Kaj se zgodi, ko ne zbirate soglasja: Dejanske globe in študije primerov
Menite, da so pasice za soglasje neobvezne? Menite, da zadostuje preprosto obvestilo o piškotkih? Regulatorji se ne strinjajo — in imajo dokaze. Odkar je GDPR začel veljati leta 2018, so organi za varstvo podatkov po Evropi in zunaj nje izdali globe v višini več kot 4,5 milijarde evrov. Mnoge od teh so bile neposredno povezane z neuspehom pri zbiranju veljavnega soglasja uporabnikov.
Tukaj so resnični primeri, resnične številke in kaj pomenijo za vaše podjetje.
Največje globe, povezane s soglasjem, v zgodovini
Meta (Facebook/Instagram) – Irska, 2023
Irski DPC je ugotovil, da je Meta prenašala podatke uporabnikov EU v ZDA brez veljavnih pravnih mehanizmov in ustreznega soglasja. To ostaja največja kadar koli izrečena globa po GDPR. Meta je bila januarja 2023 kaznovana tudi z 390 milijoni evrov, ker je prisilila uporabnike, da sprejmejo personalizirano oglaševanje kot pogoj za uporabo Facebooka in Instagrama — jasna kršitev zahteve po soglasju, ki je «prostovoljno dano».
Amazon – Luksemburg, 2021
Amazon je bil kaznovan za obdelavo osebnih podatkov za ciljano oglaševanje brez ustreznega soglasja uporabnikov. Luksemburški organ za varstvo podatkov (CNPD) je ugotovil, da sistem ciljanja oglasov pri Amazonu ne izpolnjuje zahtev GDPR glede soglasja.
Google – Francija (CNIL), 2022
CNIL je kaznoval Google, ker je mehanizem za soglasje k piškotkom na google.fr in youtube.com omogočal enostavno sprejetje vseh piškotkov z enim klikom, za njihovo zavrnitev pa je bilo potrebnih več klikov. Ta asimetrična zasnova — pri kateri je zavrnitev težja kot sprejetje — je bila označena za kršitev načela «prostovoljno danega» soglasja.
TikTok – Irska, 2023
TikTok je bil kaznovan za obdelavo osebnih podatkov otrok brez ustreznih ukrepov soglasja in preglednosti. DPC je ugotovil, da so bili otroški računi privzeto nastavljeni na javne in da nastavitve zasebnosti platforme niso bile dovolj dostopne.
Criteo – Francija (CNIL), 2023
Podjetje za oglaševalsko tehnologijo je bilo kaznovano za zbiranje podatkov o brskanju milijonov uporabnikov prek sledilnih piškotkov brez dokazila o pridobitvi veljavnega soglasja. CNIL je ugotovil, da Criteo ni mogel dokazati veljavne verige soglasja s spletnih mest, kjer so bili piškotki nameščeni.
Ni samo za velika podjetja: Globe za mala podjetja
Ne mislite, da so globe samo za tehnološke velikane. Organi za varstvo podatkov po vsej Evropi redno kaznujejo mala in srednje velika podjetja za kršitve soglasja:
- Španska AEPD: Redno izdaja globe od 2 000 do 60 000 evrov malim podjetjem za nastavljanje piškotkov brez soglasja ali pomanjkanje pravil o piškotkih.
- Italijanski Garante: Kaznoval majhno spletno trgovino z 20 000 evri za uporabo Google Analytics brez veljavnih mehanizmov prenosa soglasja.
- Francoski CNIL: Kaznoval zdravstveno spletno mesto s 150 000 evri za zbiranje občutljivih podatkov prek obrazcev brez izrecnega soglasja.
- Avstrijski DSB: Odločil, da je uporaba Google Analytics brez soglasja nezakonita, s čimer je ustvaril precedens, ki je vplival na tisoče podjetij.
- Belgijska APD: Kaznovala IAB Europe s 250 000 evri za težave z nizom soglasja TCF, s čimer je dokazala, da je tudi sam okvir soglasja predmet izvrševanja.
Poleg glob: Skriti stroški
Finančne kazni so le vrh ledene gore. Resnična škoda pogosto vključuje:
- Škoda ugledu: Globe po GDPR so javni zapis. Vaša blagovna znamka se v novicah in rezultatih iskanja poveže s kršitvami zasebnosti.
- Izguba prihodkov od oglaševanja: Brez certificiranega CMP lahko Google omeji prikazovanje oglasov v EGP. Založniki so poročali o 30–70-odstotnem padcu prihodkov, ko njihova nastavitev soglasja ni skladna.
- Pravni stroški: Obramba pred pritožbami, odgovarjanje na preiskave APD in prestrukturiranje praks ravnanja s podatki lahko stane na stotisoče v pravnih honorarjih.
- Operativne motnje: APD vam lahko naložijo, da popolnoma prenehate z obdelavo podatkov, dokler ni dosežena skladnost — kar dejansko zapre vaše spletno poslovanje.
- Tveganje skupinskih tožb: GDPR omogoča kolektivne pravne ukrepe. Potrošniške organizacije v Avstriji, Franciji in Nemčiji so vložile skupinske tožbe proti podjetjem za kršitve soglasja.
Najpogostejše napake pri soglasju, ki vodijo do glob
- Vnaprej označena polja za soglasje: GDPR to izrecno prepoveduje. Soglasje mora biti potrditveno dejanje.
- Cookie walls: Blokiranje dostopa do vsebine, razen če uporabniki sprejmejo vse piškotke, ni «prostovoljno dano» soglasje.
- Asimetrični gumbi: Poudarjanje gumba «Sprejmi» pri skrivanju ali zmanjševanju gumba «Zavrni» krši načelo prostovoljno danega soglasja.
- Združeno soglasje: Kombiniranje soglasja za več namenov v eno samo dejanje «Sprejmi» uporabnikom odreka posebno izbiro, do katere so upravičeni.
- Brez mehanizma umika: Če uporabniki ne morejo preprosto spremeniti ali umakniti soglasja, je celotno zbiranje soglasij neveljavno.
- Manjkajoči zapisi soglasij: Brez žigosanih dnevnikov, ki kažejo, kdo je dal soglasje, kdaj in za kaj, med revizijo ne morete dokazati skladnosti.
- Sledenje pred soglasjem: Nalaganje analitike, oglaševalskih pikslov ali trženjskih skriptov, preden se uporabnik odloči, je najpogostejša — in najlažje zaznana — kršitev.
Kako regulatorji odkrivajo neskladnost
Organi za varstvo podatkov ne čakajo samo na pritožbe. Aktivno pregledujejo spletna mesta z avtomatiziranimi orodji, ki zaznajo:
- Piškotke, nastavljene pred kakršno koli interakcijo soglasja
- Manjkajoče ali nepopolne pasice soglasja
- Neveljavne ali potekle nize soglasij
- Sledilne skripte, ki se izvajajo preden je soglasje zabeleženo
- Asimetrične zasnove pasic, ki dajejo prednost sprejemanju
Francoski CNIL je na primer pregledal tisoče spletnih mest in izdal desetine glob izključno na podlagi avtomatizirane zaznave — brez kakršne koli pritožbe uporabnika.
Kako je videti pravilno soglasje leta 2026
Da bi se izognili globam in zaščitili svoje podjetje, mora vaša implementacija soglasja:
- Blokirati vse nebistvene piškotke in skripte, dokler ni dano izrecno soglasje
- Zagotoviti enako vizualno težo možnostim Sprejmi in Zavrni
- Omogočiti podrobno izbiro po kategoriji piškotkov (analitika, trženje, funkcionalnost)
- Shranjevati zapise soglasij s časovnimi žigi in identifikatorji uporabnikov
- Podpirati IAB TCF 2.3 za programatično oglaševanje
- Integrirati Google Consent Mode V2 za skladno prikazovanje oglasov
- Omogočiti enostaven umik soglasja kadar koli
- Prikazovati v jeziku uporabnika
Kako vas FlexyConsent ščiti
FlexyConsent je zgrajen posebej za preprečevanje kršitev, opisanih zgoraj:
- Samodejno blokiranje skriptov: Nobeno sledenje se ne izvede, dokler ni dano soglasje
- Skladna zasnova pasice: Enaki gumbi Sprejmi/Zavrni, brez temnih vzorcev
- Dnevniki, pripravljeni za revizijo: Vsaka odločitev o soglasju zabeležena s časovnimi žigi
- Google certificiran CMP: Izpolnjuje Googlove zahteve za prikazovanje oglasov v EGP
- IAB TCF 2.3: Veljavni nizi soglasij za programatično oglaševanje
- Consent Mode V2: Nativna Googlova integracija za kontinuiteto merjenja
- 43 jezikov: Samodejna lokalizacija za globalne obiskovalce
- Geografsko ciljanje: Pasice, prilagojene regiji, za GDPR, CCPA, LGPD in drugo