På tide å gjennomgå hvordan informasjonskapsler brukes på virksomhetens nettside?

Jeg er sikkert ikke alene om å gi uttrykk for at “Jeg forstår” eller “Jeg samtykker” når jeg går inn på en nettside, uten egentlig å vite hva det er jeg samtykker til. Etter at jeg begynte å jobbe med personvern er jeg blitt flinkere til å ikke bare godta, men i stedet følge oppfordringen i pop-ups til å lese mer om hvordan nettsiden bruker informasjonskapsler (cookies). Det er sjelden denne informasjonen gjør meg noe særlig klokere.

Hva er informasjonskapsler?

Eiere av nettsider og tredjeparter samler inn store mengder personopplysninger om oss og vår atferd på nettet gjennom plassering av informasjonskapsler, med grunnlag i det de mener er vårt samtykke. De fleste er nok klar over at nettsider lagrer slike informasjonskapsler på PC-ene og smarttelefonene våre når vi surfer på nettet. Men hva er det egentlig som lagres på maskinen min? Hvilke opplysninger er det som samles inn? Og hvordan får tredjeparter tilgang til i denne informasjonen? Jeg fikk Martin fra PwCs Cyber Threat Operations team til å forklare meg teknologien litt nærmere: 

“Informasjonskapsler er små filer som lagres på PC-en din (eller telefonen, nettbrettet, etc.) av nettsiden du besøker. I informasjonskapselens levetid lagres det en ID som sørger for at informasjon om dine ulike besøk på nettsiden kan kobles sammen. Dette gjør at nettsiden for eksempel kan huske språkinnstillinger og hva du har puttet i handlekurven. Dette er i din interesse som bruker og ofte nødvendig for nettsidens funksjonalitet. Informasjonskapsler kan imidlertid også ha andre formål, som å spore en brukers atferd på nettet for å tilpasse innhold og markedsføring. En nettside vil ofte plassere ut informasjonskapsler på vegne av store annonse- og analysetjenesteleverandører, en såkalt tredjeparts informasjonskapsel. Slike informasjonskapsler sørger for at du kan spores gjennom flere nettsider, og det kan kombineres opplysninger om deg fra flere ulike kilder. Gjennom plassering av informasjonskapsler kan det altså bygges en omfattende profil om deg som har en høy verdi på annonsemarkedet.” 

Plikt til å gi informasjon og innhente samtykke ved bruk av informasjonskapsler

Regler om kommunikasjonsvern krever at brukeren gis informasjon og at det innhentes samtykke for å plassere informasjonskapsler på en brukers enhet. Det gjøres unntak fra denne plikten for lagring av opplysninger som er nødvendig for å levere tjenesten brukeren etterspør. Typisk vil informasjonskapsler som sørger for funksjonalitet på nettsiden være ok å plassere hos brukeren uten samtykke, for eksempel en informasjonskapsel som sørger for at nettsiden husker hva du puttet i handlekurven da du var innom sist. Informasjonskapsler som brukes til å tilpasse redaksjonelt innhold eller vise deg målrettede annonser, altså informasjonskapsler som innebærer en sporing og profilering av deg som bruker, kan imidlertid vanskelig anses som nødvendig for å levere tjenesten. For bruk av informasjonskapsler for slike formål må eieren av nettsiden innhente samtykke. Trolig vil dette også gjelde bruk av informasjonskapsler for analyseformål. 

Ny dom fra EU-domstolen om informasjonskapsler

I en ny dom fra EU-domstolen klargjøres kravene til samtykke og informasjon ved bruk av informasjonskapsler. EU-domstolen presiserer i dommen at disse kravene må forstås på samme måte som etter personvernregelverket. Det betyr at en forhåndsavkrysset boks ikke utgjør et gyldig samtykke, fordi et av kravene etter personvernregelverket er at samtykke gis ved en aktiv handling. Dommen gjør det også klart at personvernregelverkets krav til gyldig samtykke gjelder for bruk av informasjonskapsler, uavhengig av om det samles inn personopplysninger eller ikke. Når det gjelder kravet til informasjon, presiserer EU-domstolen at det må gis informasjon til brukeren om informasjonskapselens varighet og hvilke tredjeparter som får tilgang på informasjonen som samles inn.   

Seks punkter for å sørge for overholdelse av kravene

En rask surferunde på nettet viser at det er mange eiere av nettsider som burde ta en gjennomgang av hvordan de samler inn samtykke til informasjonskapsler, samt hvilken informasjon som gis til brukerne. Eiere av nettsider som plasserer informasjonskapsler på brukeres utstyr bør: 

• vurdere hvorvidt dette er nødvendig for å levere brukeren en tjeneste brukeren selv etterspør; 
• hvis ikke, sørge for å innhente samtykke som oppfyller personvernregelverkets krav til gyldig samtykke, uavhengig av om det er personopplysninger som behandles;
• ikke benytte forhåndsavkryssede bokser, eller andre teknikker som passiviserer brukeren;
• ha en lett tilgjengelig pop-up, som gir forståelig informasjon om hvilke opplysninger som behandles, formålet med behandlingen, varigheten av informasjonskapsler som blir lagret og om alle tredjeparter som får tilgang på opplysninger, og som gir brukeren muligheten til aktivt å velge hvilke informasjonskapsler denne ønsker å samtykke til;
• ikke plassere informasjonskapsler før brukeren har samtykket til dette;
• dersom plasseringen av informasjonskapsler innebærer behandling av personopplysninger, sørge for at også de øvrige kravene i personvernregelverket oppfylles. 

Virksomheter bør ta en gjennomgang av måten de bruker informasjonskapsler på

Nasjonal kommunikasjonsmyndighet (Nkom) vurderer nå om det bør gjøres endringer i ekomlovgivningen som følge av den nye dommen fra EU-domstolen. Arbeid med en ny kommunikasjonsvernforordning pågår stadig i EU-institusjonene, og dommen vil også kunne få betydning for det endelige resultatet av denne prosessen. Enhver eier av en nettside bør imidlertid allerede nå ta en gjennomgang av om måten de bruker informasjonskapsler på er innenfor regelverket slik EU-domstolen tolker reglene. Dette for å være sikker på at man overholder kravene, for å være godt forberedt på eventuelle regelendringer og ikke minst for å vise sine kunder og brukere at man tar deres personvern på alvor.  

                                                                        ***

Dette blogginnlegget er skrevet av Martin Herrmann og Marie Munthe-Kaas. Martin jobber i PwCs Cyber Threat Operations team, som er en del av PwC Cyber & Risk.