Big Tech

Pop-up vinduer med cookie-accept, der har hærget nettet i mange år, er ulovlige, slår europæiske datatilsyn nu fast. Det kan koste Big Tech.

Af Mats Magnussen

I en ny afgørelse har samtlige europæiske datatilsyn – med den belgiske myndighed i spidsen – afgjort, at den største sammenslutning af datakøbmænd begår adskillige GDPR-lovovertrædelser i deres brug af pop-up vinduer for at få coockie-samtykke. 

Det kan betegnes som et historisk opgør med brugen af pop-up vinduer, vurderer lektor i persondataret, Ayo Næsborg-Andersen fra Syddansk Universitet. 

– Afgørelsen er voldsom og har et ret vildt potentiale. Den vil kunne spille en stor rolle i forhold til, hvordan annoncer fungerer på internettet, og dermed hvordan hele internettet finansieres, siger hun.

Afgørelsen slår fast, at det skal være langt nemmere at sige fra overfor de cookies, der sælges til datakøbmænd.

Al data, der er indsamlet gennem blandt andet Google, Amazon og Microsofts annoncefirmaer, skal derfor nu slettes, står der i afgørelsen. 

Myndighederne har samtidig udstedt en bøde på tre millioner kroner til annonceforretningernes brancheforening, IAB Europe, som har blåstemplet den nuværende metode.

Lobbyorganisationen har ellers kaldt det et ‘nødvendigt værktøj’ for at kunne leve op til GDPR-reglerne. Det samtykkebaserede pop-up system som altså er ulovligt, Transparency & Consent Framework (TCF), gælder på 80 procent af internettet i Europa.

Du kan finde afgørelsen her

Vildt potentiale

Afgørelsen er den første af sin slags, og den vil få vidtrækkende konsekvenser for hele EU, fortæller lektor i persondataret, Ayo Næsborg Andersen, fra Syddansk Universitet. 

– Det er tydeligt, at nu begynder datatilsynene at gå ind i de mere grundlæggende mekanismer på internettet. Vi har før set enkeltsager, men nu tager de fat, hvor det gør ondt, siger hun.

Det handler i bund og grund om retten til at sige nej til at få sine data solgt. I øjeblikket bliver der indsamlet cookies, selvom at brugeren har sagt nej, og det er besværligt at frasige sig det helt, fordi datakøbmændene mener, at deres indsamling sker som led i ‘legitime interesser’, men den går ikke længere ifølge datatilsynene.

Dermed spiller afgørelsen ind i den store diskussion i EU omkring implementeringen af nye og strammere regler for retten til privatliv.

Indtil videre har EU-kommissionen ikke kunne finde ud af at regulere området. Den længe ventede opdatering af e-privacy direktivet fra 2002 er endnu ikke blevet vedtaget.

Datatilsynenes afgørelse vil dermed danne rammerne for fremtidens annoncemarked, mener Ayo Næsborg-Andersen.

–  Det er en god illustration af, at det har været det vilde vesten i lang tid, og det gør altid ondt, når man skal opføre sig efter reglerne, hvis man har været vant til at kunne gøre, som man ville, siger hun og uddyber konsekvenserne.  

– De, som ikke benytter sig af datakøbmænd, vil nok kunne fortsætte med at bruge deres pop-up vinduer, mens alle andre må lave om på deres model, så det bliver nemmere at sige nej, forklarer hun. 

Annoncørenes brancheforening IAB Europ har nu to måneder til at komme med en plan for, hvordan de vil lave en lovlig løsning. Derefter har de 6 måneder til at få den implementeret.

Brancheforeningen vil læse afgørelsen før de udtaler sig om det videre forløb, skriver de på deres hjemmeside. 

Datatilsynet: Udmelding inden længe 

Datatilsynet i Danmark er – på lige fod med de andre 27 EU-lande – blevet hørt i processen. 

Datatilsynet oplyser i en mail til Techmediet Radar, at de forventer at komme med en udmelding til danske dataansvarlige inden længe. 

En reaktion

Lukket for kommentarer.