Det har vært knyttet stor spenning til hvilke krav regjeringen ville foreslå for bruk av cookies. De norske cookie-reglene har vært ansett for å være mer lempelige enn tilsvarende regulering i de andre landene i EU/EØS, og det har vært usikkerhet knyttet til håndhevingen av reglene fra Datatilsynet og Nasjonal kommunikasjonsmyndighet (Nkom). Hensikten med § 3-15 i lovforslaget er å bringe norske cookie-regler i samsvar med regler og praksis i de andre landene i EU/EØS. Dette innebærer at forslaget er ment å samsvare med det underliggende kommunikasjonsverndirektivet, Planet 49-avgjørelsen fra EU-domstolen og personvernforordningens (GDPR) krav til samtykke. Departementet har vurdert å vente på ny kommunikasjonsvernsforordning, men siden det fremdeles er usikkert når forordningen blir vedtatt foreslås en innskjerping av cookie-reglene nå.
Forslaget er ment å være teknologinøytralt, og vil omfatte både informasjonskapsler og andre teknologier med tilsvarende egenskaper. Hensikten med reglene er å beskytte brukere mot urettmessig lagring av eller tilgang til opplysninger som allerede er lagret i brukerens utstyr, f.eks. PC, nettbrett eller smarttelefon. Reglene vil gjelde uavhengig av om opplysningene som samles inn anses som personopplysninger.
Det mest markante avviket mellom norske regler og EU-reglene har vært at man etter gjeldende norske regler har kunnet innhente samtykke for bruk av cookies gjennom f.eks. tekniske innstillinger i nettleser. I høringsnotatet 2. juli 2021 ble det foreslått å videreføre uttalelser i de tidligere lovforarbeidene om at samtykke kan innhentes gjennom tekniske innstillinger, med en presisering om at løsningen må oppfylle krav til aktivt samtykke i EUs personvernforordning. I forslaget som nå er lagt frem, har regjeringen bevisst tatt avstand fra at samtykket kan innhentes på denne måten. Begrunnelsen er at flere høringsinstanser bl.a. har pekt på at de ikke er kjent med at det p.t. finnes tekniske løsninger som gjør det mulig å innhente samtykke i samsvar med personvernforordningen. Departementet understreker at det i ny lov vil kreves aktivt samtykke, og at «dagens praksis der samtykke ligger innebygd i nettleserinnstillingene, og at brukerne mottar informasjon om dette ved «pop-up»-bilder når de besøker nettsteder, ikke vil oppfylle kravet til brukerens samtykke«. Til tross for endringen på dette punktet, er vår oppfatning at det fremdeles vil være rom for tekniske løsninger som kan understøtte både brukeren og virksomheten mht. bruk av cookies, forutsatt at den tekniske løsningen oppfyller de skjerpede kravene.
Etter forslaget er det to krav som må være oppfylt for bruk av cookies og liknende teknologier. Det må for det første informeres om hvilke opplysninger som behandles, formålet med behandlingen og hvem som behandler opplysningene. For det andre må brukeren ha gitt samtykke som oppfyller kravene i personvernforordningen. Departementet peker på at de to kravene har en nær sammenheng, ettersom det er en forutsetning for gyldig samtykke at brukeren har mottatt tilstrekkelig klar og presis informasjon om bruk av cookies i forkant. Departementet minner i forslaget om at et samtykke etter personvernforordningen bl.a. skal være frivillig, spesifikt og informert og at det kreves en aktiv handling fra brukeren. Dersom opplysningene skal brukes til flere formål, skal dette tydelig komme frem, og det skal være mulig å gi samtykke separat til hvert formål. Samtykket må kunne trekkes tilbake til enhver tid, og det må gis informasjon om hvordan samtykket kan trekkes tilbake.
Det foreslås at handlinger som finner sted før eller etter lagringen, for eksempel videre behandling av personopplysninger som er samlet inn via cookies, ikke vil omfattes av bestemmelsen, men vil være omfattet av personvernregelverket dersom det gjelder personopplysninger. Etter vår forståelse åpner dette opp for at behandling av personopplysninger som skjer før og etter innsamlingen gjennom cookies kan være basert på et annet grunnlag enn samtykke, forutsatt at det foreligger gyldig grunnlag etter personvernforordningen.
Unntakene fra informasjon og samtykke er videreført i forslag, tilsynelatende med en viss innsnevring. Det første unntaket gjelder cookies (og liknende teknologier) som utelukkende har til å formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett. Dette retter seg ifølge departementet først og fremst mot ekomtilbydere, særlig der cookies er nødvendig for å sikre enkel og hurtig oppkobling til Internett. Det andre unntaket er skjerpet ved at det er lagt til at bruk av cookies må være «strengt» nødvendig å sette den som tilbyr informasjonssamfunnstjeneste (f.eks. en hjemmeside) i stand til å levere tjenesten etter brukerens uttrykkelige forespørsel.
En viktig endring er at tilsynskompetansen vedr. cookie-reglene er foreslått delt mellom Datatilsynet og Nasjonal kommunikasjonsmyndighet (Nkom). Departementet mener det er hensiktsmessig at Datatilsynet, som er tilsynsmyndighet for personvernforordningen, får kompetanse til å vurdere etterlevelse av krav til informasjon og samtykke. Departementet mener videre at Nkom vil være nærmest til å vurdere om den teknologiske løsningen faktisk omfattes av bestemmelsen og om unntakene knyttet til teknisk lagring eller adgang til opplysninger kommer til anvendelse. Lovforslaget åpner for at Departementet kan gi forskrift eller fatte enkeltvedtak om delingen og detaljeringen av tilsynskompetansen.
Oppsummeringsvis er vår oppfatning at forslaget vil være egnet til å harmonisere norske regler med cookie-reglene som gjelder ellers i EU/EØS. Forslaget innebærer en klar skjerpelse av norske regler, særlig mht. at det ikke lenger er anledning til å anse innstillinger i nettleser som gyldig samtykke. I lys av at Datatilsynet gis tilsynsmyndighet, er det også grunn til å vente adskillig mer håndheving av reglene enn det som har vært praksis til nå. De aller fleste virksomheter bør derfor kartlegge om bruken av cookies (og liknende teknologier) for egne nett-tjenester og apper oppfyller de skjerpede informasjons- og samtykkekravene. For tjenester med mer omfattende bruk av cookies vil det som regel være behov for tekniske løsninger for forvaltning av cookie-banner med tilhørende informasjon og samtykke for ulike cookies. Endringer knyttet til bruk av cookies vil også kunne påvirke rettslig grunnlag for tilknyttede behandlinger av personopplysninger og kreve endringer i personvernerklæringer og tilhørende personverndokumentasjon (interne retningslinjer, DPIA mv.).