Mi valójában az EDPB Cookie Banner Taskforce

A taskforce koordinációs testület, nem önálló szabályozó. A GDPR Article 70 cikke alapján hozták létre, amely felhatalmazza az EDPB-t arra, hogy elősegítse a nemzeti adatvédelmi hatóságok közötti együttműködést közös érdekű kérdésekben. A kiváltó ok a noyb — Max Schrems adatvédelmi érdekképviseleti csoportja — által az EU-szerte számos weboldal ellen benyújtott panaszkampány volt. Mivel ezek a panaszok szinte minden tagállam hatóságát érintették, az EDPB úgy döntött, egyetlen fórumot hoz létre, ahol az adatvédelmi hatóságok összehasonlíthatják megfigyeléseiket és közös elemzési keretre juthatnak. A taskforce eredménye olyan jelentések formáját ölti, amelyek dokumentálják, hogy mely tervezési döntések minősülnek a hozzájárulási követelmények megsértésének, kategóriák szerint rendezve.

Ez a struktúra a gyakorlatban fontos. A jelentések nem kötelező erejűek abban az értelemben, ahogy egy rendelet vagy nemzeti bírság kötelező, de leírják minden európai adatvédelmi hatóság konszenzusos álláspontját. Amikor egy nemzeti hatóság vizsgálatot nyit, rámutathat — és egyre inkább ezt teszi — a taskforce megállapításaira annak bizonyítékaként, hogy egy vitatott bannermintát a szélesebb szabályozói közösség már nem megfelelőnek ítélt. A kiadók számára a gyakorlati hatás az, hogy a taskforce kritériumaival szemben jóváhagyott bármely banner az egész EU-ban védhető. A kritériumokon elbukó bármely banner egyszerre mindenütt ki van téve kockázatnak.

A hat kategória, amelyre a Taskforce összpontosít

A taskforce megállapításait hat átfedő problématerületre csoportosítja. Mindegyik egy olyan tervezési mintának felel meg, amely ismételten felbukkant a noyb panaszaiban, és amelyet az adatvédelmi hatóságok együttesen jogsértésként jelöltek meg.

1. Nincs elutasítás gomb az első rétegen

A jelentések legtöbbet idézett megállapítása. Ha egy látogató az eredeti banneren "Mindet elfogad" gombot lát, de nem lát egyenértékű "Mindet elutasít" gombot, a választás nem szabadon adott. Az elfogadás és elutasítás lehetőségeit egyenlő hangsúllyal kell bemutatni ugyanazon a rétegen. Az elutasítási útvonal elrejtése egy "Beállítások kezelése" hivatkozás mögé ma a végrehajtási intézkedésekben a leggyakoribb minta.

2. Előre bejelölt jelölőnégyzetek

Bármely nem lényeges kategória esetén a hozzájárulás előzetes kiválasztása — még ha csak egy is — érvényteleníti az egész hozzájárulási rekordot a GDPR Recital 32 rendelkezése szerint. A taskforce ezt önmagában jogsértésnek tekinti. A modern CMP-k alapértelmezés szerint kikapcsolt állapotban szállítják ezt, de az örökölt implementációk és házilag fejlesztett bannerek gyakran még mindig előre bejelölik az analitikai vagy marketing kategóriákat.

3. Megtévesztő hivatkozástervezés

Az elutasítási útvonal "További információ" elnevezése vagy alacsony kontrasztú szöveghivatkozásként való megjelenítése, miközben az elfogadás gomb magas kontrasztú színes blokk, olyan egyensúlyhiányt teremt, amelyet a taskforce megtévesztő tervezési mintának tekint. A megoldás egyszerű: a betűvastagság, a színkontraszt és a gombstílus egyeztetése az elfogadás és az elutasítás között.

4. Sütik helytelen "alapvető" besorolása

Egyes üzemeltetők megpróbálták teljesen elkerülni a hozzájárulási követelményt azáltal, hogy az analitikai, hirdetési vagy közösségi médiás sütiket feltétlenül szükségesként jelölték át. A taskforce egyértelmű volt: egy süti csak akkor alapvető, ha a weboldal a felhasználó szempontjából nélküle nem tud működni. Az analitikai, A/B tesztelési, hirdetési és személyre szabási sütik nem felelnek meg ennek. Helytelen megjelölésük önmagában is jogsértés, az alapul szolgáló nyomkövetéstől függetlenül.

5. Nincs visszavonási mechanizmus

A hozzájárulás visszavonásának olyan egyszerűnek kell lennie, mint megadni. Egy olyan banner, amely egy kattintással elfogadja a hozzájárulást, de visszavonáshoz többlépéses beállítások menün kényszeríti végig a felhasználókat, nem állja ki ezt a próbát. A taskforce kifejezetten egy állandó vezérlőelemet szorgalmaz — jellemzően lebegő ikon vagy láblécbeli hivatkozás —, amely visszajuttatja a látogatót az eredeti hozzájárulási felületre.

6. A választást elrejtő bannertervezés

Ez a legszélesebb és legszubjektívebb kategória. Ide tartoznak azok a fedőrétegek, amelyek blokkolják az oldaltartalmat a hozzájárulás megadásáig, azok a bannerek, amelyek elutasítás gombja a hajtás alá esik, azok a színsémák, amelyek az elutasítási útvonalat szinte láthatatlanná teszik, és azok az animációk, amelyek elvonják a figyelmet a választástól. A közös nevező az, hogy a tervezés elfogadás felé nyomja a felhasználót ahelyett, hogy semleges választást mutatna be.

Mit jelent ez a végrehajtás szempontjából

A taskforce nem szab ki bírságokat. A nemzeti adatvédelmi hatóságok teszik ezt. De mivel minden európai hatóság aláírta a taskforce elemzését, a végrehajtási kockázat ezeken a konkrét mintákon most egységes az egész EU-ban. A franciaországi CNIL adta ki eddig a legtöbb sütihez kapcsolódó bírságot, de az olasz Garante, a spanyol AEPD, a német szövetségi állami szintű hatóságok és az ír DPC mind vizsgálatokat nyitottak taskforce-konform érvelésre hivatkozva. Még az EU szabályozói körzetén kívüli UK ICO is közzétett iránymutatásokat, amelyek szorosan tükrözik a taskforce kategóriáit.

Ez a konvergencia a gyakorlatban azt jelenti, hogy a kiadók nem kezelhetik tovább a megfelelőséget ország-ről-országra végzett gyakorlatként. A bannert a taskforce kategóriáival szemben egységes ellenőrzőlistaként kell mérni. Ha a banner a hat közül bármelyiken megbukik, a kockázat nem egy adatvédelmi hatóság, hanem az egész európai felügyeleti hálózat.

Gyakorlati auditálási ellenőrzőlista

A meglévő banner megfelelőségbe hozásának leggyorsabb módja az, ha lefuttatjuk a fenti kategóriák ellen, és minden tételt dokumentált igen vagy nem válasszal felelünk meg. A kérdések szándékosan konkrétak.

• Első réteg egyensúlya. Az eredeti banner kínál-e kifejezett "Mindet elutasít" vagy "Elfogadás nélkül folytatás" gombot ugyanazon a felületen, mint a "Mindet elfogad", hasonló stílussal?
• Alapértelmezett állapot. Az összes nem lényeges kategória kapcsolója alapértelmezés szerint ki van kapcsolva a beállítások nézetben?
• Hivatkozás egyértelműsége. Az elutasítási útvonal egy igével van-e megjelölve, amely leírja a műveletet (pl. "Mindet elutasít", "Nem lényeges visszautasítása"), és nem egy kétértelmű kifejezéssel, mint "További beállítások" vagy "Beállítások"?
• Sütibesorolás. Ellenőrizte, hogy minden "feltétlenül szükséges" süti valóban szükséges-e az oldal működéséhez, és nem analitikához, hirdetéshez vagy kényelmi funkciókhoz?
• Visszavonási hozzáférés. Van-e minden oldalon állandó felhasználói felületi elem, amely újra megnyitja a hozzájárulási bannert, az eredeti elfogadásnál nem több kattintással?
• Nincs sötét minta. Elkerüli-e a banner azokat a szín-, méret- vagy animációs döntéseket, amelyek érdemi vizuális egyensúlyhiányt teremtenek az elfogadás és az elutasítás között?

Az a banner, amely hat egyértelmű igent ad az ellenőrzőlistára, védhető a jelenlegi taskforce-konform végrehajtással szemben. Azt a bannert, amely akár egyetlen nemet is visszaad, javítási projektként kell kezelni, nem karbantartási feladatként.

Merre tart a Taskforce ezután

A közzétett jelentések lefedik a panaszok eredeti hullámát kiváltó mintákat. A taskforce folyamatban lévő munkája — az EDPB által közzétett időszakos frissítéseken keresztül látható — most nehezebb, kevésbé rendezett területre nyomul. Három terület valószínűleg meghatározza az iránymutatás következő körét.

Fizess-vagy-hozzájárulj modellek

Több nagy európai kiadó azon döntése, hogy a látogatóknak bináris választást kínálnak az előfizetés fizetése és a nyomkövetéshez való hozzájárulás között, kifejezett ellenőrzést vonzott. Az EDPB 2024-ben véleményt adott ki, amelyben megkérdőjelezi, hogy az ilyen választás szabadon adottnak tekinthető-e, ha az alternatíva egy fizetési fal. A taskforce várhatóan koordinált kritériumokat tesz közzé arról, mikor megengedett a fizess-vagy-hozzájárulj, és mikor lépi át a kényszerítés határát.

Hozzájárulási fáradtság és részletesség

Az IAB TCF által generáltakhoz hasonló, szállítónkénti, rendkívül részletes hozzájárulási felületeket azzal bírálták, hogy hozzájárulási fáradtságot idéznek elő, és végső soron nem "tájékozottak" a GDPR értelmében. A taskforce jövőbeli iránymutatásai valószínűleg az első rétegen szállítói szintű helyett kategória szintű vezérlőket szorgalmaznak, a szállítói szintű közzététel elérhető, de egy kezdeti érvényes hozzájáruláshoz nem kötelező.

Mobilos és connected-TV felületek

A taskforce korai munkájának nagy része a webes bannerekre összpontosított. A mobil in-app hozzájárulási folyamatok és a connected-TV interfészek különböző tervezési korlátokkal rendelkeznek, és még nem voltak részletes megállapítások tárgyai. Az ezeken a felületeken működő kiadóknak a következő 12–18 hónapon belül koordinált iránymutatásra kell számítaniuk, és nem szabad feltételezniük, hogy egy megfelelő webes bannerek mintája automatikusan átvihető.

Összefoglalás

A taskforce olyat tett, amire a GDPR önmagában nem volt képes: egyetlen, operatív értelmezést alkotott arról, hogyan néz ki a hozzájárulás a gyakorlatban az Európai Unióban. A kiadók számára a tanulság az, hogy a joghatóság-vásárlás kora vagy a laza nemzeti végrehajtásra való támaszkodás véget ért. A helyes válasz az, hogy a taskforce kategóriáit kötelező belső standardként kezeljük, elvégezzük a meglévő bannerek auditját ezekkel szemben, és úgy konfiguráljuk a hozzájáruláskezelési infrastruktúrát, hogy a kategóriákat platform szinten alkalmazzák, ne pedig oldalankénti implementációra bízzák. Egy modern CMP, amely a hat kategóriára tisztán leképezhető — kiegyensúlyozott első réteg gombok, alapértelmezetten kikapcsolt kapcsolók, közérthető elutasítási feliratok, pontos sütibesorolás, állandó visszavonási hozzáférés és semleges tervezés — az exponált megfelelőségi pozíciót egyszerre minden európai piacon védhető pozícióvá alakítja.