IT-JUSS | Ny ekom-lov
Ny norske regler om «cookies» fra 2025
Ny norsk ekomlov trådte i kraft 1. januar 2025. Endelig somlet Norge seg til å innføre EUs regel for bruk av cookies, og som er at bruker må gi et ekte samtykke.
Cookies var opprinnelig små filer et nettsted skrev til, eller leste fra, utstyret ditt og hvor utstyr i dag er mobiltelefoner, nettbrett, laptop men også IoT-enheter eller for eksempel bilen din.
Teknologien brukes til å logge hvilke nettsteder enheten din har besøkt og kan deretter brukes til å gi deg personaliserte annonser, eller tilpasse nettstedet eller tjenesten til din (tidligere) adferd eller for å samle inn data om bruk av nettstedet (analytics).
Samtidig mener Personvernrådet at regler om cookies i dag skal forstås til å gjelde nærmeste all bruk av sporingsteknologi som pixelteknologi, logging av hva en innlogget bruker gjør og faktisk også logging av IP-adresse (unntatt når dette er helt nødvendig for at kommunikasjonen skal fungere da). Formålet med reglene er kommunikasjonsvern. Folk skal kunne bruke digitale enheter uten at andre sporer aktiviteten, med mindre brukeren har sagt ja til å bli sporet.
Klarere mandat
Det er også nytt i Norge at Datatilsynet nå får et klarere mandat til å være tilsyn for cookiereglene. Vi kan derfor forvente at kravet til samtykke nå faktisk blir håndhevet. (Dette blir også nytt i Norge!) Dessuten er det slik at Datatilsynet pleier å følge Personvernrådets syn på jussen. Det er veldig sannsynlig at cookies heretter er mye mer enn cookies, også i Norge.
Det nye kravet om et ekte samtykke, krever at brukeren aktivt har klikket «ja takk», at nettstedet gir brukeren muligheten til å velge fritt mellom ja eller ikke ja til ulike kategorier cookies (analytics, tilpasning av tjenesten eller markedsføring) og at brukeren får nok informasjon til å kunne forstå konsekvensen av valgene. Samtykke skal nemlig være «informert» for å være gyldig.
En måte å forsøke å løse dette på er å bruke et «riktig satt opp» cookiebanner. En annen mulig måte er å gi brukeren valgmuligheter etter å ha logget seg på din tjeneste, typisk under en «min side» fane på nettstedet eller i app.
La oss være ærlige, det er krevende å forklare en «vanlig bruker» med få og menneskeforståelige ord, hvordan sporingsteknologi fungerer, hvilke persondata som egentlig samles inn, hvem de deles med og hva de brukes til.
Moderne cookiebannerløsninger lister opp hvilket cookies som settes, formålet og hvem som setter dem. Dette hjelper.
Klarer du i tillegg å med forståelig norsk språk beskrive hvilken sporingsteknologi du bruker og hva du bruker den til hjelper det enda mer. Dette kan du gjøre ved å bygge ut teksten i et cookiebanner eller ved å beskrive sporingsteknologi i personvernerklæring din eller ved å legge samtykkevalg under «min side» eller «min profil» og med så lett forståelig informasjon du klarer å lage.
Skal forstås
Rådet er å gjøre så godt du kan for at normale brukeren skal forstå. Som alltid på områder der juss og teknologi hver for seg og ikke minst til sammen ikke har klare grenser, gjelder det å operere med et fornuftig nivå av forretningsmessig og juridisk risiko. Så kommer det trolig noen avgjørelser fra Datatilsynet etter hvert som trekker opp nye grenser.
Mange vil mene at det er helt på sin plass med et tydelig krav om samtykke for sporing til markedsføringsformål.
Mange vil mene at det er helt på sin plass med et tydelig krav om samtykke for sporing til markedsføringsformål. Det som samtidig er mindre bra med ny regel er at en fornuftig GDPR-tolkning tilsier at analytics eller tilpasning av din tjeneste til hva bruker viser interesse for, etter en vurdering hos deg kan være tillatt under GDPR, uten samtykke. Det siste torpederes nå av ekomloven. Du må nemlig nå ha samtykke for å bruke selve sporingsteknologien selv om din senere behandling av persondata ikke krever samtykke. Litt rart. Er noe tillatt under GDPR burde det vel være tillatt?
