Det måste vara enkelt att tacka nej till cookies – beslut från Frankrike

Den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (CNIL) har bötfällt Google LLC och Google Ireland Limited med 90 miljoner euro respektive 60 miljoner euro för att ha underlåtit att göra det lika enkelt att vägra samtycke till användningen av cookies som att acceptera cookies på google.fr och youtube.com.

CNIL har under 2021 genomfört en omfattande granskning för att kontrollera efterlevnaden av sina riktlinjer och rekommendationer om cookies. Även Facebook Ireland Limited (idag Meta Platforms Ireland Limited) bötfälls med 60 miljoner euro på samma grund som Google genom insamling av cookies på facebook.com. De båda besluten är ett led i denna omfattande granskning som CNIL genomfört.

Enligt CNIL:s riktlinjer och rekommendationer för cookies måste personuppgiftsansvariga erbjuda användarna både möjligheten att acceptera och vägra cookies och andra nätidentifierare med samma grad av enkelhet. De av myndigheten granskade cookie-banners som erbjöds av Google och Facebook innehöll en ruta där användaren kunde acceptera alla cookies med en knapptryckning och en ruta där inställningar kunde genomföras. Om besökaren klickade på rutan för inställningar var användaren tvungen utföra minst fem åtgärder (bl.a. först klicka på knappen “anpassa”, sedan klicka olika knappar för att välja “inaktiverad” där varje knapp motsvarar olika former av personalisering och slutligen ett klick på “bekräfta”, i stället för en enda åtgärd för att acceptera samtliga cookies.

CNIL ansåg att en sådan vägringsmekanism inte erbjuder samma grad av enkelhet som mekanismen för att uttrycka samtycke. Mekaniskmen uppfyller därför inte reglerna om ett frivilligt samtycke. Vilket är ett krav enligt dataskyddslagstiftningen. CNIL ansåg därför att det faktum att mekanismen för att vägra cookies är mer komplicerad än mekanismen för att acceptera dem i själva verket innebär att man avskräcker användarna från att vägra cookies och uppmuntrar dem att föredra knappen “Jag samtycker”. CNIL kom därför fram till slutsatsen att de metoder för att vägra cookies som bolagen tillämpat strider mot gällande dataskyddslagstifting. En sammafattning av besluten går att läsa här: https://www.cnil.fr/en/cookies-cnil-fines-google-total-150-million-euros-and-facebook-60-million-euros-non-compliance 

Hur ser vi på samtycken för cookies i Sverige?

I Sverige har vi traditionellt sett haft en liberal syn på användning av cookies och har accepterat att tydlig information om cookies kan likställas med ett samtycke. Flera organisationer har tillämpat indirekta samtycken genom att besökaren väljer att surfa vidare på sidan och samtidigt informeras om hur cookies kan tas bort.

Av EU-domstolens förhandsavgörande C-673/17 (Planet49) som kom 1 oktober 2019 ändrades spelplanen för cookies inom EU. Av domen framgår bland annat att det krävs samtycke för att placera cookies på användaren och att ett sådant samtycke är det samtycke som definieras av dataskyddsförordningen (GPDR). Det innebär att samtycket ska vara, informerat, frivilligt och gå att återkalla dvs. vara lika lätt att ge som att ta tillbaka. Efter domen har vi sett en utveckling i Sverige där webbplatserna använder en riktig cookie-banner som kräver någon form av aktivt agerande från användaren av webbplatsen. Den vanliga modellen är emellertid den som nu prövats av CNIL och som innebär en ruta för att acceptera samtliga cookies och en ruta för att göra inställningar.

Den svenska integritetsmyndigheten (IMY) skulle kunna pröva frågan om cookies under förutsättning de cookies som placeras hos besökaren är behandling av personuppgifter (vilket flertalet cookies innebär). Det skulle vara intressant att se om IMY hade kommit till samma slutsats som CNIL vid en prövning. Helt klart är att organisationerna måste se över sin cookiehantering, införa ett system för samtycken och uppdatera informationen i cookiepolicyn.

Stockholm den 31 januari 2022

Katarina Ladenfors