Apa Sebenarnya EDPB Cookie Banner Taskforce

Taskforce adalah badan koordinasi, bukan regulator itu sendiri. Dibentuk berdasarkan Article 70 GDPR, yang memberdayakan EDPB untuk memfasilitasi kerja sama antara otoritas perlindungan data nasional dalam pertanyaan kepentingan bersama. Pemicunya adalah kampanye pengaduan yang diajukan oleh noyb — kelompok advokasi privasi Max Schrems — terhadap ratusan situs web di seluruh EU. Karena pengaduan tersebut menyentuh otoritas di hampir setiap negara anggota, EDPB memutuskan untuk membuat forum tunggal di mana DPA dapat membandingkan catatan dan mencapai kerangka analitis bersama. Hasil kerja taskforce berbentuk laporan yang mendokumentasikan pilihan desain mana yang dianggap melanggar persyaratan persetujuan, diatur berdasarkan kategori.

Struktur tersebut penting dalam praktik. Laporan-laporan tidak mengikat dengan cara yang sama seperti regulasi atau denda nasional mengikat, tetapi menggambarkan posisi konsensus setiap DPA Eropa. Ketika otoritas nasional membuka penyelidikan, mereka dapat — dan semakin sering melakukan — menunjuk temuan taskforce sebagai bukti bahwa pola banner yang diperdebatkan sudah dinilai tidak patuh oleh komunitas regulasi yang lebih luas. Bagi penerbit, efek praktisnya adalah bahwa banner mana pun yang disetujui berdasarkan kriteria taskforce dapat dipertahankan di seluruh EU. Banner mana pun yang gagal memenuhi kriteria tersebut terekspos di mana-mana sekaligus.

Enam Kategori yang Difokuskan Taskforce

Taskforce mengelompokkan temuannya ke dalam enam area masalah yang tumpang tindih. Masing-masing sesuai dengan pola desain yang berulang kali muncul dalam pengaduan noyb dan yang telah secara kolektif ditandai DPA sebagai pelanggaran.

1. Tidak ada tombol tolak di lapisan pertama

Temuan yang paling banyak dikutip dalam laporan. Jika pengunjung melihat tombol "Terima semua" pada banner awal tetapi tidak ada tombol "Tolak semua" yang setara, pilihan tersebut tidak diberikan secara bebas. Opsi terima dan tolak harus disajikan dengan keunggulan yang setara di lapisan yang sama. Menyembunyikan jalur penolakan di balik tautan "Kelola preferensi" adalah pola yang paling umum dalam tindakan penegakan saat ini.

2. Kotak centang yang sudah dicentang sebelumnya

Memilih persetujuan terlebih dahulu untuk kategori non-esensial apa pun — bahkan satu pun — membatalkan seluruh catatan persetujuan berdasarkan Recital 32 GDPR. Taskforce memperlakukan ini sebagai pelanggaran per se. CMP modern hadir dengan ini dinonaktifkan secara default, tetapi implementasi lama dan banner buatan sendiri sering masih mencentang kategori analitik atau pemasaran terlebih dahulu.

3. Desain tautan yang menipu

Menyebut jalur penolakan "Informasi lebih lanjut" atau menata gayanya sebagai tautan teks kontras rendah sementara tombol terima adalah blok berwarna kontras tinggi menciptakan ketidakseimbangan yang dianggap taskforce sebagai pola desain yang menipu. Solusinya sederhana: mencocokkan ketebalan font, kontras warna, dan gaya tombol antara terima dan tolak.

4. Salah mengklasifikasikan cookie sebagai "esensial"

Beberapa operator telah mencoba untuk sepenuhnya menghindari persyaratan persetujuan dengan memberi label ulang cookie analitik, periklanan, atau media sosial sebagai yang benar-benar diperlukan. Taskforce telah tegas: cookie bersifat esensial hanya jika situs web tidak dapat berfungsi tanpanya dari sudut pandang pengguna. Cookie analitik, A/B testing, periklanan, dan personalisasi tidak memenuhi syarat. Salah memberi label pada mereka itu sendiri merupakan pelanggaran yang terpisah dari pelacakan yang mendasarinya.

5. Tidak ada mekanisme penarikan

Mencabut persetujuan harus semudah memberikannya. Banner yang menerima persetujuan dalam satu klik tetapi memaksa pengguna melalui menu pengaturan multi-langkah untuk mencabutnya gagal dalam tes ini. Taskforce secara khusus menyerukan kontrol persisten — biasanya ikon mengambang atau tautan footer — yang mengembalikan pengunjung ke permukaan persetujuan asli.

6. Desain banner yang mengaburkan pilihan

Ini adalah kategori yang paling luas dan paling subjektif. Ini mencakup overlay yang memblokir konten halaman hingga persetujuan diberikan, banner yang tombol tolaknya berada di bawah lipatan, skema warna yang membuat jalur penolakan hampir tidak terlihat, dan animasi yang mengalihkan perhatian dari pilihan tersebut. Benang merahnya adalah bahwa desain menekan pengguna ke arah penerimaan daripada menyajikan pilihan yang netral.

Apa Artinya bagi Penegakan

Taskforce tidak mengenakan denda. DPA nasional yang melakukannya. Tetapi karena setiap otoritas Eropa telah menandatangani analisis taskforce, risiko penegakan pada pola-pola spesifik ini kini seragam di seluruh EU. CNIL di Prancis telah mengeluarkan deretan denda terkait cookie terbesar hingga saat ini, tetapi Garante Italia, AEPD Spanyol, otoritas tingkat negara bagian Jerman, dan DPC Irlandia semuanya telah membuka penyelidikan dengan mengutip penalaran yang selaras dengan taskforce. Bahkan UK ICO, yang berada di luar perimeter regulasi EU, telah menerbitkan panduan yang secara erat mencerminkan kategori taskforce.

Apa artinya konvergensi ini dalam praktik adalah bahwa penerbit tidak dapat lagi memperlakukan kepatuhan sebagai latihan negara per negara. Audit banner harus diukur terhadap kategori taskforce sebagai daftar periksa terpadu. Jika banner gagal pada salah satu dari enam, risikonya bukan satu DPA tetapi seluruh jaringan pengawasan Eropa.

Daftar Periksa Audit Praktis

Cara tercepat untuk membawa banner yang ada ke dalam kepatuhan adalah menjalankannya terhadap kategori di atas dan menjawab setiap item dengan ya atau tidak yang terdokumentasi. Pertanyaan-pertanyaan tersebut sengaja dibuat konkret.

• Keseimbangan lapisan pertama. Apakah banner awal menawarkan tombol "Tolak semua" atau "Lanjutkan tanpa menerima" yang eksplisit pada permukaan yang sama seperti "Terima semua", dengan gaya yang sebanding?
• Status default. Apakah semua toggle kategori non-esensial diatur ke mati secara default dalam tampilan preferensi?
• Kejelasan tautan. Apakah jalur penolakan diberi label dengan kata kerja yang menggambarkan tindakan (mis., "Tolak semua", "Tolak non-esensial"), bukan frasa ambigu seperti "Opsi lainnya" atau "Pengaturan"?
• Klasifikasi cookie. Sudahkah Anda memverifikasi bahwa setiap cookie yang terdaftar sebagai "benar-benar diperlukan" memang dibutuhkan agar situs berfungsi, bukan untuk analitik, periklanan, atau fitur kenyamanan?
• Akses penarikan. Apakah ada elemen UI persisten di setiap halaman yang membuka kembali banner persetujuan, dengan tidak lebih dari klik yang diperlukan penerimaan asli?
• Tidak ada pola gelap. Apakah banner menghindari pilihan warna, ukuran, atau animasi yang menciptakan ketidakseimbangan visual yang berarti antara terima dan tolak?

Banner yang mengembalikan enam ya yang jelas untuk daftar periksa tersebut dapat dipertahankan terhadap penegakan yang selaras dengan taskforce saat ini. Banner yang bahkan mengembalikan satu tidak harus diperlakukan sebagai proyek remediasi daripada tugas pemeliharaan.

Ke Mana Taskforce Menuju Selanjutnya

Laporan yang diterbitkan mencakup pola-pola yang memicu gelombang pengaduan asli. Pekerjaan taskforce yang sedang berlangsung — terlihat melalui pembaruan berkala yang dirilis oleh EDPB — kini mendorong ke wilayah yang lebih sulit dan kurang mapan. Tiga area kemungkinan akan mendefinisikan putaran panduan berikutnya.

Model bayar-atau-setuju

Keputusan beberapa penerbit besar Eropa untuk menawarkan pengunjung pilihan biner antara membayar langganan dan menyetujui pelacakan telah menarik perhatian eksplisit. EDPB mengeluarkan pendapat pada 2024 yang mempertanyakan apakah pilihan semacam itu dapat dianggap diberikan secara bebas ketika alternatifnya adalah paywall. Taskforce diharapkan menerbitkan kriteria terkoordinasi tentang kapan bayar-atau-setuju diizinkan dan kapan melintasi ke paksaan.

Kelelahan persetujuan dan granularitas

Permukaan persetujuan per-vendor yang sangat granular, seperti yang dihasilkan oleh IAB TCF, telah dikritik karena menghasilkan kelelahan persetujuan dan pada akhirnya tidak "terinformasi" dalam pengertian GDPR. Panduan taskforce di masa depan kemungkinan akan mendorong kontrol tingkat kategori daripada tingkat vendor di lapisan pertama, dengan pengungkapan tingkat vendor tersedia tetapi tidak diperlukan untuk persetujuan awal yang valid.

Permukaan mobile dan connected-TV

Sebagian besar pekerjaan taskforce awal berfokus pada banner web. Alur persetujuan in-app mobile dan antarmuka connected-TV memiliki batasan desain yang berbeda dan belum menjadi subjek temuan terperinci. Penerbit yang beroperasi di permukaan-permukaan tersebut harus mengharapkan panduan terkoordinasi dalam 12 hingga 18 bulan ke depan, dan tidak boleh berasumsi bahwa pola banner web yang patuh diterjemahkan secara otomatis.

Menyatukan Semuanya

Taskforce telah melakukan sesuatu yang tidak bisa dilakukan GDPR sendirian: menghasilkan satu interpretasi operasional tentang seperti apa persetujuan dalam praktik di seluruh Uni Eropa. Bagi penerbit, pelajarannya adalah bahwa era mencari yurisdiksi yang menguntungkan atau mengandalkan penegakan nasional yang longgar sudah berakhir. Respons yang tepat adalah memperlakukan kategori taskforce sebagai standar internal yang mengikat, mengaudit banner yang ada terhadap mereka, dan mengonfigurasi infrastruktur manajemen persetujuan sehingga kategori diterapkan di tingkat platform daripada diserahkan ke implementasi per halaman. CMP modern yang dengan rapi memetakan enam kategori — tombol lapisan pertama yang seimbang, toggle default-mati, label tolak dalam bahasa sederhana, klasifikasi cookie yang akurat, akses penarikan persisten, dan desain netral — mengubah postur kepatuhan yang terekspos menjadi postur yang dapat dipertahankan di setiap pasar Eropa secara bersamaan.