Cookie consent via utmattning

Jag vet inte specifikt om det frågas oftare, har ingen klar bild av det, men det är ju däremot tydligt att många jobbar med väldigt mycket fulspel i andra avseenden med hur dialogerna utformas.
T.ex. då om de presenterar valen "allow all" och "settings", man går in i inställningarna istället för och gör sina val så finns det sist en stor grön knapp "allow all" och en liten grå knapp "save", osv.
Sedan då andra som istället rakt av erbjuder färdiga vettiga val i första steget.

För min del är nog det främsta värdet man får av det där träsket att dialogernas utformning tydliggör tjänsternas syn på personlig integritet, så kan man anpassa sig därefter.
Tjänster som kör mycket fulspel eller som du föreslår frågar om och om igen ger ett riktigt dåligt intryck, så de ska göra något riktigt bra för att man ska komma tillbaka.

Hur sparar man informationen om att användaren inte vill ha kakor om man inte får spara några kakor? Däri ligger nog lite av problematiken.

Jag uppfattar regelverket så att det inte får vara svårare att säga nej till kakor/att bli spårad än det är att säga ja. Därmed är färgkodning av knappar som gör det mer attraktivt att klicka ja förbjudet. Även att man måste in i en extra meny för att svara ”acceptera nödvändiga” förbjudet. Google fick skit för det senare fallet och har nu ändrat sig.

Din observation av att man snabbare får upp nya kakerbjudanden om man svarat ”nej” eller ”bara nödvändiga” tror jag är korrekt. Jag uppfattar även det som förbjudet. Google har inte ändrat sig på det än.

Problemet är att det inte finns någon myndighet som tycker att det här är värt att lägga tid på, såvida man inte kan dra in några miljarder i böter.

Jag har funderat på att bli lite aktivistisk och tillverka någon form av mjukvara som kollar detta automatiskt samt göra automatiska anmälningar till lämplig myndighet. Sist jag utredde vilken den lämpliga myndigheten var tyckte jag mig se att myndighetens sida om regler för kakor satte en kaka utan att be om lov, vilket borde vara mot sagda regelverk.

Inte säker på att GDPR gäller här, det handlar om hur man hanterar personuppgifter som går att identifiera.

Cookie-dialogerna har väl med GDPR/EPD att göra? Eller hur menar du?

GDPR gäller alldeles säkert, i den mån kakorna används för att spåra aktiviteter och knyta det till en individ, till exempel för att anpassa reklam. Vilket i praktiken är vad diskussionen handlar om.

För kakor specifikt är det samtidigt med GDPR, dessutom lagen om elektronisk kommunikation, kapitel 6, 18:e paragrafen som implementerar motsvarande EU-direktiv i svensk lag.

18 § Uppgifter får lagras i eller hämtas från en abonnents eller användares terminalutrustning endast om abonnenten eller användaren får tillgång till information om ändamålet med behandlingen och samtycker till den. Detta hindrar inte sådan lagring eller åtkomst som behövs för att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller som är nödvändig för att tillhandahålla en tjänst som användaren eller abonnenten uttryckligen har begärt.
Lag (2011:590).

Ja, i nuläget är det möjligt att man kan komma undan med detta. (oklart)

Vi kan ju hoppas på att https://globalprivacycontrol.org/ fäster på.
GPC är rent tekniskt i princip ett nytt försök med DNT ("do not track", som ju var en total flopp), men möjligen skulle det kunna fungera bättre den här gången då GPC är avsett att passa ihop med lagstiftning som kräver användarens godkännande.

Dvs, användarens GPC-val säger i så fall redan, i lagens mening, att de inte godkänner. Helt utan några frågor.

Det tror inte jag. Men GDPR är så äckligt svårläst, så jag kan inte ge en bra juridiskt argumentation för det just nu. Förutsättningen för att GDPR ska komma i spel är som sagt att man använder kakorna för att på ett eller annat sätt knyta beteende till en person. Gränsen där är rätt snäv, som vi vet betraktas lagrade IP-adresser som en personuppgift.

Och huvudregeln är som sagt att det ska vara lika lätt att säga nej som att säga ja, vilket det inte blir om man måste säga mej mycket fler gånger.

Återigen kan jag inte hänvisa till rätt lagrum i GDPR, men som jag förstår det är det helförbjudet att ”straffa” användaren för att man säger nej till hantering av persondata.

Det enda alternativet är då att inte erbjuda tjänsten alls, till någon.

”Nödvändiga” kakor är som jag förstår det till för exakt ett syfte: Att spara användarens (icke)preferenser om kakor.

https://gdpr.eu/cookies/ har lite exempel på vad som är "nödvändigt"

"Strictly necessary cookies — These cookies are essential for you to browse the website and use its features, such as accessing secure areas of the site. Cookies that allow web shops to hold your items in your cart while you are shopping online are an example of strictly necessary cookies. These cookies will generally be first-party session cookies. While it is not required to obtain consent for these cookies, what they do and why they are necessary should be explained to the user."

Dvs, ett typexempel är just att hålla en session för inloggade användare.

Utbränd på det, JA!

har en addon i Firefox som automatisk godkänner dom, osäker på om den väljer alla eller bara nödvändiga men eviga kötet gör att man fan inte kan surfa längre utan en addon som fixar det automagiskt.