Што адбываецца, калі вы не збіраеце згоду: рэальныя штрафы і кейсы
Думаеце, банеры згоды неабавязковыя? Што простага паведамлення пра cookie дастаткова? Рэгулятары з гэтым не згодныя — і ў іх ёсць доказы. З моманту ўступлення GDPR у сілу ў 2018 годзе органы па ахове даных у Еўропе і за яе межамі выпісалі штрафаў на суму больш за €4,5 мільярда. Многія з іх былі непасрэдна звязаны з парушэннямі пры зборы сапраўднай згоды карыстальнікаў.
Вось рэальныя справы, рэальныя лічбы і тое, што яны азначаюць для вашага бізнесу.
Найбуйнейшыя штрафы, звязаныя са згодай, у гісторыі
Meta (Facebook/Instagram) — Ірландыя, 2023
Ірландская камісія па ахове даных (DPC) устанавіла, што Meta перадавала даныя карыстальнікаў з ЕС у ЗША без сапраўдных прававых механізмаў і належнай згоды. Гэта застаецца найбуйнейшым штрафам па GDPR у гісторыі. Meta таксама была аштрафавана на €390 мільёнаў у студзені 2023 года за тое, што прымушала карыстальнікаў пагаджацца на персаналізаваную рэкламу ў якасці ўмовы выкарыстання Facebook і Instagram — відавочнае парушэнне патрабавання пра «свабодна дадзеную» згоду.
Amazon — Люксембург, 2021
Amazon была аштрафавана за апрацоўку персанальных даных для таргетаванай рэкламы без належнай згоды карыстальнікаў. Люксембургскі орган па ахове даных (CNPD) устанавіў, што сістэма таргетынгу рэкламы Amazon не адпавядала патрабаванням GDPR пра згоду.
Google — Францыя (CNIL), 2022
CNIL аштрафавала Google, паколькі механізм згоды на cookie на google.fr і youtube.com дазваляў лёгка прыняць усе cookie адным клікам, але патрабаваў некалькіх клікаў для адмовы. Гэты асіметрычны дызайн — калі адмова складаней, чым прыняцце — быў прызнаны парушэннем прынцыпу «свабодна дадзенай» згоды.
TikTok — Ірландыя, 2023
TikTok быў аштрафаваны за апрацоўку персанальных даных дзяцей без належнай згоды і мер празрыстасці. DPC устанавіла, што дзіцячыя ўліковыя запісы па змаўчанні былі публічнымі і што налады прыватнасці платформы былі недастаткова даступнымі.
Criteo — Францыя (CNIL), 2023
Рэкламна-тэхналагічная кампанія была аштрафавана за збор даных пра прагляды мільёнаў карыстальнікаў праз адсочвальныя cookie без доказу атрымання сапраўднай згоды. CNIL устанавіла, што Criteo не магла прадэманстраваць сапраўдны ланцужок згоды з сайтаў, на якіх размяшчаліся cookie.
Гэта тычыцца не толькі тэхнагігантаў: штрафы для малога бізнесу
Не думайце, што штрафы толькі для тэхналагічных гігантаў. Органы па ахове даных па ўсёй Еўропе рэгулярна штрафуюць малы і сярэдні бізнес за парушэнні, звязаныя са згодай:
- Іспанскае AEPD: рэгулярна выпісвае штрафы ад €2 000 да €60 000 малым прадпрыемствам за ўстаноўку cookie без згоды або адсутнасць палітык адносна cookie.
- Італьянскі Garante: аштрафаваў невялікую інтэрнэт-краму на €20 000 за выкарыстанне Google Analytics без сапраўдных механізмаў перадачы згоды.
- Французскі CNIL: аштрафаваў медыцынскі сайт на €150 000 за збор адчувальных даных праз формы без яўнай згоды.
- Аўстрыйскі DSB: пастанавіў, што выкарыстанне Google Analytics без згоды з'яўляецца незаконным, стварыўшы прэцэдэнт, які закрануў тысячы кампаній.
- Бельгійскае DPA: аштрафавала IAB Europe на €250 000 за праблемы са радком згоды TCF, прадэманстраваўшы, што нават сама структура згоды падлягае кантролю.
Акрамя штрафаў: схаваныя выдаткі
Фінансавыя санкцыі — толькі вяршыня айсберга. Рэальная шкода часта ўключае:
- Рэпутацыйная шкода: штрафы па GDPR з'яўляюцца публічнай інфармацыяй. Ваш брэнд пачынаюць асацыіраваць з парушэннямі прыватнасці ў навінах і выніках пошуку.
- Страта рэкламнага даходу: без сертыфікаванай CMP Google можа абмежаваць паказ рэкламы ў ЕЭЗ. Выдаўцы паведамлялі пра падзенне даходу на 30–70% пры неадпаведнай наладзе згоды.
- Юрыдычныя выдаткі: абарона ад скаргаў, адказы на расследаванні органаў па ахове даных і перабудова практык працы з данымі могуць каштаваць сотні тысяч на юрыдычныя паслугі.
- Аперацыйныя збоі: органы па ахове даных могуць прадпісаць цалкам спыніць апрацоўку даных да дасягнення адпаведнасці — фактычна закрыўшы ваш анлайн-бізнес.
- Рызыка калектыўных іскаў: GDPR дазваляе калектыўныя судовыя дзеянні. Спажывецкія арганізацыі ў Аўстрыі, Францыі і Германіі падавалі калектыўныя іскі супраць кампаній за парушэнні, звязаныя са згодай.
Самыя распаўсюджаныя памылкі ў згодзе, якія вядуць да штрафаў
- Загадзя адзначаныя сцяжкі згоды: GDPR прама гэта забараняе. Згода павінна быць сцвярджальным дзеяннем.
- Cookie-сцены: блакіроўка доступу да кантэнту, пакуль карыстальнікі не прымуць усе cookie, не з'яўляецца «свабодна дадзенай» згодай.
- Асіметрычныя кнопкі: вылучэнне кнопкі «Прыняць» пры схаванні або змяншэнні «Адхіліць» парушае прынцып свабодна дадзенай згоды.
- Аб'яднаная згода: аб'яднанне згоды для некалькіх мэт у адно дзеянне «Прыняць» пазбаўляе карыстальнікаў права на канкрэтны выбар.
- Адсутнасць механізму адклікання: калі карыстальнікі не могуць лёгка змяніць або адклікаць згоду, увесь ваш збор згоды несапраўдны.
- Адсутнасць запісаў пра згоду: без журналаў з адзнакамі часу, якія паказваюць, хто, калі і на што даў згоду, вы не зможаце даказаць адпаведнасць пры аўдыце.
- Адсочванне да згоды: загрузка аналітыкі, рэкламных пікселяў або маркетынгавых скрыптоў да таго, як карыстальнік зробіць выбар, — самае распаўсюджанае і лёгка выяўнае парушэнне.
Як рэгулятары выяўляюць неадпаведнасць
Органы па ахове даных не проста чакаюць скаргаў. Яны актыўна скануюць сайты з дапамогай аўтаматызаваных інструментаў, якія выяўляюць:
- cookie, якія ўстанаўліваюцца да якога-небудзь узаемадзеяння са згодай;
- адсутныя або няпоўныя банеры згоды;
- несапраўдныя або пратэрмінаваныя радкі згоды;
- скрыпты адсочвання, якія спрацоўваюць да запісу згоды;
- асіметрычны дызайн банераў, які спрыяе прыняццю.
Напрыклад, французскі CNIL прасканаваў тысячы сайтаў і выпісаў дзясяткі штрафаў выключна на падставе аўтаматычнага выяўлення — без якіх-небудзь скаргаў карыстальнікаў.
Як выглядае правільная згода ў 2026 годзе
Каб пазбегнуць штрафаў і абараніць свой бізнес, ваша рэалізацыя згоды павінна:
- блакіраваць усе неістотныя cookie і скрыпты да атрымання яўнай згоды;
- забяспечваць роўную візуальную вагу варыянтам «Прыняць» і «Адхіліць»;
- прадастаўляць дэталёвы выбар па катэгорыях cookie (аналітыка, маркетынг, функцыянальныя);
- захоўваць запісы пра згоду з адзнакамі часу і ідэнтыфікатарамі карыстальнікаў;
- падтрымліваць IAB TCF 2.3 для праграматычнай рэкламы;
- інтэграваць Google Consent Mode V2 для адпаведнага паказу рэкламы;
- дазваляць лёгкае адкліканне згоды ў любы час;
- адлюстроўвацца на мове карыстальніка.
Як FlexyConsent абараняе вас
FlexyConsent створаны спецыяльна для прадухілення апісаных вышэй парушэнняў:
- Аўтаматычная блакіроўка скрыптоў: ніякае адсочванне не спрацоўвае да атрымання згоды.
- Адпаведны дызайн банера: роўныя кнопкі «Прыняць»/«Адхіліць», без цёмных патэрнаў.
- Гатовыя да аўдыту журналы: кожнае рашэнне пра згоду запісваецца з адзнакамі часу.
- Сертыфікаваная Google CMP: адпавядае патрабаванням Google для паказу рэкламы ў ЕЭЗ.
- IAB TCF 2.3: сапраўдныя радкі згоды для праграматычнай рэкламы.
- Consent Mode V2: натыўная інтэграцыя з Google для бесперапыннасці вымярэнняў.
- 43 мовы: аўтаматычная лакалізацыя для глабальных наведвальнікаў.
- Геатаргетынг: банеры, якія адпавядаюць рэгіёну, для GDPR, CCPA, LGPD і іншых.