Forslag til ny ekomlov og Datatilsynets tilsyn med sporingsteknologier

Fredag 12. april 2024 la regjeringen frem et lenge etterlengtet forslag til ny lov om elektronisk kommunikasjon (ekomloven). Dagens lov fra 2003 var tilpasset en tid hvor kun halvparten av befolkningen hadde tilgang til internett hjemme, og moderne smarttelefoner enda ikke var lansert. Lovforslaget innebærer derfor en modernisering av gjeldende regelverk, og inneholder blant annet et forslag om endring av samtykkekravet for virksomheters plassering av cookies og andre sporingsteknologier som samler inn opplysninger gjennom brukernes elektroniske utstyr.

Det er ikke noe nytt at ekomloven krever samtykke for plassering av cookies. Norge har imidlertid hatt en helt unik tolkning av dette samtykkekravet. Der andre europeiske land, i samsvar med EUs kommunikasjonsverndirektiv og rettspraksis fra EU-domstolen (særlig Planet 49-avgjørelsen) har lagt til grunn at samtykkekravet etter kommunikasjonsverndirektivet skal være like strengt som personvernforordningens krav om et frivillig, spesifikt, informert og aktivt samtykke, har Norge på sin side akseptert at en opt-out mekanisme via f.eks. tekniske innstillinger i nettleseren er tilstrekkelig. Dette har ført til et skille mellom norske og europeiske virksomheter, hvor det ikke har vært nødvendig for norske virksomheter å innhente et aktivt forhåndssamtykke fra sine brukere.

Departementet ønsker med sitt forslag å rette opp i avviket og bringe norsk rett i samsvar med EU-retten. Dette betyr at samtykkekravet i ny lov skal tilfredsstille kravene til samtykke etter personvernforordningen, og det blir dermed nå et krav om aktivt, frivillig, spesifikt og informert samtykke for plassering av sporingsteknologier, slik som cookies. Det understrekes at dagens praksis hvor samtykke ligger innebygd i nettleserinnstillingene, og at brukerne mottar informasjon om dette ved «pop-up»-bilder når de besøker nettsteder, vil ikke oppfylle kravet til brukerens samtykke i ny lov.

Departementet har videre foreslått at tilsynskompetansen etter «cookie-paragrafen» i ekomloven § 3-15 skal deles mellom Datatilsynet og Nasjonal kommunikasjonsmyndighet (Nkom). Dette er av stor betydning fordi Datatilsynet tradisjonelt ikke har hatt kompetanse til å håndheve cookie-reglene, noe som har ført til en unaturlig oppsplittelse av tilsynskompetansen mellom plasseringen av informasjonskapsler (Nkom) og behandlingen av personopplysninger som hver enkelt cookie samler inn (Datatilsynet). Det er derfor all grunn til å tro at Datatilsynet kommer til å være mer aktiv i sin håndheving av samtykkekravet og informasjonskravet for bruk av cookies og andre sporingsteknologier fremover.

Norsk virksomheter bør dessuten merke seg det økte søkelyset på bruken av cookies og andre sporingsverktøy blant norske og europeiske tilsynsmyndigheter. Datatilsynet varslet senest før jul at de fremover vil føre tilsyn med aktører som benytter sporingsteknologi. Datatilsynet oppfordrer derfor alle norske virksomheter til å kontrollere at sin bruk av sporingsteknologi er i tråd med regelverket.

Vi har identifisert følgende tiltak som virksomheter kan iverksette for å redusere risiko og eksponering forbundet med bruk av cookies og sporingsteknologier:

  1. Kartlegg bruken av sporingsteknologier/cookies
    – Det bør kartlegges om din virksomhet bruker sporingsteknologier. Dette kan være cookies f.eks. på virksomhetens nettsider, i applikasjoner eller i e-poster. Dersom slike sporingsteknologier benyttes, bør det utarbeides en oversikt over hvilke teknologier som benyttes, hvilke opplysninger som lagres, hvor lenge de lagres, og hvilke tredjeparter opplysningene deles med. Formålet med dette er å få på plass en totaloversikt over bruken av sporingsteknologi og å kunne gi tilstrekkelig informasjon til virksomhetenes brukere og for å vurdere lovligheten av virksomhetens bruk.
  2. Vurder om din virksomhet har et lovlig grunnlag for sin bruk
    – Både ekomloven og personvernforordningen kommer til anvendelse når det plasseres cookies som samler inn personopplysninger. Det må derfor gjøres en vurdering av om man har lovlig grunnlag for både plasseringen av cookies og den tilhørende behandlingen av personopplysninger. For alle praktiske formål vil dette spørsmålet være begrenset til vurderingen av om det er innhentet et lovlig samtykke etter personvernforordningen (selv om det ikke er utelukket at plasseringen kan gjøres på bakgrunn av samtykke og behandlingen av personopplysninger kan gjøres på bakgrunn av et annet behandlingsgrunnlag). Det relevante rettslige grunnlaget må også omfatte en eventuell deling av personopplysninger til tredjeparter, f.eks. til markedsføringsformål.
  3. Undersøk om det er gitt tilstrekkelig med informasjon
    – Både etter ekomloven og personvernforordningen stilles det krav om at virksomheten gir tilstrekkelig informasjon til sine brukere. Dette gjelder både i selve samtykkeløsningen når et samtykke innhentes og i personvernerklæringen/cookieerklæringen.
  4. Undersøk at omfanget av behandlingen er begrenset til det som er nødvendig
    – Husk at behandlingen skal begrenses til det som er nødvendig for å oppnå formålet. Dersom det er mulig å gjennomføre den relevante behandlingen eller delingen på en måte som innebærer mindre bruk eller deling av data bør dette gjøres.
  5. Undersøk om din virksomhet behandler særlige kategorier av personopplysninger
    – Kartlegg om opplysningene som behandles av din virksomhet er av en slik karakter at de er underlagt særlig beskyttelse. Dette gjelder for eksempel dersom opplysningene omhandler kjøp av helserelaterte produkter eller om de er egnet til å si noe om for eksempel religiøs tilhørighet eller seksuell orientering. Slike data skal som utgangspunkt ikke deles videre med tredjeparter, og det stilles enda strengere krav til samtykke.
  6. Kontroller om bruken av sporingsteknologi medfører at personopplysninger sendes ut av EØS
    – Det stilles strenge krav til deling av personopplysninger utenfor EØS. Dersom opplysninger deles med mottakere utenfor EØS, bør det gjøres konkrete undersøkelser av sikkerhetstiltakene som er på plass og hvorvidt disse medfører at personopplysningene er tilsvarende sikret som i EØS.

Datatilsynet har i tillegg kommet med egne råd om bruk av analyse og sporingsverktøyer på sine nettsider, som kan være lurt å lese.

Nyhetsbrevet er skrevet av

Sindre Dyrhovden 

Ine Møllegaard