… du kommer inn i et bakeri, la oss kalle det bakeri A. Det lukter croissant, pain au chocolat og deilig baguette. På disken ser du også at de selger cookies. Noen er produsert direkte av bakeri A, mens andre er fra et samarbeidende bakeri B. Selv om du befinner deg i bakeri A, bestemmer du deg for å kjøpe en cookie fra bakeri B, rett og slett fordi de ser mer fristende ut. Cookien faller i smak, og du kjøper med deg enda flere. Bakeri B blir ditt nye foretrukne bakeri, og dette uten at bakeri B trengte å gjøre særlig mye innsats.
Metaforen er kanskje ikke helt opplagt, men tredjeparts informasjonskapsler (cookies) handler akkurat om dette – å skaffe seg nye kunder ved å friste med annonser på andres nettsider. I en verden hvor personvern har vært mye i fokus de senere årene, stiller cookies brukt i markedsførings- og annonseringsøyemed fortsatt store ubesvarte rettslige spørsmål, som Datatilsynet og Forbrukertilsynet nylig har uttalt seg om i et felles høringssvar til ny ekomlov.
KORT OM NÅVÆRENDE REGELVERK OG DE RETTSLIGE UTFORDRINGENE
Ekomloven § 2-7b, som bygger på det europeiske ePrivacy direktivet, regulerer bruken av cookies generelt. GDPR (EUs personvernforordning 2016/679) og personopplysningsloven regulerer enhver behandling av personopplysninger (eksempelvis i form av lagring, sammenstilling, analyse, deling, osv.). Og hvorfor kommer personvernregelverket til anvendelse ved bruk av cookies? Jo, fordi cookies, herunder markedsførings- og annonseringscookies, som regel samler inn personopplysninger om deg, i dette tilfellet i form av dine preferanser og dine interesser for diverse produkter og tjenester, som du har fått informasjon om via andres nettsider. Selv om du ofte blir plassert i en interessegruppe, er det ikke usannsynlig at annonsøren likevel klarer og vil klare å finne ut av hvem du er når disse personopplysningene sammenstilles. Med andre ord kommer både ekomloven og personvernregelverket inn i bildet når markedsførings- og annonseringscookies benyttes. Dette er også grunnen til at spørsmålet rundt samtykke til bruk av cookies er særlig viktig for markedsførings- og annonseringscookies.
Ekomloven sier at en virksomhet kan sette denne lille tekstfilen, som en cookie er, på datamaskinen til brukeren når han/hun åpner en nettside, dersom brukeren har samtykket til det. Samtykket trenger likevel ikke å være aktivt. Så lenge brukeren har blitt informert om bruken av cookies, for eksempel via en cookies pop-up som henviser til en cookies erklæring, og så lenge brukeren ikke aktivt har motsatt seg bruken av cookies gjennom innstillinger i nettleseren sin, anses brukeren for å ha akseptert bruken av dem.
Det at et samtykke ikke trenger å være aktivt, står i klar motsetning til samtykkekravene i GDPR, som blant annet krever at et samtykke skal være gitt gjennom en aktiv handling. Markedsførings- og annonseringscookies har til formål å samle inn personopplysninger for å kunne tilpasse reklamer og tilbud til de enkelte sluttbrukerne. Ettersom både Ekomloven og GDPR kommer til anvendelse, oppstår spørsmålet om hvilke krav som gjelder for et gyldig samtykke til bruk av markedsførings- og annonseringscookies. Spørsmålet har naturligvis stor betydning med tanke på det skyhøye bøtenivået som brudd på GDPR ville kunne utløse. Og når vi vet at flere og flere datatilsyn i Europa har samtykke til bruk av cookies i søkelyset sitt, som i denne saken fra det Franske Datatilsynet og i denne saken fra det Britiske Datatilsynet, er det kanskje på tide å finne et konkret svar på denne utfordringen. Det er også verdt å nevne at den berømte Max Schrems v/ NYOB fortsetter kampen mot nettsider som bruker cookies i strid med samtykkekravene etter GDPR og har sendt frem til nå over 900 klager til EUs personvernråd (EDPB), som måtte da etablere en «Cookie Banner Task Force» for å håndtere alle klagene.
BURDE IKKE DETTE VÆRT AVKLART TIDLIGERE?
GDPR ble implementert i juli 2018 i Norge. Etter planen skulle ePrivacy-forordningen (kommunikasjonsvernforordningen), som ville erstatte ePrivacy direktivet, implementeres samtidig. Denne prosessen har imidlertid blitt forsinket, og det ser nå ut til at forordningen først blir vedtatt i 2021, og trer i kraft fra 2025.
I oktober 2019 kom det en EU-dom («Planet 49-dommen») som uttalte at kravene til samtykke til bruk av cookies etter ePrivacy direktivet må oppfylle personvernforordningens samtykkekrav. Som følge av Planet 49-dommen og usikkerheten dommen har skapt for det norske næringslivet, anbefalte Nasjonal Kommunikasjonsmyndighet (Nkom) i mars 2020 å innhente et aktivt samtykke til bruk av cookies i tråd med personvernforordningen. Samtidig uttalte Nkom at de ville vurdere behovet for justeringer av regelverket som følge av utviklingen. Med implementeringen av ePrivacy forordningen vil kravet til samtykke for bruk av cookies skjerpes, og det ser ut til at regelverket går i retning av en «opt-in»-løsning (aktivt samtykke) fremfor en «opt-out»-løsning (mulighet til å slå av/protestere). Kommunal- og moderniseringsdepartementet har skrevet forslag til en ny ekomlov som skal ta hensyn til samtykkeutfordringen. 12. oktober 2021 kom det et felles høringssvar fra Datatilsynet og Forbrukertilsynet vedrørende lovforslaget.
HVA MENER DATATILSYNET OG FORBRUKERTILSYNET?
Kommunal og moderniseringsdepartementet skriver i sitt forslag til ny ekomlov at bruken av cookies forutsetter et gyldig samtykke etter personvernforordningen, for å harmonisere samtykkekravet etter ekomloven og personvernforordningen.
Selv om Datatilsynet og Forbrukertilsynet støtter forslaget om å harmonisere samtykkekravene, kritiserer de Kommunal og moderniseringsdepartementets uttalelse om at kravet til samtykke fremdeles vil være oppfylt ved at sluttbruker benytter en teknisk innstilling i nettleser eller tilsvarende i de tilfeller der dette er teknisk mulig. Datatilsynet og Forbrukertilsynet mener at denne uttalelsen skaper uklarhet og forvirring, all den tid "det i dagens marked ikke finnes tekniske løsninger for samtykke gjennom nettleserinstillinger som ivaretar personvernforordningens samtykkekrav".
I tillegg mener Datatilsynet at de sammen med Nasjonal kommunikasjonsmyndighet (Nkom) bør få tilsynskompetanse for bruk av cookies som innebærer behandling av personopplysninger. Dette for å unngå en unødvendig fragmentering av tilsynskompetansen og gjøre det enklere å følge hele behandlingsløpet under ett i tilfeller hvor en sluttbruker ønsker å klage på behandling av deres personopplysninger ved bruk av cookies.
Oppsummert mener altså Datatilsynet og Forbrukertilsynet at et samtykke til bruk av cookies må oppfylle samtykkekravene etter GDPR, herunder blant annet at det skal være avgitt gjennom en aktiv handling. Departementet mener dette fortsatt kan oppnås via en teknisk innstilling i nettleseren. Datatilsynet og Forbrukertilsynet mener imidlertid at en slik løsning per i dag ikke finnes. Så hva gjør vi? Finnes det noen alternativer til bruk av tredjepartscookies? Og dersom det finnes alternativer, vil dette løse utfordringene knyttet til samtykke?
ALTERNATIVER TIL TREDJEPARTSCOOKIES?
Cookies oppleves for mange brukere irriterende og kan bidra til å svekke brukeropplevelsen. Fra et markedsføringsperspektiv, kan det derfor være gode grunner til å finne alternativer. Fra et juridisk ståsted, er det likevel lite tenkelig at alternativer til tredjepartscookies vil slippe unna kravet til et aktivt samtykke.
De store nettleserleverandørene har allerede gitt sluttbrukerne selv muligheten til å blokkere tredjepartscookies fra deres nettleser via Intelligent Tracking Prevention (ITP) – Safari, Apple (2017); Enhanced Tracking Protection (ETP) – Firefox (2018); og Privacy sandbox – Google Chrome (2019). Som det fremgår av drøftelse over, vil disse tekniske innstillingene trolig ikke oppfylle kravene etter det nye regelverket for innhenting av gyldig samtykke i forbindelse med bruk av cookies.
Google Chrome planlegger å stoppe støtte for bruk av tredjepartscookies i nettleseren fra og med 2023. I denne forbindelse, begynte Google å teste en alternativ sporingsmetode "Federated Learning of Cohorts" (FLoC) i mars 2021. FLoC innebærer å samle inn personopplysninger direkte fra sluttbrukernes nettleserhistorikk og fordele de innsamlede personopplysningene i persongrupper ("cohorts") med lignende interesser og preferanser. FLoC er blitt utviklet i forbindelse med Googles sandkasse-initiativ, som tilsvarende Datatilsynets sandkasse har til hensikt å finne gode tekniske løsninger i samsvar med personvernregelverket.
Et annet kjent alternativ til tredjepartscookies er Universal ID, som har til hensikt å identifisere brukere over ulike plattformer. Til forskjell fra cookies, er altså Universal IDs standardiserte. Universal ID går ut på at det genereres en ID via krypterte e-postadresser for påmeldte brukere, som kan deles på tvers av plattformer som har tatt i bruk løsningen. Denne teknikken er allerede hyppig brukt i f.eks. banksektoren for å bekjempe svindel. Spørsmålet er om Universal ID er i stand til å fylle annonsørenes behov utstrakt deling og markedsføring, og samtidig ivareta personvernforordningens samtykkekrav som blant annet også krever at et samtykke skal være spesifikt.
Det ser med andre ord ut til at det fremover vil bli utviklet og tatt i bruk nye alternative løsninger til dagens tredjepartscookies. De nye løsningene vil trolig fortsatt forutsette innhenting av et samtykke fra brukeren i henhold til personvernregelverket. Arbeidet med å finne gode tekniske løsninger som imøtekommer annonsørenes behov for effektiv, bred og brukervennlig markedsføring, og som samtidig tilfredsstiller personvernregelverkets krav til effektiv beskyttelse av personopplysninger og vern mot ufrivillig markedsføring er derfor langt i fra ferdigstilt.
KONKLUSJON
Rettstilstanden er fortsatt ikke endelig avklart samtidig som den tekniske utviklingen skjer raskt. Enn så lenge anbefaler vi derfor innhenting av et aktivt samtykke, eksempelvis via pop-ups, ved bruk av alle cookies som ikke er nødvendige, og særlig for markedsførings- og annonseringscookies. Dersom du bruker cookies aktivt i din markedsføring anbefaler vi at du oppdaterer deg jevnlig på det som skjer på dette feltet - både teknisk og juridisk.