Kommunal og moderniseringsdepartementet sendte i juli i år ut forslag til ny ekomlov, hvor det blant annet foreslås endringer i bestemmelsen om samtykke til bruk av cookies.
Datatilsynet og Forbrukertilsynet har i flere år samarbeidet om hvordan personvernregelverket og forbrukervernregelverket kan brukes sammen og utfylle hverandre i møte med databaserte forretningsmodeller, med formål om å sikre trygghet for forbrukere.
I lys av hvor viktig dette temaet er for å sikre alle brukere av internett i Norge en trygg digital hverdag, har Datatilsynet og Forbrukertilsynet gått sammen for å inngi et felles høringssvar vedrørende forslaget til regulering av bruk av cookies i den nye ekomloven.
- Internettbrukere i Norge har i årevis hatt dårligere personvern enn brukere i resten av EU og EØS. Endringer i dette regelverket er på overtid og helt nødvendig, sier direktør i Datatilsynet, Bjørn Erik Thon.
Høringsuttalelsen kan lastes ned nederst i denne artikkelen.
Innsamling av personopplysninger i stor skala
Alle som har brukt internett har opplevd at man besøker en nettside og får opp en boks med en beskjed som ligner på denne:
«For at du skal få en bedre opplevelse, bruker vi cookies for analytiske formål og for å vise deg reklame tilpasset dine preferanser.»
En cookie er en liten informasjonspakke som plasseres på datamaskinen vår når vi surfer på nettet. Enkelte cookies er svært praktiske, for eksempel de som legger igjen en kode som forteller at vi bruker norsk språk og neste gang vi besøker samme nettsted får vi opp siden på norsk. Andre cookies kartlegger i detalj hvilke sider vi besøker, hvor lenge vi er der og hva vi gjør.
En betydelig andel av personopplysningene som samles inn om norske internettbrukere, samles inn gjennom cookies og andre sporingsteknologier som reguleres av ekomloven. En gjenganger er at denne typen sporing er vanskelig eller tidkrevende å få stoppet for brukerne.
Dagens regelverk går ut over personvernet til internettbrukere i Norge
I 2011 kom det regler fra EU som bestemte at bruk av cookies og lignende teknologier krever et gyldig samtykke etter personvernregelverket. Formålet var å gi brukerne kontroll over sine personopplysninger. Slik ble det derimot ikke i Norge.
Da Samferdselsdepartementet i 2013 skulle innføre nye regler i Norge, valgte man i stedet å åpne for at en forhåndsinnstilling i nettleser om at bruker aksepterer cookies kan anses som et samtykke. Da forslaget kom, uttalte Datatilsynet at departementet hadde landet på den desidert dårligste løsningen.
Dette uklare regelverket har i årevis medført en utstrakt innsamling av personopplysninger med svært begrenset kontroll og valgmulighet for brukerne.
Nytt forslag et steg i riktig retning, men samtykkekravet må presiseres
Kommunal og moderniseringsdepartementet har nå foreslått at samtykke i ekomloven må oppfylle kravene til et gyldig samtykke etter personvernforordningen.
Vi er positive til at departementet benytter anledningen i dette lovarbeidet til å endre bestemmelsen og legge Norge på samme linje som resten av EU og EØS. Endringen er også et gode for virksomheter som ikke lenger trenger å forholde seg til ulike samtykkekrav i ekomloven og personopplysningsregelverket, og ulike samtykkekrav i Norge og resten av EU og EØS.
I høringsnotatet har imidlertid departementet skapt uklarhet og forvirring, ved å uttale at kravet til samtykke fremdeles vil være oppfylt ved at sluttbruker benytter en teknisk innstilling i nettleser eller tilsvarende i de tilfeller der dette er teknisk mulig. Departementet har ikke begrunnet hvordan det mener et samtykke gjennom tekniske innstillinger praktisk kan gjennomføres.
I dagens marked finnes det etter vårt syn ikke tekniske løsninger for samtykke gjennom nettleserinstillinger som ivaretar personvernforordningens samtykkekrav. I dag benytter nettleserne forhåndsinnstillinger, og selv om man endret dette til å kreve en aktiv handling, vil flere av de andre vilkårene for et gyldig samtykke ikke være oppfylt.
Departementets uttalelser om at samtykke også kan innhentes gjennom tekniske innstillinger i nettleseren kan bidra til at virksomheter ulovlig innhenter og behandler personopplysninger, med henvisning til departementets uttalelser. Vi ber derfor departementet rette opp i dette.
Datatilsynet bør få tilsynskompetanse med bruk av cookies og andre sporingsteknologier
Når personopplysninger samles inn gjennom cookies, er det ekomloven som regulerer dette, og Nasjonal kommunikasjonsmyndighet (Nkom) som fører tilsyn. Etterfølgende behandling av personopplysningene, for eksempel lagring, analyse, sammenstilling eller deling, er regulert av personvernregelverket som Datatilsynet fører tilsyn med.
Datatilsynet mottar mange henvendelser som angår bruk av cookies, og for en bruker som ønsker å rette en klage mot hvordan personopplysninger om dem samles inn, fremstår den fragmenterte tilsynskompetansen mellom Nkom og Datatilsynet som forvirrende, vilkårlig og byråkratisk.
Det vil være langt mer effektivt og hensiktsmessig dersom Datatilsynet kan føre tilsyn med alle aspekter av behandlingen av personopplysninger i saker som blir klaget inn til Datatilsynet – inkludert innsamling gjennom cookies. Å unnta store deler av innsamlingen av personopplysninger på internett fra Datatilsynets tilsynsmyndighet, gjør det svært vanskelig for Datatilsynets å løse sitt samfunnsoppdrag.
Vi ber departementet om at Datatilsynet får kompetanse til å føre tilsyn med bestemmelsen om bruk av cookies. Dette skal ikke ha noen innvirkning på Nkom sin tilsynskompetanse med bestemmelsen.
Høringsfristen på forslaget er 15. oktober 2021.
Last ned
Les Datatilsynets høringssvar (pdf)