Tidligere i høst la Kommunal- og moderniseringsdepartementet frem forslag til ny ekomlov § 3-7 om strengere krav til samtykke for bruk av cookies. Samtykket må nå oppfylle samtykkekravene etter EUs personvernforordning (GDPR).
Høringsrunden er avsluttet, og særlig ett punkt var omdiskutert: Kan gyldig samtykke innhentes i nettleserinnstillinger der det er “teknisk mulig og effektivt“? I dag er løsningen lovlig og utbredt, og ifølge forarbeidene til det nye lovforslaget er departementet positive til å beholde denne muligheten.
Derimot er blant annet Datatilsynet og Forbrukertilsynet skeptiske til slik innhenting av samtykke. Ifølge deres høringssvar bidrar forarbeidsuttalelsen til uklarhet. Eksisterende tekniske løsninger tillater dessuten ikke innhenting av gyldig GDPR-samtykke i nettleserinnstillinger fordi de foreløpig er underutviklet. Vi mener denne argumentasjonen ikke i tilstrekkelig grad vektlegger brukervennlighet og økonomiske hensyn, og at alternative løsninger gjennom nettleserinnstillingene bør kunne benyttes.
Dersom samtykke ikke kan gis i nettleserinnstillingene må samtykke i større grad innhentes ved bruk av bannere, pop-ups og barrierer som er mer synlige, omfattende, og plagsomme enn de vi har nå. Slike er ikke brukervennlige. Forskning viser at svært få brukere tilpasser personverninnstillingene som gis i bannere og barrierer. Dette er antatt å være begrunnet i “samtykketrøtthet” hvor brukeren må ta aktivt standpunkt til omfattende og ulikt utformet informasjon på hvert eneste nettsted. Dette pålegger brukeren en stor byrde for å selv ivareta eget personvern.
På bakgrunn av disse ulempene har Storbritannias datatilsyn iverksatt prosesser for å utvikle alternative og mer brukervennlige løsninger basert på nettleserinnstillinger.
Også det Europeiske Personvernrådet (EPDB) og EU-kommisjonen uttrykker at samtykketrøtthet bør unngås ved å tilrettelegge for innstillinger som gjør det enkelt å gi og trekke tilbake samtykke overfor alle nettsteder. I fortalen til forslaget til ny kommunikasjonsvernforordning er det fremhevet at: “… this Regulation should provide for the possibility to express consent by using the appropriate settings of a browser or other application”.
Ser vi til USA, har California bestemmelser som tillater universale innstillinger i nettleser, og Colorado iverksetter slike i 2023. Flere virksomheter jobber aktivt med å utvikle slike løsninger, herunder noyb med Max Schrems i spissen og Global Privacy Control i USA.
Foruten brukervennlighet, tilsier økonomiske hensyn at vi beholder den pragmatiske løsningen til departementet. Hensynet bak GDPR-reformen i 2018 var ikke kun å styrke personvernet, men også å bidra til økonomisk og sosial fremgang i det indre marked. Flere bransjer står i fare for å bli negativt påvirket dersom Datatilsynet mfl. får gehør. Særlig viktig er medienes annonseinntekter som en sentral del av “ytringsfrihetens økonomi”. Dersom bruken av cookies blir vanskeligjort kan det medføre en svekkelse av medienes viktige funksjon i vårt datadrevne samfunn.
Avslutningsvis peker vi også på at lovgiver bør være varsom med å pålegge norske virksomheter strengere krav enn det som finnes ellers i Europa og andre steder. Konkurransedyktigheten til norske reklamefinansierte virksomheter vil kunne svekkes i kampen mot internasjonale giganter som Google og Facebook.
Artikkelen ble publisert første gang i Finansavisen 15. november. Dette er en oppdatert versjon.