Article 29 Working Party fastsatte 10. april 2018 retningslinjer for hva som skal til for at en person skal ansees å ha gitt et samtykke til behandlingen av personopplysninger. Disse ble senere stadfestet av EDPB (the European Data Protection Board).
Den 4. mai 2020 vedtok EDPB reviderte retningslinjer. De reviderte retningslinjene er ment som klargjøringer på to spesifikke områder:
- Gyldigheten av samtykker som er gitt til å plassere cookies på en persons utstyr når samtykke er gitt i forbindelse med såkalte «cookie walls»
- Samtykke som innhentes i forbindelse med scrolling på internettsider
Når en person besøker nettsider ønsker eieren av nettsiden eller andre som regel å installere cookies på utstyret til vedkommende person. De nye retningslinjene innebærer ikke så store suppleringer i forhold til tidligere retningslinjer. Det er imidlertid et faktum at det i dag er en rekke aktører som plasserer cookies på brukeres utstyr som så fører til at de behandler personopplysninger i strid med både de nye retningslinjene så vel som de tidligere retningslinjene. Dette vil også være tilfellet for en rekke aktører i Norge. Behandlingen vil være i strid med lovgivningen om behandling av personopplysninger (GDPR) dersom behandlingen baserer seg på et samtykke, og samtykket ikke kan ansees som gyldig fordi det er gitt gjennom forhåndsutfylte rubrikker, at brukeren aktivt på annen måte må nekte samtykke, at samtykke er stilt som vilkår for tjenester/tilgang til nettsider osv.
Noen cookies er nødvendig for å få nettsiden til å fungere, andre cookies ønskes plassert av mer rene kommersielle hensyn som f.eks å kunne forbedre sine tjenester, for reklameformål, for å bygge brukerprofiler m.v. Plassering av cookies kan imidlertid kun gjøres etter samtykke fra vedkommende person. Dette følger av lov om elektronisk kommunikasjon (ekomloven) §2-7b. Konsekvensen av å plassere cookies på en persons utstyr er imidlertid at det ikke bare teknisk sett plasseres cookies på utstyret, men at det også vil skje en behandling av personopplysninger. For slik behandling vil det som regel også være behov for samtykke, men da i henhold til GDPR. I Norge har det skapt noe forvirring at selve kravet til å plassere cookies på utstyr er regulert av ekomloven som forvaltes av Nasjonal kommunikasjonsmyndighet, mens GDPR forvaltes av Datatilsynet. Kravene til samtykke er oppfattet som strengere etter GDPR enn etter ekomloven. Samtidig er det klart at dersom det behandles personopplysninger må kravene til samtykke i GDPR være oppfylt. De reviderte retningslinjene fra EDPB klargjør på de to ovenfornevnte områdene hva som ikke kan ansees som et gyldig samtykke etter GDPR.
I de tidligere retningslinjene fra EDPB ble det klart uttalt at et samtykke som var en betingelse for å inngå en kontrakt eller å få tilgang til tjenester, i utgangspunktet ikke ville være et gyldig samtykke etter GDPR. I de nye retningslinjene er det nå også helt spesifikt uttalt at bruk av såkalte «coocie walls» vil føre til at et eventuelt samtykke ikke vil være gyldig. Det er også tatt med et eksempel som ytterligere klargjør dette. Dette betyr at EDPB er av den oppfatning at dersom tilgang til tjenester og funksjonalitet på en side er gjort betinget av at det gis samtykke til behandling av personopplysninger utover det som er nødvendig for å benytte funksjonaliteten, så vil samtykket for det som går utover det nødvendige være ugyldig. Behandlingen av personopplysninger som baseres på dette ugyldige samtykket vil da være ulovlig hvis det ikke forefinnes noe annet gyldig grunnlag.
Det at brukeren av nettsiden scroller på en nettside eller sveiper gjennom nettsidene skal etter retningslinjene aldri kunne ansees som samtykke selv om det på nettsiden står at dette er å anse som samtykke. Dette er i og for seg ikke noe nytt i forhold til tidligere retningslinjer. Det tilføyes imidlertid nå at tilsvarende gjelder dersom samtykke etableres ut fra lignende brukeraktivitet som scrolling og sveiping gjennom nettsidene. I tillegg utvides begrunnelsen for at samtykke vil være ugyldig i de tilfellene som nevnes, samtidig som EDPB påpeker at det vil være vanskelig å etablere løsninger som gjør at et samtykke gitt ved f.eks scrolling kan trekkes tilbake like lett som det gis.