Ekomlovens nye krav til cookies

Den nye ekomloven trådte i kraft 1. januar 2025, og har vært et hett tema blant både jurister og bedrifter. 

Loven implementerer ulike EU rettsakter og  Loven innebærer flere endringer og rammer for ekomsektoren og med egne regler for bl.a datasentre. En , men en veldig praktisk endring gjelder kravene til cookies. 

Ekomloven § 3-15 innebærer at bruk av informasjonskapsler (cookies) og lignende teknologier krever et samtykke som er gyldig etter personvernforordningen (GDPR) for å være lovlig. Dette betyr at standardinnstillinger i nettlesere som tillater cookies ikke vil være tilstrekkelig.  

For at et samtykke skal være gyldig etter GDPR, må det være: 

  • Frivillig: Brukeren må ha et reelt valg. 
  • Spesifikt: Samtykket må gjelde for en bestemt type cookies. 
  • Informert: Brukeren må få nok informasjon til å forstå konsekvensene. 
  • Utvetydig: Brukeren må aktivt gi sitt samtykke, for eksempel ved å klikke "tillat". 
  • Dokumenterbart: Bedriften må kunne bevise at samtykke er gitt. 
  • Mulig å trekke tilbake: Brukeren må enkelt kunne trekke tilbake sitt samtykke 

For bedrifter betyr dette at man må endre praksis for hvordan samtykke innhentes. Tidligere kunne bedrifter bruke cookies basert på standardinnstillinger i nettleseren, men nå må brukeren aktivt gi sitt samtykke gjennom en "opt-in"-løsning. Dette innebærer for alle praktiske formål at man må implementerere løsninger som kan håndtere samtykker. Slike løsninger omtales gjerne som «consent management tools». Lønsingene vil typisk innebære krav om det design og brukergrensesnitt vil si at hvor brukeren selv må samtykke f.eks gjennom å huke av en boks dersom de ønsker å samtykke – det kan ikke være forhåndsbestemt for dem.  

Vi erfarer også at mange cookie-bannere er utformet med et såkalt manipulativt design, som vil si at banneret er designet for at det skal være enklest for brukerne å samtykke. Dette vil for eksempel være tilfelle hvor brukeren må trykke på mange flere knapper eller gjennom «flere lag» for å avvise samtykke, eller hvor banneret er utformet slik at muligheten til å samtykke er mer tilgjengelig og synlig enn muligheten til å avvise samtykke. Slike cookie-bannere er i strid med kravet til gyldig samtykke etter GDPR, og dermed også i strid med ekomloven.

Datatilsynet har nettopp kommet med en ny veiledning om bruk av informasjonskapsler her, hvor de blant annet adresserer kravet til samtykke og forbudet mot manipulativt design. Dette viser at Datatilsynet følger opp lovendringene, noe som understreker viktigheten for bedrifter å oppdatere cookiene sine slik at de oppfyller kravene i loven.  

SANDS har omfattende kompetanse på området, og kan bistå med å sikre at dere oppfyller kravene i både ekomloven og GDPR.