Що відбувається, коли ви не збираєте згоду: Реальні штрафи та кейси
Вважаєте, що банери згоди необов'язкові? Вважаєте, що простого сповіщення про файли cookie достатньо? Регулятори не погоджуються — і мають докази. З моменту набуття чинності GDPR у 2018 році органи захисту даних по всій Європі та поза нею виписали штрафів на суму понад 4,5 мільярда євро. Багато з них були безпосередньо пов'язані з недотриманням вимог щодо отримання дійсної згоди користувачів.
Ось реальні справи, реальні цифри і що вони означають для вашого бізнесу.
Найбільші штрафи, пов'язані зі згодою, в історії
Meta (Facebook/Instagram) – Ірландія, 2023
Ірландський DPC встановив, що Meta передавала дані користувачів ЄС до США без дійсних правових механізмів і належної згоди. Це залишається найбільшим штрафом GDPR, який будь-коли був накладений. Також у січні 2023 року Meta була оштрафована на 390 мільйонів євро за примушування користувачів приймати персоналізовану рекламу як умову використання Facebook та Instagram — явне порушення вимоги «вільно наданої» згоди.
Amazon – Люксембург, 2021
Amazon був оштрафований за обробку персональних даних для таргетованої реклами без належної згоди користувачів. Люксембурзький орган захисту даних (CNPD) встановив, що система таргетування реклами Amazon не відповідає вимогам GDPR щодо згоди.
Google – Франція (CNIL), 2022
CNIL оштрафував Google, оскільки механізм згоди на файли cookie на google.fr та youtube.com дозволяв легко прийняти всі файли cookie одним кліком, але для їх відхилення потрібно було кілька кліків. Ця асиметрична конструкція — коли відмова складніша за прийняття — була визнана порушенням принципу «вільно наданої» згоди.
TikTok – Ірландія, 2023
TikTok був оштрафований за обробку персональних даних дітей без належних заходів щодо згоди та прозорості. DPC встановив, що облікові записи дітей за замовчуванням були встановлені як публічні, а параметри конфіденційності платформи не були достатньо доступними.
Criteo – Франція (CNIL), 2023
Компанія рекламних технологій була оштрафована за збір даних про перегляди мільйонів користувачів за допомогою файлів cookie відстеження без доведення того, що дійсна згода була отримана. CNIL встановив, що Criteo не могло продемонструвати дійсний ланцюжок згоди з веб-сайтів, де були розміщені файли cookie.
Це не лише великі технологічні компанії: Штрафи для малого бізнесу
Не думайте, що штрафи призначені лише для технологічних гігантів. Органи захисту даних по всій Європі регулярно штрафують малий та середній бізнес за порушення згоди:
- Іспанська AEPD: Регулярно видає штрафи від 2 000 до 60 000 євро малому бізнесу за розміщення файлів cookie без згоди або відсутність політики cookie.
- Італійський Garante: Оштрафував невеликий сайт електронної комерції на 20 000 євро за використання Google Analytics без дійсних механізмів передачі згоди.
- Французький CNIL: Оштрафував медичний сайт на 150 000 євро за збір конфіденційних даних через форми без явної згоди.
- Австрійська DSB: Визнала використання Google Analytics без згоди незаконним, створивши прецедент, який вплинув на тисячі підприємств.
- Бельгійська APD: Оштрафувала IAB Europe на 250 000 євро за проблеми з рядком згоди TCF, продемонструвавши, що навіть сам фреймворк згоди підлягає примусовому виконанню.
Понад штрафи: Приховані витрати
Фінансові санкції — лише верхівка айсберга. Реальна шкода часто включає:
- Репутаційна шкода: Штрафи GDPR є публічним записом. Ваш бренд асоціюється з порушеннями конфіденційності в новинних матеріалах та результатах пошуку.
- Втрата доходів від реклами: Без сертифікованого CMP Google може обмежити показ реклами в ЄЕЗ. Видавці повідомляли про падіння доходів на 30–70%, коли їхня конфігурація згоди не відповідає вимогам.
- Юридичні витрати: Захист від скарг, відповіді на розслідування DPA та реструктуризація практики роботи з даними можуть коштувати сотні тисяч у юридичних гонорарах.
- Операційні збої: DPA можуть зобов'язати вас повністю припинити обробку даних до досягнення відповідності — фактично закриваючи ваш онлайн-бізнес.
- Ризик колективних позовів: GDPR уможливлює колективні правові дії. Споживчі організації в Австрії, Франції та Німеччині подавали колективні позови проти компаній за порушення згоди.
Найпоширеніші помилки у згоді, що призводять до штрафів
- Попередньо відмічені поля згоди: GDPR явно забороняє це. Згода має бути стверджувальною дією.
- Cookie walls: Блокування доступу до контенту, якщо користувачі не приймають всі файли cookie, не є «вільно наданою» згодою.
- Асиметричні кнопки: Виділення кнопки «Прийняти» при прихованні або мінімізації кнопки «Відхилити» порушує принцип вільно наданої згоди.
- Об'єднана згода: Поєднання згоди для кількох цілей в одну дію «Прийняти» позбавляє користувачів конкретного вибору, на який вони мають право.
- Відсутність механізму відкликання: Якщо користувачі не можуть легко змінити або відкликати згоду, весь процес збору згоди є недійсним.
- Відсутні записи про згоду: Без журналів із позначками часу, що показують, хто надав згоду, коли та на що, ви не можете довести відповідність під час перевірки.
- Відстеження до отримання згоди: Завантаження аналітики, рекламних пікселів або маркетингових скриптів до того, як користувач зробив вибір, є найпоширенішим — і найбільш легко виявленим — порушенням.
Як регулятори виявляють невідповідність
Органи захисту даних не просто чекають на скарги. Вони активно сканують веб-сайти за допомогою автоматизованих інструментів, які виявляють:
- Файли cookie, що встановлюються до будь-якої взаємодії зі згодою
- Відсутні або неповні банери згоди
- Недійсні або прострочені рядки згоди
- Скрипти відстеження, що спрацьовують до реєстрації згоди
- Асиметричні дизайни банерів, що сприяють прийняттю
Наприклад, французький CNIL перевірив тисячі веб-сайтів і виписав десятки штрафів виключно на основі автоматизованого виявлення — без будь-яких скарг від користувачів.
Як виглядає належна згода у 2026 році
Щоб уникнути штрафів і захистити свій бізнес, ваша реалізація згоди повинна:
- Блокувати всі несуттєві файли cookie та скрипти до надання явної згоди
- Забезпечувати однакову візуальну вагу для варіантів Прийняти і Відхилити
- Дозволяти детальний вибір за категорією файлів cookie (аналітика, маркетинг, функціональні)
- Зберігати записи про згоду з позначками часу та ідентифікаторами користувачів
- Підтримувати IAB TCF 2.3 для програматичної реклами
- Інтегрувати Google Consent Mode V2 для сумісного показу реклами
- Дозволяти легке відкликання згоди будь-коли
- Відображатися мовою користувача
Як FlexyConsent захищає вас
FlexyConsent створений спеціально для запобігання порушенням, описаним вище:
- Автоматичне блокування скриптів: Жодне відстеження не запускається до отримання згоди
- Сумісний дизайн банера: Однакові кнопки Прийняти/Відхилити, ніяких темних патернів
- Журнали, готові до аудиту: Кожне рішення про згоду записується з позначками часу
- Google-сертифікований CMP: Відповідає вимогам Google для показу реклами в ЄЕЗ
- IAB TCF 2.3: Дійсні рядки згоди для програматичної реклами
- Consent Mode V2: Нативна інтеграція Google для безперервності вимірювань
- 43 мови: Автоматична локалізація для глобальних відвідувачів
- Геотаргетинг: Банери, адаптовані до регіону, для GDPR, CCPA, LGPD та інших