Myndighetene foreslår å endre cookiebestemmelsen slik at den blir klarere enn i dag og angir det som er EUs tolkning av regelen: Å sette eller lese av cookies på en brukers utstyr, for eksempel til markedsføringsformål, krever et ekte GDPR-samtykke. Et ekte GDPR samtykke er et aktivt og uttrykkelig (klikke «ja»), informert og frivillig samtykke. (Sluttbruker skal gis tilstrekkelig informasjon til å forstå hva vedkommende samtykker til).
Praksis i Norge har aldri vært slik. Det har vært ansett for å foreligge et gyldig samtykke dersom sluttbruker ikke har «skrudd av» cookies i sine nettleserinnstillinger. Det har blitt klarere og tydeligere etter EU-retten, - at den norske regelen ikke står seg når cookies brukes til å behandle personopplysninger.
Unntaket fra samtykkekrav til noen typer cookies, er foreslått å videreføres. Dette gjelder «nødvendige» cookies (cookies nødvendig for at kommunikasjonen med en nettside eller over nett skal fungere) og de «funksjonelle» cookies (cookies nødvendig for at en tjeneste sluttbruker har bedt om å få, skal fungere). I siste kategori har vi for eksempel "huske handlekurv" i nettbutikk eller cookies nødvendig for at et webskjema skal fungere.
Forslaget til ny cookieregel i norsk lov er ikke overraskende i det hele tatt, ...helt til man leser høringsnotatets forklaring på hvordan regelen kan bli å forstå.
Kommunal- og moderniseringsdepartementet skriver nemlig at de, til tross for EU-retten og ordlyden de selv foreslår, mener at samtykket er gyldig dersom «sluttbruker benytter en teknisk innstilling i nettleser eller tilsvarende i de tilfeller der dette er teknisk mulig». Det er riktignok slik at når nettleser installeres, skal cookies «by default» være slått av (fra utgiver av nettleserens side), men dersom sluttbruker velger å selv slå cookies på, så anses gyldig samtykke til at enhver aktør deretter setter cookies på denne brukers utstyr, for å være gitt.
Dette er overraskende og vi har problemer med å se at den foreslåtte nye norske regelen vil være i tråd med EUs syn på cookieregelen. Vi tror det vil komme en rekke ulike uttalelser fra forskjellige aktører i høringsrunden.
Dessuten er det foreslått at NKOM stadig skal være tilsynet for cookies, ikke Datatilsynet. NKOM har alltid vært passive i håndhevelsen av cookiereglene i Norge, noe Datatilsynet neppe ville vært dersom Datatilsynet hadde fått tilsynsmyndigheten.
Hva dette vil bety for digitalmarkedsføring, adtech, sporing og bruk av pixler gjenstår å se fordi vi tror noe vil skje før endelig regel vedtas.
Døren i Norge står stadig halvåpen for en slapp praktisering av samtykkekravet til cookies. Imidlertid gjelder GDPR og GDPRs samtykkekrav for videre behandling av personopplysninger samlet inn gjennom cookies, til markedsføringsformål, som eksempelvis senere bruk i annonsebørser, i CRM-systemer eller hos sosiale medier gjennom pixel.
For «gammeldags retargeting» derimot (cookie sier at «denne enheten har besøkt xxl.no» og den samme enheten får litt senere derfor annonser fra XXL på vg.no) ser forslaget ut til å representere en ny vår.