I Norge har det vært lagt til grunn at bruk av cookies kan baseres på brukers nettleserinnstillinger. EU Domstolen uttalte derimot nylig i en dom basert på e-privacy direktivet og GDPR, at aktivt samtykke var nødvendig for cookies med markedsføringsformål. Alle som opererer nettsider bør foreta en gjennomgang av hvilke cookies de benytter og om man har nødvendig grunnlag bruken av slike cookies.
Cookies er små informasjonskapsler man som bruker av Internett mottar når man besøker ulike nettsider. Cookies kan være nødvendig for at nettsiden skal huske brukerinnstillinger, at nettbutikken skal fungere osv., men kan også benyttes til andre formål, herunder til å samle inn opplysninger for rettet markedsføring.
Saken som var til behandling i EU Domstolen, gjaldt selskapet Planet49 som ønsket å bruke cookies for markedsføringsformål. Ved hjelp av den aktuelle cookien, kunne Planet49 følge brukernes besøk på andre nettsider og drive rettet markedsføring basert på den enkelte brukers atferd. Selskapets nettside inneholdt en avkryssingsboks for samtykke, men problemet var at avkryssingsboksen var forhåndsutfylt. Ifølge EU domstolen oppfylte dermed ikke Planet49 kravene om samtykke i e-privacy direktivet slik dette måtte forstås i lys av blant annet GDPR.
Avgjørelsen medfører en klargjøring av norsk rett. Der samtykke er nødvendig for cookies, må det innhentes et aktivt samtykke på tilsvarende måte som under GDPR. I Norge har det tidligere vært ulike oppfatninger om dette. Forarbeidene til ekomloven har gitt uttrykk for at også passivt samtykke til bruk av cookies i form av innstillinger i nettleseren, er tilstrekkelig, noe som har vært støttet av Nasjonal kommunikasjonsmyndighet (Nkom) og Samferdselsdepartementet. Datatilsynet har derimot tatt til orde for at det må oppstilles et mer aktivt krav til samtykke, i tråd med den avgjørelsen som nå er kommet fra EU-domstolen i Planet49-saken.
Denne dommen klargjør også at brukeren må gis klar og tilstrekkelig informasjon om formålet med bruken, hvor lenge cookies vil forbli nedlastet og om tredjepersoner vil kunne få tilgang til opplysningene eller ikke.
Dommen er praktisk viktig da de fleste nettsteder bruker cookies. Det som ikke fremgår av dommen, er imidlertid hvilke typer cookies utover slike som er knyttet til markedsføring, som krever aktivt samtykke. Etter dagens e-privacy direktiv, er det f.eks. ikke krav om samtykke ved bruk av cookier som er absolutt nødvendig for å levere en tjeneste som bruker uttrykkelig har bedt om eller som er nødvendig for å lette overføring av informasjon i nettverk. Rekkevidden av disse unntakene er ikke adressert i denne dommen. Spørsmål som gjenstår er derfor om det også kreves aktivt samtykke for alle former for funksjonelle cookies knyttet til innlogging, brukerinnstillinger, netthandelsløsninger osv. Og hva med cookies som brukes til å analysere trafikken på nettsiden?
Praktiske hensyn tilsier at det ikke bør kreves aktivt samtykke for slike cookies, men her er det behov for klargjøring. Nkom har i etterkant av EU- domstolens dom uttalt at de nå vurderer om det er behov for endringer i den norske ekomlovgivningen. Samtidig er EU i ferd med å erstatte e-privacy direktivet med en ny e-privacy forordning. Forhåpentlig vil disse lovrevisjonene bidra til å skape mer klarhet om hvilke cookies som krever aktivt samtykke.
I mellomtiden bør alle virksomsomheter undersøke hvilke cookies de benytter, om de har nødvendig rettslig grunnlag for bruken og ved behov revidere sine rutiner.