Personvern | Oppdaterte retningslinjer for samtykke og bruk av informasjonskapsler (cookies)

Det europeiske Personvernrådet (nedenfor omtalt som Personvernrådet) har nylig oppdatert sine retningslinjer for samtykke til behandling av personopplysninger. Retningslinjene behandler spørsmålet om innhenting av samtykke via såkalte "cookie-walls" (samtykkevegger) er i samsvar med GDPR. Videre vurderer Personvernrådet om ulike former for brukeraktivitet, som for eksempel scrolling, oppfyller kravene til aktivt samtykke.

Samtykke som behandlingsgrunnlag etter GDPR

Bruk av cookies reguleres av ekomloven. Dersom bruk av cookies innebærer at personopplysninger vil bli samlet inn og behandlet, vil personopplysningsloven og GDPR gjelde i tillegg. Personvernrådets oppdaterte retningslinjer tar særlig sikte på tilfeller hvor bruk av cookies innebærer behandling av personopplysninger, og samtykke fra den registrerte utgjør grunnlaget for å kunne behandle opplysningene etter GDPR.

Samtykkevegger og kravet til frivillig samtykke

For at et samtykke skal være gyldig i henhold til GDPR, må det blant annet være frivillig. Det betyr at dersom brukeren føler seg tvunget til å samtykke, eller ikke blir stilt overfor et reelt valg mellom å akseptere eller å avslå de vilkårene som presenteres, uten at han eller hun opplever negative konsekvenser, vil samtykket være ugyldig.

Samtykkevegger er typisk store faner som helt eller delvis blokkerer tilgangen til innholdet på nettsiden inntil brukeren har akseptert bruken av cookies. Først etter at slikt samtykke er avgitt, får brukeren tilgang til nettsidens innhold og funksjoner.

Personvernrådets oppdaterte retningslinjer gjør det klart at samtykkevegger satt opp som en fane som blokkerer innholdet og brukeren må klikke «aksepter cookies» for å få tilgang til innholdet og funksjonene på nettsiden, ikke utgjør et frivillig samtykke etter GDPR. Når det settes en betingelse (om å akseptere cookies) for å få bruke nettsiden eller tjenesten, gjør det at samtykket ikke kan anses å være frivillig.

Samtykkevegger er imidlertid ikke et ensartet fenomen og begrepet rommer mange ulike former for samtykkeløsninger. Hva hvis fanen ikke blokkerer nettsiden fullstendig, men lar brukeren navigere på nettsiden med et mer eller mindre brysomt banner nederst på skjermen? Vil begrensede samtykkevegger frata samtykket dets karakter av frivillighet? Dette gir Personvernrådets oppdaterte retningslinjer ingen tydelige svar på. Det er imidlertid klart at man ikke kan fjerne samtykkeveggen helt, fordi brukeren uansett må informeres om bruken av cookies på en tydelig måte. Det er derfor fortsatt uavklart hvor terskelen går før samtykket kan sies å miste sin karakter av frivillighet. Ytterpunktet er imidlertid klart. Hvis innholdet blokkeres fullstendig, er samtykket ugyldig.

Fortsatt scrolling og kravet til aktivt samtykke

Et annet hovedpoeng i de oppdaterte retningslinjene fra Personvernrådet er at handlinger som å bla eller sveipe gjennom et nettsted ikke under noen omstendighet tilfredsstiller kravene til aktivt samtykke. Et aktivt samtykke forutsetter at brukeren foretar en entydig og bekreftende handling. Å bla gjennom et nettsted kan være vanskelig å skille fra annen brukeraktivitet og det vil ikke være mulig å slå fast om brukeren har gitt et frivillig samtykke. Videre vil det i slike tilfeller være vanskelig å oppfylle kravet i GDPR om at brukeren skal kunne trekke tilbake samtykket like lett som det ble gitt.

Nettsider som anvender samtykkebannere som informerer om at fortsatt scrolling på nettsiden blir ansett som samtykke til bruk av cookies, vil ifølge Personvernrådet måtte endre sin praksis; scrolling er ikke gyldig samtykke til behandling av personopplysninger. Tilsvarende vil etterfølgende godkjenning til fortsatt bruk av cookies ved å klikke «aksepter», ikke være gyldig. I stedet må brukeren gis et reelt valg. Nettsidens samtykkebanner må være interaktivt og nettsiden må avstå fra å aktivere cookies som samler inn personopplysninger inntil brukeren har krysset av for hvilke kategorier av cookies som han eller hun samtykker til.

Retningslinjene samsvarer med EU-domstolens avgjørelse i Planet 49-dommen, hvor det ble lagt til grunn at forhåndsavkryssede bokser i samtykkebannere ikke oppfyller kravet til entydig og bekreftende handling i GDPR.

BAHR mener:

Personvernrådets retningslinjer, anbefalinger og uttalelser vil i praksis ha stor betydning for datatilsynsmyndighetenes praktisering av reglene, både fordi de er direkte hjemlet i GDPR og fordi de er uttrykk for hvordan de nevnte myndighetene i EØS forstår reglene på tvers av landegrensene. Datatilsynet i Norge har foreløpig ikke kommentert oppdateringene.

Basert på Personvernrådets oppdaterte retningslinjer, bør norske virksomheter unngå dominerende samtykkevegger som krever at brukeren aksepterer cookies for å få tilgang til nettsidens innhold og funksjoner. Virksomheten må vurdere konkret hvorvidt bruken av en begrenset samtykkevegg på deres nettside oppleves som så dominerende at brukeren føler seg tvunget til å samtykke. Videre bør det benyttes interaktive samtykkebannere som uttrykkelig ber om brukerens samtykke før cookies aktiveres. Et lovlig samtykkebanner bør også tilby alternativer, slik at brukeren kan si ja eller nei til hvert enkelt bruksformål.

De oppdaterte retningslinjene er tilgjengelige her.

Share aticle to
Loading video ...
close