no

Nkom utbroderer utydeligheten i samtykkekravet for cookies

29.11.2019

Samtykkekravet for bruk av ikke-nødvendige informasjonskapsler har vært uklart og har ikke blitt mye klarere etter at Nasjonal kommunikasjonsmyndighet (Nkom) i forgårs (27. november 2019) oppdaterte sine retningslinjer. Nkom fastholder den norske spesialregelen om at nettleserens forhåndsinnstilling holder som samtykke, samtidig som Nkom skriver at man i tilfeller hvor personopplysninger behandles, bør velge et aktivt samtykke for «å være på den sikre siden.»

Av advokat Kristian Foss og advokatfullmektig Anders Christie 

Gitt den nylig avsagte EU-dommen i «Planet 49», som Nkom viser til, om kravet til aktivt samtykke i andre land og under personvernforordningen (GPPR), er konklusjonen noe overraskende. I dommen innfortolker EU-domstolen et krav til aktivt samtykke basert på tolkningen av det samme direktivet som ekomloven er basert på (kommunikasjonsverndirektivet). Dommen trekker i retning av at samtykkekravet i ekomloven og GDPR er likestilte.

Nkom anbefaler innhenting av aktivt samtykke

  • hvis det er teknisk utfordrende å vite når behandlingen også reguleres av GDPR
  • for nettsider som retter seg mot andre europeiske land

Rådet fra Nkom, som forvalter ekomloven og dens «cookie-regel» i § 2-7b, må også leses på bakgrunn av den lenge forhandlede, men ikke vedtatte kommunikasjonsvernforordningen. Forordningen, som skal erstatte dagens cookie-regel i ekomloven, viser til GDPRs definisjon av samtykke, som krever et aktivt samtykke fra brukeren.

Hvor mye rom blir det da igjen til å la nettleseren ta seg av samtykket?

Nkoms retningslinje er mer konkret på råd om informasjon, som anbefales gitt ved tydelige lenker på nettsiden til informasjon om informasjonskapslene.

Uklarheten Nkom vedlikeholder i sine retningslinjer, vil nok tas imot med åpne armer av mange nettsideeiere. For det er liten tvil om at et skjerpet samtykkekrav står i et spenningsforhold til deler av dagens internett-økonomi. Strenge krav til samtykke kan resultere i få samtykker og dermed mindre data. Mange nettsider finansieres av data samlet inn med cookies og lignende sporingsteknologi. Dermed kan et absolutt samtykkekrav påvirke eller til og med ta livet av en del av dagens forretningsmodeller.

Hva skal du gjøre?

Hva skal du gjøre inntil endelig kommunikasjonsvernforording er vedtatt og tvilen er borte?

Er din forretningsmodell ikke avhengig av cookie-basert datafangst, implementer et godt samtykkeverktøy for å være på den sikre siden. Da reduserer du også omdømmerisiko.

Er din forretningsmodell basert på datafangst ved bruk av cookies, vurder om du kan klare deg med anonyme data.

Kan du ikke klare deg med anonyme data, finnaviger regelverket, gi god informasjon og forsøk uten samtykke om du mener du er på tørr grunn. Er du ikke på tørr grunn, kan du forsøke å forklare brukerne hvorfor de bør gi deg samtykke og krysse fingrene. Samtidig kan det sikkert være lurt å se på om du kan og bør justere forretningsmodellen din.

Nkoms retningslinjer fra 27. november 2019 finner du her.

Ta bare kontakt om du har spørsmål til noe av dette.

Kristian Foss | kf@bull.no | 97 06 26 55

En tjeneste levert av Bull & Co advokatfirma AS