Kommercielle danske hjemmesider respekterer ikke et nej tak

Det irriterer mig hele tiden at blive spurgt, om jeg har lyst til at blive overvåget med cookies på diverse hjemmesider. Det har jeg ikke.

Det undrede mig, at jeg, fx ved besøg på PriceRunner, synes jeg blev spurgt om det samme igen og igen i deres cookie-dialog:

PriceRunners hyppigt forstyrrende cookie-dialog.

Forskellige udløbsdatoer på “ja” og “nej”

Jeg undersøgte udløbsdatoerne på PriceRunners cookies, og det viste sig at:

  • Siger du “Nej tak” til cookies, udløber den cookie, der registrerer, at du ikke vil overvåges efter 2 timer. Når der er gået 2 timer, og du besøger PriceRunner igen, bliver du spurgt igen.
  • Siger du “Ja tak” til cookies, udløber den cookie, der registrerer at du gerne vil overvåges efter 1 år. Du kan altså besøge PriceRunner igen og igen (meget relevant her i Black Week) uden at blive forstyrret med nye cookie-spørgsmål.
Ja til cookies på Pricerunner. Du får lov til at genoverveje dit samtykke om 1 år.
Nej til cookies på Pricerunner. Du får lov til at genoverveje dit nej om 2 timer.

Må det være sværere at sige nej end ja?

I slutningen af oktober 2021 forsøgte jeg at få afklaret, om praksissen er/var lovlig.

De flinke folk i Datatilsynet har udarbejdet en vejledning om cookiedialogbokse. Hovedlinjen i vejledningen er, at det ikke skal være sværere at være “anti-cookie” end “pro-cookie”. Her er et par citater:

“Et samtykke skal være frivilligt. Formålet med betingelsen om frivillighed er at skabe gennemsigtighed for den registrerede og give den registrerede et valg og kontrol over sine personoplysninger. Et samtykke anses derfor ikke for at være afgivet frivilligt, hvis den registrerede ikke har et reelt eller frit valg.” (side 12)

“Elektroniske samtykkeanmodninger skal ikke være unødigt forstyrrende, men det kan samtidigt være nødvendigt, at samtykkeanmodningen til en vis grad forstyrrer brugeroplevelsen, hvis anmodningen skal være effektiv. Opgaven for den dataansvarlige er således at vælge en løsning, der rammer den rigtige balance.” (side 16)

“Derudover skal det generelt som nævnt ovenfor også være tilsvarende let at afstå fra at give samtykke til behandling af sine personoplysninger, som det er at give det.” (side 17)

Jeg synes det lød som om, at der var en chance for, at PriceRunners (med mange fleres) praksis var ulovlig.

Det var den (umiddelbart) ikke.

Ingen hjælp at hente hos Datatilsynet

Desværre synes Datatilsynet ikke, jeg har en sag. I mine øjne er det svært at få øje på andre begrundelser for hele tiden at spørge om samtykke ved nej til cookies, end at tilskynde til, at brugeren på et tidspunkt takker ja, samtidig med at risikoen for at klikke ja ved et uheld stiger, jo oftere man bliver spurgt.

Men: Det beskytter databeskyttelsesreglerne ikke mod i Datatilsynets vurdering. Her er kernen i argumentationen:

“[…]databeskyttelsesreglerne beskytter retten til at give
samtykke, herunder at betingelserne til et gyldigt samtykke er opfyldt. Det er i den forbindelse Datatilsynets vurdering, at uanset at hjemmesidens cookies har forskellige udløbstidspunkter baseret på, om du giver samtykke, eller afviser at give samtykke, ændrer dette ikke på, at du som bruger stadig har mulighed for at afvise hjemmesidens behandling af oplysninger om dig. Der gives således fortsat brugeren et frivilligt valg.

Datatilsynet vurderer endvidere, at det faktum, at du som bruger oplever flere gange at skulle afvise hjemmesidens behandling af personoplysninger ved brug af cookies, ikke er et element,
som databeskyttelsesreglerne beskytter den registrerede imod.”

Hvad gør jeg så?

Tja. Jeg forsøger at minimere mit forbrug af hjemmesider med tvivlsom etik.

Hvis jeg ikke kan lade være med at besøge dem, forlænger jeg manuelt udløbstidspunktet for min “nej tak”-cookie. Eller blokerer cookie-dialogen med mit reklameblokeringsbrowsertilføjelsesprogram. Det er ikke svært, når man først lige kan det, og tiden til at lære det er godt givet ud.

F12 > Storage > Cookies og en manuel ændring af udløbsdatoen i Firefox, så jeg slipper for at blive spurgt om samtykke igen og igen og igen i et godt stykke tid

1440 virksomheder overvåger dig hvis du siger ja til cookies på politiken.dk

Se de 1440 virksomheder

I dag besøgte jeg politiken.dk og blev mødt af:

Jeg besluttede mig at undersøge nærmere.

Politikens cookiepolitik gemmer sig i https://cdn.privacy-mgmt.com/consent/tcfv2/privacy-manager/privacy-manager-view?siteId=4366&vendorListId=5eeb8f57b8e05c69980ea9be&consentLanguage=DA.

Det er en json-fil på 3 MB! Jeg skrev et lille Python-program til at tygge den igennem:

import json
with open("privacy-manager-view.json", "r", encoding="utf8") as politiken:
	politiken = json.load(politiken)
	partners = []
	for vendor in politiken['vendors']:
		name = vendor['name']
		url = vendor['policyUrl']
		purposes = []
		if 'consentCategories' in vendor:
			for consent in vendor['consentCategories']:
				if consent['type'] == "IAB_PURPOSE":
					purposes.append(consent['name'])
		if 'iabSpecialPurposes' in vendor:
			for purpose in vendor['iabSpecialPurposes']:
				purposes.append(purpose)
		if 'iabFeatures' in vendor:
			for purpose in vendor['iabFeatures']:
				purposes.append(purpose)			
		if 'iabSpecialFeatures' in vendor:
			for purpose in vendor['iabSpecialFeatures']:
				purposes.append(purpose)	
		partners.append([name, url, purposes])
	partners.sort(key=lambda x:x[0].lower())
	number_of_partners = len(partners)
	linklist = "<html lang='da'><body><h1>"
	linklist += "Her er de " + str(number_of_partners) + " virksomheder, som overvåger dig, hvis du siger ja tak til alle cookies på politiken.dk (d. 11. december 2020)</h1><table>"
	for partner in partners:
		try:
			linklist += "<tr><td><a href='" + partner[1] + "'>" + partner[0] + "</a></td></tr>\n"
		except:
			linklist += "<tr><td>" + partner[0] + "</td></tr>\n"
	linklist += "</table></body></html>"
	with open("linklist.html", "wt", encoding="utf8") as fout:
		fout.write(linklist)

Og her er listen:

https://helmstedt.dk/politiken.html