Какво всъщност е Работната група на EDPB за банери с бисквитки

Работната група е координационен орган, а не регулатор сам по себе си. Тя бе създадена по Article 70 от GDPR, който дава правомощия на EDPB да улеснява сътрудничеството между националните органи за защита на данните по въпроси от общ интерес. Поводът беше кампания от жалби, подадени от noyb — групата за защита на поверителността на Макс Шремс — срещу стотици уебсайтове в EU. Тъй като тези жалби засегнаха органи в почти всяка държава-членка, EDPB реши да създаде единен форум, където DPA-тата да могат да сравняват бележки и да стигат до обща аналитична рамка. Резултатът от работата на групата е под формата на доклади, документиращи кои дизайнерски решения се считат за нарушения на изискванията за съгласие, организирани по категории.

Тази структура има значение на практика. Докладите не са обвързващи по начина, по който е обвързващ регламент или национална глоба, но описват консенсусната позиция на всеки европейски DPA. Когато национален орган открие разследване, той може и все по-често го прави да посочи констатациите на работната група като доказателство, че спорен модел на банер вече е преценен като несъответстващ от по-широката регулаторна общност. За издателите практическият ефект е, че всеки банер, одобрен спрямо критериите на работната група, може да се защити в целия EU. Всеки банер, който не отговаря на тези критерии, е изложен навсякъде едновременно.

Шестте категории, върху които се фокусира работната група

Работната група групира констатациите си в шест припокриващи се проблемни области. Всяка от тях съответства на дизайнерски модел, появил се многократно в жалбите на noyb и колективно маркиран от DPA-тата като нарушение.

1. Няма бутон за отказ на първия слой

Най-цитираната констатация в докладите. Ако посетителят вижда бутон Приемам всички на началния банер, но няма еквивалентен бутон Отказвам всички, изборът не е даден свободно. Опциите за приемане и отказ трябва да бъдат представени с еднаква видимост на същия слой. Скриването на пътя за отказ зад връзка Управление на предпочитанията е единственият най-разпространен модел в действията по прилагане днес.

2. Предварително отметнати квадратчета

Предварителното избиране на съгласие за която и да е несъществена категория — дори за една — прави целия запис за съгласие невалиден съгласно Recital 32 от GDPR. Работната група третира това като нарушение само по себе си. Съвременните CMP-та се доставят с изключено по подразбиране, но наследствените имплементации и домашно направените банери все още предварително отмятат категориите за анализи или маркетинг.

3. Измамен дизайн на връзките

Наричането на пътя за отказ Повече информация или стилизирането му като текстова връзка с нисък контраст, докато бутонът за приемане е цветен блок с висок контраст, създава дисбаланс, който работната група счита за измамен дизайнерски модел. Решението е просто: съответстващо тегло на шрифта, цветен контраст и стил на бутоните между приемане и отказ.

4. Неправилно класифициране на бисквитките като необходими

Някои оператори са се опитали да избегнат изцяло изискването за съгласие, като преетикетират бисквитките за анализи, реклами или социални медии като строго необходими. Работната група е изрична: бисквитката е необходима само ако уебсайтът не може да функционира без нея от гледна точка на потребителя. Бисквитките за анализи, A/B тестване, реклама и персонализация не отговарят на изискването. Неправилното им етикетиране само по себе си е нарушение, независимо от основното проследяване.

5. Няма механизъм за оттегляне

Оттеглянето на съгласието трябва да е толкова лесно, колкото даването му. Банер, който приема съгласие с едно кликване, но принуждава потребителите да преминат през многостепенно меню с настройки, за да го отменят, не преминава този тест. Работната група специално изисква постоянен контрол — обикновено плаваща икона или връзка в долния колонтитул — която връща посетителя към оригиналната повърхност за съгласие.

6. Дизайн на банера, скриващ избора

Това е най-широката и най-субективна категория. Тя включва наслагвания, блокиращи съдържанието на страницата до даване на съгласие, банери, чийто бутон за отказ се намира под видимата зона, цветови схеми, правещи пътя за отказ почти невидим, и анимации, отвличащи вниманието от избора. Общата нишка е, че дизайнът подтиква потребителя към приемане, вместо да представя неутрален избор.

Какво означава това за прилагането

Работната група не налага глоби. Националните DPA-та го правят. Но тъй като всеки европейски орган се е присъединил към анализа на работната група, рискът от прилагане при тези конкретни модели вече е еднакъв в целия EU. CNIL във Франция е издала най-голямата поредица от глоби, свързани с бисквитки до момента, но италианският Garante, испанският AEPD, германските органи на ниво федерални провинции и ирландският DPC са открили разследвания, цитиращи разсъждения, съответстващи на работната група. Дори британският ICO, който е извън регулаторния периметър на EU, е публикувал насоки, отразяващи отблизо категориите на работната група.

Това сближаване на практика означава, че издателите вече не могат да третират спазването на изискванията като упражнение по страни. Одитът на банерите трябва да се измерва спрямо категориите на работната група като единен контролен списък. Ако банерът не успее при което и да е от шестте, рискът не е един DPA, а цялата европейска надзорна мрежа.

Практически контролен списък за одит

Най-бързият начин да приведете съществуващ банер в съответствие е да го проверите спрямо горните категории и да отговорите на всеки елемент с документирано да или не. Въпросите са умишлено конкретни.

• Баланс на първия слой. Предлага ли началният банер изричен бутон Отказвам всички или Продължи без приемане на същата повърхност като Приемам всички, с comparable стил?
• Състояние по подразбиране. Всички превключватели за несъществени категории изключени ли са по подразбиране в изгледа за предпочитания?
• Яснота на връзките. Пътят за отказ означен ли е с глагол, описващ действието, а не с неясна фраза като Повече опции или Настройки?
• Класификация на бисквитките. Проверили ли сте, че всяка бисквитка, посочена като строго необходима, е наистина необходима за функционирането на сайта, а не за анализи, реклами или функции за удобство?
• Достъп за оттегляне. Има ли постоянен UI елемент на всяка страница, отварящ отново банера за съгласие, с не повече кликвания, отколкото е изисквало оригиналното приемане?
• Без тъмни модели. Избягва ли банерът цветови, размерни или анимационни избори, създаващи значителен визуален дисбаланс между приемане и отказ?

Банер, дал шест ясни да на този контролен списък, може да се защити срещу текущото прилагане, съответстващо на работната група. Банер, дал дори едно не, трябва да се третира като проект за отстраняване, а не като задача за поддръжка.

Накъде се насочва работната група след това

Публикуваните доклади обхващат моделите, предизвикали оригиналната вълна от жалби. Текущата работа на работната група, видима чрез периодичните актуализации, публикувани от EDPB, сега навлиза в по-трудна, по-слабо уредена територия. Три области вероятно ще определят следващия кръг от насоки.

Модели плати или се съгласи

Решението на няколко големи европейски издатели да предложат на посетителите двоен избор между плащане на абонамент и съгласие с проследяване привлече изрично внимание. EDPB издаде становище през 2024 г., поставящо под въпрос дали такъв избор може да се счита за свободно даден, когато алтернативата е платена стена. Очаква се работната група да публикува координирани критерии за това кога моделът плати или се съгласи е допустим и кога преминава в принуда.

Умора от съгласие и детайлност

Изключително детайлните повърхности за съгласие за отделни доставчици, като тези, генерирани от IAB TCF, са критикувани за предизвикване на умора от съгласие и в крайна сметка за липса на информираност по смисъла на GDPR. Бъдещите насоки на работната група вероятно ще настояват за контроли на ниво категория, а не на ниво доставчик на първия слой, като разкриването на ниво доставчик е налично, но не е необходимо за първоначалното валидно съгласие.

Мобилни и свързани телевизионни повърхности

Повечето ранни работи на работната група бяха насочени към уеб банери. Потоците за съгласие в мобилни приложения и интерфейсите на свързаната телевизия имат различни ограничения в дизайна и все още не са обект на подробни констатации. Издателите, опериращи на тези повърхности, трябва да очакват координирани насоки в рамките на следващите 12 до 18 месеца и не трябва да приемат, че съответстващ модел на уеб банер се прехвърля автоматично.

Обединяване на всичко

Работната група постигна нещо, което GDPR сам по себе си не можеше: тя произведе единно, оперативно тълкуване на това как изглежда съгласието на практика в Европейския съюз. Урокът за издателите е, че ерата на пазаруване по юрисдикции или разчитане на неактивно национално прилагане е приключила. Правилният отговор е да се третират категориите на работната група като обвързващ вътрешен стандарт, да се одитират съществуващите банери спрямо тях и да се конфигурира инфраструктурата за управление на съгласието така, че категориите да се прилагат на ниво платформа, а не да се оставят на имплементация на ниво страница. Съвременен CMP, картографиращ се изчистено върху шестте категории — балансирани бутони на първия слой, превключватели изключени по подразбиране, ясни етикети за отказ на обикновен език, точна класификация на бисквитките, постоянен достъп за оттегляне и неутрален дизайн — превръща изложена позиция за съответствие в защитима в целия европейски пазар едновременно.