Majoriteten av hemsidor bryter mot GDPR - varför och hur?

I princip varje gång man besöker en ny hemsida frågar den om man godkänner deras användning av cookies. Oftast handlar det om att placera spårnings-cookies på din dator för att samla in information och skicka vidare den till olika reklam- och profileringsföretag. Mer än 90% av befolkningen vill inte bli övervakade på detta viset.

Tanken är att du som användare ska behöva samtycka till den här övervakningen – ett krav i GDPR, den allmänna dataskyddsförordningen. Detta är en stor teoretisk framgång för personers rätt till ett digitalt privatliv, men tyvärr ser verkligheten ofta annorlunda ut.

None Of Your Business (NOYB), en förening som bevakar rätten till dataskydd i Europa, har stämt tre franska företag som inte respekterar att användare av deras hemsidor inte samtycker till övervakning. På dessa tre sidor spelar det ingen roll ifall man klickar på att man inte samtycker – tillsammans skickar de tre företagen information om användare till 1500 olika övervakningsföretag.

Alla tre företagen i NOYB:s stämning använder ramverket IAB för att hantera samtycken till övervakning.

Tyska och amerikanska forskare har i en stor studie – ”(Un)informed Consent: Studying GDPR Consent Notices in the Field” – funnit att 86% av sidor har en banner för samtyckesgivande med bara en ”Jag samtycker”-knapp, som inte gör något när man klickar på den. Detta är otvetydigt ett brott mot GDPR, då EU-domstolen i höstas dömde att en hemsidebesökare aktivt måste samtycka till att spårningscookies lagras på deras dator för att det ska vara lagligt. Med andra ord måste den som har en webbsida alltid utgå från att besökare inte vill övervakas.

Ett exempel på en olaglig samtyckes-popup – att bara besöka en hemsida är inte att samtycka till övervakning

Men även när hemsidor faktiskt respekterar att användare som inte samtycker till att övervakas inte heller ska övervakas finns det utbredda problem med att följa GDPR. Lagen ställer nämligen krav på samtycket – det ska vara frivilligt, specifikt, informerat och otvetydigt. En hög ribba som väldigt få idag når över. Enligt den tidigare omnämnda studien är det bara runt en tredjedel av sidor som informerar om syftet med datainsamlingen eller vem som tar del av den insamlade informationen.

Mer än hälften av sidor underminerar också frivilligheten i samtycket genom så kallade ”dark patterns” eller ”nudging. Några exempel på hur de uppmuntrar användare att samtycka är att stärka färgen på knappen som godkänner övervakning eller att göra det betydligt svårare att inte samtycka genom att gömma det alternativet inne i flera menyer.

For example, in the rather simple case of notices that only asked users to confirm that they will be tracked, more users clicked the “Accept” button in the nudge condition, where it was highlighted (50.8% on mobile, 26.9% on desktop), than in the non-nudging condition where “Accept” was displayed as a text link (39.2% m, 21.1% d). The effect was most visible for the category-and vendor-based notices, where all checkboxes were pre-selected in the nudging condition, while they were not in the privacy-by-default version. On the one hand, the pre-selected versions led around 30% of mobile users and 10% of desktop users to accept all third parties. On the other hand, only a small fraction (< 0.1%) allowed all third parties when given the opt-in choice and around 1 to 4 percent allowed one or more third parties (labeled “other” in 4). None of the visitors with a desktop allowed all categories. Interestingly, the number of non-interacting users was highest on average for the vendor-based condition, although it took up the largest part of any screen since it offered six options to choose from.

(Un)informed Consent: Studying GDPR Consent Notices in the Field

Den här typen av manipulering har en stor effekt på huruvida användare samtycker till övervakning eller inte.

Flera sidor använder nu cookie-väggar som inte släpper in besökare på hemsidan innan de samtycker till att övervakas. Att samtycka i en sådan situation är inte fritt, i meningen att det inte innebär negativa konsekvenser för individen att låta bli, har nu den nederländska dataskyddsmyndigheten klargjort.


Varför ser det ut såhär? En anledning är att dataskyddsmyndigheterna runtom i Europa varit slappa. NOYB anmälde direkt efter att GDPR trädde i kraft i maj 2018 flera stora aktörer för brott mot lagen, däribland Android, WhatsApp, Facebook och Instagram. Trots att det snart gått två år har den irländska dataskyddsmyndigheten inte kommit någon vart än.

Det spelar ingen roll hur bra lag man har och hur tydliga prejudikat EU-domstolen skapar ifall nationella dataskyddsmyndigheter inte upprätthåller och tillämpar lagen. Där är tyvärr den svenska datainspektionen inte heller ett föredöme, av flera skäl.


Ett annat problem är att ePrivacy-förordningen varit låst i ministerrådet i flera år nu, efter att parlamentet nådde sin position 2017. Det är egentligen i ePrivacy-förordningen som hanteringen av cookies var tänkt att tydliggöras, men efter att medlemsstaterna nu blockerat förordningen i flera år har den här situationen uppstått.

ePrivacy-förordningen har orsakat en enorm lobbyingkampanj från förlagsindustrin, reklambranschen, telekomindustrin och de stora nätjättarna. Bland de värsta lobbyisterna i sammanhanget finns Axel Springer, Deutsche Telekom och Google. Dessa har lyckats influera medlemsstater – framför allt Tyskland – till att blockera förordningen i ministerrådet i flera år och arbetar nu för att se till att rådet antar ett förslag som är ännu mer urvattnat än kommissionens redan urvattnade ursprungsförslag.

Officials from the EU28’s permanent representations in Brussels report that they cannot recall a legislative proposal that has attracted so much lobbying – with corporate interests absolutely dominating. And some member states have proved all too happy to help the industry.

https://corporateeurope.org/en/power-lobbies/2018/06/shutting-down-eprivacy-lobby-bandwagon-targets-council

Tyvärr präglas ministerrådets förhandlingar av hemlighetsmakeri och total brist på transparens, så vi vet inte ens hur den svenska regeringen har förhandlat i vårt namn.

On the other side of the debate, the European Data Protection Supervisor (the EU’s independent data protection authority), digital rights campaigners and consumer advocates point to the fundamental rights laid out in the EU treaties, especially on data privacy and the right to a private life. BEUC points out that “consumers should have the possibility to use online services without being under constant commercial surveillance”. Public opinion appears to back this approach. In the Commission’s consultation on ePrivacy, 81 per cent of the individual citizens who responded demanded ‘privacy by default’ settings to be activated on all new IT equipment. According to a Eurobarometer survey, 89 per cent of its respondents agreed with that suggestion. By contrast, a majority of industry respondents to the Commission’s consultation favoured self- or co-regulation instead.

https://corporateeurope.org/en/power-lobbies/2017/10/big-data-watching-you

Om du är trött på att ständigt behöva klicka på att du inte samtycker till att övervakas när du inte ens vet om det har effekt, så kan vi tipsa om webbläsartillägget consent-o-matic. Man ställer in sina samtyckes-preferenser i tillägget och sedan fyller det automatiskt i olika samtyckesmenyer på många olika hemsidor (chrome och firefox).

Kolla själv hur väl olika sidor följer GDPRdataskydd.net:s utmärkta webbkoll. Tips: testa socialdemokraterna.se!

Vidare läsning:
”Europe’s top court says active consent is needed for tracking cookies”
”Most EU cookie ‘consent’ notices are meaningless or manipulative, study finds”
”Cookie consent tools are being used to undermine EU privacy rules, study suggests”
”Say “NO” to cookies – yet see your privacy crumble?”

”(Un)informed consent: Studying GDPR Notices in the Field”
”In battle for ePrivacy, Council of EU set to side with advertisers, telecoms and Big Data”