EDPB Cookie Banner Taskforce: Lekcije usklađenosti za 2026. za izdavače i marketinške stručnjake
Godinama su se izdavači koji posluju diljem Europske unije mogli osloniti na jednu utješnu fikciju: svako tijelo za zaštitu podataka tumačilo je GDPR i ePrivacy Direktivu malo drugačije, pa je banner za kolačiće koji je prošao provjeru u jednoj zemlji vjerojatno prolazio provjeru svugdje. Ta je fikcija sada nestala. Cookie Banner Taskforce Europskog odbora za zaštitu podataka, pokrenuta 2022. kako bi se koordinirao odgovor na val pritužbi prekograničnog karaktera, sazrela je u nešto najbliže onome što EU ima kao jedinstveni priručnik pravila za privolu na kolačiće. Njezina izvješća opisuju — u konkretnom, banner po banner detalju — dizajnerske obrasce koje su regulatori zajednički proglasili nesukladnima. Svaki tko vodi banner za privolu na europskom prometu trebao bi pozicije taskforcea tretirati kao de facto polaznu osnovu, jer su nacionalna tijela počela na njih izravno upućivati u odlukama o provedbi.
Što je zapravo EDPB Cookie Banner Taskforce
Taskforce je tijelo za koordinaciju, a ne regulatorno tijelo samo po sebi. Osnovan je temeljem Article 70 GDPR-a, koji ovlašćuje EDPB da olakšava suradnju između nacionalnih tijela za zaštitu podataka u pitanjima od zajedničkog interesa. Okidač je bila kampanja pritužbi koju je podnio noyb — zagovaračka skupina za privatnost Maxa Schremsa — protiv stotina web stranica diljem EU-a. Budući da su te pritužbe doticale tijela gotovo svake države članice, EDPB je odlučio stvoriti jedinstveni forum u kojemu DPA-ovi mogu razmjenjivati bilješke i doći do zajedničkog analitičkog okvira. Rezultat taskforca ima oblik izvještaja koji dokumentiraju koji su dizajnerski izbori smatrani kršenjima zahtjeva privole, organiziranih po kategoriji.
Ta je struktura važna u praksi. Izvješća nisu obvezujuća na način na koji je obvezujuća uredba ili nacionalna kazna, ali opisuju konsenzusnu poziciju svakog europskog DPA-a. Kad nacionalno tijelo pokrene istragu, može — i sve češće to čini — upućivati na nalaze taskforca kao dokaz da je sporan obrazac bannera već proglašen nesukladnim od strane šire regulatorne zajednice. Za izdavače, praktični učinak je da je svaki banner koji prođe provjeru prema kriterijima taskforca branljiv u cijelom EU-u. Svaki banner koji ne ispuni te kriterije izložen je svugdje odjednom.
Šest kategorija na koje se Taskforce fokusira
Taskforce grupira svoje nalaze u šest preklapajućih problematičnih područja. Svako odgovara dizajnerskom obrascu koji se ponavljao u pritužbama noyba i koji su DPA-ovi zajednički označili kao kršenje.
1. Nema gumba za odbijanje na prvom sloju
Najcitiraniji nalaz u izvješćima. Ako posjetitelj na inicijalnom banneru vidi gumb "Prihvati sve" ali nema ekvivalentnog gumba "Odbij sve", izbor nije slobodno dan. Opcije prihvaćanja i odbijanja moraju biti predstavljene s jednakom istaknutošću na istom sloju. Sakrivanje puta do odbijanja iza poveznice "Upravljaj postavkama" najčešći je obrazac u provedbenim radnjama danas.
2. Unaprijed označeni okviri za odabir
Unaprijed odabir privole za bilo koju ne-esencijalnu kategoriju — čak i jednu — poništava cjelokupni zapis privole prema Recital 32 GDPR-a. Taskforce to tretira kao kršenje samo po sebi. Moderni CMP-ovi isporučuju se s tim isključenim prema zadanim postavkama, ali naslijeđene implementacije i domaći banneri često još uvijek unaprijed označuju analitičke ili marketinške kategorije.
3. Obmanjujući dizajn poveznice
Nazivanje puta za odbijanje "Više informacija" ili stiliziranje kao tekstualna poveznica s niskim kontrastom dok je gumb za prihvaćanje visokontrastni obojeni blok stvara neravnotežu koju taskforce smatra obmanjujućim dizajnerskim obrascem. Rješenje je jednostavno: usklađivanje težine fonta, kontrasta boja i stiliziranja gumba između prihvaćanja i odbijanja.
4. Pogrešno klasificiranje kolačića kao "esencijalnih"
Neki su operateri pokušali u potpunosti izbjeći zahtjev za privolom preoznačavanjem analitičkih, oglašivačkih ili kolačića društvenih mreža kao strogo neophodnih. Taskforce je bio izričit: kolačić je esencijalan samo ako web stranica bez njega ne može funkcionirati iz perspektive korisnika. Analitički kolačići, A/B testiranje, oglašavanje i personalizacijski kolačići ne ispunjavaju uvjete. Pogrešno ih označavanje samo je po sebi kršenje neovisno o temeljnom praćenju.
5. Nema mehanizma za povlačenje privole
Povlačenje privole mora biti jednako jednostavno kao i njezino davanje. Banner koji prihvaća privolu jednim klikom, ali prisiljava korisnike da prođu kroz višekoračni izbornik postavki kako bi je opozvali, ne prolazi ovaj test. Taskforce posebno poziva na stalni kontrolni element — obično plutajuća ikona ili poveznica u podnožju — koji vraća posjetitelja na originalnu površinu za privolu.
6. Dizajn bannera koji zamagljuje izbor
Ovo je najšira i najsubjektivnija kategorija. Uključuje prekrivne slojeve koji blokiraju sadržaj stranice dok se ne odobri privola, bannere čiji je gumb za odbijanje ispod vidnog polja, sheme boja koje čine put za odbijanje gotovo nevidljivim, te animacije koje odvlače pozornost od izbora. Zajednička nit je da dizajn vrši pritisak na korisnika prema prihvaćanju umjesto da predstavlja neutralan izbor.
Što to znači za provedbu
Taskforce ne nameće kazne. Nacionalni DPA-ovi to čine. No budući da je svako europsko tijelo pristalo na analizu taskforca, rizik od provedbe na ovim specifičnim obrascima sada je jednolik diljem EU-a. CNIL u Francuskoj izdao je najveći niz kazni povezanih s kolačićima do sada, ali talijanski Garante, španjolski AEPD, njemačka tijela na razini saveznih zemalja i irski DPC svi su pokrenuli istrage pozivajući se na obrazloženje usklađeno s taskforceom. Čak je i UK ICO, koji je izvan regulatornog perimetra EU-a, objavio smjernice koje usko odražavaju kategorije taskforca.
Što ovo usklađivanje znači u praksi jest da izdavači više ne mogu tretirati usklađenost kao vježbu zemlja po zemlja. Revizija bannera treba se mjeriti prema kategorijama taskforca kao jedinstvenom popisu za provjeru. Ako banner ne uspije na bilo kojoj od šest, rizik nije jedan DPA već cijela europska nadzorna mreža.
Praktični popis za provjeru revizije
Najbrži način za usklađivanje postojećeg bannera jest provjeriti ga prema gore navedenim kategorijama i odgovoriti na svaku stavku s dokumentiranim da ili ne. Pitanja su namjerno konkretna.
- Ravnoteža prvog sloja. Nudi li inicijalni banner eksplicitan gumb "Odbij sve" ili "Nastavi bez prihvaćanja" na istoj površini kao "Prihvati sve", s usporedivim stiliziranjem?
- Zadano stanje. Jesu li svi preklopnici za ne-esencijalne kategorije postavljeni na isključeno prema zadanim postavkama u prikazu preferencija?
- Jasnoća poveznice. Je li put za odbijanje označen glagolom koji opisuje radnju (npr. "Odbij sve", "Odbij ne-esencijalne"), a ne dvosmislenom frazom poput "Više opcija" ili "Postavke"?
- Klasifikacija kolačića. Jeste li provjerili da je svaki kolačić naveden kao "strogo neophodan" doista potreban za funkcioniranje stranice, a ne za analitiku, oglašavanje ili praktičnost?
- Pristup za povlačenje. Postoji li stalni UI element na svakoj stranici koji ponovo otvara banner za privolu, s ne više klikova nego što je zahtijevalo originalno prihvaćanje?
- Nema tamnih obrazaca. Izbjegava li banner izbore boja, veličina ili animacija koji stvaraju značajnu vizualnu neravnotežu između prihvaćanja i odbijanja?
Banner koji na tom popisu za provjeru vraća šest jasnih da-odgovora branljiv je prema trenutnoj provedbi usklađenoj s taskforceom. Banner koji vrati čak i jedan ne treba se tretirati kao projekt sanacije, a ne kao zadatak održavanja.
Kamo Taskforce ide dalje
Objavljeni izvještaji pokrivaju obrasce koji su pokrenuli originalni val pritužbi. Tekući rad taskforca — vidljiv kroz periodična ažuriranja koja objavljuje EDPB — sada prodire u teže, manje ustaljeno područje. Tri područja vjerojatno će definirati sljedeći krug smjernica.
Modeli plati-ili-privoli
Odluka nekoliko velikih europskih izdavača da posjetiteljima ponude binarni izbor između plaćanja pretplate i pristanka na praćenje privukla je izričitu pozornost. EDPB je 2024. izdao mišljenje u kojemu se propituje može li se takav izbor smatrati slobodno danim kada je alternativa naplatna barijera. Od taskforca se očekuje da objavi koordinirane kriterije za to kada je plati-ili-privoli dopušteno i kada prelazi u prisilu.
Umor od privole i granularnost
Visoko granularne površine za privolu po dobavljaču, poput onih generiranih od strane IAB TCF-a, kritizirane su kao one koje stvaraju umor od privole i u konačnici nisu "informirane" u smislu GDPR-a. Buduće smjernice taskforca vjerojatno će guriti prema kontrolama na razini kategorija, a ne na razini dobavljača na prvom sloju, s dostupnim otkrivanjem na razini dobavljača, ali ne neophodnim za inicijalnu valjanu privolu.
Mobilne i connected-TV površine
Veći dio ranog rada taskforca fokusirao se na web bannere. Tokovi privole u mobilnim aplikacijama i connected-TV sučelja imaju različita dizajnerska ograničenja i još nisu bila predmet detaljnih nalaza. Izdavači koji posluju na tim površinama trebali bi očekivati koordinirane smjernice unutar sljedećih 12 do 18 mjeseci i ne bi trebali pretpostavljati da se usklađeni obrazac web bannera automatski prenosi.
Spajanje svega zajedno
Taskforce je učinio nešto što sam GDPR nije mogao: producirao je jednu, operativnu interpretaciju toga kako privola izgleda u praksi diljem Europske unije. Za izdavače, lekcija je da je era traženja povoljnih jurisdikcija ili oslanjanja na labavu nacionalnu provedbu gotova. Pravi odgovor je tretirati kategorije taskforca kao obvezujući interni standard, revidirati postojeće bannere prema njima te konfigurirati infrastrukturu za upravljanje privolom kako bi se kategorije provodile na razini platforme, a ne prepuštale implementaciji po stranicama. Moderni CMP koji se čisto mapira na šest kategorija — uravnoteženi gumbi prvog sloja, preklopnici isključeni prema zadanim postavkama, oznake za odbijanje na razumljivom jeziku, točna klasifikacija kolačića, stalni pristup za povlačenje privole i neutralan dizajn — pretvara izloženu poziciju usklađenosti u onu koja je branljiva na svakom europskom tržištu istovremeno.