Datatilsynet sender brev til statsråden om cookie-regelverket

Ved årsskiftet ila det franske datatilsynet (CNIL) store bøter mot Google og Facebook for brudd på samtykkekravet for cookies (informasjonskapsler).

– Praksisen til de to selskapene i disse sakene ville neppe vært i strid med det norske cookie-regelverket. Vi mener dette viser hvor viktig det er å gjennomføre endringer i dette lovverket, sier seniorrådgiver Anders Obrestad.

Endringer i bestemmelse om samtykke

I fjor høst var Kommunal- og distriktsdepartementets forslag til ny ekomlov på høring, hvor det blant annet ble foreslått endringer i bestemmelsen om samtykke til bruk av cookies. Datatilsynet og Forbrukertilsynet leverte i den forbindelse en felles høringsuttalelse hvor vi ba om innstramminger i cookie-regelverket.

Datatilsynet har registrert at flere høringsinstanser som driver innen annonsemarkedet har tatt til orde for å stanse eller utsette de foreslåtte endringene. Datatilsynet sender nå et brev til statsråden for å understreke viktigheten av at innstramminger i cookie-regelverket gjennomføres.

Brevet til statsråden kan lastes ned nederst i denne artikkelen.

Store bøter mot Google og Facebook i Frankrike for brudd på cookie-regelverket – neppe ulovlig i Norge

I brevet orienterer vi nærmere om CNIL sine vedtak av 31. desember 2021. De ila overtredelsesgebyr mot Google og Facebook på henholdsvis 150 millioner euro og 60 millioner euro for brudd på den franske reguleringen av cookies.

I Frankrike kreves det, i likhet med resten av EU, at samtykke til bruk av cookies må være i tråd med kravene i personvernforordningen. Bakgrunnen for bøtene fra CNIL var at de to selskapene tillot brukere å samtykke til bruk av cookies gjennom et enkelt klikk, mens fremgangsmåten for å avslå samtykke var mer brysom og tidkrevende. Denne praksisen medførte at samtykkene til bruk av cookies ikke ble ansett som frivillige, og dermed ikke gyldige.

– Disse sakene adresserer etter vårt syn et av hovedproblemene man ser med samtykkebokser på internett i dag. De er designet på måter som påvirker brukerne til å samtykke gjennom å gjøre det mer brysomt og tidkrevende å la være å samtykke. Internettbrukere besøker svært mange nettsider i løpet av en dag, og velger i praksis ofte det raskeste og enkleste alternativet får å få tilgang til innholdet de ønsker, sier Anders Obrestad.

Til sammenligning ville imidlertid praksisen som Google og Facebook nå er ilagt bøter for i Frankrike, neppe blitt vurdert som problematisk etter regelverket for cookies i Norge hvor det tillates illusoriske samtykker gjennom forhåndsinnstillinger nettleserinstillinger.

– Etter vårt syn illustrerer disse sakene hvor uholdbar dagens regulering av cookies og lignende sportingsteknoliger i Norge er for personvernet til internettbrukerne, sier Obrestad.

Ber om tilsynskompetanse for Datatilsynet

I høringen i fjor ba vi også om at Datatilsynet bør få tilsynskompetanse med bruk av cookies og lignende sporingsteknologier. Datatilsynet har lang erfaring med å samarbeide med Nasjonal Kommunikasjonsmyndighet (Nkom), og etter vårt syn vil det være uproblematisk dersom de to tilsynene får overlappende tilsynsmyndighet på dette området. Det sentrale er å unngå dagens byråkratiske oppdeling av tilsynskompetansen, og sikre at en og samme tilsynsmyndighet har kompetanse til å føre effektivt tilsyn med hele behandlingsløpet for personopplysningene som samles inn om internettbrukere i Norge – inkludert innsamling gjennom cookies.

– Cookie-regelverket er ikke underlagt de samme europeiske samarbeidsmekanismene som personvernforordningen. Dersom Datatilsynet får kompetanse til å føre tilsyn med bruken av cookies i Norge, vil vi dermed kunne føre tilsyn med alle selskaper som bruker informasjonskapsler til å spore internettbrukere i Norge – inkludert de amerikanske teknologigigantene, sier Obrestad.

Last ned

Datatilsynets brev til statsråden om cookie-regelverket (pdf)