Cookies er ikke lenger bare cookies. Det får betydning for om du må innhente samtykke på nettstedet ditt.
Det er konklusjonen etter at den Nasjonale Kommunikasjonsmyndighet (NKOM) i uke 48 presiserte at dersom ditt nettsted bruker cookies som samler inn og behandler persondata, så kreves det et GDPR-gyldig samtykke. De færreste norske nettsteder innsamler i dag gyldige samtykker!
Hva er innholdet i NKOMs nye regler til cookies?
Den kortfattede konklusjonen etter NKOMs presisering fra 17.11.2019 er at du må innhente et GDPR-gyldig samtykke om ditt nettsted benytter cookies som deler persondata.
Hvis du er i tvil om de cookies du benytter behandler persondata, bør du være på den sikre siden og velge samtykke etter personopplysningsloven (GDPR).
I Norge er det EKOM-loven som i sin paragraf 2-7b («cookieparagrafen») gir de generelle retningslinjer for bruken av cookies på nettsteder.
Det som i mange år har skapt forvirring i Norge er at NKOM i sin fortolkning av samtykkekravet ikke har presisert at det er forskjell på tekniske cookies og cookies som lagrer eller bidrar til behandling av persondata.
”cookies som deler persondata krever GDPR-gyldig samtykke”
Christian Werner Skovly i Advokatfirmaet Føyen Torkildsen påpeker at NKOMs manglende presiseringen av forskjellen mellom hvilket lovverk som gjelder i hvilke tilfeller har frem til nå bidratt til mye forvirring for mange.
Skovly er derfor godt fornøyd med at NKOM nå bidrar til en tydelig avklaring.
Om du ønsker å lese hele NKOMs oppdatering, så finner du denne her:
Link: https://www.nkom.no/teknisk/internett/cookies/informasjonskapsler-cookies
Utviklingen i Europa går i retning av strengere krav til samtykke
EU-domstolen avsa 1.10.2019 en dom i saken mot tyske Planet49. Denne innskjerper kravene til hva som er å betrakte som GDPR-gyldig samtykke for bruk av cookies.
”Utviklingen i Europa ser ut til å gå i retning av strengere krav til samtykke”
Som følge av Planet49-saken, har NKOM sett behovet for å gi noen presiseringer omkring bruken av cookies. I presiseringen står det blant annet at:
«Utviklingen i Europa ser ut til å gå i retning av strengere krav til samtykke. Nkom vil vurdere behov for justeringer av regelverket som følge av utviklingen.
I mellomtiden er det viktig å merke seg at dersom det er tvil om hvorvidt en cookie lagrer eller behandler opplysninger som faller inn under ekomloven § 2-7b eller om det er behandling av personopplysninger som krever samtykke som oppfyller kravene i personopplysningslovgivningen bør man velge samtykke etter personopplysningslovgivningen (samtykke i tråd med GDPR) for å være på den sikre siden.
Det samme gjelder om man er ansvarlig for en nettside som også retter seg mot andre europeiske land».
”Datatilsynet oppdaterte i 2019 kravene til GDPR-gyldig samtykke”
Formuleringen om at «Utvikling i Europa ser ut til å gå i retning av strengere krav til samtykke …» referer seg sannsynligvis til at Planet49-dommen ikke beskriver noen form for skille på typer av cookies, og er helt klar på at eksplisitt samtykke skal innhentes for alle typer cookies.
Dette henger sammen med ePrivacyregelverket, og det forventes avklaringer her i første del av 2020.
Det er forøvrig Datatilsynet, og ikke NKOM, som er ansvarlig for GDPR i Norge.
Datatilsynet oppdaterte i juni 2019 sine retningslinjer vedrørende kravene til GDPR-gyldig samtykke for.
Samtidig implementerte de også en full løsning for innhenting av samtykker på sitt nettsted.
Hvordan sjekker du om din nettsted er i samsvar med GDPR?
Først og fremst bør du undersøke hvilke cookies din hjemmeside benytter. Bruker du tredepartstjenester som Google Analytics, Facebook Pixel, Sleeknote, YouTube-videoer eller andre tredjepartsplugins, så setter disse tjenester cookies gjennom ditt nettsted.
Disse cookies samler inn og behandler persondata om de som bruker nettstedet – og ansvaret for å innhente samtykke ligger på deg.
Om du har en samtykkeløsning på ditt nettsted, må du sjekke om denne tilfredsstiller kravene til et GDPR-gyldig samtykke.
SOM MINIMUM BØR DIN COOKIESAMTYKKELØSNING:
- Informere dine besøkende om cookies: hvilke data de samler inn og hvem det er som samler inn disse dataene (databehandler).
- Samle inn og lagre gyldige samtykker.
- Gi de besøkende mulighet for å avvise bruken av cookies.
Skaff deg et beslutningsgrunnlag. Det kan du gjøre på en av følgende måter:
- Bestill en analyse av ditt nettsted.
- Avtale et møte med Cookie Information.
Cookie Information har alt du trenger for å sikre at dine nettsteder tilfredsstiller alle lovkrav, både nå og i fremtiden. Samtidig skaper du tillit blant dine brukere.
Hva er kravene til GDPR-gyldig samtykke?:
Har du et nettsted som setter cookies? I såfall må du leve opp til kravene om informert samtykke til databehandling.
Deler de cookies som settes av ditt nettsted, enten direkte fra ditt eget nettsted (førstepartscookies) eller av tredjepartstjenester som fx Google Analytics (tredjepartscookies), er du underlagt GDPRs krav til å samle inn et gyldig samtykke.
Ifølge GDPR skal det samtykke være:
GDPR BETRAKTNING 32
- frivillig
- spesifikt
- informert
- utvetydig
- gitt gjennom en aktiv handling
- dokumenterbart
- mulig å trekke tilbake like lett som det ble gitt
Konsekvensen av dette er at ditt samtykkebanner ikke må inneholde forhåndsavkryssede felter, og passivitet kan ikke utgjøre samtykke.
Planet49-saken handlet nettopp om forhåndsavkryssede felter for samtykke til cookies.
Få sjekket ditt nettsted her. Det er gratis og i løpet av 2 dager du får en profesjonell vurdering av ditt nettsteds samsvar med GDPR.