Tracking, annonsering og GDPR: Stille før ny storm?

EKOM-loven, eller lov om elektronisk kommunikasjon, er en norsk lov som regulerer elektronisk kommunikasjon i Norge. Den trådte i kraft 25. juli 2003 og har som formål å legge til rette for effektiv, sikker og konkurransedyktig elektronisk kommunikasjon, samtidig som den sikrer brukernes rettigheter og interesser. Blant annet regulerer loven kommunikasjonen mellom telefonen din og nettsidene du besøker, og denne kommunikasjonen er nødvendig for tracking.

Norge har i mange år vært i en særstilling i Europa, ved at vår EKOM-lov ikke har stilt samme krav til samtykker som EUs ePrivacy-direktiv. I Norge har det vært aksept for et passivt samtykke, altså at det regnes som samtykke så lenge du ikke selv har gått inn i nettleserens innstillinger og skrudd av at du vil motta cookies.. Dette gjelder jo uansett kun den tekniske prosessen med å skrive og lese av informasjon i cookies, mens innsamling og behandling av data hele tiden har vært underlagt GDPR. Det har likevel gjort livet litt lettere for norske virksomheter, fordi:

a. GDPR har andre gyldige behandlingsgrunnlag enn samtykke, for eksempel “berettiget interesse”, og

b. Datatilsynet har opplevd at de ikke har kunnet håndheve samtykkekravene for cookie-baserte sporingssystemer, fordi forskjellene mellom EKOM-loven og GDPR gir uklarheter.

Les mer om GDPR her: Trenger du samtykke til cookies? La oss oppklare misforståelsen!

I sin kommunikasjon og veiledning har Datatilsynet vært tydelige hele veien: Et gyldig samtykke skal blant annet være aktivt, frivillig og utvetydig, og det betyr at det må være like lett å si “Nei”, som det er å si “Ja”. Altså: et banner med knapper som “Godta alt” og “Tilpass innstillinger” vil ikke være et gyldig samtykke. Det må være et enkelt klikk for “Avslå alt”, og denne knappen må være like fremtredende som den for å godta.

Har du et samtykkebanner som ikke har Nei-knapp må du derfor forberede deg på å justere det snart, fordi det er sannsynlig at Datatilsynet klør i fingrene etter å endelig kunne ta tak i dette. Dette kan bety at samtykkegraden faller fra 80-90% til 40-60%, med tilsvarende tap av trafikktall og målgruppestørrelser.

Og dersom du har tillatt webanalyseverktøyet ditt å samle data om alle brukere under “berettiget interesse”, så kan det være du må endre denne praksisen. Ulike EU-land praktiserer unntak fra samtykkekravene for cookiebasert datainnsamling til analyseformål, med noen forutsetninger, men det er uvisst hvordan dette vil håndheves i Norge. Skal du være sikker på å få rapporter på alle besøk på nettstedet ditt, må du vurdere sporingsverktøy uten cookies. Den gode nyheten er at disse verktøyene finnes, og de heter for eksempel Piwik Pro, Matomo, Plausible, Fathom eller Simple Analytics.

Er du avhengig av cookie-baserte systemer til konverteringssporing og budstrategier, eller for å bygge målgrupper for remarketing, så blir dette stadig vanskeligere. Løsningen fremover vil være å skifte vekk fra identifisering av brukere med en kryptisk cookie-id og over til identifisering med kontaktopplysninger som e-postadresse eller telefonnummer. Alle de store annonseplattformene har løsninger for dette, og kaller det ting som “Enhanced Conversions”, “Conversion API”, “Customer Match” eller “Custom Audience”.

Ved første øyekast kan det virke mer inngripende for personvernet å utveksle kontaktopplysninger med annonseverktøyene. Realiteten er imidlertid at dette er mindre inngripende enn cookiebasert sporing, fordi:

• Du deler mye mindre data om brukernes atferd, posisjon, enhet osv

• Du faktisk har mulighet til å oppfylle krav om innsyn eller sletting

Mange vil huske oppstyret rundt at Google Analytics var ulovlig, før det plutselig ikke var det. Dette gjaldt alle amerikanske datasystemer som samler personopplysninger om europeiske brukere, og bunner ut i lovgivning som tillater amerikansk etterretning å kreve innsyn i datamaterialet. Problemet ble løst med en ny rammeavtale for dataoverføring, beskyttelse og rettigheter, som ble akseptert av EU sommeren 2023. For å frembringe denne løsningen ble det imidlertid ikke gjort endringer i det amerikanske lovverket som sådan. President Joe Biden utstedte en såkalt Executive Order for å få på plass de tingene som var nødvendig, inkludert noen restriksjoner på hva myndighetene kan kreve, og muligheter for europeere til å få innsyn og klagerett.

De begrensningene som ble innført med Bidens Executive Order er ikke spesielt “America First”, og dette kan derfor fort komme til å være en av tingene Donald Trump velger å reversere. I så fall er vi tilbake til status quo etter Schrems 2-dommen: Å sende personopplysninger til USA er uforenlig med GDPR. Da må vi alle gå en ny runde med verktøyene vi bruker til markedsføring!

Ønsker du rådgivning om tracking, annonsering og GDPR?