Nytt om Cookies og markedsføring

18.08.2010

Cookies er små informasjonskapsler som nettsteder kan legge igjen på den datamaskin som brukes til å besøke nettstedet. Slike Cookies er et nødvendig verktøy for mange av de internettjenestene man i dag tar som en selvfølge.

Når en bruker eksempelvis besøker et nettsted med oversikt over TV-programmet, og brukeren angir hvilke TV-kanaler hun er interessert i, lagres denne informasjonen nettopp i slike Cookies. Når man besøker en tjeneste som benytter innlogging med brukernavn og passord, og opplever at man ikke trenger å logge seg inn andre gangen man besøker stedet, er det fordi nettstedet har identifisert brukeren ved å legge igjen en Cookie på datamaskinen.

Man hører gjerne også om Third Party Cookies. Dette er samme type informasjonskapsler, men med den forskjell at disse Cookies legges igjen av en annen part enn nettstedet selv. Når en bruker besøker en nettavis, vil reklamen på forsiden normalt bli lastet ned fra en annen server enn selve nettavisen. Ved nedlastingen av slik reklame fra en annen server, kan denne serveren også legge igjen Cookies. Ved å besøke et enkelt nettsted blir man således servert Cookies fra en rekke aktører.

Slike Cookies kan altså huske at brukeren har besøkt en nettside, samt hva man har gjort på nettsiden. Når informasjon fra en rekke slike Cookies legges sammen, kan man etter hvert bygge en omfattende profil på den enkelte bruker, blant annet om hva slags informasjon hun søker etter, om hun eventuelt har klikket på noen annonser mens hun var på en nettside, hva denne annonsen reklamert for osv. Dedikerte annonseselskaper har spesialisert seg på å selge annonser som skal vises på en rekke ulike medier. Ved bruk av Third Party Cookies kan disse innhente informasjon om brukerens surfing på en nettavis, til å velge ut hvilken reklame som skal vises når brukeren besøker neste nettavis. Dersom brukeren på ett nettsted klikket på en annonse for sminke, vil det antas at brukeren er kvinne, og når hun besøker neste nettavis, vises det fortrinnsvis reklame for produkter med kvinner som målgruppe.

Det såkalte e-personverndirektivet (Directive 2002/58/EC) utfyller det opprinnelige personverndirektivet (95/46/EC), og gir bestemmelser særlig knyttet til personvern i digitale medier. E-personverndirektivet fastsetter at slik bruk av Cookies forutsetter at brukeren først mottar ”clear and comprehensive information” om bruken av slike Cookies, herunder informasjon om formålet med bruken. Denne bestemmelsen kom inn i forbindelse med et endringsdirektiv (Directive 2009/136/EC), og i forordet til direktivet fastsettes det at ”Where it is technically possible and effective, in accordance with the relevant provisions of Directive 95/46/EC, the user’s consent to processing may be expressed by using the appropriate settings of a browser or other application”.

De fleste nettlesere har nemlig mulighet til å velge bort Cookies, dvs at nettsteder ikke skal få lov til å lagre slike informasjonskapsler. Annonseselskaper som distribuerer reklame til en rekke nettsteder har hevdet at direktivet dermed ikke får særlig stor betydning, og ikke legger vesentlige begrensninger i deres bruk av Cookies. Påstanden er at dersom en bruker lar sin nettleser være konfigurert slik at den aksepterer Cookies, så har brukeren dermed gitt sitt samtykke og det er fritt frem for annonseselskapene.

Denne tolkingen har nå fått et skudd for baugen. The Article 29 Working Group (navnet henspeiler på at arbeidsgruppen er opprettet iht personverndirektivet artikkel 29) har nylig avgitt en rapport hvor disse forholdene diskuteres. Arbeidsgruppen hevder at forordets ordlyd om samtykke i form av nettleserens konfigurasjon, kun er en påminnelse om at et samtykke kan gis på mange ulike måter. Arbeidsgruppen har vist til at det fortsatt gjelder vilkår om at det skal skje et informert samtykke, dvs at brukeren først skal få informasjon om hvilken informasjon som skal lagres, hvordan den skal brukes, hvem som skal bruke den osv.

The Article 29 Working Group mener at annonseselskaper som driver et forretningskonsept som omtalt ovenfor, må gi klar informasjon om at slike Cookies vil gjøre det mulig for annonseselskapet å innhente informasjon om også andre nettsteder brukeren har besøkt, hvilke annonser hun ble vist der, om hun klikket på noen av dem osv. Arbeidsgruppen gir ingen endelig konklusjon om hvordan slik informasjon skal gis, og den erkjenner at det finnes mange ulike tekniske løsninger for dette. Rapporten viser blant annet til at enkelte annonseselskaper allerede har plassert egne ikoner inntil annonsen, og at disse ikonene er linker til utfyllende informasjon om bruk av Cookies i forbindelse med annonse.

Det er mange spørsmål som gjenstår å drøfte, og rapporten fra The Article 29 Working Group er kun et av mange innspill. Arbeidsgruppen har ingen lovgivingsmyndighet og det er på enkelte punkter grunn til å være uenig i de krav arbeidsgruppen mener å kunne oppstille iht direktivene. En ting er likevel sikkert, mange nettsteder som viser annonser og  mange annonseselskaper som distribuerer disse, vil måtte gjøre justeringer i sine forretningskonsepter for å etterkomme e-personverndirektivet.