Den mest irriterende delen av å surfe på internett anno 2022 er uten tvil de endeløse “Please accept cookies”-bannerne som dukker opp på enhver side.
Det har nesten blitt et rituale å klikke “Accept all” på hva som helst for å komme seg videre.
EU ser nå ut til å ha planer om å sette ned foten.
Kompliserte alternativer
Cookiebannere finnes fordi det kreves samtykke fra brukeren for å skrive informasjon til datamaskinen deres, spesielt når den informasjonen kan brukes til å senere spore brukeren. Den enkleste måten å samle inn slikt samtykke på er å spørre om lov første gang brukeren kommer til siden din.
Men brukerne ønsker egentlig ikke å gi samtykke til dette. Derfor har de fleste selskaper funnet ut at de må designe cookiebanneret sitt sånn at det blir vanskeligst mulig å si nei.
«Dette er åpenbart uærlig forretningsskikk og uetisk utforming. Mange har i lang tid ment at det heller ikke er lov.»
De fleste velger å gjøre dette ved å ha en knapp som sier “Aksepter alle cookies”. Denne er i en klar og tydelig farge, plassert lengst til høyre, og ved å klikke på den kommer du umiddelbart til innholdet.
Alternativet ditt er å trykke på en godt skjult “Tilpass”-knapp (eller kanskje bare en lenke). Denne åpner et sinnssykt komplisert vindu der du kan takke ja eller nei til ulike cookies. Helst designet på en sånn måte at du må trykke nei 40 ganger, eller laget sånn at du aldri finner lagreknappen, gir opp, og trykker på den fortsatt lett tilgjengelige “Aksepter alle”-knappen.
EDPS på ballen
Dette er åpenbart uærlig forretningsskikk og uetisk utforming. Mange har i lang tid ment at det heller ikke er lov, og EU sender nå også signal om at det må anses som ulovlig.
I en nylig avgjørelse av EDPS — datatilsynet for EU-organer – tas det opp et mangelfullt cookiebanner, og vi får innsikt i EDPS sin resonnering rundt hva som er lov og ikke.
Forskere avslører nytt cookies-angrep med iframe
Før vi ser på dette er det verdt å merke seg et par ting:
- EDPS håndhever en formelt sett annen regulering enn GDPR, da det er vedtatt en egen versjon av personvernreglene for EU-organer. Denne er på mange felt helt identisk med GDPR, men avgjørelser i EDPS er ikke nødvendigvis direkte overførbare til resten av EU.
- ePrivacy-reguleringen er relevant for cookies. I sin nåværende form er reguleringene rundt cookies i ePrivacy-reguleringen noe konkurrerende med deler av den norske ekomloven. Ny ekomlov er på høring, og her tas dette tak i slik at Norge kommer på linje med resten av Europa.
Enkelt å avslå
Det aktuelle cookiebanneret EDPS har behandlet er egentlig et lite sidespor i saken som var oppe, men de kommer allikevel med en del nyttig input om hvordan et slikt banner må utformes:
"Finally [the cookie banner] should provide users the option to consent or not to the processing of non-essential cookies. (…) users must not need to intervene in order to prevent agreement with the processing."
EDPS gir ikke eksplisitt veiledning på at en “Avslå alle cookies”-knapp må eksistere, men det er vanskelig å tolke dette i noen annen retning enn at det må være enkelt å avslå cookies på første nivå i banneret.
Sånn lagrer du state lokalt i React - uten cookie
"Cookie walls"
I denne saken har ikke EDPS behandlet gyldigheten til eventuelle samtykker som er samlet inn via cookiebannere som mangler en knapp for å avslå cookies, men det er nærliggende å tro at et slikt samtykke ikke kan anses som gyldig.
Dette styrkes av at de også tar opp “cookie walls” (cookiebannere som blokkerer hele nettsiden frem til brukeren tar et aktivt valg). Disse regnes som ugyldige basert på at samtykket ikke kan oppfattes som avgitt frivillig:
"So called ‘cookie walls’ are not in line with the Regulation, meaning that for consent to be freely given, access to the website’s service and functionalities should not depend on the users’ consent for cookies that are not strictly necessary in the sense described above."
Dette er i tråd med GDPR sitt fortalepunkt nr 32, som lyder:
"Dersom den registrertes samtykke skal gis etter en elektronisk anmodning, må anmodningen være tydelig, kortfattet og ikke unødig forstyrre bruken av den tjenesten samtykket gjelder."
Lær deg SameSite:- Brukes altfor lite!
Bedre enn bøter
Med denne avgjørelsen på bordet vil det bli enklere for de nasjonale datatilsynene i EU å gå i samme retning i lignende saker.
Det er heller ikke mangel på slike saker som ligger til behandling. NOYB — personvernorganisasjonen til Max Schrems — har klaget inn over 400 europeiske nettsider for brudd på cookiebanner-reglene. De har også laget et automatisert verktøy og forventer å levere over 10 000 klager når lovpraksis på feltet er etablert.
Det vil nok nå bare være et tidsspørsmål før flertallet av cookiebannere blir erklært ugyldige. Både store og små bedrifter vil være tjent med å være i forkant av dette, og endre cookiebannere til å ha reelt likestilte alternativer på øverste nivå. Det vil helt sikkert gå ut over andelen samtykker, men det er langt bedre enn å bli hardt bøtelagt av Datatilsynet.
Vil du dykke dypere?
- Deloitte har en veldig god forklaring om prosessen rundt ny ekomlov
- EDPS sin avgjørelse i saken om bl.a. cookiebanner på Europaparlamentets interne sider