Hvad ændrer den nye norske lov om cookies?

Den skærper samtykkekravene efter EU-standard: brugeren skal kunne afvise lige så let som at acceptere, samtykke skal være granulært, og ikke-nødvendige cookies må først sættes efter samtykke. Deling med tredjeparter skal være fuldt oplyst og dokumenteret.

Hvilke krav stilles der til cookiebannere?

Første lag bør indeholde et ligeværdigt Afvis alle. Ved afvisning må kun strengt nødvendige cookies sættes. Derudover skal formål adskilles, tredjeparter navngives og samtykke kunne dokumenteres og trækkes tilbage uden barrierer.

Kan samtykke bruges som retsgrundlag for Copilot på arbejdspladsen?

Samtykke er sjældent egnet i ansættelsesforhold på grund af ubalance. Vurder i stedet andet retsgrundlag, gennemfør en DPIA, og sikr overholdelse af regler om e-mail og forbud mod ulovlig medarbejderovervågning.

Schjødt

Privacy Corner

IT-ret Ansættelsesret EU-ret Persondata og cybersikkerhed

Norge harmoniserer cookie-krav med EU’s ePrivacy: reelle fravalg, granularitet og skærpet kontrol med tredjepartsdeling. Virksomheder bør revidere bannere, aftaler og dokumentation. Samtidig skærpes fokus på Copilot, arbejdspladsovervågning og EDPB’s linje om Pay or Consent og LLM’er.

Eva Jarbekk

Trygve Karlstad

Luca Tosoni

+10

Jeppe Songe-Møller
Inge Kristian Brodersen
Kaare M. Risung
Øyvind Eidissen
Anna Eide
Sofia Studencki
Ane Rode
Oskar Engman
Thomas Hagen
Paal-André Storesund

Norge strammer op på brugen af cookies og anden tracking med en ny elektronisk kommunikationslov, der forventes at lægge sig tæt op ad EU’s ePrivacy-regime. Det vil kræve tydeligere samtykke, færre standardindstillinger og bedre kontrol med, hvem der modtager data.

Strammere samtykkekrav for cookies og tracking i Norge

Ikke-nødvendige cookies må kun sættes efter forudgående, frivilligt og informeret samtykke. Brugeren skal kunne afslå lige så let som at acceptere, og et fravalg skal gælde med det samme.

Samtykke skal være granulært efter formål og udbyder, og informationen skal oplyse om alle tredjeparter. Anmodninger om indsigt skal kunne besvares med overblik over deling og formål.

Reglerne spejler udviklingen i EU: samtykke skal kunne dokumenteres, være lige så let at trække tilbage som at give og udløbe efter rimelig tid. Leverandører, der målretter tjenester til norske brugere, bør derfor forvente EU-niveau af håndhævelse og krav til logning af samtykkehistorik.

Konkrete ændringer i cookiebannere og datadeling

Førstelag i cookiebannere bør indeholde et ligeværdigt Afvis alle. Hvis der afvises, må kun strengt nødvendige cookies aktiveres, og formålsglidning skal undgås.

Virksomheder bør kortlægge trackere, opdatere samtykke- og cookiepolitikker, indgå eller revidere databehandleraftaler og dokumentere behandlingsaktiviteter. Løbende kontrol af tredjeparters brug af data er nødvendig.

Copilot, arbejdspladsovervågning og EDPB-initiativer

Brug af Copilot i virksomheden forudsætter et passende retsgrundlag under GDPR og ofte en DPIA. Myndighederne udviser skepsis over for samtykke som grundlag i ansættelsesforhold og peger på, at e-mailregler og forbud mod ulovlig medarbejderovervågning også finder anvendelse.

For LLM’er skelnes der mellem træning og brug. Nødvendighed til kontrakt passer sjældent, mens legitime interesser kan forudsætte stærke garantier og gennemsigtighed. Dataminimering og begrænsning af formål bliver centrale styringspunkter i dokumentationen.

EDPB arbejder på retningslinjer om Pay or Consent og en udtalelse om lovlige behandlingsgrundlag for LLM’er. Det kan få betydning for finansieringsmodeller, samtykkedesign og dokumentationskrav ved AI-assisterede tjenester.

Læs hele artiklen hos Schjødt →

Søgeord