behov for revisjon av cookie-bruk
Av Christine Stousland
Det er to gode grunner til at din bedrift bør gjennomføre en revisjon av eksisterende og planlagt bruk av cookies:
- I henhold til en nylig avsagt EU-dom er samtykke- og informasjonskravet til plassering og lagring av cookies mye strengere enn slik det per i dag er regulert i Norge.
- Datatilsynene i Europa har gitt uttrykk for at de fremover vil ha større fokus på hvordan virksomheter behandler personopplysninger som er innhentet ved hjelp av cookies.
Skjerpet cookie-krav
Det har vært usikkerhet om hvilke krav som stilles til samtykke for nettsider som bruker cookies. Må det f.eks. innhentes via pop-up vinduer?
I Norge reguleres cookies av ekomloven. Ekomloven bygger på det felles europeiske kommunikasjonsverndirektivet (2002/58/EF). Siden ekomloven er basert på et EU-direktiv er EU-domstolens praksis relevant for hvordan vi skal forstå loven.
Den 1. oktober 2019 avsa EU-domstolen den såkalte Planet49-dommen. Dommen fastslår at et samtykke til bruk av informasjonskapsler må være aktivt, på samme måte som GDPR krever. Samtykker innhentet ved forhåndsutfylte samtykke-bokser eller nettleserinnstillinger er med andre ord ikke lengre ansett som gyldige samtykker til bruk av informasjonskapsler.
Videre stiller domstolen krav om at informasjonen om hvordan cookiesene fungerer må være så god at den gjennomsnittlige brukeren kan forstå konsekvensene og resultatet av å samtykke. Dette innebærer at det må gis tydelig informasjon om blant annet hvor lenge informasjonskapslene lagres og om de deles med tredjeparter. EU-domstolen gir med dette uttrykk for at det ikke vil være anledning å anta at den gjennomsnittlige europeiske forbruker har noen inngående kunnskap om hvordan cookies fungerer.
EU-domstolens konklusjon om krav til aktivt samtykke avviker fra den norske rådende tolkningen av ekomlovens forarbeider. Av den grunn er det derfor nærliggende å tro at norsk rett vil måtte stramme inn sin tidligere tolkning av ekomloven slik at denne samsvarer med EU-domstolens rettspraksis og presiseringer. Denne problemstillingen er allerede nå under behandling av Nasjonal kommunikasjonsmyndighet (NKOM, den kompetente fagmyndighet for dagens cookie-bestemmelse).
Større fokus på forholdet mellom cookies og GDPR
Bruken av personopplysninger innhentet gjennom cookies og liknende teknologier har blitt stadig mer vanlig i forbindelse med markedsføring gjennom f.eks. Facebook. Det har likevel lenge vært mye usikkerhet knyttet til hvordan GDPR påvirker den etterfølgende bruken av personopplysninger som er innhentet ved hjelp av cookies. Informasjon om de rettslige rammene for en slik bruk har heller ikke vært lett tilgjengelig for nettsideeierne. Det siste året har det imidlertid skjedd en betydelig utvikling på dette området og de europeiske datatilsynene har etter hvert gitt uttrykk for at dette vil være et prioritert fokusområde fremover.
I mars 2019 klargjorde det europeiske personvernrådet at etterfølgende behandling av personopplysninger innhentet ved hjelp av cookies reguleres av GDPR og ikke cookie-lovgivningen (ekomloven). Videre har EU-domstolen i Facebook-administratordommen presisert at det skal svært lite til før en nettsideeier eller administrator på en fanside på Facebook kan holdes ansvarlig for manglende behandlingsgrunnlag og informasjon.
Brudd på GDPR kan som kjent resultere i skyhøye bøter, og det er datatilsynene som har tilsynsansvaret for at behandlingen av personopplysninger blant annet har et lovlig grunnlag (behandlingsgrunnlag) og at det gis tilstrekkelig informasjon om behandlingen. Likevel ser vi at svært få nettsider gir informasjon eller innhenter samtykke fra nettsidens besøkende om at handlemønsteret til de besøkende blir registrert og videreformidlet til markedsføringsplattformer som f.eks. Facebook og Google.
Den generelle tendensen i Europa tilsier imidlertid at det det vil bli stadig større fokus på personvern knyttet til cookie-bruk. Det tyske datatilsynet har i en pressemelding datert 14. november 2019 uttalt at de fleste cookie-bannere ikke oppfyller lovkravet og at nettsideeiere bør skynde seg med en gjennomgang av hvilke cookies som brukes og hvordan lovkravene etterleves.
På samme måte har det engelske datatilsynet også gitt uttrykk for at tilsyn knyttet til cookies vil bli prioritert fremover. Tilsynet oppfordrer derfor borgerne sine om å melde inn hendelser eller cookie-relaterte bekymringer i egne rapporteringsskjemaer. I tillegg fører de egen statistikk på klager som omfatter bruk av cookies. Et liknende fokus vil trolig også komme til Norge.
Revisjons-sjekkliste for bruk av cookies
Under har vi listet opp en del sjekkpunkter som virksomheter bør gjennomgå for å sikre etterlevelse av dagens cookie-krav:
☐ Vi vet hvilke cookies som vi bruker og har planer om å bruke på våre nettsider.
☐ Vi vet om cookiesene vi bruker er sesjonsavhengige eller faste.
☐ Vi vet om cookiesene vi bruker er førsteparts eller tredjeparts cookies.
☐ Enhver cookie oppfyller ett eller flere spesifikke formål.
☐ Vi vet hvilken informasjon hver enkelt cookie behandler, inkludert om de sammenstiller informasjonen med andre opplysninger vi behandler om våre brukere eller på en annen måte involverer behandling av personopplysninger.
☐ Dersom vi benytter personopplysninger som har blitt innhentet ved hjelp av cookies eller liknende teknologier, har vi sørget for at behandlingen er i tråd med GDPRs krav til blant annet behandlingsgrunnlag og informasjon.
☐ Vi gir tydelig og lettfattelig informasjon om alle de cookiene vi bruker.
☐ Vi gir tilstrekkelig informasjon om vår bruk av tredjepart cookies til de besøkende på våre nettsider, om blant annet hva slags informasjon vi deler og hvordan vi deler denne.
☐ Vi vet hvor lenge våre cookies lagres og at lagringstiden er akseptabel.
☐ Vi har identifisert hvilke cookies som er strengt nødvendige og hvilke som ikke er det. Cookies som vi ikke trenger på nettsiden er fjernet.
☐ Vi har implementert en samtykkemekanisme som oppfyller kravene til både ekomloven og GDPR, og som gir brukerne muligheten til å administrere sine cookie-samtykker på en lett måte.
☐ Vi dokumenterer brukernes cookie-samtykker så lenge det er nødvendig.