EDPB Pracovní skupina pro cookie bannery: lekce compliance pro rok 2026 pro vydavatele a marketéry
Po léta se vydavatelé působící po celé Evropské unii mohli spoléhat na jednu utěšující fikci: každý orgán pro ochranu dat vykládal GDPR a směrnici ePrivacy trochu jinak, takže cookie banner, který prošel kontrolou v jedné zemi, pravděpodobně prošel všude. Tato fikce je teď pryč. Pracovní skupina pro cookie bannery Evropského sboru pro ochranu osobních údajů, spuštěná v roce 2022 za účelem koordinace reakce na vlnu přeshraničních stížností, se vypracovala v nejbližší věc, kterou EU má k unifikovanému kodexu pro souhlas s cookies. Její zprávy popisují v konkrétních, banner po banneru detailech vzory designu, které regulátoři kolektivně rozhodli, že nejsou v souladu. Kdokoli provozuje banner souhlasu na evropském provozu, by měl přístupy pracovní skupiny považovat za faktický základ, protože národní orgány je začínají přímo citovat ve svých rozhodnutích o vymáhání.
Co je EDPB Pracovní skupina pro cookie bannery ve skutečnosti
Pracovní skupina je koordinační orgán, nikoli samotný regulátor. Byla zřízena podle Article 70 GDPR, který opravňuje EDPB usnadňovat spolupráci mezi národními orgány ochrany osobních údajů v otázkách společného zájmu. Spouštěčem byla kampaň stížností podaných noyb — skupinou na ochranu soukromí Maxe Schremse — proti stovkám webových stránek po celé EU. Protože tyto stížnosti se dotkly orgánů téměř v každém členském státě, EDPB se rozhodl vytvořit jediné fórum, kde si DPA mohly vyměňovat poznámky a dospět ke sdílenému analytickému rámci. Výstupy pracovní skupiny mají podobu zpráv, které dokumentují, jaké návrhové volby jsou považovány za porušení požadavků na souhlas, uspořádané podle kategorií.
Tato struktura má praktický význam. Zprávy nejsou závazné tak, jak je závazné nařízení nebo národní pokuta, ale popisují konsenzuální stanovisko každého evropského DPA. Když národní orgán zahájí vyšetřování, může a stále častěji to dělá poukázat na zjištění pracovní skupiny jako důkaz, že sporný vzor banneru byl již posouzen jako nevyhovující širší regulatorní komunitou. Pro vydavatele je praktickým důsledkem to, že každý banner vyhovující kritériím pracovní skupiny je obhajitelný v celé EU. Každý banner, který tato kritéria nesplňuje, je ohrožen všude najednou.
Šest kategorií, na které se pracovní skupina zaměřuje
Pracovní skupina sdružuje svá zjištění do šesti překrývajících se problémových oblastí. Každá odpovídá vzoru designu, který se opakovaně objevoval ve stížnostech noyb a který DPA kolektivně označily jako porušení.
1. Žádné tlačítko odmítnutí na první vrstvě
Nejcitovanější zjištění ve zprávách. Pokud návštěvník vidí na úvodním banneru tlačítko Přijmout vše, ale neexistuje ekvivalentní tlačítko Odmítnout vše, volba není dána svobodně. Možnosti přijmout a odmítnout musí být prezentovány se stejnou prominencí ve stejné vrstvě. Schování cesty k odmítnutí za odkaz Spravovat předvolby je dnes v rámci vymáhacích opatření nejčastějším vzorem.
2. Předem zaškrtnutá políčka
Předvolba souhlasu pro jakoukoli nepodstatnou kategorii — i jednu — zneplatňuje celý záznam souhlasu podle Recital 32 GDPR. Pracovní skupina to považuje za porušení per se. Moderní CMP jsou dodávány s vypnutou možností jako výchozí, ale starší implementace a domácí bannery stále předem zaškrtávají kategorie analytiky nebo marketingu.
3. Klamavý design odkazů
Pojmenovat cestu k odmítnutí Více informací nebo ji stylizovat jako textový odkaz s nízkým kontrastem, zatímco tlačítko přijmout je barevný blok s vysokým kontrastem, vytváří nerovnováhu, kterou pracovní skupina považuje za klamavý návrhový vzor. Náprava je přímočará: odpovídající tloušťka písma, barevný kontrast a styl tlačítek mezi přijmout a odmítnout.
4. Nesprávná klasifikace cookies jako nezbytných
Někteří provozovatelé se pokusili zcela uniknout požadavku na souhlas tím, že přeznačili analytické, reklamní nebo sociálně-mediální cookies jako přísně nezbytné. Pracovní skupina je explicitní: cookie je nezbytná pouze v případě, že bez ní nemůže webová stránka fungovat z pohledu uživatele. Analytické cookies, A/B testování, reklama a personalizační cookies nekvalifikují. Jejich chybné označení je samo o sobě porušením nezávislým na základním sledování.
5. Žádný mechanismus odvolání
Odvolání souhlasu musí být stejně snadné jako jeho udělení. Banner, který přijme souhlas jedním kliknutím, ale nutí uživatele projít vícekrokovým menu nastavení, aby ho odvolali, tento test nesplňuje. Pracovní skupina konkrétně požaduje trvalý ovládací prvek — obvykle plovoucí ikonu nebo odkaz v zápatí — který vrátí návštěvníka na původní povrch souhlasu.
6. Design banneru, který zakrývá volbu
Toto je nejširší a nejsubjektivnější kategorie. Zahrnuje překryvy blokující obsah stránky, dokud není souhlas udělen, bannery, jejichž tlačítko odmítnutí je pod zlomem, barevná schémata, která cestu odmítnutí téměř zneviditelní, a animace odvádějící pozornost od volby. Společným prvkem je, že design tlačí uživatele k přijetí namísto prezentace neutrální volby.
Co to znamená pro vymáhání
Pracovní skupina pokuty neukládá. Národní DPA ano. Ale protože každý evropský orgán podepsal analýzu pracovní skupiny, riziko vymáhání u těchto konkrétních vzorů je nyní v celé EU jednotné. CNIL ve Francii dosud vydal největší sérii pokut souvisejících s cookies, ale italský Garante, španělský AEPD, německé orgány na státní úrovni a irský DPC všichni otevřeli vyšetřování citující úvahy sladěné s pracovní skupinou. Dokonce i britský ICO, který leží mimo regulatorní perimetr EU, zveřejnil pokyny, které těsně odrážejí kategorie pracovní skupiny.
Tato konvergence v praxi znamená, že vydavatelé již nemohou přistupovat k souladu jako k cvičení po zemích. Audit banneru by měl být měřen oproti kategoriím pracovní skupiny jako jednotnému kontrolnímu seznamu. Pokud banner selže v kterémkoli ze šesti, rizikem není jedno DPA, ale celá evropská dozorová síť.
Praktický kontrolní seznam pro audit
Nejrychlejší způsob, jak uvést stávající banner do souladu, je projít ho oproti výše uvedeným kategoriím a odpovědět na každou položku zdokumentovaným ano nebo ne. Otázky jsou záměrně konkrétní.
- Rovnováha první vrstvy. Nabízí úvodní banner explicitní tlačítko Odmítnout vše nebo Pokračovat bez přijetí na stejném povrchu jako Přijmout vše, se srovnatelným stylem?
- Výchozí stav. Jsou všechny přepínače nepodstatných kategorií ve výchozím nastavení vypnuté v zobrazení předvoleb?
- Jasnost odkazů. Je cesta odmítnutí označena slovesem popisujícím akci, nikoli nejednoznačným výrazem jako Více možností nebo Nastavení?
- Klasifikace cookies. Ověřili jste, že každý cookie uvedený jako přísně nezbytný je skutečně vyžadován pro fungování webu, nikoli pro analytiku, reklamu nebo funkce pohodlí?
- Přístup k odvolání. Je na každé stránce trvalý prvek uživatelského rozhraní, který znovu otevírá banner souhlasu, s nejvýše tolika kliknutími, kolik vyžadovalo původní přijetí?
- Žádné temné vzory. Vyhýbá se banner barevným, velikostním nebo animačním volbám, které vytvářejí významnou vizuální nerovnováhu mezi přijetím a odmítnutím?
Banner, který vrátí šest jasných ano na tento kontrolní seznam, je obhajitelný vůči současnému vymáhání sladěnému s pracovní skupinou. Banner, který vrátí i jediné ne, by měl být považován za projekt nápravy, nikoli za úlohu údržby.
Kam pracovní skupina míří dál
Zveřejněné zprávy pokrývají vzory, které spustily původní vlnu stížností. Probíhající práce pracovní skupiny — viditelná prostřednictvím pravidelných aktualizací zveřejňovaných EDPB — nyní proniká do obtížnějšího, méně ustáleného území. Tři oblasti pravděpodobně definují příští kolo pokynů.
Modely platit nebo souhlasit
Rozhodnutí několika velkých evropských vydavatelů nabídnout návštěvníkům binární volbu mezi placením předplatného a souhlasem se sledováním přilákalo explicitní pozornost. EDPB vydal v roce 2024 stanovisko zpochybňující, zda takovou volbu lze považovat za svobodně danou, když alternativou je placená zeď. Pracovní skupina pravděpodobně zveřejní koordinovaná kritéria pro to, kdy je model platit nebo souhlasit přípustný a kdy přechází do nátlaku.
Únava ze souhlasu a granularita
Vysoce granulární povrchy pro souhlas na úrovni jednotlivých dodavatelů, jako jsou ty generované IAB TCF, jsou kritizovány za způsobování únavy ze souhlasu a v konečném důsledku za nesplnění podmínky informovanosti ve smyslu GDPR. Budoucí pokyny pracovní skupiny pravděpodobně budou vyžadovat ovládací prvky na úrovni kategorií spíše než na úrovni dodavatelů v první vrstvě, přičemž zveřejnění na úrovni dodavatelů bude dostupné, ale nevyžadované pro počáteční platný souhlas.
Mobilní povrchy a povrchy připojených televizorů
Většina rané práce pracovní skupiny se zaměřovala na webové bannery. Souhlasové toky v mobilních aplikacích a rozhraní připojených televizorů mají odlišná designová omezení a dosud nebyla předmětem podrobných zjištění. Vydavatelé působící na těchto površích by měli očekávat koordinované pokyny do 12 až 18 měsíců a neměli by předpokládat, že vyhovující vzor webového banneru se automaticky přenáší.
Shrnutí
Pracovní skupina udělala něco, co GDPR samo o sobě nemohlo: vytvořila jediný, operativní výklad toho, jak souhlas vypadá v praxi v celé Evropské unii. Pro vydavatele je poučení, že éra nákupní turistiky po jurisdikcích nebo spoléhání na slabé národní vymáhání skončila. Správnou reakcí je považovat kategorie pracovní skupiny za závazný interní standard, auditovat stávající bannery oproti nim a nakonfigurovat infrastrukturu pro správu souhlasů tak, aby byly kategorie prosazovány na úrovni platformy, a nikoli ponechány na implementaci na úrovni stránek. Moderní CMP, který se čistě mapuje na šest kategorií — vyvážená tlačítka první vrstvy, přepínače vypnuté jako výchozí, srozumitelné popisky odmítnutí, přesná klasifikace cookies, trvalý přístup k odvolání a neutrální design — promění vystavenou pozici souladu v obhajitelnou na každém evropském trhu najednou.