EDPB slapukų reklamjuosčių darbo grupė: 2026 m. atitikties pamokos leidėjams ir rinkodarininkams
Daugelį metų visoje Europos Sąjungoje veikiantys leidėjai galėjo pasikliauti viena patogiai ramdinančia fikcija: kiekviena duomenų apsaugos institucija GDPR ir ePrivacy direktyvą aiškino šiek tiek skirtingai, todėl slapukų reklamjuostė, praėjusi patikrinimą vienoje šalyje, tikriausiai praeidavo visur. Ta fikcija dabar dingo. Europos duomenų apsaugos valdybos slapukų reklamjuosčių darbo grupė, pradėjusi veikti 2022 m., kad koordinuotų atsaką į tarptautinių skundų bangą, tapo artimiausiu dalyku prie vieningos ES slapukų sutikimo taisyklių knygos. Jos ataskaitos — išsamiai, reklamjuostė po reklamjuostės — aprašo dizaino modelius, kuriuos reguliuotojai kolektyviai nusprendė esant neatitinkančiais reikalavimų. Kiekvienas, valdantis sutikimo reklamjuostę europietiškame sraute, turėtų darbo grupės pozicijas laikyti de facto atskaitos tašku, nes nacionalinės institucijos jau pradėjo tiesiogiai jas cituoti vykdymo sprendimuose.
Kas iš tikrųjų yra EDPB slapukų reklamjuosčių darbo grupė
Darbo grupė yra koordinavimo institucija, o ne reguliuotojas savaime. Ji buvo įsteigta pagal GDPR 70 straipsnį, kuris EDPB suteikia įgaliojimus skatinti bendradarbiavimą tarp nacionalinių duomenų apsaugos institucijų bendro intereso klausimais. Postūmis buvo noyb — Maxo Schremso privatumo gynimo grupės — pateiktų skundų kampanija prieš šimtus svetainių visoje ES. Kadangi tie skundai palietė institucijas beveik kiekvienoje valstybėje narėje, EDPB nusprendė sukurti vieną forumą, kuriame DPA galėtų keistis pastabomis ir pasiekti bendrą analitinę sistemą. Darbo grupės rezultatas pasireiškia ataskaitų forma, kuriose dokumentuojama, kurie dizaino pasirinkimai laikomi sutikimo reikalavimų pažeidimais, suskirstytais pagal kategorijas.
Ta struktūra praktiškai svarbi. Ataskaitos nėra privalomos taip, kaip privalomos reglamentai ar nacionaliniai baudžiamai sprendimai, tačiau jos apibūdina kiekvienos Europos DPA konsensuso poziciją. Kai nacionalinė institucija pradeda tyrimą, ji gali — ir vis dažniau tai daro — nurodyti darbo grupės išvadas kaip įrodymą, kad ginčijamas reklamjuostės modelis jau buvo pripažintas neatitinkančiu reikalavimų platesnės reguliavimo bendruomenės. Leidėjams praktinis poveikis yra tas, kad bet kuri reklamjuostė, patikrinta pagal darbo grupės kriterijus, yra ginčijama visoje ES. Bet kuri reklamjuostė, neatitinkanti tų kriterijų, yra pažeidžiama visur vienu metu.
Šešios kategorijos, kurioms darbo grupė skiria dėmesį
Darbo grupė skirsto savo išvadas į šešias persidengiančias problemų sritis. Kiekviena atitinka dizaino modelį, kuris pakartotinai pasikartojo noyb skunduose ir kurį DPA kolektyviai pažymėjo kaip pažeidimą.
1. Nėra atmetimo mygtuko pirmame lygmenyje
Dažniausiai cituojama ataskaitų išvada. Jei lankytojas pradinėje reklamjuostėje mato mygtuką „Priimti viską”, bet nėra lygiaverčio mygtuko „Atmesti viską”, pasirinkimas nėra laisvai suteiktas. Priėmimo ir atmetimo parinktys turi būti pateiktos vienodo svarbumu tame pačiame lygmenyje. Atmetimo kelio užslėpimas už „Tvarkyti nuostatas” nuorodos šiandien yra dažniausias vykdymo veiksmų modelis.
2. Iš anksto pažymėti žymimieji laukeliai
Sutikimo iš anksto pasirinkimas bet kuriai nebūtinajai kategorijai — net vienai — pagal GDPR 32 Konstatuojamąją dalį panaikina visą sutikimo įrašą. Darbo grupė tai laiko savaime pažeidimu. Šiuolaikiniai CMP pagal numatytuosius nustatymus pristatomi su išjungtu šiuo nustatymu, tačiau senesnės implementacijos ir namuose sukurtos reklamjuostės dažnai vis dar iš anksto pažymi analitiką arba rinkodaros kategorijas.
3. Apgaulingas nuorodos dizainas
Atmetimo kelio pavadinimas „Daugiau informacijos” arba formatavimas kaip mažo kontrasto tekstinė nuoroda, kai priėmimo mygtukas yra didelį kontrastą turintis spalvotas blokas, sukuria disbalansą, kurį darbo grupė laiko apgaulingu dizaino modeliu. Sprendimas yra paprastas: šrifto storio, spalvų kontrasto ir mygtuko stiliaus atitikimas tarp priėmimo ir atmetimo.
4. Slapukų neteisingas priskyrimas prie „būtinų”
Kai kurie operatoriai bandė visiškai išvengti sutikimo reikalavimo, pervadinant analitinius, reklaminius arba socialinės medijos slapukus kaip griežtai būtinus. Darbo grupė buvo aiški: slapukas yra būtinas tik tada, jei svetainė be jo negali veikti iš vartotojo perspektyvos. Analitikos, A/B testavimo, reklamos ir personalizavimo slapukai neatitinka šio kriterijaus. Pats neteisingas jų ženklinimas yra pažeidimas, nepriklausomas nuo pagrindinės stebėsenos.
5. Nėra atšaukimo mechanizmo
Sutikimas turi būti taip pat lengvai atšaukiamas, kaip buvo suteiktas. Reklamjuostė, kuri priima sutikimą vienu paspaudimu, bet verčia vartotojus pereiti daugiapakopį nustatymų meniu jam atšaukti, neišlaiko šio patikrinimo. Darbo grupė konkrečiai reikalauja nuolatinės valdymo priemonės — paprastai plaukiojančios piktogramos arba poraštės nuorodos — kuri grąžina lankytoją į pradinę sutikimo sąsają.
6. Reklamjuostės dizainas, slepianti pasirinkimą
Tai plačiausia ir subjektyviausia kategorija. Ji apima perdangos, blokuojančias puslapio turinį, kol nesuteiktas sutikimas, reklamjuostes, kurių atmetimo mygtukas yra žemiau linijos, spalvų schemas, dėl kurių atmetimo kelias yra beveik nematomas, ir animacijas, nukreipiančias dėmesį nuo pasirinkimo. Bendra gija yra ta, kad dizainas verčia vartotoją priimti, o ne pateikia neutralų pasirinkimą.
Ką tai reiškia vykdymui
Darbo grupė neskiria baudų. Tai daro nacionalinės DPA. Tačiau kadangi kiekviena Europos institucija pritarė darbo grupės analizei, vykdymo rizika šiems konkretiems modeliams dabar yra vienoda visoje ES. CNIL Prancūzijoje išdavė daugiausia su slapukais susijusių baudų iki šiol, tačiau italų Garante, ispanų AEPD, vokiečių valstijų lygio institucijos ir airių DPC visos pradėjo tyrimus cituodamos su darbo grupe suderintą argumentaciją. Net UK ICO, esantis už ES reguliavimo perimetro, paskelbė gaires, glaudžiai atitinkančias darbo grupės kategorijas.
Ką šis konvergavimas praktiškai reiškia: leidėjai nebegali laikyti atitikties šalies po šalies vykdoma pratybomis. Reklamjuostės auditas turėtų būti matuojamas pagal darbo grupės kategorijas kaip vieningą kontrolinį sąrašą. Jei reklamjuostė neatitinka bet kurios iš šešių, rizika yra ne viena DPA, o visas Europos priežiūros tinklas.
Praktinis audito kontrolinis sąrašas
Greičiausias būdas pritaikyti esamą reklamjuostę yra ją paleisti pagal aukščiau nurodytas kategorijas ir į kiekvieną atsakyti dokumentuotu taip arba ne. Klausimai sąmoningai konkretūs.
- Pirmojo lygmens balansas. Ar pradinė reklamjuostė siūlo aiškų „Atmesti viską” arba „Tęsti nepriimant” mygtuką tame pačiame paviršiuje kaip „Priimti viską”, su panašiu stiliumi?
- Numatytoji būsena. Ar visos nebūtinų kategorijų perjungikliai nustatymuose pagal numatytuosius nustatymus išjungti?
- Nuorodos aiškumas. Ar atmetimo kelias pažymėtas veiksmažodžiu, apibūdinančiu veiksmą (pvz., „Atmesti viską”, „Atmesti nebūtinus”), o ne dviprasmiška fraze kaip „Daugiau parinkčių” arba „Nustatymai”?
- Slapukų klasifikavimas. Ar patikrinote, kad kiekvienas „griežtai būtinu” pažymėtas slapukas tikrai reikalingas svetainės veikimui, o ne analizei, reklamai ar patogumo funkcijoms?
- Atšaukimo prieiga. Ar kiekviename puslapyje yra nuolatinis UI elementas, iš naujo atidarantis sutikimo reklamjuostę, neatlikus daugiau paspaudimų nei reikėjo pradiniame priėmime?
- Jokių tamsių modelių. Ar reklamjuostė vengia spalvų, dydžio arba animacijos pasirinkimų, kurie sukuria reikšmingą vaizdinį disbalansą tarp priėmimo ir atmetimo?
Reklamjuostė, gaunanti šešis aiškius taip atsakymus į tą kontrolinį sąrašą, yra ginčijama prieš dabartinį darbo grupės suderintą vykdymą. Reklamjuostė, gaunanti bent vieną ne, turėtų būti traktuojama kaip taisymo projektas, o ne priežiūros užduotis.
Kur darbo grupė juda toliau
Paskelbtos ataskaitos apima modelius, kurie sukėlė pradinę skundų bangą. Vykstantis darbo grupės darbas — matomas per periodiškai EDPB skelbiamus atnaujinimus — dabar įžengia į sudėtingesnę, mažiau nusistovėjusią teritoriją. Tikėtina, kad trys sritys apibrėš kitą gairių etapą.
Mokėjimo arba sutikimo modeliai
Kelių didelių Europos leidėjų sprendimas pasiūlyti lankytojams binarinį pasirinkimą tarp prenumeratos mokėjimo ir sekimo sutikimo sulaukė aiškios kontrolės. EDPB 2024 m. paskelbė nuomonę, abejodama, ar toks pasirinkimas gali būti laikomas laisvai suteiktu, kai alternatyva yra mokama siena. Tikimasi, kad darbo grupė paskelbs koordinuotus kriterijus, kada mokėjimas arba sutikimas yra leistinas ir kada jis virsta prievarta.
Sutikimo nuovargis ir granuliarumas
Labai granuliarūs kiekvieno tiekėjo sutikimo paviršiai, tokie kaip sukuriami IAB TCF, buvo kritikuojami dėl sutikimo nuovargio ir galutinai ne „informuoto” GDPR prasme. Būsimos darbo grupės gairės greičiausiai skatins kategorijų lygio, o ne tiekėjų lygio valdiklius pirmame lygmenyje, tiekėjų lygio atskleidimas bus galimas, bet nereikalaujamas pradiniam galiojančiam sutikimui.
Mobilieji ir connected-TV paviršiai
Ankstyvasis darbo grupės darbas daugiausia buvo sutelktas į žiniatinklio reklamjuostes. Mobiliųjų programų sutikimo srautai ir connected-TV sąsajos turi skirtingus dizaino apribojimus ir dar nebuvo išsamių išvadų objektas. Leidėjai, veikiantys tuose paviršiuose, turėtų tikėtis koordinuotų gairių per artimiausius 12–18 mėnesių ir neturėtų manyti, kad atitinkantis žiniatinklio reklamjuostės modelis automatiškai atitiks kitus.
Viso to apibendrinimas
Darbo grupė padarė tai, ko pats GDPR negalėjo: ji parengė vieną veiklos interpretaciją, kaip sutikimas atrodo praktiškai visoje Europos Sąjungoje. Leidėjams pamoka tokia: jurisdikcijų keitinėjimo arba pasikliovimo silpnu nacionaliniu vykdymu era baigėsi. Teisingas atsakas yra darbo grupės kategorijas laikyti privalomais vidiniais standartais, atlikti esamų reklamjuosčių auditą pagal jas ir konfigūruoti sutikimo valdymo infrastruktūrą taip, kad kategorijos būtų vykdomos platformos lygmeniu, o ne paliktos kiekvieno puslapio implementacijai. Šiuolaikinis CMP, aiškiai susiejamas su šešiomis kategorijomis — subalansuoti pirmojo lygmens mygtukai, numatytojo išjungimo perjungikliai, aiškios kalbos atmetimo etiketės, tiksli slapukų klasifikacija, nuolatinė atšaukimo prieiga ir neutralus dizainas — ekspozuotą atitikties poziciją vienu metu paverčia ginčijama kiekvienoje Europos rinkoje.