Мэтавая група EDPB па банерах cookie: урокі адпаведнасці 2026 года для выдаўцоў і маркетолагаў
Гадамі выдаўцы, якія працуюць па ўсім Еўрапейскім саюзе, маглі спадзявацца на адну суцяшальную фікцыю: кожны орган па ахове даных тлумачыў GDPR і Дырэктыву аб электроннай прыватнасці крыху па-рознаму, таму банер cookie, які прайшоў праверку ў адной краіне, верагодна, праходзіў яе ўсюды. Гэтая фікцыя цяпер знікла. Мэтавая група Еўрапейскага савета па ахове даных (EDPB) па банерах cookie, запушчаная ў 2022 годзе для каардынацыі адказу на хвалю трансгранічных скаргаў, ператварылася ў самае блізкае да адзінага зводу правілаў па згодзе на cookie, што ёсць у ЕС. Яе справаздачы апісваюць — канкрэтна, банер за банерам — патэрны дызайну, якія рэгулятары калектыўна прызналі неадпаведнымі. Любому, хто выкарыстоўвае банер згоды на еўрапейскім трафіку, варта ставіцца да пазіцый мэтавай групы як да фактычнага базісу, таму што нацыянальныя органы пачалі спасылацца на іх напрамую ў рашэннях аб праваўжыванні.
Што на самай справе ўяўляе сабой Мэтавая група EDPB па банерах cookie
Мэтавая група — гэта каардынуючы орган, а не самастойны рэгулятар. Яна была створана ў адпаведнасці з артыкулам 70 GDPR, які ўпаўнаважвае EDPB садзейнічаць супрацоўніцтву паміж нацыянальнымі органамі па ахове даных па пытаннях агульнага інтарэсу. Трыгерам стала кампанія скаргаў, пададзеных noyb — праваабарончай групай Макса Шрэмса па прыватнасці — супраць сотняў вэб-сайтаў па ўсім ЕС. Паколькі гэтыя скаргі закраналі органы амаль у кожнай дзяржаве-члене, EDPB вырашыў стварыць адзіны форум, дзе органы маглі б параўноўваць нататкі і прыйсці да агульнай аналітычнай схемы. Вынікі працы мэтавай групы прымаюць форму справаздач, якія дакументуюць, якія дызайнерскія рашэнні лічацца парушэннямі патрабаванняў да згоды, арганізаваных па катэгорыях.
Гэтая структура важная на практыцы. Справаздачы не з'яўляюцца абавязковымі так, як абавязковыя рэгламент або нацыянальны штраф, але яны апісваюць кансэнсусную пазіцыю кожнага еўрапейскага органа. Калі нацыянальны орган адкрывае расследаванне, ён можа — і ўсё часцей робіць гэта — указаць на высновы мэтавай групы як на доказ таго, што спрэчны патэрн банера ўжо быў прызнаны неадпаведным больш шырокай рэгулятарнай супольнасцю. Для выдаўцоў практычны эфект заключаецца ў тым, што любы банер, які прайшоў праверку па крытэрыях мэтавай групы, абараняльны па ўсім ЕС. Любы банер, які не прайшоў гэтых крытэрыяў, уразлівы ўсюды адначасова.
Шэсць катэгорый, на якіх засяроджана мэтавая група
Мэтавая група групуе свае высновы ў шэсць перасякальных праблемных абласцей. Кожная з іх адпавядае патэрну дызайну, які неаднаразова ўзнікаў у скаргах noyb і які органы калектыўна адзначылі як парушэнне.
1. Няма кнопкі адмовы на першым слоі
Самая цытаваная выснова ў справаздачах. Калі наведвальнік бачыць кнопку «Прыняць усё» на зыходным банеры, але не бачыць эквівалентнай кнопкі «Адхіліць усё», выбар не з'яўляецца свабодна дадзеным. Опцыі прыняцця і адхілення павінны быць прадстаўлены з роўнай прыкметнасцю на адным слоі. Закопванне шляху адмовы за спасылкай «Кіраваць перавагамі» — самы распаўсюджаны патэрн у дзеяннях па праваўжыванні сёння.
2. Папярэдне адзначаныя сцяжкі
Папярэдні выбар згоды для любой неасноўнай катэгорыі — нават адной — анулюе ўвесь запіс згоды ў адпаведнасці з Дэкларатыўным пунктам 32 GDPR. Мэтавая група разглядае гэта як парушэнне само па сабе. Сучасныя CMP пастаўляюцца з гэтым адключаным па змаўчанні, але састарэлыя рэалізацыі і самаробныя банеры часта ўсё яшчэ папярэдне адзначаюць катэгорыі аналітыкі або маркетынгу.
3. Падманлівы дызайн спасылак
Называць шлях адмовы «Дадатковая інфармацыя» або афармляць яго як тэкставую спасылку з нізкім кантрастам, пакуль кнопка прыняцця — высокакантрасны каляровы блок, стварае дысбаланс, які мэтавая група лічыць падманлівым патэрнам дызайну. Сродак просты: супадаючая тоўшчыня шрыфта, кантраст колеру і афармленне кнопак паміж прыняццем і адхіленнем.
4. Няправільная класіфікацыя cookie як «асноўных»
Некаторыя аператары спрабавалі цалкам пазбегнуць патрабавання згоды, перайменоўваючы аналітычныя, рэкламныя або сацыяльныя cookie ў строга неабходныя. Мэтавая група была адназначнай: cookie з'яўляецца асноўным, толькі калі вэб-сайт не можа функцыянаваць без яго з пункту гледжання карыстальніка. Аналітыка, A/B-тэставанне, рэклама і cookie персаналізацыі не кваліфікуюцца. Няправільная маркіроўка сама па сабе з'яўляецца парушэннем, незалежным ад ляжачага ў аснове адсочвання.
5. Няма механізму адклікання
Згоду павінна быць гэтак жа лёгка адклікаць, як і даць. Банер, які прымае згоду адным клікам, але прымушае карыстальнікаў праходзіць шматэтапнае меню налад для яе адклікання, не праходзіць гэты тэст. Мэтавая група спецыяльна патрабуе пастаяннага элемента кіравання — звычайна плавальнага значка або спасылкі ў ніжнім калонтытуле — які вяртае наведвальніка на зыходную паверхню згоды.
6. Дызайн банера, які хавае выбар
Гэта самая шырокая і самая суб'ектыўная катэгорыя. Яна ўключае аверлеі, якія блакіруюць змесціва старонкі да прадастаўлення згоды, банеры, чыя кнопка адмовы знаходзіцца ніжэй згіну, каляровыя схемы, якія робяць шлях адмовы амаль нябачным, і анімацыі, якія адцягваюць увагу ад выбару. Агульная нітка ў тым, што дызайн падштурхоўвае карыстальніка да прыняцця, а не прадстаўляе нейтральны выбар.
Што гэта азначае для праваўжывання
Мэтавая група не накладае штрафы. Гэта робяць нацыянальныя органы. Але паколькі кожны еўрапейскі орган падпісаўся пад аналізам мэтавай групы, рызыка праваўжывання па гэтых канкрэтных патэрнах цяпер аднастайная па ўсім ЕС. CNIL у Францыі выпусціла найбуйнейшую серыю штрафаў, звязаных з cookie, на сённяшні дзень, але італьянскі Garante, іспанскі AEPD, нямецкія органы ўзроўню зямель і ірландскі DPC — усе адкрылі расследаванні, спасылаючыся на разважанні, узгодненыя з мэтавай групай. Нават брытанскі ICO, які знаходзіцца па-за еўрапейскім рэгулятарным перыметрам, апублікаваў кіраўніцтва, якое цесна адлюстроўвае катэгорыі мэтавай групы.
Што гэтая канвергенцыя азначае на практыцы, дык гэта тое, што выдаўцы больш не могуць разглядаць адпаведнасць як практыкаванне па краінах. Аўдыт банера варта ацэньваць па катэгорыях мэтавай групы як адзіным кантрольным спісе. Калі банер не праходзіць па любой з шасці, рызыка — гэта не адзін орган, а ўся еўрапейская нагляднай сетка.
Практычны кантрольны спіс аўдыту
Самы хуткі спосаб прывесці існуючы банер у адпаведнасць — прагнаць яго па катэгорыях вышэй і адказаць на кожны пункт дакументаваным так або не. Пытанні наўмысна канкрэтныя.
- Баланс першага слоя. Прапануе ці зыходны банер відавочную кнопку «Адхіліць усё» або «Працягнуць без прыняцця» на той жа паверхні, што і «Прыняць усё», з параўнальным афармленнем?
- Стан па змаўчанні. Ці ўсе пераключальнікі неасноўных катэгорый усталяваны ў выключаны стан па змаўчанні ў прадстаўленні пераваг?
- Яснасць спасылкі. Ці пазначаны шлях адмовы дзеясловам, які апісвае дзеянне (напрыклад, «Адхіліць усё», «Адмовіцца ад неасноўных»), а не двухсэнсоўнай фразай накшталт «Дадатковыя опцыі» або «Налады»?
- Класіфікацыя cookie. Ці праверылі вы, што кожны cookie, пазначаны як «строга неабходны», сапраўды патрабуецца для функцыянавання сайта, а не для аналітыкі, рэкламы або зручнасці?
- Доступ да адклікання. Ці ёсць пастаянны элемент UI на кожнай старонцы, які зноў адкрывае банер згоды, з лікам клікаў не большым, чым патрабавалася зыходнае прыняцце?
- Няма цёмных патэрнаў. Ці пазбягае банер каляровых, памерных або анімацыйных рашэнняў, якія ствараюць значны візуальны дысбаланс паміж прыняццем і адхіленнем?
Банер, які дае шэсць выразных «так» па гэтым кантрольным спісе, абараняльны супраць бягучага праваўжывання, узгодненага з мэтавай групай. Банер, які дае хаця б адно «не», варта разглядаць як праект выпраўлення, а не задачу абслугоўвання.
Куды рухаецца мэтавая група далей
Апублікаваныя справаздачы ахопліваюць патэрны, якія выклікалі зыходную хвалю скаргаў. Бягучая праца мэтавай групы — бачная праз перыядычныя абнаўленні, якія выпускае EDPB — цяпер прасоўваецца ў больш складаную, менш усталяваную тэрыторыю. Тры вобласці, верагодна, вызначаць наступны раўнд кіраўніцтва.
Мадэлі «плаці або згаджайся»
Рашэнне некалькіх буйных еўрапейскіх выдаўцоў прапанаваць наведвальнікам бінарны выбар паміж аплатай падпіскі і згодай на адсочванне прыцягнула відавочную ўвагу. EDPB выдаў заключэнне ў 2024 годзе, ставячы пад пытанне, ці можа такі выбар лічыцца свабодна дадзеным, калі альтэрнатыва — платны доступ. Чакаецца, што мэтавая група апублікуе скаардынаваныя крытэрыі таго, калі «плаці або згаджайся» дапушчальна, а калі пераходзіць у прымус.
Стомленасць ад згоды і гранулярнасць
Высокагранулярныя паверхні згоды па вендарах, падобныя на тыя, што генеруе IAB TCF, крытыкаваліся як параджальныя стомленасць ад згоды і ў канчатковым выніку не «інфармаваныя» ў сэнсе GDPR. Будучае кіраўніцтва мэтавай групы, верагодна, будзе падштурхоўваць да элементаў кіравання на ўзроўні катэгорый, а не на ўзроўні вендараў на першым слоі, з раскрыццём на ўзроўні вендараў, даступным, але не патрабаваным для зыходнай сапраўднай згоды.
Мабільныя і Connected-TV паверхні
Большая частка ранняй працы мэтавай групы факусавалася на вэб-банерах. Мабільныя ўнутрыпрыкладныя патокі згоды і інтэрфейсы Connected-TV маюць іншыя дызайнерскія абмежаванні і пакуль не былі прадметам падрабязных высноў. Выдаўцам, якія працуюць на гэтых паверхнях, варта чакаць скаардынаванага кіраўніцтва на працягу наступных 12-18 месяцаў і не меркаваць, што адпаведны вэб-банер аўтаматычна пераносіцца.
Звядзенне ўваедна
Мэтавая група зрабіла тое, чаго сам GDPR не мог: яна вырабіла адзінае, аперацыйнае тлумачэнне таго, як выглядае згода на практыцы па ўсім Еўрапейскім саюзе. Для выдаўцоў урок у тым, што эра шопінгу па юрысдыкцыях або апоры на слабое нацыянальнае праваўжыванне скончана. Правільны адказ — ставіцца да катэгорый мэтавай групы як да абавязковага ўнутранага стандарту, правяраць існуючыя банеры па іх і наладжваць інфраструктуру кіравання згодай так, каб катэгорыі прымяняліся на ўзроўні платформы, а не пакідаліся на пастаронкавую рэалізацыю. Сучасная CMP, якая чыста адлюстроўваецца на шэсць катэгорый — збалансаваныя кнопкі першага слоя, пераключальнікі, па змаўчанні выключаныя, простыя моўныя меткі адмовы, дакладная класіфікацыя cookie, пастаянны доступ да адклікання і нейтральны дызайн — ператварае ўразлівую пазіцыю адпаведнасці ў абараняльную адначасова на кожным еўрапейскім рынку.