Sætter fart i GDPR-håndhævelse: NOYB sender 500 klager om ulovlige cookies

Illustration: Dmitrynew83 | Bigstock
Massesøgsmålet er det største, siden GDPR trådte i kraft.

Privacy-foreningen None Of Your Business (NOYB) vil sætte en stopper for, hvad de kalder omfattende 'cookie-banner-terror', og gruppen har udviklet et stykke software, der konstant scanner de største europæiske sites for, om de indhenter ordentligt cookie-samtykke fra deres brugere.

Det er allerede mundet ud i 500 klager til selskaber, der om en måned vil blive gjort til formelle søgsmål, skriver foreningen selv på sin blog.

»A whole industry of consultants and designers develop crazy click labyrinths to ensure imaginary consent rates. Frustrating people into clicking ‘okay’ is a clear violation of the GDPR’s principles. Under the law, companies must facilitate users to express their choice and design systems fairly. Companies openly admit that only 3% of all users actually want to accept cookies, but more than 90% can be nudged into clicking the ‘agree’ button,« lyder det fra Max Schrems, der er hovedmanden bag en række afgørende søgsmål mod EU og medlem af NOYB's bestyrelse.

»By law, users must be given a clear yes/no option. As most banners do not comply with the requirements of the GDPR, noyb developed a software that recognizes various types of unlawful cookie banners and automatically generates complaints. Nevertheless, noyb will give companies a one-month grace period to comply with EU laws before filing the formal complaint. Over the course of a year, noyb will use this system to ensure compliance of up to 10,000 of the most visited websites in Europe. If successful, users should see simple and clear “yes or no” options on more and more websites in the upcoming months,« skriver NOYB.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#5 Bjarne Nielsen

Du ved vel selv om du har en knap der siger nej til cookies som er mindst lige så nem at komme til og at se (og mulighed for at tilbagetrække et samtykke, en del som ofte bliver glemt).

Ja, det er en god opsummering, og et godt sted at starte ... men hvis man er typen, som har tænkt sig at gå lige til grænsen, så skal man altså sætte sig bedre ind i det end det.

Det er f.eks. ikke nok, at fravalg er lige som nemt at se som alternativerne, for "dark patterns" er også noget med subtile ting, som f.eks. placering, rækkefølge og tekstmængde.

Og om det i det hele taget er forståeligt. Jeg kommer selv tit i tvivl, om jeg nu "har holdt den rigtigt", for ofte så er fravalg betegnet som "brug udvalgte" i kombination med en lang liste fra- og tilvalg, som man skal åbne for at være sikker. Formelt set et klik, og lige som nemt, men i praksis ... not-so-much.

Jeg kan godt se, at det kan give en varm og rar fornemmelse, hvis man kunne køre en automatisk selvtest, men det er ikke efter min mening slet ikke formålet med NOYBs kode; det virker mere som en grovsortering i snot og skæg, for der sker under alle omstændigheder en menneske-vurdering (ukunstig intelligens?) efterfølgende. NOYB er også åbne om, at de ikke bare har startet fra 'a' i telefonbogen, men derimod med et godt øje til, hvor det giver mening at starte (både i bredde og dybde).

...og så var jeg ved at sige, at det altså i det hele taget er for vigtigt til, at man kan forlade sig på en selvtests og andre snuptagsløsninger, men så kom jeg i tanke om NOYB/Schreems bemærkning ifm. GDPRs 3. års dag:

Another element that becomes clearer now, is that the “one size fits all” approach of the GDPR is inadequate. Large companies pushed for a unified law, to ensure that they only have to comply with medium requirements. Especially political parties that pride themselves to be “pro-business” followed that idea. These medium requirements now overwhelm many small businesses that do not really process data on a relevant scale, while they are too weak to combat big tech.

(https://noyb.eu/en/statement-3rd-anniversary-gdpr)

Ja, der kan være noget ironisk i at "pro-business" folk ikke rigtigt har SMV segmentet i tankerne, i hvertfald ikke til at starte med. Måske fordi at man så kan blæse og have mel i munden: få de initielle regler talt ned for de store, og efterfølgende problematisere dem for de små, med krav om yderligere lempelser. YMMV.

Resten er IMHO spot on.

  • 1
  • 0
#6 Lars Andersen

Så simpelt er det ikke.

Da jeg læste op på det sidst skal der ikke indhentes consent til infrastruktur cookies. Dvs de cookies som får din browser session til at virke rent teknisk. Men reglerne er lavet så uldne at man nemt kan blive i tvivl. Hvis ikke denne undtagelse var der ville intet virke uden consent, og det er tydeligvis ikke tilfældet nogen steder.

  • 0
  • 0
Log ind eller Opret konto for at kommentere