Atitiktis2026 m. sausio 28 d. | FlexyConsent

Kas nutinka be sutikimo: Tikros baudos ir atvejų analizė

Manote, kad sutikimų skydeliai neprivalomi? Manote, kad pakanka paprasto slapukų pranešimo? Reguliuotojai nesutinka — ir jie turi įrodymų. Nuo GDPR įsigaliojimo 2018 m. duomenų apsaugos institucijos visoje Europoje ir už jos ribų skyrė daugiau nei 4,5 mlrd. eurų baudų. Daugelis jų buvo tiesiogiai susiję su trūkumais renkant tinkamą naudotojų sutikimą.

Štai tikri atvejai, tikri skaičiai ir ką jie reiškia jūsų verslui.

Didžiausios su sutikimu susijusios baudos istorijoje

Meta (Facebook/Instagram) -- Airija, 2023

€1,2 mlrd.

Airijos DPC nustatė, kad Meta perdavė ES naudotojų duomenis į JAV be tinkamų teisinių mechanizmų ir tinkamo sutikimo. Tai tebėra didžiausia kada nors paskirta GDPR bauda. Meta taip pat buvo bausta 390 mln. eurų 2023 m. sausio mėn. už tai, kad privertė naudotojus sutikti su personalizuota reklama kaip Facebook ir Instagram naudojimo sąlyga — akivaizdus "laisvai duoto" sutikimo reikalavimo pažeidimas.

Amazon -- Liuksemburgas, 2021

€746 mln.

Amazon buvo nubaustas už asmens duomenų tvarkymą tikslinei reklamai be tinkamo naudotojų sutikimo. Liuksemburgo duomenų apsaugos institucija (CNPD) nustatė, kad Amazon reklamos taikymo sistema neatitiko GDPR sutikimo reikalavimų.

Google -- Prancūzija (CNIL), 2022

€150 mln.

CNIL nubaudė Google, nes jos slapukų sutikimo mechanizmas google.fr ir youtube.com svetainėse leido lengvai priimti visus slapukus vienu paspaudimu, tačiau juos atmesti reikėjo kelių paspaudimų. Šis asimetrinis dizainas — kai atsisakymas yra sunkesnis nei sutikimas — buvo pripažintas "laisvai duoto" sutikimo principo pažeidimu.

TikTok -- Airija, 2023

€345 mln.

TikTok buvo nubaustas už vaikų asmens duomenų tvarkymą be tinkamų sutikimo ir skaidrumo priemonių. DPC nustatė, kad vaikų paskyros pagal numatytuosius nustatymus buvo viešos ir platformos privatumo nustatymai nebuvo pakankamai pasiekiami.

Criteo -- Prancūzija (CNIL), 2023

€40 mln.

Reklamos technologijų įmonė buvo nubauста už milijonų naudotojų naršymo duomenų rinkimą naudojant sekimo slapukus neįrodžius, kad buvo gautas tinkamas sutikimas. CNIL nustatė, kad Criteo negalėjo pademonstruoti tinkamos sutikimo grandinės iš svetainių, kuriose buvo patalpinti slapukai.

Ne tik didelės technologijų bendrovės: Mažų įmonių baudos

Nemanyкite, kad baudos skirtos tik technologijų gigantams. Duomenų apsaugos institucijos visoje Europoje reguliariai baudžia mažas ir vidutines įmones dėl sutikimo pažeidimų:

Ispanijos AEPD: Reguliariai skiria 2 000–60 000 eurų baudas mažoms įmonėms už slapukų dėjimą be sutikimo arba trūkstamas slapukų politikas.
Italijos Garante: Nubaudė mažą e. komercijos svetainę 20 000 eurų už Google Analytics naudojimą be tinkamų sutikimo perdavimo mechanizmų.
Prancūzijos CNIL: Nubaudė sveikatos svetainę 150 000 eurų už jautrios informacijos rinkimą per formas be aiškaus sutikimo.
Austrijos DSB: Nusprendė, kad Google Analytics naudojimas be sutikimo yra neteisėtas, sukuriant precedentą, paveikusį tūkstančius įmonių.
Belgijos DPA: Nubaudė IAB Europe 250 000 eurų dėl TCF sutikimo eilutės problemų, pademonstruodama, kad net pati sutikimo sistema yra taikoma vykdymui.

Be baudų: Paslėptos išlaidos

Finansinės sankcijos yra tik ledkalnio viršūnė. Tikroji žala dažnai apima:

Reputacijos žala: GDPR baudos yra viešas įrašas. Jūsų prekinis ženklas siejamas su privatumo pažeidimais žiniasklaidos pranešimuose ir paieškos rezultatuose.
Reklamos pajamų netekimas: Be sertifikuoto CMP, Google gali apriboti reklamų rodymą EEE. Leidėjai pranešė apie 30–70 % pajamų kritimą, kai jų sutikimo sąranka neatitinka reikalavimų.
Teisinės išlaidos: Gynyba nuo skundų, atsakymas į DPA tyrimus ir duomenų praktikos pertvarkymas gali kainuoti šimtus tūkstančių teisinių mokesčių.
Veiklos sutrikimas: DPA gali nurodyti visiškai nutraukti duomenų tvarkymą, kol nebus pasiekta atitiktis — tai efektyviai uždaro jūsų internetinį verslą.
Grupinių ieškinių rizika: GDPR suteikia galimybę kolektyviniams teisiniams veiksmams. Vartotojų organizacijos Austrijoje, Prancūzijoje ir Vokietijoje yra pateikusios grupinių ieškinių prieš įmones dėl sutikimo pažeidimų.

Dažniausios sutikimo klaidos, lemiančios baudas

Iš anksto pažymėti sutikimo langeliai: GDPR tai aiškiai draudžia. Sutikimas turi būti patvirtinantis veiksmas.
Slapukų sienos: Turinio prieigos blokavimas, jei naudotojai nepriima visų slapukų, nėra "laisvai duotas" sutikimas.
Asimetriniai mygtukai: "Sutikti" mygtuko išryškinimas, slepinat arba mažinant "Atsisakyti", pažeidžia laisvai duoto principą.
Sujungtas sutikimas: Kelių tikslų sutikimo sujungimas į vieną "Sutikti" veiksmą atima iš naudotojų konkrečius pasirinkimus, į kuriuos jie turi teisę.
Nėra atšaukimo mechanizmo: Jei naudotojai negali lengvai pakeisti ar atšaukti savo sutikimo, visas jūsų sutikimo rinkimas yra negaliojantis.
Trūkstami sutikimo įrašai: Be laiko žymos turinčių žurnalų, rodančių kas, kada ir kam davė sutikimą, negalėsite įrodyti atitikties audito metu.
Sekimas prieš sutikimą: Analitikos, reklamos pikselių ar rinkodaros skriptų įkėlimas prieš naudotojui priimant sprendimą yra pats dažniausias — ir lengviausiai aptinkamas — pažeidimas.

Kaip reguliuotojai nustato neatitiktį

Duomenų apsaugos institucijos ne tik laukia skundų. Jos aktyviai nuskaito svetaines naudodamos automatizuotus įrankius, kurie aptinka:

Slapukus, nustatytus prieš bet kokią sutikimo sąveiką
Trūkstamus arba neišsamius sutikimo skydelius
Negaliojančias arba pasibaigusias sutikimo eilutes
Sekimo skriptus, veikiančius prieš sutikimo užfiksavimą
Asimetrinius skydelio dizainus, teikiančius pirmenybę sutikimui

Pavyzdžiui, Prancūzijos CNIL nuskaitė tūkstančius svetainių ir išdavė dešimtis baudų remdamasi vien automatine aptiktimi — be jokių naudotojų skundų.

Kaip atrodo tinkamas sutikimas 2026 m.

Norėdami išvengti baudų ir apsaugoti savo verslą, jūsų sutikimo įgyvendinimas turi:

Blokuoti visus nebūtinus slapukus ir skriptus, kol neduodamas aiškus sutikimas
Suteikti vienodą vizualinį svorį sutikimo ir atsisakymo parinktims
Leisti detaliai rinktis pagal slapukų kategoriją (analitika, rinkodara, funkciniai)
Saugoti sutikimo įrašus su laiko žymomis ir naudotojų identifikatoriais
Palaikyti IAB TCF 2.3 programinei reklamai
Integruoti Google Consent Mode V2 atitikties reklamų rodymui
Leisti lengvai atšaukti sutikimą bet kuriuo metu
Rodyti naudotojo kalba

Kaip FlexyConsent apsaugo jus

FlexyConsent sukurtas specialiai siekiant užkirstą kelią aukščiau aprašytiems pažeidimams:

Automatinis skriptų blokavimas: Joks sekimas nevykdomas iki sutikimo davimo
Atitinkantis skydelio dizainas: Lygūs sutikimo/atsisakymo mygtukai, jokių tamsiųjų šablonų
Auditui pasirengę žurnalai: Kiekvienas sutikimo sprendimas fiksuojamas su laiko žymomis
Google sertifikuota CMP: Atitinka Google reikalavimus EEE reklamų rodymui
IAB TCF 2.3: Galiojančios sutikimo eilutės programinei reklamai
Consent Mode V2: Natyvus Google integravimas matavimo tęstinumui
43 kalbos: Automatinis lokalizavimas pasaulinių lankytojų
Geografinis taikymas: Regionui tinkantys skydeliai GDPR, CCPA, LGPD ir kitiems

🔌

Oficialus WordPress įskiepis

FlexyConsent WordPress

Įdiekite tiesiogiai iš WordPress įskiepių katalogo. Natyvus konfigūravimas iš jūsų WP administratoriaus skydelio — nereikia kodavimo.

→

🛒

Oficiali Shopify programa

FlexyConsent Shopify

Įdiekite iš Shopify App Store. Natyviai valdykite slapukų sutikimą iš savo Shopify administratoriaus — vieno paspaudimo sąranka.

→

🏪

Oficialus PrestaShop priedas

FlexyConsent PrestaShop

Prieinamas PrestaShop Addons Marketplace. Natyvus administravimo konfigūravimas ir valdymas.

→