Regjeringen foreslo opprinnelig å videreføre den særnorske slappe regelen for cookies uten et ekte krav til samtykke, og som dessuten er i strid med EU-retten. NKOM skulle fortsette å være tilsyn. NKOM har i uhyre liten grad veiledet eller håndhevet regler for cookies. Slik blir det ikke likevel, og den rotete norske rettslige situasjonen vi har hatt, vil nå forsvinne.
Cookies er ikke bare informasjonskapsler som skrives til eller leses fra brukers utstyr, men også enhver annen teknologi for å skrive til eller lese fra din mobiltelefon, laptop eller nettbrett, som for eksempel advertisingID, tildelt ID for App, og for å gjøre en lang historie kort, ofte også det å leses ut dine enhetsinnstillinger (device fingerprinting) og som dessuten kan identifisere deg. Logging av IP-adresse derimot, omfattes ikke av cookiereglene.
Forslaget til Stortinget er at også Norge skal innføre krav tilsvarende ekte GDPR-samtykke, for at cookies lovlig skal kunne settes. Dette betyr at sluttbruker aktivt må ha klikket «ja takk», og har kunnet kunne velge fritt mellom å samtykke til statistiske cookies, funksjonelle cookies og markedsføringscookies. Det er særlig markedsføringscookies de fleste sikter til når ordet cookies brukes.
Men for regjeringen: «Damn if you do, damn if you don’t», for dette dreper muligheten til cookies for analytics og statistikk samt tilpasning av tjeneste og innhold til bruker, basert på GDPR-berettigede interesser. Dette er litt merkelig, fordi GDPR-berettigede interesser (og ikke GDPR-samtykke) i prinsippet kan brukes for denne type innsamling, iallfall for «enkel analytics» og «enkel personalisering» av tjenesten og innholdet. Den nye ekomloven vil stoppe dette, fordi loven i seg selv vil kreve et samtykke som = kravene til GDPR-samtykke. Imidlertid er dette ikke Norges feil, for slik er EU-retten også.
Imidlertid kan man jo isteden bruke andre teknologier som sporing etter innlogging eller serverside tracking for å oppnå samme resultat, og da vil ikke cookiereglene gjelde.
PS: Cookieregler gjelder kun å skrive til, og lese data fra, sluttbrukers utstyr. I det øyeblikk persondata samlet inn gjennom cookieteknologi, behandles andre steder som for eksempel i sky, i adtech-tjenester eller ved real time bidding, er det GDPR alene som gjelder. Men da blir det faktisk stort sett en fordel at man ble tvunget til å hente et GDPR-samtykke da man satt cookie/leste fra brukers utsyr.
I tillegg vinner Datatilsynet også diskusjonen om hvem som skal være tilsyn for cookies. Dette blir nemlig både Datatilsynet og NKOM. Dette vil ventelig gi et helt annet trykk på håndheving i Norge. Forvent at aktører som kjører på med cookies uten samtykke, eller uten tilstrekkelig informasjon om persondatabehandling gjennom cookies, vil bli gått etter. Slik har det nemlig tidligere ikke vært.
Vi klarer ikke helt å dy oss; vi nevner også at Datasentre for første gang blir særskilt regulert. Dette vil Føyen snarlig komme tilbake til. Det skal for både ekomtilbydere og datasentre innføres regler om operasjonell sikkerhet gjennom forskrift. Det siste skal bli spennende å følge. Vi mener det generelt sett er en fordel når myndighetene lager konkrete regler for informasjonssikkerhet og også operasjonalisering av sikkerhet. Slike regler kan tjene som veiledning og informasjonskilde også for virksomheter som ikke er omfattet av (i dette tilfellet ekom-) loven.
Ta kontakt med oss dersom du ønsker å vite mer.
Artikkelen er skrevet av Vebjørn Søndersrød.