Forbud mot samtykkevegger klargjort

I sin oppdaterte samtykkeveiledning av 4. mai gjør det europeiske Personvernrådet det klart at samtykker innhentet gjennom bruk av såkalte «cookie-walls» (samtykkevegger) er ugyldige. Samtykkevegger kan beskrives som landingssider eller (store) faner som krever ditt samtykke for at du skal få tilgang til en hjemmeside eller annen tjeneste. Du har antagelig sett dem mange ganger.

Personvernrådet gjør det klart at samtykkeveggene ikke resulterer i frivillige samtykker, og dermed heller ikke gyldige samtykker. Poenget er at samtykkeveggene i realiteten er betingelser for å bruke en nettside eller tjeneste leseren ønsker, noe som fratar aksepten preget av frivillighet.

Personvernrådet vil «upassende press eller påvirkning» til livs. Bakgrunnen for å forby samtykkevegger er at veggene skaper «upassende press eller påvirkning». Er du presset, handler du ikke frivillig, er resonnementet. Personvernrådet slår herunder fast at samtykke ikke kan brukes som motytelse for å få en tjeneste, som tilgang til en side.

Det finnes en rekke former for samtykkeløsninger som kan beskrives som samtykkevegger. Men hvor går grensen for hva som er akseptabelt? Er det «upassende press eller påvirkning» når besøkende på en nettside kan bruke siden, men med et sjenerende banner nederst på skjermen? Eller må det mer til, som at løsningen er helt låst inntil samtykke er gitt?

Ofte er det også slik at samtykkeveggen slår ut forskjellig på mobil og PC. Et banner som er lite på en PC-skjerm kan ofte dekke hele mobilskjermen.

Hva som minimum kreves for å kalle noe en samtykkevegg er uklart. Det må være klart at en vegg som låser nettsiden helt skaper «upassende press eller påvirkning», og utelukker frivillighet og dermed et gyldig samtykke. Det er mer uklart om et banner som tar en del av skjermbildet og ikke forsvinner uten ditt samtykke, skaper «upassende press eller påvirkning».

I og med at ekomloven § 2-7 b tolket i samsvar med Planet 49-dommen fra 2019 krever aktivt samtykke til bruk av alle ikke-nødvendige cookies, utgjør presiseringen i praksis et forbud mot å innhente samtykke til bruk av cookies ved hjelp av samtykkevegger. Se vår artikkel fra november 2019 om samtykkekravet.

Om brukeren påføres ulemper ved å ikke samtykke, er samtykket ikke frivillig, selv om brukeren kan avbøte ulempene ved å velge en annen tilbyder. Noen aktører har argumentert for at om markedet tilbyr tilsvarende tjenester uten en samtykkevegg, så må valget av nettsiden med samtykkevegg ikke utelukke at samtykket er frivillig.

Personvernrådet tilbakeviser denne argumentasjonen, fordi en slik argumentasjon ville redusert spørsmålet om frivillighet til et spørsmål om hva de andre markedsaktørene gjør. Da måtte den enkelte bruker maktet å finne frem til alternativene. I tillegg ville en stor administrativ byrde plasseres hos den samtykkeinnhentende virksomheten selv, med krav til kontinuerlig overvåking av samtykkepraksisen og tilbudet til andre nettsideeiere.

Hva skjer om samtykket ikke holder?

Manglende samtykke kan bety brudd både på ekomloven og personopplysningsloven inkludert personvernforordningen (GDPR).

Nasjonal kommunikasjonsmyndighet sanksjonerer brudd på ekomloven § 2-7b med bøter eller straff jfr. ekomloven § 12-4 første ledd. Datatilsynet sanksjonerer brudd på personopplysningsloven med overtredelsesgebyr, jfr. GDPR art 83.

Årsaken til at personopplysningsloven ofte gjelder i tillegg til ekomloven er at cookies stort sett samler inn og behandler personopplysninger.

Om samtykket er ugyldig kan dette få store konsekvenser for tjenestetilbyderen etter GDPR. Det følger av GDPR art. 83 (5) a) at brudd på reglene om samtykke er i den strengeste bøtekategorien. Bøtene kan være på det høyeste av MEUR 20 og 4% av samlet årlig global omsetning.

I tillegg kan berørte personer kreve erstatning for ikke-økonomiske tap jfr. GDPR art. 83. Gjennom gruppesøksmål kan kravene bli betydelige.

Det siste - og antagelig det viktigste - er omdømmetapet som gjerne kommer i kjølvannet av slike saker. Når kommunikasjonsvernforordningen tar over for kommunikasjonsverndirektivet, som er implementert i norsk rett gjennom ekomloven, vil forordningen ha tilsvarende sanksjonssystem som GDPR.

Våre anbefalinger

Ikke spekuler i grensene. Det kan bli kostbart å trå feil, særlig når kommunikasjonsvernforordningen etter hvert trår i kraft.

Er det nødvendig å utfordre grensen for frivillighet og er du villig til å risikere ugyldige samtykker, eksperimenter med ulike størrelser og utforminger av dialogboksen for samtykket. Om du i mindre grad er avhengig av samtykker for databehandlingen du ønsker å gjøre, sørg for et mindre pop-up vindu med informasjon om cookies som enkelt kan klikkes vekk. Ikke fjern banneret helt, det er også viktig at brukerne av løsningen informeres på en tydelig måte.

Et lovlig banner bør tilby alternativer, og ikke bare et generelt ja eller nei. Brukeren bør kunne samtykke til behandling for enkelte formål og nekte andre. Det vil si at hvert enkelt formål må ha sin egen ja og nei-knapp. Brukerne skal for eksempel kunne si ja til Google Analytics og nei til remarketing.

Informasjonen skal være forståelig, selv for en uten kunnskap om IT.

Unngå samtykkevegger som blokkerer tjenesten fullstendig. «Samtykkene» du da får vil være verdiløse. Sørg for at dette gjelder på mobile enheter i tillegg til PCer.

Ta bare kontakt med om det skulle være spørsmål eller du ønsker bistand til konkret utforming av samtykkedialogen.

Av personvernadvokat Kristian Foss og advokatfullmektig Anders Christie

Kristian Foss: kf@bull.no | Mobil 97 06 26 55