Var kom alla "avvisa"-knappar ifrån?!
Fler och fler webbplatser har lagt till ett alternativ för att säga "nej" till cookies och annan spårning - i enlighet med GDPR. Var kom den här trenden ifrån?
I mars 2021 skannade noyb webben efter olagliga cookie-banners och lämnade in mer än 700 klagomål över hela Europa. En slutlig skanning visar en detaljerad utvärdering efter 1,5 år: mer än 50% av webbplatserna har förbättrat sina banners, i många fall utan att noyb någonsin har kontaktat dem.
Bakgrund och datainsamling. Med hjälp av specialutvecklad programvara skannade noyb mer än 3 600 webbplatser i mars 2021 och samlade in data om huruvida samtyckesbanners på dessa webbplatser bröt mot GDPR. Baserat på dessa uppgifter lämnades mer än 700 klagomål in mot de mest besökta sidorna vars banners bröt mot GDPR, t.ex. ingen "avvisa"-knapp eller vilseledande design. Detta utlöste en massiv omprövningsprocess bland många leverantörer av bannerprogramvara och webbplatser. Standardinställningarna ändrades till en mer GDPR-kompatibel version som en förebyggande åtgärd, även om inget klagomål ens hade lämnats in.
"Den här vågen av klagomål har haft en massiv förebyggande effekt. Vi hör från företag att de redan har ändrat sin inställning till cookie-banners efter att ha meddelat vår våg av verkställighet - även om de själva inte har fått något klagomål." - Max Schrems, ordförande för noyb
Denna våg av klagomål åtföljdes av andra verkställighetsåtgärder från dataskyddsmyndigheterna; till exempel införde franska CNIL riktlinjer och krävde att Google skulle införa en "avvisa"-knapp, vilket också sågs som en signal till många företag att justera sina banners och ledde till stora mätbara förbättringar i Frankrike.
Betydande förbättringar. I oktober 2022, ett och ett halvt år senare, upprepades skanningen och jämförelsevärden beräknades för 1 631 webbplatser. Dessa visar på betydande förbättringar för användarna: 56% av alla skannade sidor har förändrats till det bättre under de senaste ett och ett halvt åren och har slutat använda missvisande färger för länkar och knappar och förkryssade underkategorier. Den vanligaste överträdelsen var också den mest irriterande: 82% (1 377) av alla webbplatser hade inte en knapp för att avvisa alla cookies i mars 2021. Användarna var tvungna att dyka in i undermenyer för att hitta ett dolt "avvisa"-alternativ. 574 (41%) av de skannade webbplatserna har nu infört en "avvisa"-knapp efter våra klagomålsvågor. Det totala antalet cookies har också minskat med cirka 10% - i motsats till de senaste trenderna.
"Vi har sett webbplatser ändra olaglig design efter bara några månader. Efter 1,5 år kan man se en beteendeförändring även på webbplatser som vi aldrig har kontaktat. Vi ser en klassisk allmänpreventiv effekt." - Ala Krinickytė, dataskyddsjurist på noyb
Varning ökar efterlevnaden. Av dessa 1 631 webbplatser skickade noyb ett utkast till klagomål till 483 och gav dem upp till 60 dagar på sig att åtgärda sina överträdelser. Nästan hälften av alla överträdelser åtgärdades i denna grupp. Mer än hälften har nu en "avvisa"-knapp på plats, mer än 70% har inte längre förkryssade kategorier och två tredjedelar har ändrat vilseledande färger och länkar.
Avskräckning fungerar. Utöver de webbplatser som fick klagomål blev andra webbplatser som inte fick någon varning av noyb mer GDPR-kompatibla. 543 av de 1 148 webbplatserna i detta urval som inte hade fått något klagomål förbättrade sina cookie-banners. 78 är nu helt förenliga med GDPR. Det totala antalet cookies och antalet cookies som innehåller personuppgifter minskade också betydligt.
"De flesta människor följer normalt lagen. När det gäller dataskydd är detta inte alltid fallet - men det kan uppnås genom en offentligt synlig tillämpning." - Ala Krinickytė, dataskyddsjurist på noyb
Fler klagomål planeras. Under de kommande månaderna kommer noyb att fortsätta att sträva efter att bli av med vilseledande cookie-banners och utvidga projektet till webbplatser som använder plattformar för samtyckeshantering (CMP). I ett nästa steg kommer noyb att vidareutveckla sin programvara för att kunna vidta liknande åtgärder även mot andra integritetskränkningar.
För närvarande väntar noyb fortfarande på de första besluten i de klagomål som lämnades in i augusti 2021, även om många av fallen har gjort betydande framsteg. Europeiska dataskyddsstyrelsen (EDPB) har lanserat en arbetsgrupp för att samordna dataskyddsmyndigheterna i dessa ärenden, så vi kan hoppas på ett samordnat tillvägagångssätt.
Metodik
- Per den 24 mars 2021 undersöktes 3 672 webbplatser som använde Onetrust som CMP och som uppvisade GDPR-överträdelser.
- Denna undersökning låg till grund för de två klagomålsvågorna, varvid endast de mest besökta webbplatserna per toppdomän undersöktes. Dessutom lämnades klagomål in mot 20 högt rankade webbplatser oavsett vilken CMP som användes. Alla dessa fick inledningsvis ett utkast till klagomål och 60 dagar på sig att ändra inställningarna. Om bannern inte ändrades i enlighet med lagen lämnade noyb formellt in ett klagomål
- Den 10/4/2022 upprepades skanningen enligt samma princip. I samband med detta hittades 2 137 webbsidor. 1 631 sidor fanns representerade i både den första och den andra skanningen och används därför för denna jämförelse. Eftersom vissa webbplatser inte längre existerar, använder en annan CMP-leverantör eller en annan OneTrust-version som inte kan upptäckas av vår programvara, har antalet minskat.
