Hva trenger du å vite om ePrivacy-direktivet og cookies?
Photo by Vyshnavi Bisani on Unsplash
Hva er en cookie? Kort fortalt er det er en liten tekstfil som lastes ned og lagres på PCen din når du åpner en nettside.
Du har kanskje irritert deg over at det kommer opp et banner når du besøker en nettside? Kanskje er du rett og slett lei av dem? Eller kanskje du virkelig ønsker å ta personvernvennlige valg, men er lei det manipulerende designet slike banne ofte har?
Uansett, dette er en veldig kort innføring i hva disse reglene er i Norge, hvorfor dette er ganske rotete, og hva fremtiden kanskje vil bringe.
Litt historikk
ePrivacy-direktivet er et EU-direktiv fra 2002 som regulerer elektronisk kommunikasjon og personvern, inkludert cookies. Du har kanskje hørt om ePrivacy Regulation? Det er en forordning EU har arbeidet med lenge som skulle erstatte ePrivacy-direktivet.
Den forordningen har ligget på is lenge, selv om man håpet at det skulle iverksettes samtidig med GDPR i 2018.
Fordi ePrivacy er et direktiv, og foreløpig ikke en forordning, kan Norge velge om vi skal inkorporere kravene i det i norsk lov. Og det er inkorporert i norsk rett i flere lover, i all hovedsak ekomloven, men også markedsføringsloven.
Samtykke etter ekomloven for bruk av cookies og GDPR-samtykke
Ekomloven § 2-7b regulerer samtykke for cookies, og hvilken informasjon du må gi til brukerne av nettsiden din.
Kort fortalt sier den norske ekomloven at forhåndsinnstillinger i nettleser om at du som besøker nettsiden aksepterer cookies, er et gyldig samtykke. Og du som kjenner samtykkereglene i GDPR, legger merke til at samtykke etter ekomloven er ganske forskjellig fra samtykke etter GDPR.
For at et samtykke skal være gyldig etter GDPR, må det nemlig være frivillig, spesifikk, informert og utvetydig, jf. GDPR artikkel 4(11).
I 2019 kom en dom fra EU-domstolen (Planet 49-dommen) som tok stilling til om samtykke etter ePrivacy-direktivet (for oss ekomloven), skulle forstås som samtykke etter GDPR. Domstolen kom frem til at det skulle være samme krav til samtykke etter ePrivacy-direktivet, som etter GDPR.
Problemet i Norge
Jeg hørte en gang en Podcast fra IAPP om cookies i EU/EØS, og eksperten trakk frem ett av de nordiske landene som særlig rotete når det kommer til reguleringen av cookies. Og jeg mistenker at de mente Norge.
Og med god grunn! Hvordan vi har inkorporert ePrivacy-direktivet i norsk rett er, pardon my french, et clusterfuck.
Det organet som er fagansvarlig for ekomloven, er Nasjonal kommunikasjonsmyndighet, tidligere «Post- og teletilsynet». Men det er Datatilsynet som er tilsynsmyndighet for personopplysningsloven og GDPR.
Og den ansvarsfordelingen har ikke fungert.
For etter Planet 49-dommen fra 2019, har det ikke egentlig skjedd noen endring i ekomloven. Vi har fortsatt de samme reglene, og veiledningen fra Nasjonal kommunikasjonsmyndighet er ikke veldig tydelig.
Forslag til ny ekomlov, men usikkert når den trer i kraft
Men, i 2021 ble et forslag til ny ekomlov sendt på høring.
Lovforslaget inneholdt et forslag til ny ekomlov § 3-7 om at et cookie-samtykke må være en frivillig, spesifikk, informert og utvetydig viljesytring.
Forslaget går ut på at samtykke bare kan gis gjennom innstillinger i nettleseren (slik det er ok å gjøre i dag ifølge Nasjonal kommunikasjonsmyndighet) hvis du som bruker selv aktivt gir samtykke.
Altså de samme kravene som etter GDPR!
Men vi er nå i 2023, og vi har ikke en ny ekomlov. Jeg har ikke klart å finne om lovforslaget har vært behandlet i Stortinget, eller når loven eventuelt trer i kraft.
Så foreløpig er dette med cookies og samtykke et rart eksempel der vi i Norge har forskjellige regler fra hele resten av EU fordi vi er et EØS-land og har valgt å ikke prioritere justering på bakgrunn av Planet 49-dommen.