अनुपालन17 जून, 2026 | FlexyConsent

EDPB Cookie Banner Taskforce: प्रकाशकों और विपणनकर्ताओं के लिए 2026 के अनुपालन सबक

वर्षों तक, यूरोपीय संघ में काम करने वाले प्रकाशक एक सुखद भ्रम पर भरोसा कर सकते थे: हर डेटा सुरक्षा प्राधिकरण GDPR और ePrivacy Directive की थोड़ी अलग व्याख्या करता था, इसलिए एक कुकी बैनर जो एक देश में स्वीकृत था, वह शायद हर जगह स्वीकृत था। वह भ्रम अब समाप्त हो गया है। European Data Protection Board की Cookie Banner Taskforce, जिसे 2022 में सीमा-पार शिकायतों की लहर के जवाब को समन्वित करने के लिए लॉन्च किया गया था, EU के एकीकृत कुकी-सहमति नियमपुस्तिका के सबसे करीब की चीज़ बन गई है। इसकी रिपोर्टें — ठोस, बैनर-दर-बैनर विवरण में — उन डिज़ाइन पैटर्न का वर्णन करती हैं जिन्हें नियामकों ने सामूहिक रूप से गैर-अनुपालित निर्धारित किया है। यूरोपीय ट्रैफिक पर सहमति बैनर चलाने वाले किसी भी व्यक्ति को taskforce की स्थितियों को वास्तविक आधार रेखा मानना चाहिए, क्योंकि राष्ट्रीय प्राधिकरणों ने प्रवर्तन निर्णयों में उन्हें सीधे उद्धृत करना शुरू कर दिया है।

EDPB Cookie Banner Taskforce वास्तव में क्या है

taskforce एक समन्वय निकाय है, अपने आप में कोई नियामक नहीं। इसे GDPR के Article 70 के तहत स्थापित किया गया था, जो EDPB को सामान्य हित के प्रश्नों पर राष्ट्रीय डेटा सुरक्षा प्राधिकरणों के बीच सहयोग को सुविधाजनक बनाने का अधिकार देता है। ट्रिगर noyb — Max Schrems के गोपनीयता वकालत समूह — द्वारा EU भर में सैकड़ों वेबसाइटों के खिलाफ दायर शिकायतों का अभियान था। चूँकि उन शिकायतों ने लगभग हर सदस्य राज्य के प्राधिकरणों को छुआ, EDPB ने एक एकल मंच बनाने का फैसला किया जहाँ DPAs नोट्स तुलना कर सकें और एक साझा विश्लेषणात्मक ढाँचे पर पहुँच सकें। taskforce का आउटपुट उन रिपोर्टों के रूप में आता है जो दस्तावेज़ करती हैं कि कौन से डिज़ाइन विकल्पों को सहमति आवश्यकताओं के उल्लंघन माना जाता है, श्रेणी के अनुसार व्यवस्थित।

वह संरचना व्यवहार में मायने रखती है। रिपोर्टें उस तरह बाध्यकारी नहीं हैं जैसे कोई विनियमन या राष्ट्रीय जुर्माना बाध्यकारी होता है, लेकिन वे हर यूरोपीय DPA की सहमति स्थिति का वर्णन करती हैं। जब कोई राष्ट्रीय प्राधिकरण जाँच खोलता है, तो वह taskforce के निष्कर्षों को साक्ष्य के रूप में इंगित कर सकता है — और तेजी से ऐसा कर रहा है — कि एक विवादित बैनर पैटर्न पहले से ही व्यापक नियामक समुदाय द्वारा गैर-अनुपालित आंका जा चुका है। प्रकाशकों के लिए, व्यावहारिक प्रभाव यह है कि taskforce के मानदंडों के विरुद्ध मंजूर कोई भी बैनर पूरे EU में बचावयोग्य है। उन मानदंडों में विफल होने वाला कोई भी बैनर एक साथ हर जगह उजागर होता है।

वे छह श्रेणियाँ जिन पर Taskforce ध्यान केंद्रित करती है

taskforce अपने निष्कर्षों को छह ओवरलैपिंग समस्या क्षेत्रों में समूहित करती है। प्रत्येक एक डिज़ाइन पैटर्न से मेल खाता है जो noyb शिकायतों में बार-बार सामने आया और जिसे DPAs ने सामूहिक रूप से उल्लंघन के रूप में चिह्नित किया है।

1. पहली परत पर कोई अस्वीकार बटन नहीं

रिपोर्टों में सबसे अधिक उद्धृत निष्कर्ष। यदि कोई आगंतुक प्रारंभिक बैनर पर "सभी स्वीकार करें" बटन देखता है लेकिन कोई समतुल्य "सभी अस्वीकार करें" बटन नहीं है, तो विकल्प स्वतंत्र रूप से नहीं दिया गया है। स्वीकार और अस्वीकार विकल्पों को एक ही परत पर समान प्रमुखता के साथ प्रस्तुत किया जाना चाहिए। "प्राथमिकताएँ प्रबंधित करें" लिंक के पीछे अस्वीकार पथ को छिपाना आज प्रवर्तन कार्रवाइयों में सबसे आम पैटर्न है।

2. पूर्व-चयनित चेकबॉक्स

किसी भी गैर-आवश्यक श्रेणी के लिए सहमति को पूर्व-चयन करना — यहाँ तक कि एक भी — GDPR के Recital 32 के तहत पूरे सहमति रिकॉर्ड को अमान्य कर देता है। taskforce इसे प्रति-से उल्लंघन मानती है। आधुनिक CMPs डिफ़ॉल्ट रूप से इसे बंद करके आते हैं, लेकिन पुरानी कार्यान्वयन और घरेलू बैनर अक्सर अभी भी एनालिटिक्स या मार्केटिंग श्रेणियों को पूर्व-चिह्नित करते हैं।

3. भ्रामक लिंक डिज़ाइन

अस्वीकार पथ को "अधिक जानकारी" कहना या इसे कम-कंट्रास्ट टेक्स्ट लिंक के रूप में स्टाइल करना जबकि स्वीकार बटन एक उच्च-कंट्रास्ट रंगीन ब्लॉक है, एक असंतुलन पैदा करता है जिसे taskforce एक भ्रामक डिज़ाइन पैटर्न मानती है। उपाय सरल है: स्वीकार और अस्वीकार के बीच फ़ॉन्ट वजन, रंग कंट्रास्ट और बटन स्टाइलिंग का मिलान।

4. कुकीज़ को "आवश्यक" के रूप में गलत वर्गीकृत करना

कुछ ऑपरेटरों ने एनालिटिक्स, विज्ञापन, या सोशल-मीडिया कुकीज़ को सख्त रूप से आवश्यक के रूप में पुनः-लेबल करके सहमति आवश्यकता से पूरी तरह बचने की कोशिश की है। taskforce स्पष्ट रही है: एक कुकी तभी आवश्यक है जब उपयोगकर्ता के दृष्टिकोण से वेबसाइट उसके बिना काम न कर सके। एनालिटिक्स, A/B testing, विज्ञापन और व्यक्तिगतकरण कुकीज़ योग्य नहीं हैं। उन्हें गलत तरीके से लेबल करना अंतर्निहित ट्रैकिंग से स्वतंत्र रूप से स्वयं एक उल्लंघन है।

5. वापसी तंत्र का अभाव

सहमति वापस लेना उतना ही आसान होना चाहिए जितना देना था। एक बैनर जो एक क्लिक में सहमति स्वीकार करता है लेकिन उपयोगकर्ताओं को इसे रद्द करने के लिए बहु-चरणीय सेटिंग मेनू से गुजरने के लिए मजबूर करता है, यह परीक्षा विफल करता है। taskforce विशेष रूप से एक स्थायी नियंत्रण का आह्वान करती है — आमतौर पर एक फ्लोटिंग आइकन या फुटर लिंक — जो आगंतुक को मूल सहमति सतह पर वापस लाता है।

6. बैनर डिज़ाइन जो विकल्प को अस्पष्ट करता है

यह सबसे व्यापक और सबसे व्यक्तिपरक श्रेणी है। इसमें ओवरले शामिल हैं जो सहमति दिए जाने तक पृष्ठ सामग्री को ब्लॉक करते हैं, बैनर जिनका अस्वीकार बटन फोल्ड के नीचे होता है, रंग योजनाएँ जो अस्वीकार पथ को लगभग अदृश्य बनाती हैं, और एनिमेशन जो ध्यान को विकल्प से दूर खींचते हैं। सामान्य धागा यह है कि डिज़ाइन उपयोगकर्ता को तटस्थ विकल्प प्रस्तुत करने के बजाय स्वीकृति की ओर दबाता है।

प्रवर्तन के लिए इसका क्या अर्थ है

taskforce जुर्माना नहीं लगाती। राष्ट्रीय DPAs लगाते हैं। लेकिन चूँकि हर यूरोपीय प्राधिकरण ने taskforce के विश्लेषण पर हस्ताक्षर किए हैं, इन विशिष्ट पैटर्न पर प्रवर्तन जोखिम अब EU भर में एकसमान है। फ्रांस में CNIL ने आज तक कुकी-संबंधित जुर्मानों की सबसे बड़ी श्रृंखला जारी की है, लेकिन इतालवी Garante, स्पेनी AEPD, जर्मन राज्य-स्तरीय प्राधिकरण और आयरिश DPC ने सभी taskforce-संरेखित तर्क का हवाला देते हुए जाँच खोली है। यहाँ तक कि UK ICO, जो EU नियामक परिधि के बाहर है, ने ऐसे मार्गदर्शन प्रकाशित किए हैं जो taskforce श्रेणियों को करीब से प्रतिबिंबित करते हैं।

व्यवहार में इस अभिसरण का अर्थ यह है कि प्रकाशक अब अनुपालन को देश-दर-देश अभ्यास के रूप में नहीं मान सकते। बैनर ऑडिट को एक एकीकृत चेकलिस्ट के रूप में taskforce श्रेणियों के विरुद्ध मापा जाना चाहिए। यदि बैनर छह में से किसी पर भी विफल होता है, तो जोखिम एक DPA नहीं बल्कि पूरा यूरोपीय पर्यवेक्षी नेटवर्क है।

एक व्यावहारिक ऑडिट चेकलिस्ट

किसी मौजूदा बैनर को नियमों के अनुरूप लाने का सबसे तेज़ तरीका उसे ऊपर दी गई श्रेणियों के विरुद्ध चलाना और प्रत्येक आइटम का एक दस्तावेज़ीकृत हाँ या ना के साथ उत्तर देना है। प्रश्न जानबूझकर ठोस हैं।

पहली परत का संतुलन। क्या प्रारंभिक बैनर "सभी स्वीकार करें" के समान सतह पर तुलनीय स्टाइलिंग के साथ एक स्पष्ट "सभी अस्वीकार करें" या "स्वीकार किए बिना जारी रखें" बटन प्रदान करता है?
डिफ़ॉल्ट स्थिति। क्या प्राथमिकताओं दृश्य में सभी गैर-आवश्यक श्रेणी टॉगल डिफ़ॉल्ट रूप से बंद पर सेट हैं?
लिंक स्पष्टता। क्या अस्वीकार करने का पथ एक क्रिया के साथ लेबल किया गया है जो क्रिया का वर्णन करता है (जैसे, "सभी अस्वीकार करें", "गैर-आवश्यक अस्वीकार करें"), न कि "अधिक विकल्प" या "सेटिंग्स" जैसे अस्पष्ट वाक्यांश?
कुकी वर्गीकरण। क्या आपने सत्यापित किया है कि "सख्त रूप से आवश्यक" के रूप में सूचीबद्ध प्रत्येक कुकी वास्तव में साइट के कार्य करने के लिए आवश्यक है, न कि एनालिटिक्स, विज्ञापन, या सुविधा सुविधाओं के लिए?
वापसी पहुँच। क्या हर पृष्ठ पर एक स्थायी UI तत्व है जो सहमति बैनर को फिर से खोलता है, मूल स्वीकृति से अधिक क्लिक के बिना?
कोई डार्क पैटर्न नहीं। क्या बैनर रंग, आकार, या एनिमेशन विकल्पों से बचता है जो स्वीकार और अस्वीकार के बीच एक सार्थक दृश्य असंतुलन बनाते हैं?

एक बैनर जो उस चेकलिस्ट को छह स्पष्ट हाँ लौटाता है, वर्तमान taskforce-संरेखित प्रवर्तन के खिलाफ बचावयोग्य है। एक बैनर जो एक भी ना लौटाता है उसे रखरखाव कार्य के बजाय उपचार परियोजना के रूप में माना जाना चाहिए।

Taskforce आगे कहाँ जा रही है

प्रकाशित रिपोर्टें उन पैटर्न को कवर करती हैं जिन्होंने शिकायतों की मूल लहर को शुरू किया। taskforce का चल रहा कार्य — EDPB द्वारा जारी आवधिक अपडेट के माध्यम से दृश्यमान — अब कठिन, कम स्थिर क्षेत्र में धकेल रहा है। तीन क्षेत्र मार्गदर्शन के अगले दौर को परिभाषित करने की संभावना रखते हैं।

भुगतान-या-सहमति मॉडल

कई बड़े यूरोपीय प्रकाशकों के आगंतुकों को सदस्यता भुगतान और ट्रैकिंग के लिए सहमति के बीच बाइनरी विकल्प प्रदान करने के निर्णय ने स्पष्ट जाँच आकर्षित की है। EDPB ने 2024 में एक राय जारी की जिसमें यह सवाल किया गया कि क्या ऐसी पसंद को स्वतंत्र रूप से दी गई माना जा सकता है जब विकल्प एक पेवॉल हो। taskforce से अपेक्षा की जाती है कि वह इसके लिए समन्वित मानदंड प्रकाशित करे कि भुगतान-या-सहमति कब अनुमेय है और कब यह जबरदस्ती में बदल जाती है।

सहमति थकान और दानेदारता

IAB TCF द्वारा उत्पन्न जैसी अत्यधिक दानेदार प्रति-विक्रेता सहमति सतहों की आलोचना की गई है कि वे सहमति थकान पैदा करती हैं और अंततः GDPR के अर्थ में "सूचित" नहीं हैं। भविष्य की taskforce मार्गदर्शन पहली परत पर विक्रेता-स्तर के बजाय श्रेणी-स्तर के नियंत्रण के लिए धकेलने की संभावना है, विक्रेता-स्तर प्रकटीकरण उपलब्ध है लेकिन एक प्रारंभिक वैध सहमति के लिए आवश्यक नहीं है।

मोबाइल और कनेक्टेड-TV सतहें

अधिकांश प्रारंभिक taskforce कार्य वेब बैनर पर केंद्रित था। मोबाइल in-app सहमति प्रवाह और कनेक्टेड-TV इंटरफेस में अलग डिज़ाइन बाधाएँ हैं और अभी तक विस्तृत निष्कर्षों का विषय नहीं बने हैं। उन सतहों पर काम करने वाले प्रकाशकों को अगले 12 से 18 महीनों में समन्वित मार्गदर्शन की उम्मीद करनी चाहिए, और यह नहीं मान लेना चाहिए कि एक अनुपालित वेब बैनर पैटर्न स्वचालित रूप से अनुवादित होता है।

सब कुछ एकत्र करना

taskforce ने कुछ ऐसा किया है जो GDPR अकेले नहीं कर सका: इसने यूरोपीय संघ भर में व्यवहार में सहमति कैसी दिखती है, इसकी एकल, परिचालन व्याख्या तैयार की है। प्रकाशकों के लिए, सबक यह है कि jurisdiction-shopping का युग या ढीली राष्ट्रीय प्रवर्तन पर निर्भर रहने का युग समाप्त हो गया है। सही प्रतिक्रिया taskforce की श्रेणियों को एक बाध्यकारी आंतरिक मानक के रूप में मानना, उनके विरुद्ध मौजूदा बैनरों का ऑडिट करना और सहमति प्रबंधन बुनियादी ढाँचे को कॉन्फ़िगर करना है ताकि श्रेणियों को प्लेटफॉर्म स्तर पर लागू किया जाए, न कि प्रति-पृष्ठ कार्यान्वयन पर छोड़ा जाए। एक आधुनिक CMP जो छह श्रेणियों पर स्वच्छ रूप से मैप करता है — संतुलित पहली परत बटन, डिफ़ॉल्ट-बंद टॉगल, सरल-भाषा अस्वीकार लेबल, सटीक कुकी वर्गीकरण, स्थायी वापसी पहुँच, और तटस्थ डिज़ाइन — एक उजागर अनुपालन स्थिति को एक साथ हर यूरोपीय बाज़ार में बचावयोग्य बना देता है।