Kampen mot «Cookie-banner-terror» er i gang

16.06.2021

Krav om cookie-samtykke popper opp stadig oftere, og nettbrukerne manipuleres med design som gjør det vanskelig å ikke samtykke. Max Schrems, som vant mot Facebook i fjor, går til aksjon på nytt.

Nå er personvernaktivisten Maximilian Schrems på krigsstien igjen! Denne gangen er målet å bli kvitt det han omtaler som «cookie-banner-terror».

Cookies er en liten fil med informasjon som lagres lokalt på pc-en, mobilen eller nettbrettet ditt når du besøker ulike nettsider. En cookie kan ha mange formål som f.eks.:

  • å huske hvilket språk du foretrekker,
  • gi nettsideeieren statistikk knyttet til brukernes bevegelser på nettsiden og
  • registrere hvilke produkter du har vært interessert i på nettsiden slik at nettsideeieren senere kan eksponere deg for relevante annonser.

Cookie-bannere er det vinduet som popper opp på skjermen for å gi informasjon om nettsidens cookie-bruk og be om ditt samtykke.

Cookiebannere som popper opp blir i stor grad ansett som et forstyrrende element av brukerne. Heller ikke annonsørene ønsker å innhente samtykke gjennom cookiebannere ettersom avslag minker datafangsten. Det kontinuerlige maset om samtykker på nett fører til samtykketrøtthet - en tilstand der brukerne ikke vet eller orker å sette seg inn i hva de samtykker til. Samtykketrøtthet medfører at samtykkene som innhentes ikke nødvendigvis reflekterer brukerens reelle cookie-preferanser, noe lovgiver også problematiserer i utarbeidelsen av ny kommunikasjonsvernforordning.

Personvernforordningen (GDPR) har fått mye av skylden for samtykkemaset. Selv om stadig flere virksomheter forstår at målrettet markedsføring må oppfylle både kravet til behandlingsgrunnlag og informasjon iht. personvernforordningen, er det fortsatt mye usikkerhet og ulik praksis. Det er denne villfarelsen Max Schrems personvernorganisasjon Noyb nå vil gå til livs.

Krigen mot cookie-bannere ble annonsert av Noyb 31. mai 2021. Organisasjonen forteller at den har utviklet en programvare som gjenkjenner ulovlige cookie-bannere. Basert på løsningens funn har organisasjonen allerede sendt ut 500 klageutkast til selskaper som organisasjonen mener benytter seg av lovstridige cookie-bannere. Ifølge Noyb er løsningen så effektiv at den kan produsere opptil 10 000 klager i løpet av året. Men organisasjonen forsikrer samtidig at de ikke vil sende inn klagen dersom mottakeren av varselet retter forholdet innen en måned.

Schrems argumenterer med at GDPR har blitt urettmessig syndebukk for cookie-banner-terroren som brukerne opplever på internett. Han skylder på annonseindustrien som lurer brukerne til å samtykke til bruk av deres personopplysninger ved å designe cookie-banneret på en slik måte at det blir vanskelig for brukeren å takke nei.

Noyb har opplistet flere begrunnelser til de første 500 klageutkastene:

  • Ingen mulighet til å avslå cookies i cookie-bannerets første informasjonslag
  • Det er vanskeligere å avslå cookies enn å samtykke til cookiebruk
  • Forhåndsavkryssede samtykkebokser
  • Villedende farge og kontrastbruk av knappene for samtykke og avslag
  • Feil kategorisering av cookie-formålet
  • Feil lovlig grunnlag for å behandle cookies som omfatter personopplysninger

Parameterne Noyb har opplistet er klart definerte og kategoriske, mens virkeligheten sjeldent er like svart -hvitt. Både bruken av cookies og designet på cookie-banneret kan variere veldig fra nettside til nettside. Selv om det er viktig at cookie-bannere ikke designes på en måte som lurer brukerne til å samtykke ved at muligheten til å takke nei ikke skal «gjemmes bort», må kravet til gyldige samtykker sees i lys av kravet til å presentere denne informasjonen på en «forståelig og lett tilgjengelig form» (GDPR art. 7 nr 2). Det kan derfor være gode argumenter for at det i enkelte tilfeller rett og slett ikke er mest brukervennlig å tilpasse cookie-preferanser i første informasjonslag.

Schrems krigserklæring mot cookie-banner-terror tilsier at det kan være lurt for nettsideeiere å allerede nå vurdere om måten cookie-banneret gir informasjon og innhenter samtykker sikrer etterlevelse av dagens cookie-krav.

Artikkelen er skrevet av personvernadvokat Christine Stousland, og ble første gang publisert i Dagens Næringsliv 2. juni 2021