Tillbaka till bloggens startsida

Hur ska en cookiebanner utformas?

23 oktober 2024

Person som arbetar vid dator och tänker på cookies, symboliserar temat för GDPR Hero-bloggen med fokus på cookies och efterlevnad av Digital Services Act.

Från den 17 februari 2024 tillämpas Digital Service Act (”DSA”) (sv: Förordningen om digitala tjänster) i EU och syftar till att stärka konsumentskyddet samt skapa en säkrare digital marknad. En viktig del av DSA är de nya reglerna kring hur organisationer får utforma sina cookiebanners. I detta inlägg går vi igenom hur DSA samverkar med GDPR och ePrivacydirektivet, samt vilka anpassningar som krävs för att uppfylla kraven i båda regelverken.

 

Det är hög tid för er som organisation att se över er webbplats och hur ni inhämtar samtycke för kakor från era besökare. Både med tanke på denna nya lagstiftning, gällande rekommendationer, avgjorda rättsfall och mot bakgrund av de tillsynsärenden kring kakor som Post- och Telestyrelsen avgjorde hösten 2023.

Kortfattat om reglerna i DSA
  • Stärker skyddet för konsumenters grundläggande rättigheter online.
  • Begränsar möjligheten att utforma onlineplattformar på ett sätt som manipulerar användares beslut (större transparens och ett tydligare ansvarsramverk)
  • Främjar innovation, tillväxt och konkurrenskraft inom den inre marknaden.

DSA bygger vidare på e-handelsdirektivet, som antogs år 2000, och som hittills har varit det huvudsakliga regelverket för tillhandahållandet av digitala tjänster i EU. Eftersom mycket förändrats sedan år 2000 behövde regelverket uppdateras.

En av de större effekterna av den nya lagen är att utformningen av cookiebanners (även kallat ”cookie-hanterare”, “cookie manager” eller “cookie-banderoll”).

Kort om cookiebanners

En cookiebanner är kortfattat en funktion på en webbplats som syftar till att samla in samtycken för de s.k icke-nödvändiga cookies som webbsidan önskar använda (läs mer om olika typer av cookies). En cookiebanner är vanligen utformad som en slags pop-up-ruta på en webbplats som ska berätta för besökaren att webbplatsen använder cookies och på vilket sätt samt efterfrågar samtycke. Detta krävs för att uppfylla kraven på samtycke i ePrivacydirektivet (som implementerats i svensk nationell rätt i lagen om elektronisk kommunikation) samt GDPR. Vi ska nu utreda hur den nya lagen kommer påverka utformningen av cookiebanners samt vad som gäller utifrån ePrivacydirektivet och GDPR.

Platsen ska fungera och erbjuder alternativ att acceptera eller avvisa icke-nödvändiga cookies, såsom analyscookies och tredjepartscookies från Vimeo och YouTube.
Exempel från ico.org.uk (2024-10-23)

Hur påverkar lagen acookiebanners utseenden?

Förordningen om digitala tjänster föreskriver bland flera saker, ett förbud mot så kallade ”dark patterns”, vilka ofta används i cookiebanners där de med hjälp av psykologi och kunskap inom mänskligt beteende skapar en design som möjliggör att användaren fattar ogynnsamma beslut som besökaren annars inte hade tagit. Kort sagt är dark patterns en metodik för att knuffa besökaren i en vilseledande eller manipulativ riktning.

Många cookiebanners använder vilseledande design, så kallade ’dark patterns’, vilket gör det svårt för besökare att ge giltiga samtycken enligt GDPR. Syftet med en sådan design är att samla in så många samtycken till cookies som möjligt, vilket ofta görs genom att på olika sätt göra det svårare för användaren att neka/avböja användningen av cookies. Detta kan leda till att besökarens samtycke inte tolkas som giltigt. Ett samtycke enligt GDPR ska lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande (skäl 32 GDPR).

Exempel på dark patterns

Låt oss ge några exempel på dark patterns som ofta används i cookiebanners och förklara varför de inte utgör eller ligger till grund för ett giltigt samtycke. Förbudet mot dark patterns innebär att en cookiebanner som har något av följande inte är tillåten:

  • Ingen knapp för att neka cookies

Många cookiebanners har fortfarande bara en knapp att välja på: ”Acceptera”, ”Godkänn”, ”Tillåt” eller liknande formulering. Sådana banners ger inte besökaren möjlighet att neka användningen av cookies. En sådan design anses därför inte kunna vara grund för ett giltigt samtycke enligt GDPR, eftersom ett samtycke måste vara helt frivilligt. Det ska finnas möjlighet att inte samtycke eller att kryssa ner rutan.

Dessutom måste ”neka”-knappen finnas direkt på första lagret av bannern – användaren ska inte behöva klicka sig vidare för att hitta en sådan knapp.

Cookie-meddelande på informationssakerhet.se som informerar användare om att cookies används på webbplatsen och erbjuder alternativet att samtycka genom att klicka på 'Jag förstår'. Webbplatsens logotyp och navigeringsmeny visas tillsammans med information om informationssäkerhet.
Exempel från informationssakerhet.se (2023-11-30) [sidan är inte publicerad längre]

Cookie-meddelande på MSB webbplats som informerar användare om att nödvändiga cookies används för webbplatsens funktionalitet och ger alternativen att acceptera endast nödvändiga eller alla cookies. Webbplatsen handlar om informationssäkerhet, cybersäkerhet och säkra kommunikationer
Exempel där båda knappar finns, från msb.se (2024-10-15)

  • Förkryssade rutor

Ett samtycke ska vara specifikt. Därför måste cookiebanners ha funktionalitet så att användaren kan välja att samtycka till alla kategorier eller enskilda kategorier av cookies, om olika typer används. Det kan exempelvis vara kryssrutor. Dessa kryssrutor får inte vara förkryssade, utan användaren ska aktivt kryssa i rutan för att samtycket ska tolkas som frivilligt (läs vidare i EU-domstolens rättsfall C-673/17 Planet49).

Cookie-meddelande på JP Infonets webbplats som informerar användare om användningen av cookies och ger möjligheten att anpassa inställningar för olika typer av cookies, såsom nödvändiga cookies, funktionella cookies, statistikcookies och marknadsföringscookies. Användare kan acceptera alla cookies via en knappExempel från jpinfonet.se (2024-03-06)

  • Länk till inställningar i stället för en ”neka”-knapp

Ännu en vanlig funktion i banners är en knapp för ”inställningar”. Många cookiebanners inkluderar en sådan knapp i stället för en ”neka cookies”-knapp. När besökaren klickar på ”inställningar” kommer den till ett andra lager där de oftast kan neka cookies. På detta sätt tvingas besökaren klicka flera gånger för att kunna neka cookies. Besökare tenderar att välja den väg som kräver minst antal klick vilket leder till att besökare inte klickar på ”inställningar” och sedan ”neka”, utan i stället klickar på ”godkänn/okej” som finns direkt i första vyn av cookiebannern – för att det är det enklaste valet. Den designen medför därför att givna samtycken inte tolkas som giltiga.

Cookie-meddelande på Sydsvenskans webbplats som informerar användare om användning av cookies och liknande tekniker för att lagra och få tillgång till information på enheter. Användare kan acceptera genom att klicka 'Okej' eller justera sina inställningar via en knapp.
Exempel från sydsvenskan.se (2023-11-30)

  • Vilseledande färger och kontraster på knapparna

Även om färgdesign inte specifikt nämns i lagstiftningen som något otillåtet i sig, så används färger och kontraster ofta på ett vilseledande sätt i cookiebanners. Exempelvis kan en ”Godkänn”-knapp göras stor och färgglad medan en ”neka”-knapp kan göras liten och i en dov färg som syns sämre och som hjärnan naturligt inte tycker lika mycket om. Att använda sig av sådan vilseledande design kan utgöra en dark pattern och bör därför användas med stor försiktighet.

Cookiebanner på Willys webbplats som erbjuder användare alternativ att acceptera eller avvisa alla cookies. Användare kan också justera sina cookie-inställningar och läsa mer i webbplatsens cookie-policy."
Exempel från willys.se (2024-03-06)

Cookie-meddelande på Rustas webbplats som informerar användare om att de kan acceptera eller avvisa alla cookies. Användare har också möjlighet att justera cookie-inställningarna och läsa mer i webbplatsens cookie-policy.
Exempel på neutral färgsättning, från rusta.com (2024-10-23)

  • Använder berättigat intresse som grund för cookies

Vissa organisationer försöker felaktigt använda berättigat intresse som laglig grund för att placera cookies, vilket är ett annat exempel på ett så kallat ”dark pattern”. Det finns olika varianter av användningen av ”berättigat intresse för cookies, exempelvis:

    • Cookies placeras utan samtycke. Det kan dels vara så att även om besökaren inte samtyckt till cookies så placeras de cookies som hemsidesägaren bedömt vara av berättigat intresse. Med andra ord, när en besökare har nekat alla cookies, vilseleds den av bannerns förvalda godkännande inställning för cookies med berättigat intresse.
    • Dubbel nekningsprocess. Besökaren måste neka cookies på två separata ställen i cookiebannern, en gång för samtycke och en gång för berättigat intresse (alternativt invända mot det berättigade intresset, då det är förvalt som ”godkänt”). Vissa cookiebanners kräver att besökaren gör detta för varje enskild cookie/leverantör, vilket kan innebära hundratals val.

Det är viktigt att understryka att enligt ePrivacy-direktivet krävs samtycke för alla icke-nödvändiga cookies. Berättigat intresse är inte en tillåten grund för att placera cookies, vilket gör all användning av cookies utan samtycke olaglig.

Läs mer om berättigat intresse som laglig grund.

Cookie-inställningar på Momondo som visar behandlingsändamål och leverantörer. Användare kan godkänna alla, acceptera valda ändamål eller avvisa alla cookies. Alternativ för att invända mot berättigat intresse och specificerade lagringstider för information visas också.
Exempel på invändning mot berättigat intresse, från momondo.com (2024-03-06)

Cookie-meddelande på Expressens webbplats som informerar användare om hur deras data används för att mäta reklamkampanjers prestanda. Användare kan ge samtycke eller invända mot behandling baserad på berättigat intresse, med specifika alternativ för att neka eller godkänna för olika partners.
Exempel på cookies under legitimt intresse, från expressen.se (2024-10-23)

  • Definierar marknadsföringscookies som ”nödvändiga cookies”

Organisationer hävdar ibland felaktigt att vissa av deras cookies är nödvändiga för deras verksamhet. Nödvändiga cookies kräver inte samtycke enligt ePrivacydirektivet, men tolkningen av vad som utgör nödvändiga cookies är mycket strikt. Det inkluderar inte marknadsföringscookies. Verktyg såsom Google Analytics, Meta Pixel eller LinkedIn Insight Tag (och många fler) är inte nödvändiga för att en hemsida ska fungera. Nödvändiga cookies kallas ibland för ’obligatoriska cookies’.

Cookiebanner på Willys webbplats som erbjuder användare alternativ att acceptera eller avvisa alla cookies. Användare kan också justera sina cookie-inställningar och läsa mer i webbplatsens cookie-policy."

Exempel på felaktig information och bedömning av vad som utgör nödvändiga/obligatoriska cookies.

  • Ingen eller svårhanterad funktion för att ta tillbaka samtycke

För att ett samtycke ska vara giltigt, krävs att individen ska kunna återkalla det. Vissa hemsidor gör det svårt för besökare att ändra sina val av cookies eller ta tillbaka ett samtycke. Kanske finns det ingen funktion för det eller så är den placerad på en svåråtkomlig yta av hemsidan. Om det är tillräckligt svårt för besökaren att utföra en viss handling så kommer den sannolikt inte utföra den. För att ett samtycke ska vara giltigt krävs att det ska vara lika lätt att ta tillbaka som det var att lämna det. Därför behöver funktionen finnas lätt åtkomlig för besökarna. Även detta är en typ av dark pattern som förbjuds enligt den nya lagen.

Ikon för cookie-inställningar på en webbplats med en cirkel innehållande en cookie-ikon och en bock. Bredvid visas texten 'Mina inställningar för cookies' som en knapp för att anpassa cookie-preferenser.
Exempel på funktion för att ändra inställningar (återkalla samtycke) för cookies från gdprhero.se (2024-10-23)

Det finns även andra varianter av detta dark pattern. Om det krävs att besökaren återkallar samtycke för varje enskild cookie, så är det heller inte lika lätt som att lämna samtycke, vilket därför inte utgör giltigt samtycke ens från början. Exempelvis om en hemsidesbesökare som önskar återkalla sitt samtycke behöver ändra sitt val för varje enskild cookie/leverantör i stället för en funktion som återkallar samtycket i sin helhet eller åtminstone per kategori av cookies.

 

Vad behöver ni tänka på?

Först och främst är det viktigt att implementera en cookiebanner på er hemsida om ni inte redan har en. Därefter ska ni säkerställa att cookiebannern insamlar giltiga samtycken. Sammanfattningsvis behöver er cookiebanner framför allt:

  • Informera besökare om cookies
  • Samla in frivilliga samtycken (ja/nej) från era besökare
  • Vara specifik kring vilka kategorier av cookies ni efterfrågar samtycke för
  • Låta besökaren veta exakt vad han/hon samtycker till
  • Inte vilseleda besökaren till att samtycka (s.k. dark patterns)
  • Lagra bevis på samtycken (som dokumentation)

Här är det alltså flera regelverk som är parallellt tillämpliga och som behöver beaktas för att säkerställa en korrekt hantering av cookies.

Kontakta oss gärna för en cookie granskning så att din webbplats uppfyller alla krav under DSA, GDPR och ePrivacydirektivet.

Vidare läsning

Vad ni bör tänka på vid användning av cookies

Hur ni skriver en cookie policy

Skillnad på ”Jag samtycker” och ”Jag godkänner”

Julianne Ahlesten

info@gdprhero.se

046-2731717

Innehållet i denna blogg är allmän information och är inte att betrakta som juridisk rådgivning.

Andra relevanta blogginlägg

Få notifikation direkt när nya inlägg publiceras

Loading...