Skip to content
Priser
Kontakt
,

EU-dom om cookies kan gjøre tusenvis av nettsider ulovlige

Picture of Kristine Hansen

4 mins read

Ved slutten av 2019 avga EU-domstolen en dom over det tyske selskapet Planet49, som vil ha stor innvirkning på måten de fleste europeiske nettsteder håndterer informasjonskapsler.

De aller fleste nettsteder har et banner som informerer nye besøkende om informasjonskapsler og personvern, men ifølge EU-dommen er dette ikke lenger tilstrekkelig.

La oss først se nærmere på den spesifikke dommen for å forstå problematikken

Planet49, som driver med online lotteri, hadde i forbindelse med en konkurranse fått samtykke til å plassere informasjonskapsler på brukernes datamaskiner ved en forhåndsutfylt avkrysningsboks slik at brukeren aktivt skulle fjerne denne dersom de ønsket å takke nei til å ha markedsføringskapsler på sin maskin. 


I den forbindelse hadde den tyske domstolen stilt EU-domstolen tre spørsmål:

  1. Kan en ferdig utfylt avkrysningsboks betraktes som et gyldig samtykke?

  2. Utgjør det en forskjell om informasjonen som er lagret kan karakteriseres som personlig eller ikke?

  3. Hvilken informasjon er nødvendig for at samtykket skal kunne betraktes som innhentet på gylding grunnlag?


EU-domstolen dom gjorde det klart at:

  1.  En ferdig utfylt avkrysningsboks kan ikke betraktes som et gyldig samtykke. Det må være en aktiv handling fra brukerens side.

  2. Det er ingen forskjell på om informasjonen som er lagret eller samlet inn ved hjelp av disse informasjonskapslene er å betrakte som personlig informasjon. Disse reglene gjelder med andre ord for alle typer informasjonskapsler.

  3. Samtykke må gis på et informert grunnlag, inkludert informasjon om formålet med hver cookie, informasjon om hvor lenge en cookie er aktiv og om tredjeparten vil ha tilgang til informasjonen som er samlet inn.


Senere i artikkelen vil vi komme tilbake til hva disse konklusjonene i praksis betyr for måten cookies håndteres på.


Les mer her om hvordan vi kan hjelpe deg med å administrere dine cookies med Cookiebot


Rettslig grunnlag for dommen

Der er nok på sin plass å understreke her at vi i Avidly ikke er juridiske eksperter., og jeg vil derfor oppfordre deg til å konsultere egne juridiske eksperter for å vurdere hva denne dommen betyr spesifikt for deg og din bedrift. 

Til sammen har vi over 300 kunder i Avidly i skrivende stund, og erfaringene med å implementere GDPR har så lang vist oss at det er et sprik mellom hva ulike jurister mener om vurderingen av samtykker.

Ta derfor denne gjennomgangen av cookie-reglene for hva det er - vår forståelse av reglene basert på undersøkelsene og erfaringene vi har gjort, samt dialog med ulike advokater. Med den erklæringen til grunn, la oss gå videre for å se på hvordan EU-domstolen har kommet til konklusjonen og hvorfor det hele er litt komplekst.

Overlappende regler 


Først og fremst finnes det flere overlappende regler på dette området. Som de fleste kjenner til trådte EUs personvernforordning i kraft (kjent under forkortelsen GDPR) i 2018. GDPR-lovgivningen regulerer hvordan vi håndterer informasjon som kan klassifiseres som personopplysninger - det vil si alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

Informasjonskapsler, eller cookies, kan både inneholde anonymiserte data, men også personlig identifiserbar informasjon. Dette er grunnen til at vi beveger oss litt i grenseland av hva som er dekket av GDPR og ikke. I tillegg har vi et annet EU-direktiv (2002/58/EF) der artikkel 25 spesifikt beskriver hvordan man skal håndtere cookies.

I løpet av får år vil dette direktivet erstattes av en ny ePrivacy-forordning. Denne forskriften vil sannsynligvis være en bekreftelse på EU-domstolens nåværende dom, men denne er altså ikke på plass enda. 

Her er det viktig å forstå forskjellen mellom direktiver og forskrifter. Et EU-direktiv er et regelverk som setter noen krav til hva medlemslandene må oppfylle, men i samtidig er det opp landene selv å innføre en lovgivning som kan oppfylle disse kravene.

En EU-forskrift er derimot en reell lov som, når den trer i kraft, umiddelbart kommer til anvendelse i alle EUs medlemsland.

Dermed vil den kommende EU ePrivacy-forordningen være gjeldende når denne trer i kraft på et tidspunkt. Siden det gamle direktivet som refererer til informasjonskapsler ikke forholder seg til samtykke-begrepet, måtte WU.domstolen se på hvordan samtykke tolkes i GDPR, der samtykket må være frivillig, spesifikt, informert og utvetydig slik Datatilsynet forklarer her. 

Hva betyr dommen for samtykke til cookies?

Nok teori snakk for nå. Hva betyr egentlig dette for vår måte å håndtere cookies på, og hvorfor er det så viktig å være bevisst på dette?

Så lang har den vanlige bruken av samtykke til cookies vært at samtykke gis gjennom aktiv bruk av nettsiden. De fleste løser dette gjennom et banner på nettsiden, som informerer om bruken av cookies, men uten noen mulighet til å begrense eller takke nei til dette. 

Men det går ikke lengre.

Erhvervsstyrelsen i Danmark skriver at “dommen og dens tolkning av aktiv handling betyr at "gå videre" kan likestilles med et forhåndsavkrysset felt og ikke kan anses som brukerens aktive og spesifikke samtykke til å bruke cookies"

 

I skrivende stund analyserer Erhvervsstyrelsendet samlede omfanget av setningens betydning og vil, når dette arbeidet er utført, oppdatere retningslinjene for cookies.

På nåværende tidspunkt (jan 2020) sier guiden at:

  • Brukeren må kunne samtykke nekte samtykke til bruk av cookies
  • Brukeren må kunne trekke tilbake et tidligere gitt samtykke
  • Brukeren må enkelt kunne finne ytterligere informasjon om bruken av cookies på nettstedet
  • Samtykke må knyttes til det formålet den innsamlede dataen skal brukes til

I tillegg til kravet om selve samtykket er det også noen krav til informasjonen du må gi brukeren for at samtykket skal være gyldig. Så, for å få et gyldig samtykke må du:

  • Skrive informasjonen på et tydelig, presist og lettforståelig språk
  • Oppgi formålet med bruken av de enkelte informasjonskapslene
  • Fortell brukerne hvem som står bak informasjonskapslene som benyttes - det kan være eieren av nettstedet eller en tredjepart
  • Gi informasjon om hvordan brukeren kan gi sitt samtykke eller avvise bruken av cookies
  • Opplyse om hvordan brukere kan trekke tilbake sitt samtykke
  • Opplyse om varigheten av informasjonskapslene (utløpsdato)

 

Siden samtykket til cookies kun kan anses som gyldig etter at brukeren avktivt har avgitt det, betyr dette i praksis at du må holde igjen bruken av cookies til samtykket er gitt. Her er det mange av de tekniske løsningene som "gir opp", siden de fleste cookies som brukes på nettstedet allerede er plassert når siden lastes inn. 


En av de mange standardløsningene som faktisk ikke lenger har en løsning som støtter disse nye kravene er HubSpot, som er vår viktigste plattform i Avidly. HubSpot har muligheten til å hente inn eller avvise bruken av cookies, men dette gjelder kun HubSpot sine egne cookies, og vil ikke kunne hindre cookies fra blant annet Google Analytics, Facebook osv.

I Avidly benytter vi selv derfor en løsning som Cookiebot, som er en av få tjenester på markedet som oppfyller alle krav og gjør det mulig å holde tilbake cookies inntil brukeren har gitt sitt samtykke.

Hvordan får jeg et gyldig cookiesamtykke?

Som tidligere nevnt er den nåværende praksisen med å informere om bruken av cookies og at videre bruk av nettsiden er ensbetydende med samtykke ikke lenger tilstrekkelig. Det kan være cookie-bannere som disse, der brukeren ikke har et reelt valg om å avvise bruken av cookies:

Screenshot 2020-01-20 at 18.15.53

Fremover er det nødvendig at brukeren gir et aktivt og informert samtykke for bruk av cookies. Det kan for eksempel gjøres på denne måten:

Cookiebanner Fiftytwo
Her blir brukeren informert om formålet med bruken av cookies. Det blir gjort oppmerksom på at cookies stammer fra både eieren av nettstedet og eksterne parter. Ved å klikke på innstillinger kan man også få full oversikt over hvor cookiene kommer fra, hva de gjør og hvor lenge de oppbevares. Her kan brukeren justere innstillingene ved å velge statistikke eller markedsføringskapsler av og på. 

Og viktigst av alt, programvaren sørger for at disse informasjonskapslene ikke blir aktivert før et aktivt samtykke er gitt.

Hva betyr det for datainnsamling på nettsiden?

De nye reglene betyr at du som eier av et nettsted vil miste litt data og innsikt. Hvis de besøkende ikke tar stilling til spørsmålet om bruk av cookies vil (eller avviser) vil ikke data bli samlet inn. Du mister dermed muligheten til å bruke slik data til retargeting på andre plattformer og du mister informasjon om brukeratferd på nettstedet ditt i Google Analytics og andre verktøy som HubSpot, Marketo etc.

Det er kun de informasjonskapslene som er strengt nødvendige for bruk av nettstedet som må være aktive. For eksempel cookies som husker hva du har lagt i handlekurven på en nettbutikk. Det kan også være cookies som er plassert for å oppnå en grunnleggende sikkerhet eller for at siden skal lastes optimalt.

Derfor er det viktig å informere brukerene og dermed hjelpe den til å ta stilling til disse valgene av cookies, slik at du også mister så lite data som mulig. 

Les mer her om hvordan vi kan hjelpe deg med å administrere cookies med Cookiebot