Що насправді являє собою EDPB Cookie Banner Taskforce

Taskforce є координаційним органом, а не самостійним регулятором. Вона була заснована відповідно до Article 70 GDPR, яка надає EDPB повноваження сприяти співпраці між національними органами захисту даних з питань спільного інтересу. Поштовхом стала кампанія скарг, поданих noyb — правозахисною організацією з питань конфіденційності Макса Шремса — проти сотень веб-сайтів у всьому ЄС. Оскільки ці скарги торкнулися органів майже в кожній державі-члені, EDPB вирішила створити єдиний форум, де DPA можуть обмінюватися нотатками та досягти спільної аналітичної бази. Результати роботи taskforce мають форму звітів, що документують, які дизайнерські рішення вважаються порушеннями вимог щодо згоди, впорядкованих за категоріями.

Ця структура має практичне значення. Звіти не є обов'язковими так, як є обов'язковими регламент або національний штраф, але вони описують консенсусну позицію кожного європейського DPA. Коли національний орган розпочинає розслідування, він може — і все частіше це робить — посилатися на висновки taskforce як на доказ того, що оскаржуваний патерн банера вже був визнаний невідповідним ширшою регуляторною спільнотою. Для видавців практичний ефект полягає в тому, що будь-який банер, який пройшов перевірку за критеріями taskforce, може бути захищений у всьому ЄС. Будь-який банер, що не відповідає цим критеріям, одночасно є вразливим скрізь.

Шість категорій, на яких зосереджується taskforce

Taskforce групує свої висновки у шість пересічних проблемних областей. Кожна з них відповідає дизайнерському патерну, який неодноразово зустрічався у скаргах noyb і який DPA спільно позначили як порушення.

1. Відсутність кнопки відхилення на першому шарі

Найбільш цитований висновок у звітах. Якщо відвідувач бачить кнопку «Прийняти все» на початковому банері, але не бачить рівнозначної кнопки «Відхилити все», вибір не є вільним. Варіанти прийняти та відхилити повинні бути представлені з однаковою помітністю на одному шарі. Ховати шлях відхилення за посиланням «Керувати налаштуваннями» — це найпоширеніший патерн у заходах з виконання сьогодні.

2. Попередньо встановлені прапорці

Попередній вибір згоди для будь-якої несуттєвої категорії — навіть однієї — анулює весь запис згоди відповідно до Recital 32 GDPR. Taskforce розглядає це як порушення per se. Сучасні CMP поставляються з цим вимкненим за замовчуванням, але застарілі реалізації та власноруч зроблені банери часто досі попередньо встановлюють категорії аналітики або маркетингу.

3. Оманливий дизайн посилань

Називати шлях відхилення «Докладніше» або оформляти його як текстове посилання з низьким контрастом, тоді як кнопка прийняти є кольоровим блоком з високим контрастом, створює дисбаланс, який taskforce вважає оманливим дизайнерським патерном. Усунення є простим: відповідна вага шрифту, контрастність кольорів і стиль кнопок між «прийняти» та «відхилити».

4. Неправильна класифікація файлів cookie як «необхідних»

Деякі оператори намагалися повністю уникнути вимоги щодо згоди, перейменувавши файли cookie аналітики, реклами або соціальних мереж на «суворо необхідні». Taskforce була чіткою: файл cookie є необхідним лише в тому випадку, якщо веб-сайт не може функціонувати без нього з точки зору користувача. Файли cookie аналітики, A/B тестування, реклами та персоналізації не відповідають цим критеріям. Неправильне маркування їх саме по собі є порушенням, незалежно від базового відстеження.

5. Відсутність механізму відкликання

Відкликати згоду має бути так само легко, як і надавати її. Банер, який приймає згоду одним кліком, але змушує користувачів проходити через багатоетапне меню налаштувань для відкликання, не проходить цей тест. Taskforce конкретно вимагає постійного елемента керування — зазвичай плаваючої іконки або посилання у нижньому колонтитулі — яке повертає відвідувача до початкового інтерфейсу згоди.

6. Дизайн банера, що приховує вибір

Це найширша і найбільш суб'єктивна категорія. Вона включає накладення, що блокують вміст сторінки до надання згоди, банери, кнопка відхилення яких знаходиться за межами видимої частини, колірні схеми, що роблять шлях відхилення майже невидимим, та анімацію, що відволікає увагу від вибору. Спільним є те, що дизайн підштовхує користувача до прийняття, а не представляє нейтральний вибір.

Що це означає для виконання

Taskforce не накладає штрафи. Це роблять національні DPA. Але оскільки кожен європейський орган підписався під аналізом taskforce, ризик виконання для цих конкретних патернів тепер є однаковим по всьому ЄС. CNIL у Франції видала найбільшу кількість штрафів, пов'язаних з файлами cookie, на сьогодні, але італійський Garante, іспанський AEPD, органи влади на рівні федеральних земель Німеччини та ірландський DPC — всі відкрили розслідування, посилаючись на аргументацію відповідно до taskforce. Навіть UK ICO, яка знаходиться за межами регуляторного периметру ЄС, опублікувала рекомендації, що тісно відповідають категоріям taskforce.

Що це зближення означає на практиці — видавці більше не можуть розглядати відповідність як вправу країна за країною. Аудит банера повинен вимірюватися відповідно до категорій taskforce як єдиного контрольного списку. Якщо банер не відповідає будь-якій з шести, ризик — це не один DPA, а вся мережа нагляду ЄС.

Практичний контрольний список аудиту

Найшвидший спосіб привести наявний банер у відповідність — це перевірити його за наведеними вище категоріями та відповісти на кожен пункт задокументованим «так» або «ні». Питання навмисно конкретні.

• Баланс першого шару. Чи пропонує початковий банер явну кнопку «Відхилити все» або «Продовжити без прийняття» на тій самій поверхні, що й «Прийняти все», з відповідним стилем?
• Стан за замовчуванням. Чи всі перемикачі несуттєвих категорій встановлені в положення «вимкнено» за замовчуванням у поданні налаштувань?
• Чіткість посилання. Чи позначено шлях відхилення дієсловом, що описує дію (наприклад, «Відхилити все», «Відхилити несуттєве»), а не неоднозначною фразою на кшталт «Більше варіантів» або «Налаштування»?
• Класифікація файлів cookie. Чи підтвердили ви, що кожен файл cookie, зазначений як «суворо необхідний», справді потрібен для функціонування сайту, а не для аналітики, реклами чи зручності?
• Доступ до відкликання. Чи є на кожній сторінці постійний елемент UI, який повторно відкриває банер згоди, не більше кліків, ніж вимагало первісне прийняття?
• Без темних патернів. Чи уникає банер вибору кольору, розміру або анімації, що створює суттєвий візуальний дисбаланс між прийняттям і відхиленням?

Банер, який дає шість чітких «так» на цей контрольний список, може бути захищений від поточного виконання відповідно до taskforce. Банер, який дає навіть одне «ні», слід розглядати як проект усунення недоліків, а не як завдання з технічного обслуговування.

Куди рухається taskforce далі

Опубліковані звіти охоплюють патерни, які спровокували початкову хвилю скарг. Поточна робота taskforce — помітна через періодичні оновлення, що виходять від EDPB — тепер просувається у важчу, менш усталену територію. Три сфери, швидше за все, визначать наступний раунд рекомендацій.

Моделі «плати або дай згоду»

Рішення кількох великих європейських видавців запропонувати відвідувачам бінарний вибір між оплатою підписки та згодою на відстеження привернуло пряму увагу. EDPB у 2024 році висловила думку, що ставить під сумнів, чи може такий вибір вважатися вільно наданим, коли альтернативою є платний доступ. Від taskforce очікується публікація скоординованих критеріїв, коли «плати або дай згоду» є допустимим, а коли переходить у примус.

Втома від згоди та гранулярність

Дуже гранульовані поверхні згоди для кожного постачальника, як-от ті, що генеруються IAB TCF, критикувалися за те, що вони викликають втому від згоди і зрештою не є «поінформованими» у значенні GDPR. Майбутні рекомендації taskforce, швидше за все, просуватимуть елементи управління на рівні категорій, а не на рівні постачальника на першому шарі.

Мобільні поверхні та підключені ТВ

Рання робота taskforce здебільшого зосереджувалася на веб-банерах. Потоки згоди у мобільних додатках та інтерфейси підключеного ТВ мають різні дизайнерські обмеження і ще не були предметом детальних висновків. Видавці, що працюють на цих поверхнях, повинні очікувати скоординованих рекомендацій протягом наступних 12–18 місяців і не повинні припускати, що відповідний патерн веб-банера автоматично перекладається.

Підбиваємо підсумки

Taskforce зробила те, що GDPR сама по собі не могла: вона виробила єдине, операційне тлумачення того, як виглядає згода на практиці по всьому Європейському Союзу. Для видавців урок полягає в тому, що ера пошуку юрисдикцій або опори на млявий національний нагляд закінчилася. Правильна відповідь — розглядати категорії taskforce як обов'язковий внутрішній стандарт, проводити аудит наявних банерів відповідно до них та налаштовувати інфраструктуру управління згодою так, щоб категорії виконувалися на рівні платформи, а не залишалися на впровадження на рівні окремих сторінок. Сучасна CMP, яка чітко відповідає шести категоріям — збалансовані кнопки першого шару, перемикачі вимкнені за замовчуванням, чіткі мітки відхилення простою мовою, точна класифікація файлів cookie, постійний доступ до відкликання та нейтральний дизайн — перетворює відкриту позицію відповідності на захищену одночасно на кожному європейському ринку.