Ny ekomlov og regulering av cookies

Cookies (informasjonskapsler) og annen sporingsteknologi er på alles tunger. Dette gjelder særlig fordi Norge ved nyttår fikk en ny lov om elektronisk kommunikasjon (ekomloven) der det nå er bestemt at det kreves et samtykke i tråd med personvernforordningen (GDPR) for at man lovlig skal kunne plassere cookies og annen sporingsteknologi i dine og mine digitale enheter.

Sporing gjennom cookies, browser fingerprinting, piksler og lignende sporingsteknologi spiller en sentral rolle i den digitale økonomien. Felles for denne typen teknologi er at den enkelt forklart gjør virksomheter i stand til å se hvordan du bruker tjenestene deres på nett, for eksempel hva du klikker på, hvor lenge du leser et bestemt innhold og hvilken side du var inne på før du gikk inn på denne virksomhetens nettsider. Alt avhengig av hvordan virksomheten har satt opp sporingen.

Slik sporingsteknologi brukes til å få nettsteders kjernetjenester til å fungere. Dette kan for eksempel være i en nettbutikk der cookies brukes til å huske hva du har puttet i handlekurven mens du ser på andre varer. Sporingsteknologi brukes ofte også til å analysere brukeratferd, tilpasse innhold og målrette markedsføring på nett. Selv om slike verktøy bidrar til å skape en mer tilpasset digital hverdag, innebærer de også ofte en omfattende behandling av personopplysninger.

Den nye ekomloven, som trådte i kraft 1. januar 2025, søker å møte disse utfordringene. Ekomloven § 3-15 stiller krav om at virksomheter som bruker informasjonskapsler eller lignende teknologi, som hovedregel må innhente samtykke fra brukerne. Frem til nå har det vært stor usikkerhet knyttet til hva som utgjør et gyldig samtykke for denne typen sporingsteknologi. Dette fordi Norge, sammenlignet med EU, har hatt en særegen regel i den nå opphevede ekomloven § 2-7b om at samtykke kunne bli gitt gjennom forhåndsinnstillinger i nettleseren.^{(1)https://www.datatilsynet.no/contentassets/211ea735e77246158ea3d14ae5aea26e/felles-horingssvar-fra-forbrukertilsynet-og-datatilsynet---forslag-til-ny-ekomlov.pdf (sist besøkt 03.02.25).}

Frem til nå har det vært stor usikkerhet knyttet til hva som utgjør et gyldig sam­tykke for denne typen sporingsteknologi.

I den nye ekomloven er det, i samsvar med EU-domstolens forståelse av kommunikasjonsverndirektivet^{(2)EU-domstolen presiserte allerede i 2019 i sak C-673/17 (Planet49) at kravet til samtykke etter Europaparlaments- og råds direktiv (EU) 2018/1972 av 11. desember 2018 om fastsettelse av et europeisk regelverk for elektronisk kommunikasjon artikkel 5.3 skulle forstås på samme måte som etter personvernforordningen.}, presisert at virksomheter må ha et samtykke fra brukeren som oppfyller kravene til et gyldig samtykke etter personvernforordningen, se ekomloven § 3-15. Datatilsynet og Nasjonal kommunikasjonsmyndighet (NKOM) har fått delt tilsynsmyndighet for denne bestemmelsen. § 3-15 inneholder også et unntak fra kravet om samtykke ved bruk av informasjonskapsler mv. som er «strengt nødvendig» for å levere en informasjonssamfunnstjeneste etter den aktuelle sluttbrukerens eller brukerens uttrykkelige forespørsel. Cookies og sporing som rammes av dette unntaket behandles ikke nærmere i denne artikkelen.

Ansvarsfordelingen mellom Datatilsynet og Nasjonal kommunikasjonsmyndighet (NKOM) skal sikre at både personvernmessige og tekniske aspekter ved informasjonskapsler håndteres. Likevel skaper denne delte tilsynsrollen nye utfordringer og særlig knyttet til faren for dobbeltforfølgelse. Hva skjer når begge organene behandler samme sak fra ulike perspektiver, men ender opp med overlappende sanksjoner? Hvordan sikrer vi at prinsippet om ne bis in idem, fastsatt i Den europeiske menneskerettighetskonvensjonen (EMK), respekteres?

I denne artikkelen ser vi nærmere på faren for dobbeltforfølgelse ved håndhevingen av ekomloven § 3-15 i kontekst av tilsyn med adferdsbasert markedsføring.

Sporing på nett

Informasjonskapsler, er små datafiler som lagres på en brukers enhet når de besøker en nettside. Disse filene brukes til en rekke formål, blant annet for å tilpasse nettsider, lagre brukerpreferanser og spore brukeratferd.

Andre teknologier, som fingerprinting, gjør det mulig å identifisere en brukers enhet ved hjelp av tekniske kjennetegn som nettlesertype, skjermoppløsning og installerte skrifttyper. Fingerprinting gir en unik «signatur» som kan brukes til å spore brukeren, selv uten informasjonskapsler.

Denne typen sporingsteknologi kan gi oss som brukere mange fordeler og en mer tilpasset brukerreise. Samtidig reiser de også spørsmål om personvern og brukerkontroll. Det er her ekomloven § 3-15 og personvernforordningen kommer inn. Regelverkene krever at virksomheter som bruker cookies eller annen sporingsteknologi for å legge til rette for adferdsbasert markedsføring må innhente et aktivt, informert og frivillig samtykke før slike verktøy kan tas i bruk.

For eksempel kan en bruker som besøker en nettbutikk og ser på en bestemt sofa, senere oppleve å få vist annonser for den samme sofaen – eller lignende produkter – på andre nettsteder. Dette skjer fordi cookies registrerer hvilke sider brukeren har besøkt og sender denne informasjonen tilbake til nettbutikken eller til annonseleverandører.

En vanlig måte å dele inn behandlingen av personopplysninger i prosessen med å vise adferdsbasert markedsføring er som følger^{(3)https://www.datatilsynet.no/globalassets/global/dokumenter-pdfer-skjema-ol/rettigheter-og-plikter/rapporter/kommersialisering-norsk-endelig.pdfNoen av cookiesene i denne listen vil kunne anses som strengt nødvendig i en gitt cookies. Det vil ikke omtales i denne sammenheng.}:

1. Samtykke fra brukeren
   Når en bruker besøker et nettsted, blir vedkommende ofte presentert med et samtykkebanner. Dette banneret informerer om bruken av informasjonskapsler og ber om brukerens tillatelse til å plassere cookies for ulike formål, inkludert tilpasset markedsføring. Samtykket må være frivillig, spesifikt, informert og gitt gjennom en aktiv handling, i tråd med personvernforordningen.

2. Plassering av informasjonskapsler
   Hvis brukeren gir sitt samtykke, plasseres en informasjonskapsel i brukerens nettleser. Denne kapselen kan enten være plassert av eieren av nettstedet (publisisten) eller av tredjeparter, for eksempel annonseleverandører, som har avtaler med nettstedseieren.

3. Innsamling av brukerdata på nettstedet
   Informasjonskapselen begynner å samle inn informasjon om brukerens interaksjoner med nettstedet. Dette kan inkludere:

   • Hvilke sider som besøkes.

   • Hva brukeren klikker på.

   • Hvor lenge brukeren oppholder seg på ulike sider.

   • Produkter som legges i handlekurven eller kjøpes.

4. Sporing på tvers av nettsteder
   Enkelte informasjonskapsler, særlig tredjepartscookies, er designet for å spore brukeren på tvers av nettsteder. Dette vil si cookies som er plassert av andre enn eieren av nettstedet, for eksempel et annonseselskap. Dette gjør det mulig å samle inn data om hvilke nettsteder brukeren besøker etter det første nettstedet, og gir et mer helhetlig bilde av brukerens nettaktivitet.

5. Kategorisering og profilering av brukeren
   Dataene som samles inn, analyseres og brukes til å kategorisere brukeren i spesifikke grupper basert på interesser, demografi, eller kjøpsadferd. Dette kan inkludere antagelser om alder, kjønn, inntekt eller preferanser. Profileringen gjøres ofte av annonseleverandører eller analysefirmaer.

6. Bruk av data i adferdsbasert markedsføring
   Basert på brukerens profil, kan annonsører målrette annonser som vises på ulike nettsteder. For eksempel kan en bruker som har søkt etter løpesko, få vist annonser for slike produkter på andre nettsteder. Informasjonen kan også brukes til å optimalisere annonseplasseringer og budsjetter hos annonsører.

7. Deling av data mellom aktører
   Innsamlede data kan deles eller selges til andre aktører i annonseøkosystemet, inkludert datameglere og plattformer for programmatisk annonsering. Dette øker rekkevidden av dataene og gjør det mulig for flere aktører å dra nytte av den samme informasjonen. I dette systemet er det

Hva omfattes av ekomloven § 3-15

Ekomloven § 3-15 fastsetter at «lagring av opplysninger i brukernes kommunikasjonsutstyr»eller «tilgang til slike opplysninger» kun er tillatt dersom brukeren har gitt sitt samtykke. Bestemmelsens virkeområde er altså pkt. 1 og 2 i oversikten over, mens den etterfølgende behandlingen av personopplysninger omfattes av personvernforordningens virkeområde.^{(4)Se Prop. 93 LS (2023–2024) Lov om elektronisk kommunikasjon (ekomloven) og samtykke til godkjenning av EØS-komiteens beslutninger nr. 274/2021, 275/2021, 276/2021 og 277/2021 om innlemmelse i EØS-avtalen av forordningene (EU) 2018/1971, (EU) 2019/2243 og (EU) 2020/1070 og direktiv (EU) 2018/1972, s. 290.}

Denne bestemmelsen gjelder ikke bare informasjonskapsler, men også annen sporingsteknologi som lokal lagring og piksler.

Kravene til samtykke er de samme som i personvernforordningen: Det skal være frivillig, spesifikt, informert og gitt gjennom en aktiv handling, jf. personvernforordningen artikkel 4 nr. 11 og artikkel 7. Dette innebærer blant annet at standardinnstillinger som aktiverer cookies, uten at brukeren foretar en bevisst handling^{(5)Det avgrenses her mot omtale av unntakene i ekomloven § 3-15 andre ledd.}, ikke er tilstrekkelig. Dette er en største endringen fra den nå opphevede ekomloven fra 2003.

Tilsynsansvaret for § 3-15 er delt mellom Datatilsynet og NKOM etter forskrift om delegering av myndighet etter lov om elektronisk kommunikasjon (ekomloven) del I, nummer 12:

Departementets myndighet etter § 3-15 delegeres til Datatilsynet og Nasjonal kommunikasjonsmyndighet på følgende måte:

1. Datatilsynet skal ha ansvar for å vurdere om samtykke i første ledd er i samsvar med personvernforordningen, vurdere om kravene til informasjonen som skal gis er tilstrekkelig og om det er lagt til rette for at samtykke kan trekkes tilbake.

2. Nasjonal kommunikasjonsmyndighet skal ha ansvar for å vurdere om den teknologiske løsningen er omfattet av bestemmelsens første ledd og om vilkårene for teknisk lagring eller adgang til opplysninger etter andre ledd er oppfylt.

3. Datatilsynet skal føre tilsyn etter § 15-1 første ledd med om samtykkekravet i § 3-15 første ledd er oppfylt, innhente opplysninger til dette formålet etter § 15-2 andre ledd og ilegge nødvendige sanksjoner etter § 15-11 første ledd og § 15-12 første ledd bokstav a.

Selv om innsamling av personopplysninger kan deles inn i ulike faser slik vi har beskrevet ovenfor, er disse i praksis ofte overlappende. Det kan være utfordrende fra både et teknisk og juridisk ståsted å isolere de ulike delene av adferdsbasert markedsføring fra hverandre. Selv om ansvarfordelingen i forskriften gir mening i teorien, kan den i praksis føre til overlappende behandlinger og risiko for dobbeltforfølgelse når NKOM og Datatilsynet sammen eller hver for seg skal vurdere om eieren av et nettsted har opptrådt i tråd med loven eller ikke.

Tilsynsmyndighetene jobber ifølge Datatilsynet for tiden med felles veiledning om ekomloven § 3-15. Vår oppfordring er at tilsynsmyndighetene også gjør grundige vurderinger og for eksempel utarbeider felles retningslinjer basert på typetilfeller for hvordan tilsynsmyndigheten skal utøves. Med myndighet til å ilegge gebyrer på opptil 20 millioner euro eller 4 % av global omsetning etter personvernforordningen og inntil 5 % av siste års salgsinntekt etter ekomloven er det avgjørende for tilsynsobjektenes rettssikkerhet at denne delte myndigheten utøves innenfor forvaltningslovens rammer.^{(6)Se personvernforordningen artikkel 83 og ekomforskriften (2024) § 11-3.}

Hvorfor oppstår faren for dobbeltforfølgelse?

Faren for dobbeltforfølgelse oppstår fordi Datatilsynet og NKOM har overlappende kompetanseområder under ekomloven § 3-15 og fordi teknologien og behandlingen av personopplysninger som reguleres i bestemmelsen kan gjøre det vanskelig å sette et skarpt skille for hvor Datatilsynets myndighet starter og NKOMs slutter. Mens Datatilsynet vurderer om samtykke oppfyller kravene i personvernforordningen, vurderer NKOM de tekniske sidene ved implementeringen av sporingsteknologi. NKOM har også ansvar for å vurdere hvorvidt en bruk av sporingsteknologi er omfattet av unntakene i ekomloven § 3-15 annet ledd.

§ 3-15 annet ledd lyder slik:

Første ledd gjelder ikke for teknisk lagring av eller adgang til opplysninger

1. utelukkende for det formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett, eller

2. som er strengt nødvendig for å levere en informasjonssamfunnstjeneste etter den aktuelle sluttbrukerens eller brukerens uttrykkelige forespørsel

Av disse to unntakene er det særlig bokstav b som kan gjøre det vanskelig å trekke en grense for hvor NKOMs myndighet slutter og Datatilsynets myndighet begynner. Vurderingen av strengt nødvendig skal speile kravene i kommunikasjonsvernsdirektivet (direktiv 2002/58/EC) artikkel 5 nr. 3 og endringsdirektivet (direktiv 2009/136/EF). I endringsdirektivets fortalepunkt 66 står følgende om unntaket:

En undtagelse fra forpligtelsen til at give oplysninger og give ret til at nægte lagring eller adgang bør begrænses til de situationer, hvor den tekniske lagring eller adgang er strengt nødvendig til det legitime formål, der består i at gøre det muligt at benytte en specifik tjeneste, som abonnenten eller brugeren udtrykkeligt har anmodet om.

Vurderingstemaet overlapper med dataminimeringsprinsippet i personvernforordningen artikkel 5 nr. 1 bokstav c som innebærer at personopplysninger skal «være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for».

Ved siden av den overlappende reguleringen kan også praktiske hensyn skape fare for dobbeltforfølging og dobbeltstraff. Både NKOM og Datatilsynet kan initiere tilsyn med virksomheter på eget initiativ eller basert på klager eller tips fra enkeltpersoner og oppslag i mediene. Dersom begge tilsyn har mottatt en klage for samme forhold er det avgjørende at de har rutiner for samordning for å unngå at begge undersøker og sanksjonerer i den samme saken. For eksempel kan en virksomhet som bruker cookies uten gyldig samtykke få én sanksjon fra Datatilsynet for brudd på personvernregelverket og én fra NKOM for tekniske mangler. Selv om begge vedtakene kan være saklige hver for seg, kan samlet reaksjon stride mot EMKs prinsipp om ne bis in idem.

Samordningsplikten i forvaltningsloven

Det er ikke upraktisk at flere forvaltningsorganer har myndighet til å ilegge sanksjoner for samme forhold.

Hva som utgjør ett og samme forhold vurderes ut fra kriteriene som gjelder ved avgjørelsen av hva som er en og samme «offence» (den norske oversettelsen: «straffbar handling») etter EMK protokoll 7 artikkel 4. «Samme forhold» foreligger etter EMDs praksis hvis det faktum som ligger til grunn for den administrative sanksjonen, er det samme eller vesentlig det samme som det som ligger til grunn for den strafferettslige forfølgningen.

Forvaltningsloven § 47 pålegger offentlige organer å samordne sin myndighetsutøvelse med påtalemyndigheten (første ledd) og med andre forvaltningsorganer (andre ledd) for å unngå dobbeltbehandling og motstridende vedtak. Bestemmelsen er en sentral del av norsk forvaltningsrett og reflekterer lovgivers ønske om en rettferdig og effektiv forvaltning. Formålet med samordningsplikten er «[…] å legge til rette for at dobbeltforfølgning unngås i sanksjonssaker, noe som igjen sikrer et passende samlet reaksjonsnivå mot lovbrudd og at belastningen ved gjentatt straffeforfølgning unngås», jf. Prop. 62 L (2015–2016) s. 200.

Samordningsplikten kan deles inn i to deler:

• Materiell samordning, som sikrer at ulike vedtak som gjelder samme forhold, er konsistente og ikke motstrider hverandre.

• Prosessuell samordning, som skal forhindre at virksomheter blir påført unødvendige byrder gjennom parallelle prosesser.

Forarbeidene til forvaltningsloven, særlig Ot.prp. nr. 3 (1976-77), understreker at samordning ikke bare er en praktisk nødvendighet, men også en rettslig forpliktelse. Når flere forvaltningsorganer har overlappende ansvarsområder, er det avgjørende at de samarbeider for å sikre en helhetlig og rettferdig behandling. I tråd med legalitetsprinsippet må dette gjelde med styrke jo strengere sanksjoner forvaltningsorganer kan ilegge.

Dobbeltforfølgelse er en utfordring for rettssikkerheten, fordi det kan medføre at virksomheter blir ilagt urimelige byrder. EMK tilleggsprotokoll nr. 7 artikkel 4 fastsetter at ingen skal straffes eller sanksjoneres to ganger for samme forhold. Dette prinsippet gjelder også i norsk rett, og Høyesterett har gjentatte ganger understreket betydningen av ne bis in idem.

I Rt-2010-1121 (Tilleggsskatt) presiserte Høyesterett at administrative og strafferettslige sanksjoner som gjelder samme forhold, må være samordnet for å unngå brudd på EMK. Dette understreker behovet for at tilsynsmyndigheter som Datatilsynet og NKOM samarbeider tett i saker som involverer ekomloven § 3-15.

Hvordan samordningsplikten kan bidra

Samordningsplikten i forvaltningsloven § 47 kan bidra til å redusere risikoen for dobbeltforfølgelse ved å sikre at tilsynsmyndighetene koordinerer sine aktiviteter. Dette kan gjøres gjennom klare retningslinjer for ansvarsdeling, deling av informasjon mellom organene og en felles forståelse av hvordan overlappende saker skal håndteres.

Ved å oppfylle samordningsplikten kan Datatilsynet og NKOM sørge for at én myndighet tar hovedansvaret i saker som involverer både personvern og tekniske spørsmål. Dette vil ikke bare sikre rettssikkerheten for virksomheter, men også styrke tilliten til forvaltningen.

Andre land har utviklet ulike tilnærminger til samordning mellom tilsynsorganer. I EU er «one-stop-shop»-mekanismen under personvernforordningen et eksempel på hvordan grenseoverskridende saker kan behandles av én ledende tilsynsmyndighet. I Tyskland har samarbeidsavtaler mellom delstatlige datatilsyn bidratt til å sikre enhetlig praksis.

Norge kan hente inspirasjon fra slike ordninger for å forbedre samarbeidet mellom Datatilsynet og NKOM, spesielt i komplekse saker som gjelder informasjonskapsler og sporingsteknologi.

Veien videre

Den nye ekomloven representerer et viktig skritt for å sikre brukernes rettigheter i en digital hverdag. Samtidig reiser loven utfordringer knyttet til samordning og risiko for dobbeltforfølgelse. Forvaltningsloven § 47 gir et rammeverk for å håndtere disse utfordringene, men det forutsetter at tilsynsmyndighetene tar sin samordningsplikt på alvor. En effektiv koordinering mellom Datatilsynet og NKOM er avgjørende for å sikre rettferdighet, tillit og forvaltningens legitimitet.