Cookies og GDPR
I vårt arbeide med GDPR kommer vi ofte borti diskusjonen om cookies, cookie-samtykke og GDPR. Dette er et tema som også diskuteres veldig ofte i ulike fora på internett. Generelt vil vi si at det råder mye forvirring og misforståelser om dette temaet, og unyanserte artikler i massemedia hjelper heller ikke. Denne artikkelen er derfor et forsøk på å oppklare en del ting om dette temaet.
Cookies er en teknologi som lar en nettside lagre og lese informasjon i en besøkendes nettleser. Tenk på det som en liten bankboks i nettleseren, hvor hver nettside får en liten bankboks som bare den kan lese eller skrive til. Mer komplisert enn det er det egentlig ikke teknologien.
Det som kompliserer er lovverket.
Ekomloven - regulerer bruken av cookies, men ikke personopplysninger.
I Ekomlovens § 2-7 b står det:
Bruk av informasjonskapsler/cookies Lagring av opplysninger i brukers kommunikasjonsutstyr, eller å skaffe seg adgang til slike, er ikke tillatt uten at brukeren er informert om hvilke opplysninger som behandles, formålet med behandlingen, hvem som behandler opplysningene, og har samtykket til dette. Første punktum er ikke til hinder for teknisk lagring av eller adgang til opplysninger:
- utelukkende for det formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett
- som er nødvendig for å levere en informasjonssamfunnstjeneste etter brukerens uttrykkelige forespørsel.
Dette er jo veldig klart og tydelig, og lett å forstå. Men merk at det ikke står noe om personopplysninger her.
Samtykke til bruk av cookies - enklere enn du tror
Det er Nasjonal kommunikasjonsmyndighet (Nkom) som fører tilsyn med Ekomloven, og deres konklusjon er at en besøkende til en nettside gir samtykke til cookies når nettleseren aksepterer cookies. Riktignok forutsetter de da at brukerne er tilstrekkelig informert om hvilke cookies som brukes, hva slags data som lagres, hva formålet er og hvem som behandler dataene. Dette beskrives ofte i en egen cookie-erklæring, som er en slags personvernerklæring, men som bare inneholder informasjon om bruken av cookies. Les mer her om hva Nkom skriver om cookies og samtykke.
Men dette betyr at du kan bruke cookies på nettsiden din uten å ha en cookie-popup med samtykke. Nkom selv hadde inntil nylig (2021) ingen cookie-popup med samtykke, men kun en popup med informasjon om at de bruker cookies. Nå har de implementert en cookie pop-up. Vi antar at dette skyldes Datatilsynets syn på cookies til bla analyseformål, hvor særlig Google Analytics har fått mye skepsis.
Så hvorfor er nettet overfylt med irriterende cookie-popup samtykker?
En grei huskeregel å ha med seg er: Ekomloven regulerer bruken av cookies, ikke GDPR. Men GDPR regulerer behandlingen av personopplysninger.
Så et sentralt poeng i vurderingen om du trenger en popup med samtykke er: behandler du personopplysninger i cookies på nettsiden din? Hvis ikke, trenger du ingen popup med samtykke, ferdig med det.
Det vanskelige i vurderingen om man trenger en popup med samtykke er:
- Behandler vi personopplysninger i våre cookies?
- Hvis ja, er behandlingen av en slik karakter at vi trenger et samtykke?
Personopplysninger i cookies
Husk at personopplysninger er “enhver opplysning om en identifisert eller identifiserbar fysisk person”. Dette betyr at dersom du behandler data som er knyttet til en ID som du igjen kan knyttes til en person, så er det en personopplysning.
Det er her det begynner å bli vanskelig, for data i cookies knytter seg som regel til en ID, men det er ikke alltid like lett å vite om denne ID’en igjen kan knyttes til en identifiserbar person. Hæ? Hvordan kan jeg skrive det, man vet jo hva man har implementert på sin egen nettside, eller?
Hvis man kun ser på sin egen kode på nettsidene, så er det ganske enkelt å for en IT-utvikler å vite om cookie-data kan knyttes til identifiserbar person eller ikke. Men dagens nettsider har som regel installert veldig mange tredjeparts-script. Hvordan kan de koble dataene til mine kunder tenker du kanskje? Men det er ikke det som er problemet her. Problemet er at de kan koble dataene til personer som de har identifisert. Bare tenk på hvor mange brukere Google og Facebook har. Et lite eksempel: La oss si at markedsavdelingen i et selskap har lyst å sette opp en blogg. Dette er en blogg hvor ingen kan logge seg inn eller legge igjen noen form for personopplysninger. Bloggen skal ligge på et annet domene, og er frakoblet fra alt annet. Det er fort gjort å tenke at man da ikke behandler noen personopplysninger og at man er utenfor GDPR. Digg! Endelig et sted vi kan jobbe fritt og kreativt kommersielt uten å tenke på GDPR. Eller? Så enkelt er det dessverre ikke. Dersom du legger et Facebook pixel-script på denne bloggen, så deler du data med Facebook på hvem som besøker bloggen. Sjansen for at de som besøker bloggen er en av Facebooks nærmere 3 milliarder brukere er ganske stor. Facebook vet da hvem som besøker hvilke sider på bloggen din og hvor lenge de er på hver side.
Tredjeparts-scripts er etter vår erfaring den vanskeligste delen av vurderinger rundt behandlingen av personopplysninger på en nettside.
Utfordringen er todelt:
- Det er teknisk komplisert å forstå hva som skjer, hvilke data som behandles hvor og når.
- Det er kompliserte avtaler som regulerer bruken av scriptene, og selskapene bak scriptene har gjort lite for å prøve å gjøre det forståelig, snarere tvert imot.
Behandling av personopplysninger krever ikke automatisk samtykke
La oss anta at du nå vet at du behandler personopplysninger på nettsiden. Det er allikevel ikke sikkert at du trenger en popup med samtykke. Hvis du kan litt om GDPR fra før, så vet du kanskje at man må ha et behandlingsgrunnlag for å behandle personopplysninger. Et av behandlingsgrunnlagene er samtykke, men det finns fler. Les mer om behandlingsgrunnlag her.
Hvis du for eksempel bare behandler personopplysninger i forbindelse med innlogging av brukere, så er vår vurdering at dette ikke krever noe samtykke. Gitt at dataene kun brukes til å håndtere en innlogget sesjon så vil behandlingsgrunnlaget være “nødvendig for å oppfylle en avtale”. Hvis du derimot også lagrer informasjon om brukerens bevegelser på nettsiden med den hensikt å lage en profil på brukeren til bruk i markedsføring, så må du benytte deg av et annet behandlingsgrunnlag (som i dette eksempelet, i de aller fleste tilfeller, vil være samtykke).
Derfor: gjør en vurdering av behandlingen av personopplysninger. Det er meget mulig dere kan benytte andre behandlingsgrunnlag enn et samtykke. Vi kan ikke gi noen svar her, for vurderingen er unik for hvert selskap og tilfellet.
Go pro
Har du lest så langt, så kvalifiserer du til å få meg deg to “pro-tip” på slutten. Dette er problemstillinger vi tenker at nybegynnere ikke trenger å tenke på, men som egner seg mer for de som har jobbet med problemstillingen rundt cookies og personopplysninger en stund.
Nettleser-samtykke vs bruker-samtykke
Cookies er knyttet til en nettleser. Å lagre informasjon om samtykke i en nettleser blir fort feil dersom det er flere personer som bruker den samme nettleseren. Vi mener derfor at det er bedre å knytte samtykker til en brukerkonto fremfor en nettleser. Som vi har forsøkt å forklare i denne artikkelen, så er bruken av cookies egentlig ikke så så relevant for GDPR. Det er hva slags data og behandlingen av den som er avgjørende for om GDPR kommer til anvendelse.
GDPR er teknologi-agnostisk; det spiller ingen rolle om du lagrer personopplysninger i cookies, databaser, filer, ark, steintavler eller Local Storage i nettleseren.
Dersom du behandler personopplysninger i nettleseren på en slik måte at det etter deres vurdering vil kreve et samtykke fra brukeren, så prøv å vent å be om samtykke til du vet hvem brukeren er. Da kan du knytte samtykket til brukeren og ikke nettleseren. Hvis du gjør ting riktig så betyr det også at du ikke trenger å be den samme brukeren om samtykke igjen, for eksempel på et annet device.
Back to the future
Det kan være at dere i fremtiden ønsker å knytte ID’en dere har på anonyme brukere til identifiserbare personer. Det kan kanskje virke litt hypotetisk, men min erfaring er at dette skjer oftere enn man tror. Ofte nok til at jeg vil råde alle å tenke skikkelig gjennom dette. Hvis du tror at det i fremtiden kan være en sjanse for at hele eller deler av et datasett som nå er anonymt vil bli identifiserbart, så bør dere innføre samtykke med en gang.
Det var det. Håper du ble litt klokere av å lese denne artikkelen. Hvis du ønsker å gi oss en tilbakemelding, så setter vi stor pris på det. Send oss i så fall en mail til hei@gdprcontrol.no. Husk også å melde deg på på nyhetsbrevet vårt, for å sikre at du får med deg flere artikler som dette.