Från den 17 februari 2024 tillämpas Digital Service Act (”DSA”) (sv: Förordningen om digitala tjänster) i EU och syftar till att stärka konsumentskyddet samt skapa en säkrare digital marknad. En viktig del av DSA är de nya reglerna kring hur organisationer får utforma sina cookiebanners. I detta inlägg går vi igenom hur DSA samverkar med GDPR och ePrivacydirektivet, samt vilka anpassningar som krävs för att uppfylla kraven i båda regelverken.
Det är hög tid för er som organisation att se över er webbplats och hur ni inhämtar samtycke för kakor från era besökare. Både med tanke på denna nya lagstiftning, gällande rekommendationer, avgjorda rättsfall och mot bakgrund av de tillsynsärenden kring kakor som Post- och Telestyrelsen avgjorde hösten 2023.
Kortfattat om reglerna i DSA
- Stärker skyddet för konsumenters grundläggande rättigheter online.
- Begränsar möjligheten att utforma onlineplattformar på ett sätt som manipulerar användares beslut (större transparens och ett tydligare ansvarsramverk)
- Främjar innovation, tillväxt och konkurrenskraft inom den inre marknaden.
DSA bygger vidare på e-handelsdirektivet, som antogs år 2000, och som hittills har varit det huvudsakliga regelverket för tillhandahållandet av digitala tjänster i EU. Eftersom mycket förändrats sedan år 2000 behövde regelverket uppdateras.
En av de större effekterna av den nya lagen är att utformningen av cookiebanners (även kallat ”cookie-hanterare”, “cookie manager” eller “cookie-banderoll”).
Kort om cookiebanners
En cookiebanner är kortfattat en funktion på en webbplats som syftar till att samla in samtycken för de s.k icke-nödvändiga cookies som webbsidan önskar använda (läs mer om olika typer av cookies). En cookiebanner är vanligen utformad som en slags pop-up-ruta på en webbplats som ska berätta för besökaren att webbplatsen använder cookies och på vilket sätt samt efterfrågar samtycke. Detta krävs för att uppfylla kraven på samtycke i ePrivacydirektivet (som implementerats i svensk nationell rätt i lagen om elektronisk kommunikation) samt GDPR. Vi ska nu utreda hur den nya lagen kommer påverka utformningen av cookiebanners samt vad som gäller utifrån ePrivacydirektivet och GDPR.
Exempel från ico.org.uk (2024-10-23)
Hur påverkar lagen acookiebanners utseenden?
Förordningen om digitala tjänster föreskriver bland flera saker, ett förbud mot så kallade ”dark patterns”, vilka ofta används i cookiebanners där de med hjälp av psykologi och kunskap inom mänskligt beteende skapar en design som möjliggör att användaren fattar ogynnsamma beslut som besökaren annars inte hade tagit. Kort sagt är dark patterns en metodik för att knuffa besökaren i en vilseledande eller manipulativ riktning.
Många cookiebanners använder vilseledande design, så kallade ’dark patterns’, vilket gör det svårt för besökare att ge giltiga samtycken enligt GDPR. Syftet med en sådan design är att samla in så många samtycken till cookies som möjligt, vilket ofta görs genom att på olika sätt göra det svårare för användaren att neka/avböja användningen av cookies. Detta kan leda till att besökarens samtycke inte tolkas som giltigt. Ett samtycke enligt GDPR ska lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande (skäl 32 GDPR).
Exempel på dark patterns
Låt oss ge några exempel på dark patterns som ofta används i cookiebanners och förklara varför de inte utgör eller ligger till grund för ett giltigt samtycke. Förbudet mot dark patterns innebär att en cookiebanner som har något av följande inte är tillåten:
- Ingen knapp för att neka cookies
Många cookiebanners har fortfarande bara en knapp att välja på: ”Acceptera”, ”Godkänn”, ”Tillåt” eller liknande formulering. Sådana banners ger inte besökaren möjlighet att neka användningen av cookies. En sådan design anses därför inte kunna vara grund för ett giltigt samtycke enligt GDPR, eftersom ett samtycke måste vara helt frivilligt. Det ska finnas möjlighet att inte samtycke eller att kryssa ner rutan.
Dessutom måste ”neka”-knappen finnas direkt på första lagret av bannern – användaren ska inte behöva klicka sig vidare för att hitta en sådan knapp.
Exempel från informationssakerhet.se (2023-11-30) [sidan är inte publicerad längre]
Exempel där båda knappar finns, från msb.se (2024-10-15)
- Förkryssade rutor
Ett samtycke ska vara specifikt. Därför måste cookiebanners ha funktionalitet så att användaren kan välja att samtycka till alla kategorier eller enskilda kategorier av cookies, om olika typer används. Det kan exempelvis vara kryssrutor. Dessa kryssrutor får inte vara förkryssade, utan användaren ska aktivt kryssa i rutan för att samtycket ska tolkas som frivilligt (läs vidare i EU-domstolens rättsfall C-673/17 Planet49).
Exempel från jpinfonet.se (2024-03-06)
- Länk till inställningar i stället för en ”neka”-knapp
Ännu en vanlig funktion i banners är en knapp för ”inställningar”. Många cookiebanners inkluderar en sådan knapp i stället för en ”neka cookies”-knapp. När besökaren klickar på ”inställningar” kommer den till ett andra lager där de oftast kan neka cookies. På detta sätt tvingas besökaren klicka flera gånger för att kunna neka cookies. Besökare tenderar att välja den väg som kräver minst antal klick vilket leder till att besökare inte klickar på ”inställningar” och sedan ”neka”, utan i stället klickar på ”godkänn/okej” som finns direkt i första vyn av cookiebannern – för att det är det enklaste valet. Den designen medför därför att givna samtycken inte tolkas som giltiga.
Exempel från sydsvenskan.se (2023-11-30)
- Vilseledande färger och kontraster på knapparna
Även om färgdesign inte specifikt nämns i lagstiftningen som något otillåtet i sig, så används färger och kontraster ofta på ett vilseledande sätt i cookiebanners. Exempelvis kan en ”Godkänn”-knapp göras stor och färgglad medan en ”neka”-knapp kan göras liten och i en dov färg som syns sämre och som hjärnan naturligt inte tycker lika mycket om. Att använda sig av sådan vilseledande design kan utgöra en dark pattern och bör därför användas med stor försiktighet.
Exempel från willys.se (2024-03-06)
Exempel på neutral färgsättning, från rusta.com (2024-10-23)
- Använder berättigat intresse som grund för cookies
Vissa organisationer försöker felaktigt använda berättigat intresse som laglig grund för att placera cookies, vilket är ett annat exempel på ett så kallat ”dark pattern”. Det finns olika varianter av användningen av ”berättigat intresse för cookies, exempelvis:
-
- Cookies placeras utan samtycke. Det kan dels vara så att även om besökaren inte samtyckt till cookies så placeras de cookies som hemsidesägaren bedömt vara av berättigat intresse. Med andra ord, när en besökare har nekat alla cookies, vilseleds den av bannerns förvalda godkännande inställning för cookies med berättigat intresse.
- Dubbel nekningsprocess. Besökaren måste neka cookies på två separata ställen i cookiebannern, en gång för samtycke och en gång för berättigat intresse (alternativt invända mot det berättigade intresset, då det är förvalt som ”godkänt”). Vissa cookiebanners kräver att besökaren gör detta för varje enskild cookie/leverantör, vilket kan innebära hundratals val.
Det är viktigt att understryka att enligt ePrivacy-direktivet krävs samtycke för alla icke-nödvändiga cookies. Berättigat intresse är inte en tillåten grund för att placera cookies, vilket gör all användning av cookies utan samtycke olaglig.
Läs mer om berättigat intresse som laglig grund.
Exempel på invändning mot berättigat intresse, från momondo.com (2024-03-06)
Exempel på cookies under legitimt intresse, från expressen.se (2024-10-23)
- Definierar marknadsföringscookies som ”nödvändiga cookies”
Organisationer hävdar ibland felaktigt att vissa av deras cookies är nödvändiga för deras verksamhet. Nödvändiga cookies kräver inte samtycke enligt ePrivacydirektivet, men tolkningen av vad som utgör nödvändiga cookies är mycket strikt. Det inkluderar inte marknadsföringscookies. Verktyg såsom Google Analytics, Meta Pixel eller LinkedIn Insight Tag (och många fler) är inte nödvändiga för att en hemsida ska fungera. Nödvändiga cookies kallas ibland för ’obligatoriska cookies’.
Exempel på felaktig information och bedömning av vad som utgör nödvändiga/obligatoriska cookies.
- Ingen eller svårhanterad funktion för att ta tillbaka samtycke
För att ett samtycke ska vara giltigt, krävs att individen ska kunna återkalla det. Vissa hemsidor gör det svårt för besökare att ändra sina val av cookies eller ta tillbaka ett samtycke. Kanske finns det ingen funktion för det eller så är den placerad på en svåråtkomlig yta av hemsidan. Om det är tillräckligt svårt för besökaren att utföra en viss handling så kommer den sannolikt inte utföra den. För att ett samtycke ska vara giltigt krävs att det ska vara lika lätt att ta tillbaka som det var att lämna det. Därför behöver funktionen finnas lätt åtkomlig för besökarna. Även detta är en typ av dark pattern som förbjuds enligt den nya lagen.
Exempel på funktion för att ändra inställningar (återkalla samtycke) för cookies från gdprhero.se (2024-10-23)
Det finns även andra varianter av detta dark pattern. Om det krävs att besökaren återkallar samtycke för varje enskild cookie, så är det heller inte lika lätt som att lämna samtycke, vilket därför inte utgör giltigt samtycke ens från början. Exempelvis om en hemsidesbesökare som önskar återkalla sitt samtycke behöver ändra sitt val för varje enskild cookie/leverantör i stället för en funktion som återkallar samtycket i sin helhet eller åtminstone per kategori av cookies.
Vad behöver ni tänka på?
Först och främst är det viktigt att implementera en cookiebanner på er hemsida om ni inte redan har en. Därefter ska ni säkerställa att cookiebannern insamlar giltiga samtycken. Sammanfattningsvis behöver er cookiebanner framför allt:
-
Informera besökare om cookies
-
Samla in frivilliga samtycken (ja/nej) från era besökare
-
Vara specifik kring vilka kategorier av cookies ni efterfrågar samtycke för
-
Låta besökaren veta exakt vad han/hon samtycker till
-
Inte vilseleda besökaren till att samtycka (s.k. dark patterns)
-
Lagra bevis på samtycken (som dokumentation)
Här är det alltså flera regelverk som är parallellt tillämpliga och som behöver beaktas för att säkerställa en korrekt hantering av cookies.
Vidare läsning
Vad ni bör tänka på vid användning av cookies