Mitä EDPB:n Cookie-bannerien työryhmä oikeastaan on

Työryhmä on koordinointielin, ei itsessään sääntelyviranomainen. Se perustettiin GDPR:n 70 artiklan nojalla, joka valtuuttaa EDPB:n helpottamaan yhteistyötä kansallisten tietosuojaviranomaisten välillä yhteistä etua koskevissa asioissa. Käynnistäjänä oli noyb:n, Max Schremsin yksityisyyden puolustusryhmän, kampanja, jossa tehtiin valituksia satoja EU:n verkkosivustoja vastaan. Koska nämä valitukset koskivat viranomaisia lähes kaikissa jäsenvaltioissa, EDPB päätti luoda yksittäisen foorumin, jossa tietosuojaviranomaiset voisivat vertailla näkemyksiään ja löytää yhteisen analyyttisen kehyksen. Työryhmän tuotos on raporttien muodossa, jotka dokumentoivat, mitkä suunnitteluvalinnat katsotaan suostumusvaatimusten rikkomuksiksi, järjestettynä kategorioittain.

Tämä rakenne on käytännössä tärkeä. Raportit eivät ole sitovia samalla tavalla kuin asetus tai kansallinen sakko on sitova, mutta ne kuvaavat jokaisen eurooppalaisen tietosuojaviranomaisen konsensuskannan. Kun kansallinen viranomainen avaa tutkinnan, se voi, ja yhä useammin tekeekin, viitata työryhmän havaintoihin todisteena siitä, että kiistelty banneri-malli on jo laajemman sääntelyyhteisön toimesta todettu vaatimusten vastaiseksi. Julkaisijoille käytännön vaikutus on, että mikä tahansa banneri, joka täyttää työryhmän kriteerit, on puolustettavissa koko EU:ssa. Mikä tahansa banneri, joka ei täytä näitä kriteerejä, on haavoittuvainen kaikkialla kerralla.

Kuusi kategoriaa, joihin työryhmä keskittyy

Työryhmä ryhmittelee havaintonsa kuuteen päällekkäiseen ongelma-alueeseen. Kukin vastaa suunnittelumallia, joka esiintyi toistuvasti noyb:n valituksissa ja jonka tietosuojaviranomaiset ovat yhdessä merkinneet rikkomukseksi.

1. Ensimmäisessä kerroksessa ei ole hylkäyspainiketta

Useimmin mainittu havainto raporteissa. Jos kävijä näkee alkuperäisessä bannerissa "Hyväksy kaikki" -painikkeen mutta ei vastaavaa "Hylkää kaikki" -painiketta, valinta ei ole vapaasti tehty. Hyväksymis- ja hylkäämisvaihtoehtojen on oltava yhtä näkyvillä samassa kerroksessa. Hylkäyspolun piilottaminen "Hallinnoi asetuksia" -linkin taakse on tänä päivänä yleisin malli täytäntöönpanotoimissa.

2. Esirastitetut valintaruudut

Suostumuksen esivalinta mille tahansa ei-välttämättömälle kategorialle, jopa yhdelle, mitätöi koko suostumustietueen GDPR:n johdanto-osan 32 kohdan nojalla. Työryhmä pitää tätä sinänsä rikkomuksena. Modernit CMP:t toimitetaan tämä oletuksena pois päältä, mutta vanhat toteutukset ja itse tehdyt bannerit esirastittavat usein edelleen analytiikka- tai markkinointikategorioita.

3. Harhaanjohtava linkkisuunnittelu

Hylkäyspolun kutsuminen "Lisätietoja" tai sen tyylittely vähäkontrastiseksi tekstilinkiksi samalla kun hyväksymispainike on korkean kontrastin värillinen lohko luo epätasapainon, jonka työryhmä katsoo olevan harhaanjohtava suunnittelumalli. Ratkaisu on suoraviivainen: yhtenevä fontin paino, värikontrasti ja painikkeen tyyli hyväksymisen ja hylkäämisen välillä.

4. Evästeiden virheellinen luokittelu "välttämättömiksi"

Jotkut operaattorit ovat yrittäneet kiertää suostumuksen vaatimuksen kokonaan nimeämällä analytiikka-, mainonta- tai sosiaalisen median evästeet uudelleen ehdottoman välttämättömiksi. Työryhmä on ollut selkeä: eväste on välttämätön vain, jos verkkosivusto ei voi toimia ilman sitä käyttäjän näkökulmasta. Analytiikka, A/B-testaus, mainonta ja personointi eivät täytä tätä vaatimusta. Niiden virheellinen merkitseminen on itsessään rikkomus, joka on riippumaton taustalla olevasta seurannasta.

5. Ei peruuttamismekanismia

Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antamisen. Banneri, joka hyväksyy suostumuksen yhdellä napsautuksella mutta pakottaa käyttäjät läpi monivaiheisen asetusvalikon sen peruuttamiseksi, ei läpäise tätä testiä. Työryhmä vaatii erityisesti pysyvää ohjainta, tyypillisesti kelluvan kuvakkeen tai alatunnisteen linkkiä, joka palauttaa kävijän alkuperäiselle suostumuspinnalle.

6. Bannerisuunnittelu, joka peittää valinnan

Tämä on laajin ja subjektiivisin kategoria. Se sisältää peitteet, jotka estävät sivun sisällön, kunnes suostumus on annettu, bannerit, joiden hylkäyspainike on taitteiden alapuolella, värimaailmat, jotka tekevät hylkäyspolusta lähes näkymättömän, ja animaatiot, jotka kääntävät huomion pois valinnasta. Yhteinen tekijä on se, että suunnittelu painostaa käyttäjää hyväksymiseen neutraalin valinnan esittämisen sijaan.

Mitä tämä tarkoittaa täytäntöönpanolle

Työryhmä ei määrää sakkoja. Kansalliset tietosuojaviranomaiset tekevät sen. Mutta koska jokainen eurooppalainen viranomainen on liittynyt työryhmän analyysiin, täytäntöönpanoriski näissä erityisissä malleissa on nyt yhtenäinen koko EU:ssa. CNIL Ranskassa on antanut suurimman evästesakkosarjan tähän mennessä, mutta Italian Garante, Espanjan AEPD, Saksan osavaltiotason viranomaiset ja Irlannin DPC ovat kaikki avanneet tutkimuksia viitaten työryhmän kanssa yhdenmukaiseen perusteluun. Jopa UK ICO, joka on EU:n sääntelypiirin ulkopuolella, on julkaissut ohjeistuksen, joka heijastaa tiiviisti työryhmän kategorioita.

Mitä tämä lähentyminen käytännössä tarkoittaa on se, että julkaisijat eivät enää voi käsitellä vaatimustenmukaisuutta maa maalalta harjoituksena. Banneriauditointi tulisi mitata työryhmän kategorioita vastaan yhtenäisenä tarkistuslistana. Jos banneri epäonnistuu jossakin kuudesta, riski ei ole yksi tietosuojaviranomainen vaan koko eurooppalainen valvontaverkosto.

Käytännön auditointitarkistuslista

Nopein tapa saada olemassa oleva banneri vaatimustenmukaiseksi on ajaa se yllä olevien kategorioiden läpi ja vastata kuhunkin kohtaan dokumentoidulla kyllä tai ei. Kysymykset ovat tarkoituksellisesti konkreettisia.

• Ensimmäisen kerroksen tasapaino. Tarjoaako alkuperäinen banneri selkeän "Hylkää kaikki"- tai "Jatka hyväksymättä" -painikkeen samalla pinnalla kuin "Hyväksy kaikki", vertailukelpoisella tyylillä?
• Oletustila. Ovatko kaikki ei-välttämättömien kategorioiden kytkimet oletuksena pois päältä asetustilanteessa?
• Linkkien selkeys. Onko hylkäyspolku merkitty verbillä, joka kuvaa toimintoa (esim. "Hylkää kaikki", "Kieltäydy ei-välttämättömistä"), ei epäselvällä lauseella kuten "Lisää vaihtoehtoja" tai "Asetukset"?
• Evästeiden luokittelu. Oletko varmistanut, että jokainen "ehdottoman välttämätön" -merkitty eväste on aidosti vaadittu sivuston toiminnan kannalta, eikä analytiikalle, mainonnalle tai mukavuustoiminnoille?
• Peruuttamisen saatavuus. Onko jokaisella sivulla pysyvä käyttöliittymäelementti, joka avaa suostumusbannerin uudelleen, enintään yhtä monella napsautuksella kuin alkuperäinen hyväksyminen vaati?
• Ei tummia malleja. Välttääkö banneri väri-, koko- tai animaatiovaihtoehtoihin, jotka luovat merkittävän visuaalisen epätasapainon hyväksymisen ja hylkäämisen välillä?

Banneri, joka palauttaa tuolle tarkistuslistalle kuusi selkeää kyllä, on puolustettavissa nykyistä työryhmän kanssa yhdenmukaiseksi täytäntöönpanoa vastaan. Banneri, joka palauttaa edes yhden ei, tulisi käsitellä korjausprojektina eikä huoltotehtävänä.

Mihin työryhmä on seuraavaksi menossa

Julkaistut raportit kattavat mallit, jotka laukaisivat alkuperäisen valitusaallon. Työryhmän jatkuva työ, joka on nähtävissä EDPB:n julkaisemien säännöllisten päivitysten kautta, tunkeutuu nyt vaikeammalle, vähemmän vakiintuneelle alueelle. Kolme aluetta tulee todennäköisesti määrittelemään seuraavan ohjausluvun.

Maksa tai suostu -mallit

Useiden suurten eurooppalaisten julkaisijoiden päätös tarjota kävijöille binaarinen valinta tilauksen maksamisen ja seurantaan suostumisen välillä on herättänyt nimenomaista valvontaa. EDPB antoi vuonna 2024 lausunnon, jossa se kyseenalaisti, voidaanko tällaista valintaa pitää vapaasti annettuna, kun vaihtoehtona on maksullinen muurinen. Työryhmän odotetaan julkaisevan koordinoidut kriteerit sille, milloin maksa-tai-suostu on sallittua ja milloin se ylittää pakottamisen rajan.

Suostumisväsymys ja tarkkuus

Erittäin tarkat toimittajakohtaiset suostumuspinnat, kuten IAB TCF:n tuottamat, ovat saaneet kritiikkiä suostumisväsymyksen aiheuttamisesta ja lopulta GDPR:n tarkoittamassa merkityksessä "informoiduksi" olemisesta. Tulevien työryhmän ohjausten todennäköisesti puolustetaan kategoriatasoa eikä toimittajatasoa ensimmäisessä kerroksessa, jolloin toimittajatason paljastus on saatavilla mutta ei vaadita alustavan pätevän suostumuksen saamiseksi.

Mobiili- ja yhdistetyn television pinnat

Suurin osa varhaisesta työryhmän työstä keskittyi verkkobannereihin. Mobiilisovelluksen sisäiset suostumusvirrat ja yhdistetyn television käyttöliittymät ovat erilaisten suunnittelurajoitusten alaisia eikä niitä ole vielä ollut yksityiskohtaisten havaintojen aiheena. Julkaisijoiden, jotka toimivat näillä pinnoilla, tulisi odottaa koordinoitua ohjausta seuraavien 12–18 kuukauden aikana, eivätkä ne saa olettaa, että vaatimustenmukainen verkkobannerimalli siirtyy automaattisesti.

Yhteen kokoaminen

Työryhmä on saavuttanut jotain, mitä GDPR yksin ei pystyisi saavuttamaan: se on tuottanut yhden toiminnallisen tulkinnan siitä, miltä suostumus näyttää käytännössä koko Euroopan unionissa. Julkaisijoille oppi on, että toimivaltaostoksen tai löyhän kansallisen täytäntöönpanon varaan tukeutumisen aika on ohi. Oikea vastaus on käsitellä työryhmän kategorioita sitovana sisäisenä standardina, auditoida olemassa olevat bannerit niitä vastaan ja konfiguroida suostumuksen hallinnan infrastruktuuri niin, että kategoriat pakotetaan alustatason tasolla sen sijaan, että ne jätetään sivukohtaiseen toteutukseen. Moderni CMP, joka kartoittuu siististi kuuteen kategoriaan — tasapainoiset ensimmäisen kerroksen painikkeet, oletuksena pois päältä olevat kytkimet, selkokieliset hylkäysetiketit, tarkka evästeiden luokittelu, pysyvä peruuttamisen saatavuus ja neutraali suunnittelu — muuttaa paljastuneen vaatimustenmukaisuusaseman puolustettavaksi jokaisella eurooppalaisella markkinalla samanaikaisesti.