Idag den 10 december 2020 fick Google en saftig bot (100m€) av den franska dataskyddsmyndigheten CNIL. Anledningen var de kakor som Google använder för reklam och sökoptimering i deras sökmotor. Såhär motiverades beslutet:
- Google installerar kakor innan man hinner säga ifrån,
- Google informerade inte användarna att kakor installerats utan hade bara länkar där det stod ”Remind me later” och ”Access Now”, ingen av dessa gav någon information,
- Trots att användare avaktiverade personliga annonser sparades en tracking kaka hos användaren,
- Google har väldigt många användare i Frankrike.
Av intresse kan vi därför kolla på den svenska versionen av Googles sökmotor och se hur den ser ut när man loggar in första gången för att slutligen se om Google följer reglerna i Sverige. I det här experimentet använder jag webbläsaren Firefox och går in på Google i inkognito-mode. På så vis kan vi undersöka hur deras information ser ut innan kakor ska installeras på datorn.
Om vi analyserar bilden ovan, som är ett exempel på vad som brukar kallas ”first layer information” på dataskyddsspråk, så kan vi konstatera att en viktig funktion saknas: var är ”Jag godkänner inte” knappen? Jo ser ni, den kan man komma till om man trycker på ”Se mer”. Om man scrollar ner hela vägen kommer man till en punkt som heter sekretessinställningar:
Här finns till synes möjlighet att ändra sökinställningar och annonsinställningar. Vi får anta att det betyder att Google ger oss valet att inte personanpassa våra sökningar och annonser.
Observera att mina personliga annonspreferenser redan är blåa, vilket alltså betyder att jag redan godkänt. Vad som händer när man försöker avaktivera personliga annonser är att följande varningstext kommer upp:
Om jag trycker på stäng här och faktiskt avaktiverar annonsering så kommer slutligen denna ruta upp:
Då är egentligen frågan: får man göra såhär?
Det enkla svaret är nej, det här är inte tillåtet.
Den europeiska dataskyddsstyrelsen (EDPB) tog fram en vägledning angående samtycke så sent som den 4 maj i år där de tar upp två punkter av intresse:
- Samtycke ska vara granulärt (eller inte ihopklumpat), och
- Samtycke ska vara ett otvivelaktigt uttryck för önskemål.
I förevarande fall har Google gjort baklänges och delat upp möjligheten att ta tillbaka samtycke och klumpat ihop när man ger samtycke. Vilket är totalt fel.
Avseende punkt två tar EDPB upp en väldigt spännande sak: nämligen att GDPR inte tillåter förifyllda rutor, eller så kallade opt-out konstruktioner. Vilket alltså också är precis det Google gör. Men Google är såklart inte ensamma där, det är snarast kutym idag.
Det som Google gör vilket är lite extra dåligt jämfört med många andra är att de gömmer sina opt-out konstruktioner bakom fyra knapptryck, där det sista är en faktiskt varning att man inte borde opta ur.
Om Googles sökmotor faktiskt är så pass mycket bättre med kakor installerade skulle väl ändå folk inte ha några problem att godkänna cookies, genom ett så kallat uttryckligt önskemål? Nu blir det baklänges eftersom användare uttryckligen behöver anstränga sig för att opta ur, vilket är helt och hållet fel! Som vi ser från Frankrike dessutom potentiellt dyrt.
Varför inte bara lägga till ett ”inte” på första sidan och lösa problemet?
EDPB:s riktlinjer hittar du här: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en
CNIL:s pressrelease hittar du här: https://www.cnil.fr/en/cookies-financial-penalties-60-million-euros-against-company-google-llc-and-40-million-euros-google-ireland
