Uke 31: #VissteDuAt - Forslag til ny ekomlov og litt om bruk av informasjonskapsler
Skrevet av: Advokat Lisa Urke Hennum og advokat/partner Marianne Aanes Stenstvedt

2. juli i år sendte Kommunal- og moderniseringsdepartementet forslag til ny lov om elektronisk kommunikasjon (ekomloven) på høring. Ekomloven regulerer blant annet håndtering av informasjonskapsler på nettsteder. I forslaget er det tatt inn denne presiseringen av samtykkekravet ved bruk av informasjonskapsler: Med samtykke menes enhver frivillig, spesifikk, informert og utvetydig viljesytring gitt ved en erklæring eller en tydelig bekreftelse.

Dette er i tråd med definisjonen i GDPR og uttalelser i den såkalte Planet49-dommen (der EU-domstolen avgjorde at forhåndsutfylte samtykker ikke er gyldige). Forslaget gir en god anledning til å minne om hvilke krav som gjelder ved bruk av informasjonskapsler.


Hva er informasjonskapsler?

Informasjonskapsler, eller cookies, er små tekstfiler som kan brukes av nettsteder blant annet for å gjøre en brukers opplevelse mer effektiv. Det finnes mange forskjellige typer informasjonskapsler med ulike formål. Noen informasjonskapsler er lagt inn av tredjepartstjenester som vises på en nettside. Mange informasjonskapsler innebærer også behandling av personopplysninger, men ikke alle.

 

Krav om samtykke

Det er ikke tillatt å benytte informasjonskapsler i brukerens kommunikasjonsutstyr uten at brukeren har gitt sitt samtykke. Unntak gjelder for rent funksjonelle informasjonskapsler. I Planet49-dommen fastslo EU-domstolen at kravet til samtykke ved bruk av informasjonskapsler krever en aktiv handling fra brukeren. I den konkrete saken ble et forhåndsutfylt felt (såkalt passivt samtykke eller «opt-out») ikke ansett som et gyldig samtykke. Brukeren måtte i dette tilfelle fjerne det forhåndsavkryssede feltet for å nekte samtykke. Videre ble det fastslått at samtykkekravet skal være det samme uavhengig av om informasjonskapslene innebærer behandling av personopplysninger eller ikke.


Ekomloven åpner for at samtykke til bruk av informasjonskapsler kan gis gjennom brukerens nettleserinnstillinger, dersom det er teknisk mulig og effektivt. Også en forhåndsinnstilling oppfyller dette kravet, så lenge brukeren må foreta et aktivt valg og selv krysse av eller lignende (opt-in). Typisk vil en bruker krysse av for å godkjenne ulike typer informasjonskapsler i disse innstillingene, for eksempel ved å tillate alle informasjonskapsler eller blokkere tredjeparts-informasjonskapsler. Et direkte samtykke på en spesifikk nettside skal ha forrang over slike nettleserinnstillinger.


Det skal være like lett for brukeren å trekke tilbake samtykket som å gi det.


Den nevnte dommen tar ikke uttrykkelig stilling til om samtykke til bruk av informasjonskapsler som inneholder personopplysninger kan gis gjennom brukerens nettleserinnstillinger.

Forslaget går ut på å innta en presisering om at et samtykke må være en frivillig, spesifikk, informert og utvetydig viljesytring gitt ved en erklæring eller en tydelig bekreftelse. Presiseringen av samtykkekravet i forslaget er i tråd med den gjeldende definisjonen i GDPR. Samtykke ved bruk av teknisk innstilling vil ifølge departementet fremdeles oppfylle samtykkekravene, så lenge informasjonskravet også er oppfylt.

 

Skjerpet informasjonskrav

Gjennom innføringen av GDPR, og i den nevnte EU-dommen, har informasjonskravet ved bruk av informasjonskapsler blitt skjerpet. I dommen ble det slått fast at opplysningene som gis rundt bruken av informasjonskapsler, skal sette brukeren i stand til å forstå konsekvensene av samtykket. Opplysningene må derfor blant annet være lett tilgjengelige og klare. Det skal for eksempel informeres om hvilke opplysninger som behandles, formålet med behandlingen og hvem som behandler opplysningene.

 

Anbefaling til bedrifter

Vi anbefaler at bedrifter sørger for at deres bruk av informasjonskapsler på egne nettsider følger kravene til samtykke og informasjon i både ekomloven og GDPR. Først og fremst er det viktig å skaffe seg oversikt over hvilke informasjonskapsler egne nettsider benytter, og særlig om det settes tredjepartsinformasjonskapsler. Deretter må man sørge for at det innhentes samtykke på en gyldig måte, og at brukeren kan administrere egne samtykker på en enkel måte. Endelig må bedriften sørge for at det gis tilstrekkelig informasjon om bruken av informasjonskapsler, og at den gis på en klar, tydelig og forståelig måte.

 

 

Vil du motta nyheter og invitasjoner fra oss? Meld deg på vårt nyhetsbrev her.

Kontaktperson