Czym naprawdę jest EDPB Cookie Banner Taskforce

Taskforce jest organem koordynacyjnym, a nie regulatorem samym w sobie. Została powołana na mocy Article 70 GDPR, który upoważnia EDPB do ułatwiania współpracy między krajowymi organami ochrony danych w kwestiach wspólnego zainteresowania. Impulsem była kampania skarg złożonych przez noyb — grupę rzecznictwa prywatności Maxa Schremsa — przeciwko setkom stron internetowych w całej UE. Ponieważ skargi te dotyczyły organów w prawie każdym państwie członkowskim, EDPB zdecydowała się utworzyć jedno forum, gdzie DPA mogły porównywać uwagi i wypracować wspólne ramy analityczne. Wyniki prac taskforce mają formę raportów dokumentujących, które wybory projektowe są uznawane za naruszenia wymogów dotyczących zgody, podzielonych na kategorie.

Ta struktura ma praktyczne znaczenie. Raporty nie są wiążące w taki sam sposób jak rozporządzenie czy krajowa grzywna, ale opisują stanowisko konsensusowe każdego europejskiego DPA. Gdy krajowy organ wszczyna dochodzenie, może — i coraz częściej to robi — wskazywać na ustalenia taskforce jako dowód, że kwestionowany wzorzec banera został już uznany za niezgodny przez szerszą społeczność regulacyjną. Dla wydawców praktyczny efekt jest taki, że każdy baner zatwierdzony według kryteriów taskforce jest możliwy do obrony w całej UE. Każdy baner, który nie spełnia tych kryteriów, jest narażony wszędzie naraz.

Sześć kategorii, na których skupia się taskforce

Taskforce grupuje swoje ustalenia w sześć nakładających się obszarów problemowych. Każdy z nich odpowiada wzorcowi projektowemu, który pojawiał się wielokrotnie w skargach noyb i który DPA zbiorowo oznaczyły jako naruszenie.

1. Brak przycisku odrzucenia na pierwszej warstwie

Najczęściej cytowane ustalenie w raportach. Jeśli odwiedzający widzi przycisk Zaakceptuj wszystko na początkowym banerze, ale nie ma równoważnego przycisku Odrzuć wszystko, wybór nie jest dobrowolny. Opcje akceptacji i odrzucenia muszą być prezentowane z równą widocznością na tej samej warstwie. Ukrywanie ścieżki odrzucenia za linkiem Zarządzaj preferencjami jest dziś najczęstszym wzorcem w działaniach egzekucyjnych.

2. Wstępnie zaznaczone pola wyboru

Wstępne wybranie zgody dla jakiejkolwiek kategorii innej niż niezbędna — nawet jednej — unieważnia cały zapis zgody na mocy Recital 32 GDPR. Taskforce traktuje to jako naruszenie samo w sobie. Nowoczesne CMP dostarczane są z domyślnie wyłączoną tą opcją, ale starsze implementacje i domowe banery nadal często wstępnie zaznaczają kategorie analityczne lub marketingowe.

3. Zwodniczy design linków

Nazywanie ścieżki odrzucenia Więcej informacji lub stylizowanie jej jako linku tekstowego o niskim kontraście, podczas gdy przycisk akceptacji jest kolorowym blokiem o wysokim kontraście, tworzy nierównowagę, którą taskforce uznaje za zwodniczy wzorzec projektowy. Rozwiązanie jest proste: dopasowanie grubości czcionki, kontrastu kolorów i stylu przycisków między akceptacją a odrzuceniem.

4. Błędna klasyfikacja plików cookie jako niezbędnych

Niektórzy operatorzy próbowali całkowicie uniknąć wymogu zgody, przemianowując pliki cookie analityczne, reklamowe lub z mediów społecznościowych jako ściśle niezbędne. Taskforce była wyraźna: plik cookie jest niezbędny tylko wtedy, gdy strona internetowa nie może bez niego funkcjonować z perspektywy użytkownika. Pliki cookie analityczne, A/B testing, reklamowe i personalizacyjne nie kwalifikują się. Błędne oznaczanie ich jest samo w sobie naruszeniem niezależnym od leżącego u podstaw śledzenia.

5. Brak mechanizmu wycofania

Cofnięcie zgody musi być równie łatwe, jak jej udzielenie. Baner, który przyjmuje zgodę jednym kliknięciem, ale zmusza użytkowników do przejścia przez wieloetapowe menu ustawień w celu jej odwołania, nie przechodzi tego testu. Taskforce wyraźnie wzywa do trwałej kontroli — zazwyczaj pływającej ikony lub linku w stopce — która przywraca odwiedzającego do pierwotnej powierzchni zgody.

6. Design banera utrudniający dokonanie wyboru

To najszersza i najbardziej subiektywna kategoria. Obejmuje nakładki blokujące zawartość strony do czasu udzielenia zgody, banery, których przycisk odrzucenia znajduje się poniżej linii widoczności, schematy kolorów sprawiające, że ścieżka odrzucenia jest prawie niewidoczna, i animacje odwracające uwagę od wyboru. Wspólny wątek jest taki, że design wywiera presję na użytkownika w kierunku akceptacji zamiast prezentować neutralny wybór.

Co to oznacza dla egzekucji

Taskforce nie nakłada grzywien. Robią to krajowe DPA. Ale ponieważ każdy europejski organ zaakceptował analizę taskforce, ryzyko egzekucyjne dla tych konkretnych wzorców jest teraz jednolite w całej UE. CNIL we Francji wydała dotychczas największą serię grzywien związanych z plikami cookie, ale włoski Garante, hiszpański AEPD, niemieckie organy na poziomie landów i irlandzki DPC otworzyły dochodzenia powołując się na uzasadnienie zgodne z taskforce. Nawet UK ICO, który jest poza peryferiami regulacyjnymi UE, opublikował wytyczne ściśle odzwierciedlające kategorie taskforce.

W praktyce ta konwergencja oznacza, że wydawcy nie mogą już traktować zgodności jako ćwiczenia kraj po kraju. Audyt banera powinien być mierzony względem kategorii taskforce jako ujednoliconej listy kontrolnej. Jeśli baner nie spełnia którejkolwiek z sześciu, ryzyko dotyczy nie jednego DPA, ale całej europejskiej sieci nadzorczej.

Praktyczna lista kontrolna audytu

Najszybszym sposobem dostosowania istniejącego banera jest porównanie go z powyższymi kategoriami i udzielenie udokumentowanej odpowiedzi tak lub nie na każdy punkt. Pytania są celowo konkretne.

• Równowaga pierwszej warstwy. Czy początkowy baner oferuje wyraźny przycisk Odrzuć wszystko lub Kontynuuj bez akceptowania na tej samej powierzchni co Zaakceptuj wszystko, z porównywalnym stylem?
• Stan domyślny. Czy wszystkie przełączniki kategorii niezbędnych są domyślnie wyłączone w widoku preferencji?
• Jasność linku. Czy ścieżka do odrzucenia jest oznaczona czasownikiem opisującym działanie (np. Odrzuć wszystko, Odrzuć nieistotne), a nie niejednoznaczną frazą jak Więcej opcji lub Ustawienia?
• Klasyfikacja plików cookie. Czy zweryfikowałeś, że każdy plik cookie wymieniony jako ściśle niezbędny jest rzeczywiście wymagany do działania strony, a nie do celów analitycznych, reklamowych ani funkcji wygodnych?
• Dostęp do wycofania. Czy na każdej stronie istnieje trwały element UI, który ponownie otwiera baner zgody, z nie więcej kliknięć niż wymagała oryginalna akceptacja?
• Brak ciemnych wzorców. Czy baner unika wyborów kolorystycznych, rozmiarowych lub animacyjnych, które tworzą znaczącą wizualną nierównowagę między akceptacją a odrzuceniem?

Baner, który daje sześć wyraźnych odpowiedzi tak na tę listę kontrolną, jest możliwy do obrony przed obecną egzekucją zgodną z taskforce. Baner, który daje choćby jedną odpowiedź nie, powinien być traktowany jako projekt naprawczy, a nie zadanie konserwacyjne.

Dokąd zmierza taskforce

Opublikowane raporty obejmują wzorce, które wywołały pierwotną falę skarg. Bieżące prace taskforce — widoczne przez okresowe aktualizacje wydawane przez EDPB — wkraczają teraz w trudniejsze, mniej uregulowane terytorium. Trzy obszary prawdopodobnie zdefiniują następną rundę wytycznych.

Modele płać lub wyraź zgodę

Decyzja kilku dużych europejskich wydawców, aby oferować odwiedzającym binarny wybór między płaceniem subskrypcji a wyrażeniem zgody na śledzenie, przyciągnęła wyraźną kontrolę. EDPB wydała opinię w 2024 roku, kwestionując, czy taki wybór może być uznany za dobrowolny, gdy alternatywą jest paywall. Oczekuje się, że taskforce opublikuje skoordynowane kryteria dotyczące tego, kiedy płać lub wyraź zgodę jest dopuszczalne i kiedy przekracza granicę przymusu.

Zmęczenie zgodą i szczegółowość

Wysoce szczegółowe powierzchnie zgody per-vendor, takie jak te generowane przez IAB TCF, były krytykowane za wywoływanie zmęczenia zgodą i ostatecznie za brak poinformowania w rozumieniu GDPR. Przyszłe wytyczne taskforce prawdopodobnie będą popychać w kierunku kontroli na poziomie kategorii, a nie na poziomie dostawcy na pierwszej warstwie, z ujawnianiem na poziomie dostawcy dostępnym, ale nie wymaganym dla wstępnej ważnej zgody.

Powierzchnie mobilne i telewizji połączonej

Większość wczesnych prac taskforce skupiała się na banerach internetowych. Mobilne przepływy zgody w aplikacjach i interfejsy telewizji połączonej mają inne ograniczenia projektowe i nie były jeszcze przedmiotem szczegółowych ustaleń. Wydawcy działający na tych powierzchniach powinni spodziewać się skoordynowanych wytycznych w ciągu najbliższych 12 do 18 miesięcy i nie powinni zakładać, że zgodny wzorzec banera internetowego tłumaczy się automatycznie.

Łącząc to wszystko

Taskforce dokonała czegoś, czego GDPR sam nie mógł: stworzyła jednolitą, operacyjną interpretację tego, jak zgoda wygląda w praktyce w całej Unii Europejskiej. Dla wydawców lekcja jest taka, że era szukania jurysdykcji lub polegania na luźnej krajowej egzekucji dobiegła końca. Właściwą odpowiedzią jest traktowanie kategorii taskforce jako wiążącego standardu wewnętrznego, audytowanie istniejących banerów na ich podstawie i konfigurowanie infrastruktury zarządzania zgodą tak, aby kategorie były egzekwowane na poziomie platformy, a nie pozostawiane do implementacji per-strona. Nowoczesny CMP, który czysto mapuje się na sześć kategorii — zrównoważone przyciski pierwszej warstwy, domyślnie wyłączone przełączniki, jasne etykiety odrzucenia, dokładna klasyfikacja plików cookie, trwały dostęp do wycofania i neutralny design — przekształca wystawioną postawę zgodności w możliwą do obrony pozycję na każdym europejskim rynku jednocześnie.