Gå til innhold

Lov&Data

2/2024: Personvern
25/06/2024

Dagens cookie-regel

Av Rune Opdahl, Partner Wiersholm/Universitetet i Bergen. Arbeider i Advokatfirmaet Wiersholms avdeling for teknologi, media, telekom og immaterialrett og Håvard Sveier Ottemo, Trainee og student, Wiersholm/Universitetet i Bergen. Arbeider i Advokatfirmaet Wiersholms avdeling for teknologi, media, telekom og immaterialrett.

Teksten «wiersholm» i svart, med stor forbokstav, på hvit bakgrunn, digital illustrasjon.
To kjeks som overlapper hverandre, med et blått ikon over, digital illustrasjon.

Innledning

Den 12. april 2024 la regjeringen frem forslag til ny ekomlov.(1)Prop. 93 LS (2023–2024) Et aspekt ved lovforslaget er ny regel om bruk av informasjonskapsler, bedre kjent som cookies. I det videre skal vi gjennomgå dagens regel og forslaget til ny regel.

Dagens cookie-regel

Ved innføringen av dagens ekomlov § 2-7 b ble det problematisert hvordan et samtykke skal innhentes for å være gyldig. I proposisjonen la departementet til grunn at det var tilstrekkelig at brukeren ga samtykke gjennom forhåndsinnstillinger i nettleseren, så fremt nettstedet for øvrig ga informasjon om hvordan man brukte informasjonskapsler.(2)Prop.69 L (2012–2013) på s. 102 Dette vil i praksis si at så lenge brukeren ikke hadde deaktivert informasjonskapsler i sine nettleser-innstillinger, var samtykket ansett gitt, forutsatt at nettsiden hadde en egnet cookie-policy.

Denne forståelsen har trolig forankring i det opprinnelige direktivet 2002/58/EF (ePrivacy-direktivet), som kun stiller krav om at brukeren skulle ha «the right to refuse» informasjonskapsler.(3)2002/58/EF artikkel 5 nr. 3 Denne ordlyden ble med direktiv 2009/136/EF (endringsdirektivet) i EU byttet ut med «given his or her consent». I fortalepunkt 66 til dette endringsdirektivet er det videre fastslått at «[w]here it is technically possible and effective, in accordance with the relevant provisions of Directive 95/46/EC, the user’s consent to processing may be expressed by using the appropriate settings of a browser or other application». Endringsdirektivet er til dags dato ikke innlemmet i EØS-avtalen. Ekomloven ble oppdatert med innføringen av e-koml. § 2-7 b for å likevel forsøke å adressere noen av de nye direktivkravene, selv om ikke alle kravene ble fullt ut imøtegått.(4)Prop.69 L (2012-2013) på s. 12

I C-673/17 (Planet49-saken) ble det fastslått at forhåndsavsjekkede bokser ikke er et gyldig samtykke. Et gyldig samtykke til bruk av informasjonskapsler krevde altså etter EU-retten et aktivt samtykke fra brukeren, i samsvar med personvernregelverket for øvrig.

Frem til nå har det altså vært en avvikende rettstilstand mellom EU-rett og norsk rett, ved at førstnevnte krever et aktivt samtykke, mens sistnevnte sannsynligvis kun krever et passivt samtykke (for begge gjelder det et unntak ved nødvendige cookies).

Forslaget til ny cookie-regel

Forslaget til ny bestemmelse om informasjonskapsler har som formål å bringe samtykkekravet etter ekomloven i samsvar med EU-retten. Lovgivers forslag til ny ordlyd er utvetydig: «[s]amtykke skal oppfylle kravene til samtykke i personvernforordningen».(5)Prop. 93 LS (2023–2024) på s. 392 Det følger av personvernforordningen at et samtykke, for å være gyldig, må være aktivt. Passive samtykker vil ikke lenger være tilstrekkelig.

Et annet vilkår for et gyldig samtykke er at det er informert. Det følger av forslaget til den nye lovbestemmelsen at det skal gis informasjon om formålet med bruk av informasjonskapslene og hvilke opplysninger som behandles, men begrepet «blant annet» kan tilsi at det også er krav til å gi annen informasjon.

Lovforslaget gir, som EU-retten, unntak fra samtykkekravet for nødvendige informasjonskapsler. Det er verdt å merke seg at mens dagens regel omtaler dette som «nødvendige» informasjonskapsler, omtaler forslaget til ny regel dette som «strengt nødvendig». Dette gjøres for å sikre bedre samsvar med ordlyden i kommunikasjonsverndirektivet artikkel 5 nr. 3.

Hva nå?

Den foreslåtte lovendringen er ikke en overraskelse. Rettstilstanden i resten av EU har i en god stund vært klar, og Datatilsynet har over lengre tid påpekt gapet mellom norsk rett og EU-rett. Det er likevel grunn til å diskutere hvor hensiktsmessig den nye lovregelen vil være. Det er nok få som gir en «frivillig, spesifikk, informert og utvetydig viljesytring»(6)GDPR artikkel 4 nr. 11 hver gang man blir eksponert for en cookie-popup. En kan derfor spørre seg om den nye lovregelen, som er ment å være personvernfremmende, isteden har motsatt effekt.

Noter

  1. Prop. 93 LS (2023–2024)
  2. Prop.69 L (2012–2013) på s. 102
  3. 2002/58/EF artikkel 5 nr. 3
  4. Prop.69 L (2012-2013) på s. 12
  5. Prop. 93 LS (2023–2024) på s. 392
  6. GDPR artikkel 4 nr. 11
Rune Opdahl
Rune Opdahl, portrett
Håvard Sveier Ottemo
Haavard Ottemo, portrett