Datatilsynet har bedt virksomheter om å "rydde opp" i sin bruk av cookies og annen sporingsteknologi, og varsler samtidig at de vil igangsette tilsyn. Vi anbefaler at virksomheter så snart som mulig får oversikt over hvilke cookies de benytter på sine nettsider, hvilke opplysninger som samles inn, samt hvilke aktører disse opplysningene deles med.
Bakgrunn
I desember 2023 avdekket NRK at nettapoteket Farmasiet delte hvilke produkter nettsidebrukerne deres så på, med Facebook. For eksempel delte Nettapoteket opplysninger om at brukere hadde sett på nødprevensjon, klamydiatester og Viagra. Disse produktene er ikke reseptbelagte (nettapoteket delte ikke informasjon om hvilke reseptbelagte produkter brukerne så på), men kan likevel si noe om brukernes helsetilstand.
NRK avdekket også at tre hjelpetjenester delte informasjon om hva brukerne foretok seg på nettsidene deres. Eksempelvis mottok Facebook informasjon om hvorvidt Kirkens SOS sine brukere hadde besøkt sider om selvmordsforebygging, samt om disse brukerne hadde tatt kontakt med organisasjonen gjennom nettsidens meldingstjeneste. I tillegg viste NRKs analyser at organisasjonen Helseutvalget delte informasjon om brukere hadde trykket "book tid" hos deres psykologtjeneste, med Facebook.
Slik vi forstår det, ble den ovennevnte informasjonen samlet inn og delt ved bruk av en sporingsteknologi kalt "Facebook Pixel" eller "Meta Pixel". Etter vårt syn er imidlertid forholdene som NRK har avdekket i utgangspunktet relevant for samtlige virksomheter som benytter cookies og liknende sporingsteknologi på sine nettsider, uavhengig av om denne er levert av Facebook/Meta eller andre aktører.
Sakens rettslige side i et nøtteskall
Personopplysninger kan ikke samles inn og deles uten et rettslig grunnlag. Innsamling og deling av personopplysninger via cookies og sporingsteknologi, krever i de aller fleste tilfeller samtykke. Dersom de relevante personopplysningene kan anses som helseopplysninger, som etter vår mening er tilfelle for opplysninger om hvorvidt en bruker har sett på, og ønsker å kjøpe, ulike helseprodukter eller at brukere har bestilt psykologtime eller tatt kontakt med krisetjenester, er kravene til behandling ekstra strenge.
Etter GDPR artikkel 9 er helseopplysninger en såkalt "særlig" (tidligere kalt "sensitiv") kategori av personopplysninger. Innsamling og deling av helseopplysninger gjennom bruk av cookies o.l. krever, som den klare hovedregel, brukerens uttrykkelige samtykke. Etter vår vurdering vil en aksept av et "alminnelig cookie-banner" – der det samtykkes til bruk av cookies for analyse- og markedsføringsformål – ikke anses som et uttrykkelig samtykke til at nettsideeieren også kan samle inn og dele brukerens helseopplysninger for disse formålene. Dette innebærer at behandling av helseopplysninger gjennom cookies og tilsvarende sporingsteknologi – i normaltilfellene – ikke vil være tillatt etter GDPR.
Aksjonspunkter
Datatilsynet har allerede varslet at de vil undersøke virksomheters bruk av cookies og lignende sporingsteknologi. Datatilsynet ønsker ikke å dele hvem de skal se nærmere i kortene. På bakgrunn av NRKs avsløringer, er det imidlertid grunn til å tro at tilsynet vil rette seg mot aktører som kan få tilgang til sensitive/særlige kategorier av personopplysninger gjennom sine nettsider.
Dette vil typisk være nettapotek, aktører som leverer krise-/hjelpetjenester, legekontor og andre som leverer helsetjenester. Vi anbefaler at slike virksomheter så snart som mulig får oversikt over hvilke cookies o.l. de bruker på sine nettsider, hvilke opplysninger som samles inn gjennom bruken av denne teknologien, samt hvilke aktører disse opplysningene deles med.
NRKs avsløringer er nok en påminnelse om at mange virksomheter har for lite bevissthet rundt bruken av cookies og annen sporingsteknologi, og hvilke tiltak som må gjennomføres for at denne bruken skal være lovlig. Vi anbefaler at alle virksomheter – også de som ikke løper en risiko for å samle inn sensitive opplysninger gjennom sine nettsider –sikrer at de har kontroll over sin bruk av cookies og annen sporingsteknologi.
Ta gjerne kontakt med oss dersom du vil vite mer om hvordan Thommessen bistår aktører med å gjennomgå, evaluere og sikre at bruken av cookies er i full overensstemmelse med gjeldende lovverk.
