Datatilsynet og Forbrukertilsynet krever innstramming av cookie-regelverket
Kommunal og moderniseringsdepartementet sendte i juli i år ut forslag til ny ekomlov, hvor det blant annet foreslås endringer i bestemmelsen om samtykke til bruk av cookies.
Datatilsynet og Forbrukertilsynet ber om endringer i forslaget til ny ekomlov og regelen om bruk av informasjonskapsler – såkalte cookies. Formålet er at internettbrukere i Norge skal få tilbake kontroll over sine personopplysninger.
Datatilsynet og Forbrukertilsynet har i flere år samarbeidet om hvordan personvernregelverket og forbrukervernregelverket kan brukes sammen og utfylle hverandre i møte med databaserte forretningsmodeller, med formål om å sikre trygghet for forbrukere.
I lys av hvor viktig dette temaet er for å sikre alle brukere av internett i Norge en trygg digital hverdag, har Datatilsynet og Forbrukertilsynet gått sammen for å inngi et felles høringssvar vedrørende forslaget til regulering av bruk av cookies i den nye ekomloven.
– Internettbrukere i Norge har i årevis hatt dårligere personvern enn brukere i resten av EU og EØS. Endringer i dette regelverket er på overtid og helt nødvendig, sier direktør i Datatilsynet, Bjørn Erik Thon, i en pressemelding.
Ønsker bedre vern for norske nettbrukere
I 2011 kom det regler fra EU som bestemte at bruk av cookies og lignende teknologier krever et gyldig samtykke etter personvernregelverket. Formålet var å gi brukerne kontroll over sine personopplysninger. Slik ble det derimot ikke i Norge, mener Datatilsynet og Forbrukertilsynet. Da Samferdselsdepartementet i 2013 skulle innføre nye regler i Norge, valgte man i stedet å åpne for at en forhåndsinnstilling i nettleser om at bruker aksepterer cookies kan anses som et samtykke. Da forslaget kom, uttalte Datatilsynet at departementet hadde landet på den dårligste løsningen
Dette uklare regelverket har i årevis medført en utstrakt innsamling av personopplysninger med svært begrenset kontroll og valgmulighet for brukerne.
Kommunal og moderniseringsdepartementet har nå foreslått at samtykke i ekomloven må oppfylle kravene til et gyldig samtykke etter personvernforordningen.
Datatilsynet og Forbrukertilsynet er positive til at departementet benytter anledningen i dette lovarbeidet til å endre bestemmelsen og legge Norge på samme linje som resten av EU og EØS. Endringen er også et gode for virksomheter som ikke lenger trenger å forholde seg til ulike samtykkekrav i ekomloven og personopplysningsregelverket, og ulike samtykkekrav i Norge og resten av EU og EØS. Helt fornøyd er de to aktørene likevel ikke:
I høringsnotatet har imidlertid departementet skapt uklarhet og forvirring, ved å uttale at kravet til samtykke fremdeles vil være oppfylt ved at sluttbruker benytter en teknisk innstilling i nettleser eller tilsvarende i de tilfeller der dette er teknisk mulig. Departementet har ikke begrunnet hvordan det mener et samtykke gjennom tekniske innstillinger praktisk kan gjennomføres.
I dagens marked finnes det etter vårt syn ikke tekniske løsninger for samtykke gjennom nettleserinstillinger som ivaretar personvernforordningens samtykkekrav. I dag benytter nettleserne forhåndsinnstillinger, og selv om man endret dette til å kreve en aktiv handling, vil flere av de andre vilkårene for et gyldig samtykke ikke være oppfylt.
Departementets uttalelser om at samtykke også kan innhentes gjennom tekniske innstillinger i nettleseren kan bidra til at virksomheter ulovlig innhenter og behandler personopplysninger, med henvisning til departementets uttalelser. Vi ber derfor departementet rette opp i dette.
Datatilsynet ønsker mer ansvar
Når personopplysninger samles inn gjennom cookies, er det ekomloven som regulerer dette, og Nasjonal kommunikasjonsmyndighet (Nkom) som fører tilsyn. Etterfølgende behandling av personopplysningene, for eksempel lagring, analyse, sammenstilling eller deling, er regulert av personvernregelverket som Datatilsynet fører tilsyn med, påpekes det i pressemeldingen. Avsenderne ber derfor om mer ansvar:
Datatilsynet mottar mange henvendelser som angår bruk av cookies, og for en bruker som ønsker å rette en klage mot hvordan personopplysninger om dem samles inn, fremstår den fragmenterte tilsynskompetansen mellom Nkom og Datatilsynet som forvirrende, vilkårlig og byråkratisk.
Det vil være langt mer effektivt og hensiktsmessig dersom Datatilsynet kan føre tilsyn med alle aspekter av behandlingen av personopplysninger i saker som blir klaget inn til Datatilsynet – inkludert innsamling gjennom cookies. Å unnta store deler av innsamlingen av personopplysninger på internett fra Datatilsynets tilsynsmyndighet, gjør det svært vanskelig for Datatilsynets å løse sitt samfunnsoppdrag.
Vi ber departementet om at Datatilsynet får kompetanse til å føre tilsyn med bestemmelsen om bruk av cookies. Dette skal ikke ha noen innvirkning på Nkom sin tilsynskompetanse med bestemmelsen.
Høringsfristen på forslaget var 15. oktober 2021.
