De fleste virksomheter tar i bruk informasjonskapsler på sine hjemmesider. Regelverket har i lang tid krevd samtykke for plassering av eller tilgang til flere typer informasjonskapsler på besøkendes enheter. Med inntreden av GDPR har det derimot skjedd store endringer i hva som menes med ‘samtykke’, og hvordan dette skal innhentes.
(Webinar ligger i bunn av artikkelen.)
Av Trude Kristensen, juridisk rådgiver innen governance, risk & compliance i Move.
I norsk rett er det i hovedsak ekomloven som sier noe om samtykkekravene til informasjonskapsler. Under § 2-7 b er det kun lov til å lagre opplysninger i brukeres kommunikasjonsutstyr, eller å skaffe seg adgang til slike, dersom brukeren er informert om og har gitt sitt samtykke til:
Hvilke opplysninger som behandles;
Formålet med behandlingen; og
Hvem som behandler opplysningene.
NKOM, som er tilsynsmyndighet for ekomloven, har i lang tid stått ved at samtykke kan oppnås via forhåndsinnstilling i brukerens nettleser om at vedkommende aksepterer informasjonskapsler. Slik sett har virksomheter kun hatt ett reelt krav om å gi informasjon på sine sider om bruk av informasjonskapsler, mens man ikke har hatt behov for å ta stilling til samtykkekravet. Denne tilnærmingen vil for mange ikke lenger være tilstrekkelig.
Endringer i det rettslige bildet
ePrivacy-direktivet («ePD») ligger til grunn for ekomloven og kravet vi ser i § 2-7 b. I korte trekk, ble det i ePD tidligere referert til samtykkedefinisjonen i Personverndirektivet, når det kom til plassering eller lesing av informasjonskapsler. Da GDPR erstattet Personverndirektivet i 2018, skulle samtykke til informasjonskapsler deretter forstås etter definisjonen i GDPR.
Betydningen av dette har vist seg å være omfattende. ‘Samtykke’ under GDPR tolkes strengere enn det ble gjort under Personverndirektivet, noe som også ble tydeliggjort i forbindelse med informasjonskapsler i den velkjente Planet49-saken. Dommen la seg tett opp til kravene i artikkel 7 GDPR, jf. fortalepunkt 32; samtykke [til informasjonskapsler under ePD] skal være frivillig, spesifikt, informert og utvetydig. Taushet, forhåndsavkryssede bokser eller inaktivitet er ikke et gyldig samtykke.
Hva betyr dette for norske virksomheter?
NKOM har følgende Planet49-saken uttalt at de skal vurdere behov for endringer i regelverket knyttet til hvordan samtykke kan innhentes. De har derimot presisert at man enn så lenge bør innhente GDPR-samtykke for plassering av informasjonskapsler som enten samler inn personopplysninger som krever samtykke under GDPR, eller for informasjonskapsler hvor nettsiden er usikker på om man imøtekommer personvernloven.
For norske virksomheter betyr dette at innhenting av samtykke via nettleserinnstillinger ofte ikke er tilstrekkelig. De bør derfor gjennomgå nåværende cookie-praksis og se på nye løsninger for å kunne imøtekomme regelkravene etter både ekomloven og GDPR.
Ønsker du å lære mer? Dette webinaret tar for seg hva lovverket krever og en praktisk demonstrasjon av hvor OneTrust ivaretar virksomhetens krav til cookie-samtykke. Ved juridisk rådgiver Trude kristensen i Move og Tim Barros og Saschah Kimberly Katz i OneTrust.
Webinaret er kun tilgjengelig for personer som registrerer seg via kontaktskjema under.