275 millioner grunner til at du bør ha en lovlig cookie pop-up

Publisert 2. juli 2023
This post thumbnail

Flere store teknologiselskaper er bøtelagt for brudd på cookie-samtykke, og dette har blir et området som stadig får større fokus fra tilsynsmyndigheter i Europa. Den vanligste overtredelsen ser ut til å være mangelen på en enkel "avvis alle"-knapp for de besøkende. Det er det franske datatilsynet, CNIL, som leder an i bøtelegging av selskaper mangelfulle cookie-samtykker, men flere saker har blitt klaget inn for andre Europeiske datatilsyn den siste tiden.

Hva er et lovlig cookie-samtykke?

La oss begynne med konklusjonen på hvordan et lovlig GDPR cookie-samtykke er utformet:

  1. Tydelige formål: Hvilke formål du bruker cookies til må komme tydelig frem i samtykketeksten. Brukeren skal kunne forstå hva de samtykker til og hvordan de gjør det.
  2. Skal være like enkelt å godta som å avvise: Cookie-samtykket skal alltid ha et avslå/avvis/ikke samtykke alternativ på samme nivå som en samtykkeknapp. Fravær av et avslå/avvis/ikke samtykke alternativ er ikke i tråd med kravene for gyldig samtykke.
  3. Ingen forhåndskryssede bokser: Forhåndskryssede bokser er ikke et gyldig samtykke. Samtykke må uttrykkes ved en positiv handling fra brukerens side.
  4. Ingen villedende design: Cookie-samtykket bør ikke designes på en måte som gir brukerne inntrykk av at de må gi samtykke for å få tilgang til nettstedets innhold, eller som villeder brukeren til å gi samtykke. For eksempel bør det tillate fortsatt navigasjon uten cookies.
  5. Enkelt å trekke samtykke: Websiden må ha løsninger som lar brukerne trekke samtykket sitt, for eksempel ved å ha dette i en link i bunnen av alle sider. Muligheten til å trekke samtykket, må være like enkelt som å gi samtykke.

Dersom du ikke er helt overbevist om at dette er korrekt måte å utforme et cookie-samtykke på, eller om du trenger hjelp til å overbevise noen i din organisasjon, så les videre. I denne artikkelen har vi laget en god oversikt over bøter og andre hendelser knyttet til lovlog og ulovlig cookie-samtykke. Det finnes over 275 millioner grunner til hvorfor det er lurt å ha et lovlig cookie-samtykke :-).

Google bøtelagt med 150 millioner euro

Google ble bøtelagt totalt 150 millioner euro i desember 2021, for brudd knyttet til cookie-samtykke på google.fr og youtube.com. Det franske datatilsynet (CNIL) konkluderte med at brukere ikke kunne avvise cookies like enkelt som å samtykke til cookies. Avvisningsmekanismen for cookies ble ansett som mer kompleks enn samtykke, noe som gjør at brukere oftere avstår fra å avvise cookies. Dette ble betraktet som et brudd på Artikkel 82 i den franske personvernloven. Google ble bøtelagt med 90 millioner euro for Google LLC og 60 millioner euro for Google Ireland Limited. Bøtenes størrelse ble satt på bakgrunn av det store antallet berørte personer og de betydelige fortjenestene selskapene får fra annonseinntekter indirekte generert fra data samlet inn av cookies.

Google endret deres cookie-samtykke over hele EU etter CNIL-saken. Her er en før-og-etter-sammenligning:

Google cookie samtykke
'Avvis alle'-knappen er flyttet til forsiden.

Microsoft bøtelagt 60 millioner euro for manglende overholdelse av cookie-samtykke

Det franske datatilsynet (CNIL) bøtela Microsoft Ireland Operations Limited 60 millioner euro i desember 2022 bøtelagt for brudd på reglene om gyldig cookie-samtykke. Boten kom som en følge av en motatt klage på bruken av cookies på bing.com. CNIL fant at cookies, som delvis brukes til annonseringsformål, ble plassert på brukernes enheter uten deres samtykke. Et betydelig problem var også fraværet av en enkel måte for brukere å avvise cookies, en overtredelse av den franske personvernloven. Boten ble størrelse ble satt på bakrunn av omfanget av databehandling, antall berørte brukere, og fortjenesten selskapet indirekte gjorde fra data samlet inn via cookies. I tillegg til boten utstedte CNIL en ordre om at selskapet enten måtte avslytte behandlingen eller måtte begynne å innhente samtykke fra brukere før de lagrer cookies til annonseringsformål. Fristen for å implementere dette ble satt til tre måneder, med dagsbøter på 60 000 Euro for hver dag hvor dette ikke hadde blitt implementert.

60 millioner euro i bot til Facebook/Meta

I desember 2021 ila CNIL Facebook Ireland Limited en bot på 60 millioner euro, på grunn av manglende overholdelse av cookie-samtykke. Konklusjonen fra CNIL var at Facebook gjorde det vanskeligere for brukere å avvise cookies enn det var å akseptere dem, noe som påvirker brukernes frihet til å gi samtykke. CNILs undersøkelse avslørte at avvisning av cookies krevde flere klikk, mens aksept bare krevde ett. Samtidig var muligheten til å avvise cookies forvirrende merket som "Aksepter Cookies". Facebook ble beordret til å implementere en løsning innen tre måneder. Dersom denne fristen ikke ble overholdt ville Facebook bli bøtelagt 100 000 euro hver dag så lenge dette ikke var implementert.

Facebook endret sitt cookie-samtykke over hele EU. Her er en før-og-etter-sammenligning: Facebook cookie samtykke

  • 'Avvis valgfrie cookies'-knappen er flyttet til forsiden.*

TikTok bøtelagt med 5 millioner euro

TikTok ble bøtelagt med 5 millioner euro av lignende grunner i desember 2022. CNIL fant at brukere av tiktok.com ikke kunne avvise cookies like enkelt som de kunne akseptere dem. Brukere ble heller ikke tilstrekkelig informert om formålene med de forskjellige cookies. Dette ble ansett som et brudd på Artikkel 82 i den franske personvernloven. Boten ble basert på alvorlighetsgraden av bruddene, antall berørte personer, og CNILs tidligere kommunikasjon med TikTik.

Pass på - en robot kan sjekke nettstedet ditt og sende inn en klage

Den europeiske veldedige organisasjonen, noyb, spiller en sentral rolle i å sette lovlig utforming av cookie-samtykker på agendaen til europeiske datatilsyn. Deres standpunkt i saken er veldig tydelig, og de er særlig opptatt av at et cookie-samtykke skal være aktivt gitt, og at et skal være like enkelt å avvise som å samtykke til cookies.

For å håndheve dette, har noyb utviklet et automatisert system for å identifisere og sende inn klager mot selskaper som bryter disse kravene. De har allerede utstedt over 500 klager, med mål om å sette en stopper for det de kaller "cookie-banner terror".

Noybs initiativ er verdt å følge med på, fordi det utgjør en betydelig risiko for nettsteder som ikke har et lovlig cookie-samtykke. Selv om mange slike nettsteder eksisterer, har risikoen for bøter vært forholdsvis lav frem til nå. Men med aktive organisasjoner som noyb som identifiserer overtredelser og sender inn klager, er det en bevegelse mot en bredere håndhevelse av GDPR-cookie-samtykkekrav over hele EU. Denne utviklingen gjør det stadig mer risikabelt for nettstedseiere å bruke tvilsomme cookie-samtykker.

Flere norske organisasjoner har blitt klaget inn til Datatilsynet av noyb.

GDPR-bøter og cookie-samtykker: Innsikt fra EDPBs rapport

Personvernrådet (European Data Protection Board, EDPB) utga en rapport 17. januar 2023, med detaljer om arbeidet til det de kalle "Cookie Banner Taskforce". Rapporten, som var et svar på klager mottatt fra noyb, skisserer vanlige brudd mot ePrivacy-direktivet og GDPR. Rapporten identifiserer følgende vanlig typer brudd ved cookie-samtykker:

  1. Ingen avvis-knapp på første lag: Cookie-samtykker som inneholder en knapp for å akseptere lagring av cookies og en knapp som lar brukerne få tilgang til flere alternativer, men uten å inneholde en knapp for å avvise cookies, er ikke i tråd med kravene for gyldig samtykke og utgjør dermed en overtredelse.

  2. Forhåndskrysset bokser: Forhåndskrysset bokser for for samtykke er ikke et gyldig samtykke i hverken GDPR eller i Artikkel 5(3) i ePrivacy-direktivet.

  3. Villedende design: Noen cookie-samtykker inneholder en lenke, ikke en knapp, som et alternativ for å avvise cookies. Detter er ikke OK. Andre cookie-samtykker forklarer ikke godt nok hva man samtykker til, det bør være tydelig sammen med samtykke-knappen.

  4. Mangler mulighet til å trekke samtykke: Et nettsted bør han en enkel løsning som lar brukere trekke sitt samtykke når som helst, for eksempel med lenke plassert på et synlig og fast sted på siden.

Konklusjonen i denne rapporten understreker behovet for at virksomheter nøye gjennomgår sine cookie-samtykker for å sikre overholdelse av GDPR og ekomloven.

En viktig merknad om den franske personvernloven

Den franske personvernloven inneholder spesifikke bestemmelser om cookies og andre sporingselementer, som er bestemmelser fra ePrivacy-direktivet (implementert gjennom ekomloven i Norge). I Norge og mange andre land er personvernforordningen adskilt fra ekomloven, og det er et annet tilsyn (Nkom) som fører tilsyn med ekomloven. Derfor har det oppstått et slags vakum eller stilstand rundt tilsyn med cookies i GDPR-kontekst. Dette har man ikke i Frankrike der det er CNIL som fører tilsyn med GDPR og hele eller deler av ePrivacy-direktivet. Men stilstanden vi opplever i flere land er i ferd med å endre seg og vi forventer at det kommer avgjørelser i Norge og norden på dette området i nær fremtid. Det svenske "Post- och telestyrelsen" har nylig ført tilsyn med flere svenske nettisder og har sendt varsel om brudd på regelverket til flere av de (https://pts.se/sv/nyheter/internet/2023/pts-misstanker-att-webbplatser-inte-foljer-reglerna-om-kakor/). Og husk: selv om GDPR ikke gir eksplisitte regler rundt cookies, krever enhver behandling av personopplysninger et gyldig behandlingsgrunnlag.

Linker

© 2023 GDPRControl. Av Anders Svensson og Jan Ove Skogheim.