Uppdatering av minimum acceptable practice gällande cookie-banner

Publicerat: 1 år ago

Organisationen NOYB har under en längre period granskat olika europeiska bolags cookie-banners och uppmärksammat flera tillfällen då dessa har varit bristfälliga sett utifrån efterlevnaden av dataskyddsförordningen (”GDPR”). I sin granskning har NOYB särskilt iakttagit och noterat följande karakteriserande brister i cookie-banners:

  • Inget avvisningsalternativ på det första lagret (men dolt i ett underlager)
  • Förkryssade rutor istället för aktivt samtycke
  • Små länkar i en annan text för att vägra samtycke
  • Länkar utanför cookie-bannern för att vägra samtycke
  • Anspråk på berättigat intresse för att installera icke-väsentliga cookies (och inte be om samtycke)
  • Avsaknad av en permanent möjlighet att återkalla samtycke

NOYB menar att bristfälliga cookie-banners riskerar att undergräva hela GDPR, därför har NOYB gjort över 700 anmälningar till medlemsstaternas dataskyddsmyndigheter. I ljuset av detta har även den europeiska dataskyddsstyrelsen (”EDPB”) tillsatt en expertgrupp som har haft i syfte att utreda hur minimum acceptable practice avseende cookie-banners bör utformas. I sin rapport den 17 januari 2023 publicerade expertgruppen sina riktlinjer om ämnet i fråga.

Sammanfattning av EDPB:s riktlinjer:

Angående det faktum att cookie-banners saknar ett avvisningsalternativ på det första lagret och i stället lägger sådana alternativ dolt i ett underlager, har expertgruppen – efter att ha rådgjort med medlemsstaternas tillsynsmyndigheter – kommit fram till att sådana cookie-banners som inte tillåter den registrerade att acceptera, vägra eller avvisa samtyckesalternativ på alla lager med en samtyckesknapp utgör ett brott mot e-privacydirektivet.

Vidare ansåg expertgruppen att användningen av förkryssade samtyckesrutor i cookie-banners inte utgjorde giltiga samtycken, varken enligt GDPR eller e-privacydirektivet.

Avseende användningen av små länkar i en annan text för att vägra samtycke kom expertgruppen fram till bland annat följande. När den enda alternativa åtgärden som erbjuds (förutom att ge samtycke) består av en länk bakom formuleringar såsom ”vägra” eller ”fortsätt utan att acceptera” inbäddat i ett stycke text i cookie-bannern, ska cookie-bannern anses vara bristfällig om inte tillräckligt visuellt stöd ges för att användaren ska uppmärksammas om att denna alternativa åtgärd existerar.

Expertgruppen kom vidare fram till att användningen av vilseledande färger eller kontraster för alternativa åtgärder utöver att lämna samtycke gör cookie-banners bristfällig förutsatt att en sådan användning i praktiken gör det svårt eller omöjligt för användaren att kunna urskilja de alternativa åtgärderna från bakgrunden på grund av färgen/kontrasten. Expertgruppen påpekar dock att det inte är möjligt att införa ett generellt förbud mot användningen av vissa färger eller kontraster, utan att en bedömning får ske i det enskilda fallet.

Vad gäller de tillfällen då en personuppgiftsansvarig genom en cookie-bannern gör gällande att en behandling av personuppgifter stöds av ett berättigat intresse, men att ett sådant berättigat intresse trots det inte föreligger, ska all efterföljande behandling anses vara olovlig.

Det har även förekommit fall då ägare av webbplatser felaktigt har klassificerat ”nödvändiga” cookies. Expertgruppen konstaterar att det i praktiken närmast är omöjligt att i generella termer bestämma vad som bör utgöra ”nödvändiga” cookies. Detta med hänsyn till faktumet att vad som bör utgöra nödvändiga cookies förändras med tiden. Dock framhåller expertgruppen att cookies som möjliggör för att bibehålla användarnas preferenser på webbplatsen bör kunna klassificeras som nödvändiga.

Sist men inte minst vidhåller expertgruppen att kraven vid insamling av samtycke enligt e-privacydirektivet ska efterlevas för att en cookie-bannern ska betraktas vara compliant. En cookie-banner måste därmed uppfylla följande tre obligatoriska krav,

(i) möjligheten att återkalla samtycke,

(ii) möjligheten att återkalla samtycke när som helst,

(iii) återkallande av samtycke måste vara lika enkelt som att ge samtycke.

Detta kan uppnås genom att ägaren av en webbplats implementerar vissa funktioner på webbplatsen som förenklar användarnas återkallande av sina samtycken, t.ex. genom att infoga en ikon (liten svävande och permanent synlig ikon) eller en länk placerad på en synlig och standardiserad plats där användaren kan återkalla sitt samtycke.

Katarina Ladenfors
Advokat/Partner, Advokatfirman MarLaw

 

Dela sida:

Relaterade nyheter

Bli medlem

Ansök om medlemskap

Villkor
© IAB Sverige AB - All rights reserved