Sedan 2021 har en särskild arbetsgrupp verkat för att dela information och ”best practices” avseende cookiebanners på uppdrag av Europeiska dataskyddsstyrelsen. Analysen och slutsatserna av arbetet har nu sammanställts i en rapport. Här sammanfattar vi de viktigaste punkterna för dig som webbsideinnehavare att tänka på när du utformar en cookiebanner.
Under 2021 beslutade Europeiska dataskyddsstyrelsen (EDPB) att i enlighet med art. 70.1(u) GDPR sätta samman en arbetsgrupp i syfte att dela information och ”best practices” avseende cookiebanners. Arbetsgruppen inrättades som en konsekvens av Maximilian Schrems organisation NOYBs (None Of Your Business) klagomål på utformningen av cookiebanners på hundratals webbsidor. Arbetsgruppen bestod av 18 tillsynsmyndigheter från EU och EES som fick i uppdrag att tillsammans analysera de cookiebanners som var föremål för klagomålen.
Analysen och slutsatserna av arbetsgruppens arbete har nu sammanställts i en rapport som släpptes den 17 januari 2023. Rapporten är tydlig med att den inte utgör en självständig rekommendation och att varje tillsynsmyndighet måste göra en egen analys av de faktiska omständigheterna kopplade till varje enskild webbsida som granskas inom ramen för tillsyn. Däremot innehåller rapporten ett antal intressanta observationer och ställningstaganden som är relevanta för webbsideinnehavare att utgå från i samband med att en cookiebanner utformas.
Utifrån rapporten har vi sammanfattat ett antal punkter som du som webbsideinnehavare kan tänka på när du utformar en cookiebanner:
De flesta cookiebanners som granskades hade ingen knapp för att tacka nej till cookies, trots att de hade en knapp för att godkänna cookies. Majoriteten av de tillsynsmyndigheter som deltog i arbetsgruppen konstaterar att avsaknaden av en knapp för att tacka nej inte är förenligt med kraven på ett giltigt samtycke. En knapp för att tacka nej är därför att rekommendera.
Trots att det sedan lång tid varit tydligt i praxis att förklickade samtyckesrutor inte utgör giltiga samtycken noterar arbetsgruppen att flertalet webbsidor använder förklickade samtyckesrutor. Arbetsgruppen bekräftar i rapporten att förklickade samtyckesrutor utgör ogiltiga samtycken. Samtycket måste vara aktivt.
Arbetsgruppen noterar att många cookiebanners innehöll en länk för att tacka nej till cookies, snarare än en knapp. Det konstaterades att en sådan länk visuellt behöver vara så tydlig att en användare inte kan missa den, samt att länken inte bör placeras utanför cookiebannern.
Överlag konstaterar arbetsgruppen att en cookiebanner inte får vara utformad så att användaren får intryck av att man måste samtycka till cookies för att kunna komma åt innehåll på webbsidan.
Färgskillnader och kontraster mellan en samtyckesknapp och en knapp för att tacka nej kan vara tillåtna. Knapparna behöver dock vara tydliga så att inte användaren t.ex. får svårt att uppfatta att det finns ett alternativ att tacka nej.
En del cookiebanners som var föremål för granskningen anger att behandlingen av personuppgifter sker med stöd av en intresseavvägning. Användaren kan då få intrycket av att intresseavvägningen tillämpas för att sätta cookies, vilket inte är tillåtet. Arbetsgruppen noterar särskilt att om samtycket är otydligt och därmed ogiltigt, kan inte heller den efterföljande behandlingen av personuppgifter vara laglig. Därför är det viktigt att samtycket i cookiebannern är tydligt för användaren.
Arbetsgruppen konstaterar att i frågan om vad som är nödvändiga cookies, och som därmed inte kräver något samtycke, behövs en analys i varje enskilt fall. Arbetsgruppen hänvisar till Artikel 29-gruppens gamla vägledning rörande cookie-samtycken som bl.a. tar upp att nödvändiga cookies kan vara sådana som krävs för att webbsidan ska komma ihåg en användares inställningar (t.ex. språk på webbsidan).
Arbetsgruppen noterar att de i de flesta fall inte fanns någon tydlig möjlighet att återkalla sitt samtycke och i rapporten påpekar de att ett samtycke ska vara lika lätt att återkalla som att lämna. En knapp för att återkalla samtycket som finns tillgänglig någonstans i webbgränssnittet är därför att rekommendera.
Vill du veta mer eller behöver du hjälp i frågor som rör cookiehantering eller andra dataskyddsfrågor? Kontakta vårt team för dataskydd!