Trenger du samtykke til cookies? La oss oppklare misforståelsen!
Dato publisert:
En enkel liten setning skaper mye forvirring og misforståelser rundt spørsmålet om du trenger samtykke til bruk av cookies eller ikke.
“Forhåndsinnstilling i nettleser om at brukeren aksepterer informasjonskapsler/cookies anses som samtykke.”
Denne setningen kan du lese hos Norsk Kommunikasjonsmyndighet, og den virker i utgangspunktet så klar og tydelig at mange nettstedseiere og nettstedsleverandører omfavner den med stor begeistring. Her står det svart på hvitt at du ikke trenger stygge cookie-bannere eller strenge avkrysningsbokser. Bare skriv litt om cookies i personvernerklæringen, så har du alt på stell!
Flere lovverk krever samtykke
Begeistringen varer helt til du leser om samtykker på Datatilsynet sine sider, og da oppstår forvirringen:
“For at et samtykke skal være gyldig, må det være: frivillig, spesifikt, informert, utvetydig, gitt gjennom en aktiv handling, dokumenterbart, og mulig å trekke tilbake like lett som det ble gitt”
Dette henger jo ikke på greip, hvordan kan en forhåndsinnstilling i nettleser være et samtykke som er “spesifikt, utvetydig og gitt gjennom aktiv handling”?
Svaret er selvsagt at det er det ikke, og disse tilsynelatende motstridende signalene fra myndighetene gjør at mange velger de enkleste løsningene.
Forvirringen kan oppklares raskt når du innser at NKOM og Datatilsynet ikke snakker om det samme samtykket. Disse to institusjonene er tilsynsmyndighet for hvert sitt lovverk, og samtykke under det ene lovverket er ikke nødvendigvis gyldig som samtykke under det andre lovverket.
NKOM handler om teknologien
NKOM forvalter Ekom-loven, eller “Lov om elektronisk kommunikasjon”, og der står det følgende:
§ 2-7 b.Bruk av informasjonskapsler/cookies
Lagring av opplysninger i brukers kommunikasjonsutstyr, eller å skaffe seg adgang til slike, er ikke tillatt uten at brukeren er informert om hvilke opplysninger som behandles, formålet med behandlingen, hvem som behandler opplysningene, og har samtykket til dette.
Dette handler altså om din mulighet til å lagre informasjon på brukerens datamaskin, og å hente frem den samme informasjonen senere. Det er et rent teknisk spørsmål: Har du lov til å lagre informasjon i en cookie eller har du ikke?
Datatilsynet forvalter Personvernloven og GDPR
Hos Datatilsynet kan du lese at:
“All behandling av personopplysninger må ha et rettslig grunnlag for å være lov.”
Her er “Samtykke” ett av flere mulige lovlige behandlingsgrunnlag. Dette har egentlig ingenting med valg av teknologi å gjøre. Det er likegyldig om du benytter cookies eller andre metoder for å identifisere brukere og samle opplysninger om dem. Det som er viktig er at dersom du behandler personopplysninger, så må du ha et behandlingsgrunnlag, og i mange tilfeller innebærer det samtykke.
Det er altså hva du gjør videre med cookien som er “behandling av personopplysninger”
Id-nummer er personopplysning
Når vi snakker om cookies til bruk i analyse, tracking og annonsering, så handler det i all hovedsak om id-nummer som knyttes til enkeltbrukere. Mye brukte formuleringer som “cookies lagrer informasjon om hvilke nettsider du har besøkt osv.” er direkte feil, fordi cookien kun lagrer ditt id-nummer. All annen informasjon lagres ikke i cookien, den lagres i databaser hos leverandøren av analyseverktøyet eller annonseringsplattformen.
Under GDPR er slike id-nummere kalt “online identifiers” og definert som personopplysninger.
Problemet er altså egentlig ikke at du lagrer dette id-nummeret hos brukeren. Det er et problem at du henter det frem, knytter det til en serie av brukerens aktiviteter på ditt nettsted, og så sender all denne informasjon av gårde til lagring hos for eksempel Google og andre leverandører av analyse- eller annonseringstjenester.
I følge Datatilsynet er “atferdsmønstre” også regnet som personopplysninger, og dette utgjør derfor en behandling av personopplysninger som du trenger behandlingsgrunnlag for.
Hvorfor er det tilsynelatende to motstridende krav til samtykke?
La oss oppsummere:
Etter Ekom-loven trenger du samtykke til rent teknisk å kunne lagre og lese informasjon til og fra brukerens enhet. Dette dekkes av forhåndsinnstillinger i nettleser.
Etter GDPR trenger du et lovlig behandlingsgrunnlag for å samle, sende og lagre personopplysninger, inkludert id-numre og atferdsmønstre.
Må behandlingsgrunnlaget være “samtykke”?
Selv om vi er enige om at tracking innebærer behandling av personopplysninger, så betyr ikke dette automatisk at det krever samtykke. Det finnes andre behandlingsgrunnlag, hvor det mest aktuelle å vurdere er “Nødvendig for å ivareta legitime interesser - interesseavveiing”.
Skal du basere behandlingen av personopplysninger på “legitim interesse”, må du foreta en interesseavveiing hvor du balanserer interessen til bedriften din mot brukernes rettigheter og personvern. Her gis det ikke fasitsvar som kan gjelde for alle bedrifter og alle formål, men vi har i alle fall to kilder å støtte oss på:
Forbrukertilsynet skriver i sin veileder om “Digitale tjenester og forbrukeres personopplysninger”:
For eksempel kan en interesseavveiing være et passende grunnlag for at tjenesten måler hvor ofte forbrukere bruker tjenesten, for at virksomheten kan føre intern statistikk og forbedre tjenesten. På den annen side kan ikke en interesseavveiing forsvare aggressiv og inngående sporing eller profilering for markedsføringsformål, for da vil personvernet veie tyngst.
I tillegg til dette har Datatilsynet nå i januar 2021, kommet med sitt første varsel om gebyr for overtredelse av samtykkekravene i GDPR når det gjelder tracking. Det er datingappen Grindr som har fått varsel om gebyr for å utveksle personopplysninger med tredjepart for markedsføringsformål. I varselet står det i klartekst at:
“Datatilsynet legger til grunn at sporing over ulike steder, nettsider, tjenester eller enheter for markedsføringsformål som hovedregel krever samtykke.”
Du trenger samtykke til markedsføringsformål!
Konklusjonen er at dersom du er sikker på, og kan dokumentere, at du samler personopplysninger kun til analyseformål, og at dataene ikke utveksles på tvers av nettsider, så kan du kanskje basere deg på “legitim interesse”.
Bruk av annonsepiksler og lignende som samler brukeropplysninger til markedsføringsformål på tvers av ulike nettsider krever samtykke. Og dette samtykket må være informert, spesifikt, utvetydig og gitt gjennom aktiv handling.
Ønsker du å få en innføring i GDPR for markedsførere?
Bli med på gratis webinar 24. mars kl.12.00 med fagleder for data og innsikt, Jørgen Brunborg-Næss!