get_queried_object(); $id = $cu->ID; ?>

Nei takk, vi er forsynt med cookies

Den norske mediebransjen mobiliserer igjen for å stoppe innstramminger i regelverket for cookies og lignende sporingsteknologier. Denne gangen håper vi at regjeringen ikke lytter.

Bakgrunnen for det som utspiller seg i høringsrunden går nesten ti år tilbake i tid. Da skulle Norge forsøke å implementere et EU-direktiv som krevde at brukere måtte samtykke for at deres personopplysninger skulle bli samlet inn gjennom cookies og lignende teknologier som gir tilgang til informasjon som er lagret på mobil, datamaskin, nettbrett og lignende. Formålet var å gi internettbrukere i Norge bedre kontroll over sine personopplysninger, på samme måte som internettbrukere i resten av Europa.

Slik ble det ikke.

Etter sterk mobilisering fra mediebransjen og andre som driver innen digital markedsføring, valgte i stedet Samferdselsdepartementet i 2013 å åpne for at en forhåndsinnstilling i nettleser om at bruker aksepterer cookies kan anses som et samtykke.

Spor først, ikke spør etterpå

Hvis man ikke selv går inn og endrer de tekniske innstillingene i nettleseren eller mobilen, anses man altså for å ha samtykket til å kunne bli sporet på nett. Dette gjelder for eksempel hvilke sider man besøker, hvor lenge man er der og hva man gjør.

Hvordan dette kan kalles et samtykke i noen som helst form, er vanskelig å forstå. I stedet for å ta et aktivt valg om man ønsker å bli sporet eller ikke, blir man sporet fra første stund – spor først, ikke spør etterpå. Da forslaget kom, uttalte Datatilsynet at departementet hadde landet på den desidert dårligste løsningen. Norske brukeres personvern blir i realiteten avgjort av forhåndsinnstillinger som utformes av utenlandske teknologiselskaper slik som Google eller Apple.

Når det nå på nytt foreslås innstramminger i kravet til samtykke for bruk av cookies og lignende teknologier, har mediebransjen igjen mobilisert for å stoppe eller trenere endringene. Mediebedriftenes Landsforening (MBL) har levert en høringsuttalelse som støttes av bransjens store aktører. Her bes det om at de foreslåtte endringene ikke gjennomføres.

Begrunnelsen er ifølge MBL å opprettholde annonseinntektene for mediebransjen i møte med store teknologiselskaper som Facebook og Google, slik at de kan finansiere journalistikken som tjener en viktig samfunnsrolle i et demokrati. Dersom kravet til samtykke til cookies og andre identifikatorer strammes inn, mener MBL at dette vil kunne innebære en betydelig reduksjon i norske redaksjonelle mediers annonseinntekter.

Det er fritt vilt

Datatilsynet har selvfølgelig forståelse for hvor viktig de redaksjonelle medienes samfunnsrolle er. Reglene som nå foreslås innført i Norge er imidlertid regler som redaksjonelle medier i øvrige europeiske land har måtte forholde seg til i nesten 10 år.

At noe må gjøres med teknologigigantene, er vi heller ikke uenig med dem i. Men det er ikke det dette forslaget handler om. Dette forslaget handler om å verne om internettbrukeres grunnleggende menneskerett til personvern, og retten til å bestemme over egne personopplysninger.

Dagens særnorske og personvernfiendtlige cookie-regelverk gjelder ikke bare for norske medier. Dette regelverket gjelder på samme måte for Google, Facebook og alle andre som benytter cookies eller lignende sporingsteknologier på internettbrukere i Norge. Det er fritt vilt.

Det Datatilsynet og Forbrukertilsynet ber om, er at norske internettbrukere skal ha samme mulighet som andre i Europa til å velge om de vil gi sine personopplysninger til kompliserte annonsenettverk bak kulissene, og som vanlige brukere gjerne ikke har forutsetning for å forstå hvordan opererer.

Dersom endringer i cookie-regelverket skal gjennomføres, mener MBL at bruk av cookies som finansierer av redaksjonelle medier må falle inn under et eksisterende unntak fra samtykkekravet for cookies eller lignende teknologi som er «nødvendig» for å levere en nettjeneste som brukeren uttrykkelig har bedt om.

Datatilsynet er også forundret over timingen

Etter vårt syn er det ingen holdepunkter for en slik forståelse i dagens regelverk. Dette unntaket skal tolkes strengt, og unntaket gjelder for eksempel de tilfellene hvor nettsiden trenger å huske hva du har lagt i handlekurven i en nettbutikk. Spranget er stort fra en bruker som behøver at nettsiden husker varen i handlekurven til massiv innsamling av personopplysninger for å målrette markedsføring mot hver enkelt bruker.

At mediebedrifter skal gis en særlig tillatelse til å fortsette den nåværende praksisen på bekostning av norske brukeres rett til selvbestemmelse over egne personopplysninger, vil vi advare mot. Dersom argumentet mot at man må be om samtykke er at brukere ikke sier «ja», så mener vi man har misforstått poenget med å be om samtykke og hvorfor disse innstrammingene foreslås.

Samtykke er ingen perfekt løsning, men per i dag finnes det ingen gode alternativer. Samtykkebokser kan også designes på måter hvor man ivaretar personvernet, og gir brukerne et reelt valg. MBLs argument om at det må være anledning til å stenge ute brukere som sier «nei» til cookies fra en nettside, er stikk i strid med det felles standpunktet til datatilsynsmyndighetene i Europa. En slik praksis på redaksjonelle mediers nettsider vil også kunne gå ut over folks mulighet til å delta i samfunnsdebatten.

Et gjennomgående poeng i høringsuttalen til MBL er at det er uheldig å endre den norske regelen nå, mens det jobbes med en ny kommunikasjonsvernforordning for EU. Avslutningsvis i et intervju med Kampanje uttaler styreleder i MBL, Pål Nedregotten, at han er «forundret over timingen».

Datatilsynet er også forundret over timingen.

Vi er forundret over at disse endringene ikke kom i 2013 da kravet til samtykke til cookies ble strammet inn i resten EU og EØS. Arbeidet i EU med kommunikasjonsvernforordningen har tatt svært lang tid, og ennå vet ingen når denne kommer. Å gjennomføre innstramminger i cookie-regelverket er på overtid, og personvernet til norske internettbrukere kan ikke vente lenger.

Det regner vi med at regjeringen ser.

Denne kommentaren ble først publisert i Kampanje (10.11.21), og er skrevet av Kristian Bygnes og Anders S. Obrestad. Begge jobber som juridiske rådgivere i Datatilsynet.

Derfor sa vi nei til Facebook

Dette innlegget sto på trykk i Dagens Næringsliv 18. oktober 2021. Datatilsynet har besluttet å ikke opprette en egen side på Facebook fordi usikkerheten til hvordan Facebook bruker disse dataene er for stor. I et innlegg den 13. oktober uttrykker Facebook...

les mer

Ti tonn tillit, takk!

Kva er kiloprisen på tillit? Sei det! Uansett - i ei tid der vi snakkar om persondata som det nye gullet, blir det stadig tydelegare at tilliten din er sjølve diamanten. Cyberangrep er stadig i overskriftene, og det er berre å innsjå det – vi menneske er det svakaste...

les mer

Data er det nye oljesølet

Vår tids digitale utfordringer bærer i seg et element av allmenningens tragedie. Hvis data er den nye oljen, må vi snakke mer om forurensingen, utslippene og de kollektive skadevirkningene stordataalderen har medført.  Dette innlegget stod på trykk i Morgenbladet...

les mer

Må vi egentlig være på sosiale medier?

Det er blitt skapt et avhengighetsforhold mellom norske virksomheter og teknologiselselskapene som det blir vanskelig å fri seg fra. Vi må passe på at ikke offentlig sektor blir like avhengig av den samme retorikken - at de "må være på sosiale medier ettersom...

les mer

Er du også tankeleser?

(Denne teksten ble først publisert på digi.no 9. september 2021.) En rekordstor GDPR-bot fra Luxembourg illustrerer dilemmaet: Trår man feil, kan behandling av personopplysninger gi muligheter på kort sikt og utfordringer på lang sikt. Her er noen råd på veien....

les mer

Stressa for Schrems II?

Vi har laget en ny veileder om overføring av personopplysninger til områder utenfor EØS. Her er noen ting du kanskje bør vite. Ut av hjemmekontorvinduet ser jeg en myk ås formet gjennom sikkert millioner av år (forbehold: jeg er ikke geolog). Så skifter jeg fokus til...

les mer

En personvernguide til Arendalsuka 2021

Etter et års ufrivillig koronapause er tiden igjen inne for en fysisk Arendalsuke. Også i år er Datatilsynet aktivt tilstede, både med egne arrangementer og deltagelse i andres. Vi skal diskutere personvern og klima, personvern i skolen, kommersiell overvåkning,...

les mer

GDPR feirer tre år. Er vi i rute?

Det er nå tre år siden GDPR begynte å gjelde i EU. Mye spennende har skjedd, og vi har enda mer i vente. Nå spør Europa seg selv: Var GDPR riktig medisin? GDPR, eller personvernforordningen som det heter på norsk, trådte egentlig i kraft i EU den 24. mai 2016. Det var...

les mer

Siste kommentarer

    Arkiv

    Følg oss:

    Ønsker du å motta e-post når nye innlegg postes på Personvernbloggen, kan du registrere din e-postadresse her.

    E-postadressen blir lagret på vår server og kun brukt til dette formålet. Om du velger å slutte å følge oss, vil e-postadressen bli slettet fra vår server. Du samtykker til denne bruken av din e-postadresse ved å registrere den her.

    Loading