Ny EU-dom og veileder fra Nkom om cookies og behovet for samtykke, men det er fortsatt uklarheter.
Bruk av cookies innebærer omfattende behandling av personopplysninger. På grunnlag av ekomloven, som håndheves av Nkom, har holdningen vært at brukeren har gitt samtykke så lenge brukeren ikke har deaktivert cookies i nettleseren. Og det er da tilstrekkelig at nettstedet har informasjon om bruken av cookies – altså en opt-out modell.
Dette er ok for cookies knyttet til funksjonalitet og sikkerhet, samt antagelig også for analyseformål. Det som er i spill er hva som gjelder for cookies som benyttes til markedsføringsformål (f.eks. retargeting). Datatilsynet har, siden 2015, hevdet at når formålet omfatter markedsføring er det nødvendig med samtykke i henhold til personvernregelverket (og ikke kun ekomloven). Nkom har imidlertid hevdet at det er ekomloven som kommer til anvendelse – uansett formål. Markedet i Norge har så langt forholdt seg til Nkom, som tross alt håndhever regelverket for cookies.
Dom og veileder
En nylig avsagt EU-dom støtter Datatilsynets oppfatning, og i EU er det ikke lenger tvilsomt – cookies til markedsføringsformål krever samtykke i henhold til GDPR – altså en opt-in modell. I forlengelsen av EU-dommen har Nkom oppdatert sin veileder om cookies; https://www.nkom.no/teknisk/internett/cookies/informasjonskapsler-cookies
Under «Hvordan oppfylle krav til samtykke» gir Nkom innledningsvis uttrykk for at det fortsatt er opt-out modellen som gjelder i Norge. Men andre steder i teksten kan det synes som om Nkom også mener at enkelte cookies forutsetter samtykke i henhold til personvernregelverket, men uten å gå innpå når dette eventuelt gjelder. Nkom skriver også at man for sikkerhets skyld bør be om samtykke etter opt-in modellen dersom man er i tvil om en cookie behandler personopplysninger som krever samtykke i henhold til personvernregelverket (GDPR).
Oppsummert blir det da slik at nettsideeier tar en risiko ved å benytte cookies til markedsføringsformål uten å innhente samtykke i henhold til personvernregelverket. Nettsideeier bør derfor nå gjøre en ny vurdering rundt bruken av cookies.
Hva nå?
For det første må nettsideeier skaffe seg oversikt over hvilke tredjeparter som opererer på nettstedet ved hjelp av cookies (og andre skript som identifiserer brukeren). Det har over tid vokst seg en stor industri som bruker nettsteder til å fiske etter personopplysninger for videresalg. Mange aktører opptrer i det skulte og har fått tilgang til nettstedet uten at nettsideeier er klar over det. Disse handlingene/skriptene er ofte skjult i fonter, bilder og andre gratistjenester som web-redaktøren har benyttet for å bygge hjemmesiden. ANFO har et samarbeid med Conzentio som gjør at ANFOs medlemmer kan få en gratis sjekk av nettsiden. Ta gjerne kontakt for nærmere informasjon.
For det andre bør nettsideeier gjøre en vurdering av de tjenestene man bruker. Aller/Amedia og Schibsted har utviklet løsninger som håndterer personopplysninger på en bedre måte enn Google og Facebook – kanskje man skal bytte effektivitet med bedre personvern? Andre muligheter er leverandører av målretting som baserer seg på kontekst fremfor personopplysninger, f.eks. Kobler.
For det tredje kan man starte samtykkeløpet. Som alle vet er det vanskelig å få samtykke på opt-in modellen, særlig fordi det er relevans, og ikke personvern, som viser seg å være avgjørende for om brukeren gir samtykke eller ikke. Ved at så mye baseres på samtykke har EU gitt Google og Facebook et konkurransefortrinn – fordi brukerne har en tendens til å samtykke til hva som helst overfor G/F. Skal norske annonsører ha mulighet til å konkurrere med G/F er samarbeid mellom annonsørene helt nødvendig. På ANFOs dag for Datadrevet og direkte vil det bli pekt på muligheter.
……
DATADREVET og DIREKTE arrangerers for første gang den 23. januar på Latter. Dagkonferansen er for deg med interesse for datadrevet og direktemarkedsføring, og for de som aktivt bruker CRM-systemer som verktøy – enten i utgående markedsføring eller kundeservice. Gratis for ANFO-medlemmer.
