Praktiska studier avseende inhämtande av samtycke

6.3.1 Allmänt om studierna och deras användningsområde

I denna del kommer tre akademiska studier redogöras för. De är alla skrivna inom skärningspunkten juridik och teknik, med stort fokus på cybersäkerhet, datasä- kerhet och mänsklig interaktion med datorer. Författarna till dessa studier är i stora delar anslutna till olika universitet, bl.a. Massachusetts Institute of Techno- logy, och författarna är specialiserade inom juridik och IT-säkerhet. Studierna berör samtycke och webbkakor, även om utformningen av studierna skiljer sig åt.

I studierna har författarna studerat hur samtycke och webbkakor fungerar i praktiken på internet, vilket ger denna uppsats en möjlighet att utvärdera och bedöma i vilken mån lagstiftningen uppfyller vad som är föresatt, dvs. hur effek- tiv den är på att skydda personlig integritet. Studierna kan därför användas som

153_{Exempel på när ingen information alls ges kan ses på bild 9 i bilaga 1. Bild 5, 6 och 7 illustrerar}

olika sätt en del information ges men där användaren sedan behöver leta upp resterande information självmant.

154_{Bild 1, 4 och 9 i bilaga 1 är alla exempel på när en otvetydig viljeyttring omöjliggörs, medan bild}

3 är ett bra exempel på hur användaren ges valmöjligheter på ett neutralt sätt.

155_{Exempel på hur det kan göras finns i bild 2 i bilaga 1. Jfr med bild 7 som gör en vag hänvisning}

ett verktyg för att utvärdera lagstiftningen, hur väl den har fått genomslag och var det kan finnas ytterligare utmaningar framgent.

6.3.2 (Un)informed Consent: Studying GDPR Consent Notices in

the Field

Den första studien som har inhämtats är från 22 oktober 2019 och tar sikte på att utreda om utformningen av webbkakenotiser påverkar användarnas lämnande av samtycke.156 För att göra detta valde författarna till studien att genomföra tre

experiment med fler än 80,000 olika användare på tyska e-handelssidor på internet.157 Studien tog hänsyn till positionering av webbkakenotiser, antal val som

presenterades, om det fanns på förhand ikryssade rutor samt om språkvalet och informationen som lämnades var tekniskt avancerad eller inte.158 Författarna till

studien skapade inom ramen för sin undersökning egna webbkakenotiser som presenterades för de unika användarna. Användarna erbjöds sedan att delta i en enkätundersökning efter att ha interagerat med webbkakenotisen.159 Detta ledde

till att studien genererade både mycket statistiska data för hur användare intera- gerar med webbkakenotiser men även svar från enskilda unika användare som fick redogöra för motiveringen bakom sitt agerande.

Studien kom fram till ett flertal intressanta slutsatser, men tre av dessa kommer lyftas inom ramen för denna uppsats. För det första kunde författarna till studien konstatera att positioneringen av webbkakenotiser var viktig för om an- vändare interagerade med den, då mest interaktion genererades när placeringen av notisen förhindrade tillgång till delar av, eller hela, hemsidan.160 Den andra

viktiga slutsatsen som drogs är att påtryckningar och förifyllda alternativ i stor utsträckning påverkade användarnas val av samtycke.161 Slutligen kunde förfat-

tarna utifrån enkätundersökningen dra bl.a. slutsatserna att en hög procentandel av användarna som interagerade med webbkakenotisen, 72 %, gjorde så på grund av frustration och 26 % av användarna gjorde det på grund av att de inte trodde hemsidan skulle fungera annars.162 Författarna var oroade av att en fjärdedel av

användarna som deltog i enkätundersökningen var av uppfattningen att de inte kunde tillgå hemsidan och tjänsten innan de godkände användningen av webbkakor.163

156_{Se Utz, C m.fl.} 157_{A.a., s. 1.}

158_{Se a.a., s. 5 ff. där experiment 1–3 beskrivs i mer detalj.} 159_{Se a.a., s. 5, “Study Setup”.}

160_{A.a., s. 8.} 161_{A.a., s. 10.}

162_{A.a., s. 10. Notera dock att det fanns möjlighet att bocka flera alternativ i undersökningen, varför}

dessa två bara är ett urval av enkätsvaren.

Sammantaget konstaterar författarna i sin slutsats att resultaten i studien indi- kerar att principerna om dataskydd som standard164 och samtycke som framgår

av dataskyddsförordningen skulle kräva av leverantörer att de använder sig av webbkakenotiser som skulle leda till att mindre än 0.1 % av användarna aktivt skulle samtycka till användning av webbkakor.165 Detta är inte önskvärt med be-

aktande av de fördelar som användningen av webbkakor för med sig.166

6.3.3 Dark Patterns after the GDPR: Scraping Consent Pop-ups

and Demonstrating their Influence

Den andra studien är från 8 januari 2020 och syftade till att utreda hur CMP:s gränssnittsdesign av webbkakenotiser påverkade andelen samtycken som samla- des in.167 Studien genomfördes genom två experiment. Det första gjordes genom

på att kolla på gränssnittsdesignen på 10,000 av de populäraste hemsidorna i England genom en s.k. skrapning för att sedan kontrollera dessa mot regelverket i dataskyddsförordningen.168 Det andra experimentet i studien genomfördes ge-

nom att bygga en plugin till webbläsare för ett antal försökspersoner som tillät författarna att placera webbkakenotiser för att sedan studera hur olika utform- ningar av notiser påverkade användarnas samtycke.

De slutsatser som författarna kunde dra från det första experimentet i studien var att bara 11.8 % av de mest välbesökta engelska hemsidorna uppnådde till kraven som ställs i dataskyddsförordningen.169 Vidare kunde konstateras att såd-

ana redogörelser som krävde mycket interaktion från användaren, exempelvis långa redogörelser för alla leverantörens tredje parter, spenderade användarna väldigt lite tid på.170 Vidare visade undersökningen att bara 12.6 % av de under-

sökta hemsidorna visade både alternativet acceptera allt och acceptera inget, samt att borttagandet av möjligheten att neka till användningen av webbkakor ökade positiva samtycken med 22 procentenheter.171 Det andra experimentet i studien

visade att det hos försökspersonerna fanns en hög grad av frustration att behöva samtycka till webbkakor kontinuerligt, varför samtycke ofta gavs för att slippa se notisen.172 En intressant upptäckt inom ramen för studien var att när

164_{Se artikel 25 i dataskyddsförordningen om dataskydd som standard, där det åligger den person-}

uppgiftsansvarige att tillse att det finns ”lämpliga tekniska och organisatoriska åtgärder” på plats för att skydda personuppgifterna som behandlas.

165_{Se Utz, C m.fl., författarnas slutsats på s. 14.}

166_{Se avsnitt 4.5 om det legitima intresset som finns av att använda sig av webbkakor.} 167_{Nouwens, M m.fl., s. 1.}

168_{A.a., s. 4 ff.} 169_{Se table 1 i a.a., s. 5.}

170_{A.a., s. 8. Det kan förklaras av det faktum att 76,47 % av dessa hemsidor hade information om}

sin webbkakeanvändning som för en genomsnittsläsare skulle ta ca 32 minuter att läsa, då inte inräknat tiden det tar att navigera sig fram till informationen, se s. 5 f.

171_{Se a.a., s. 5 och 8.} 172_{A.a., s. 9.}

försökspersonerna skulle bedöma sin egen inställning till integritet på internet och webbkakor så var det bara två grupper (de med inställningen ”alltid positivt samtycke” alternativt ”alltid negativt samtycke”) som upplevde att deras inställ- ning matchade hur de betett sig i praktiken online.173

6.3.4 Do Cookie Banners respect my choice?

Den tredje studien som publicerades den 21 februari 2020 hade som målsättning att utreda om användarnas val vid användning av webbkakor respekteras i praktiken, samt om samtycke registreras trots användares passivitet.174 Författarna till

studien ämnade att kunna påvisa om det finns diskrepanser mellan de val som användarna gör i webbläsaren jämfört med den information som sedan sparas i webbkakan och skickas till tredjepart. Studien genomfördes genom att en pro- gramvara kallad ”Cookinspect” genomsökte drygt 22,000 europeiska hemsidor och upptäckte hemsidor som använder sig av webbkakenotiser inom ramen för TFC175, och kontrollerade sedan samtycket som sparas genom att genskjuta

kodsträngen innehållande samtycket.176

Författarna till studien kunde efter undersökningen konstatera en rad slutsatser. Gällande frågan om passivitet föranledde ett samtycke kunde det på 10 % av hemsidorna konstateras att aktivt positivt samtycke sparades när användaren inte gjorde ett val, samtidigt som 47 % av hemsidorna använde sig av påtrycknings- medel gentemot användarna för att få in samtycken (bl.a. genom att i webbkakenotisen ha förvalda alternativ).177 Det mest anmärkningsvärda resultatet som ge-

nererades av studien var att 5 % av hemsidorna sparade ett globalt positivt samtycke till all behandling trots att användaren aktivt nekat till webbkakor.178 Även

om 5 % i sig inte är en särskilt hög procentsats kunde författarna samtidigt konstatera att ett sparat samtycke kan återanvändas av andra CMP:s, och studien antyder att det är rätt vanligt i praktiken att så sker, varför överträdelserna kan ”smitta”.179 Sammantaget visade studien att ungefär 54 % av hemsidorna inne-

hade åtminstone en misstänkt överträdelse av regleringen i dataskyddsförord- ningen.180

173_{Nouwens, M m.fl., s. 9.} 174_{Matte, C m.fl., s. 1.}

175_{Transparency & Consent Framework, mer information om vad det är återfinns här; IAB Europe}

What is the Transparency & Consent Framework?, hämtat den 3 november 2020.

176_{Matte, C m.fl., s. 5 f.} 177_{Se a.a., s. 2.} 178_{Se a.a., s. 2 och 10 f.} 179_{A.a., s. 2 och 11.} 180_{A.a., s. 2.}

In document Personlig integritet på internet : Webbkakor och risken för kränkning av användares personliga integritet (Page 54-58)