Наблюдательные органы ЕС договорились, как бороться с некоторыми темными шаблонами согласия на использование файлов cookie

Баннеры с согласием на использование файлов cookie, которые используют вопиющие приемы дизайна, чтобы попытаться манипулировать веб-пользователями, чтобы они согласились передавать свои данные для поведенческой рекламы, вместо того, чтобы дать людям свободный и справедливый выбор отказаться от этого ужасающего трека, они сталкиваются с скоординированным давлением из Европы. Регуляторы защиты данных Союза.

Рабочая группа из нескольких DPA под руководством CNIL Франции совместно с австрийскими властями потратила несколько месяцев на совместную работу по анализу баннеров cookie. И в отчет опубликованные на этой неделе, они достигли определенного консенсуса в отношении того, как подходить к жалобам на определенные типы моделей согласия на темные файлы cookie в их соответствующих юрисдикциях.

Рабочая группа была созвана в ответ на сотни стратегических жалоб, поданных в период с 2021 по 2022 год Европейской группой по защите прав на неприкосновенность частной жизни. ночь – которая разработала собственный инструмент, помогающий автоматизировать анализ баннеров файлов cookie на веб-сайтах и ​​создавать отчеты и жалобы (хитрый трюк небольшой некоммерческой организации для масштабирования своего стратегического влияния).

Файлы cookie и другие технологии отслеживания подпадают под действие Директивы ЕС об электронной конфиденциальности, что означает, что надзор за баннерами файлов cookie обычно децентрализован и осуществляется регулирующими органами в государствах-членах. Это означает, что вокруг блока могут применяться разные правила, в зависимости от того, где размещен рассматриваемый веб-сайт. (Например, регулирующие органы в некоторых государствах-членах разрешают новостным сайтам предлагать пользователям выбор между согласием на отслеживание рекламы для получения (бесплатного) доступа к контенту или оплатой подписки для бесследного доступа, хотя такие «платные права доступа к файлам cookie» остаются , спорные и вряд ли пройдет встреча с любым DPA.)

Учитывая степень консенсуса, о которой сообщила рабочая группа, предполагается, что будет некоторое согласование в том, как DPA обеспечивают соблюдение жалоб, связанных с дизайном баннеров с согласием на использование файлов cookie — например, подавляющее большинство органов власти согласны с тем, что отсутствие «отклонить все “. Опция на том же уровне, что и кнопка «принять все», является нарушением ePrivacy. Таким образом, вероятны дополнительные меры против сайтов, которые пытаются скрыть возможность отказа от отслеживания.

Целевая группа также согласилась с тем, что потоки согласия, которые представляют предварительно проверенные варианты (т. е. как еще одна тактика, чтобы попытаться подтолкнуть к соглашению), не являются действительным согласием, что никого не должно удивлять, поскольку Верховный суд Европы уже разъяснил необходимость активного согласия. для отслеживания всех файлов cookie. возвращение в 2019 году.

За последние пять лет или около того, с момента вступления в силу еще одного закона ЕС, который ужесточает правила, касающиеся согласия, а именно Общего регламента по защите данных (GDPR), DPA, безусловно, уделяют больше внимания согласиям на использование файлов cookie. В том числе и как накопились жалобы на рутинный способ проглатывания правил.

Это, в свою очередь, побудило многих обновить (и ужесточить) свои рекомендации по этому вопросу, из-за чего сайтам стало сложнее заявлять, что правила отслеживания согласия неясны.

Также были введены приложения, причем некоторые наблюдатели очень активны, например, французский CNIL, который с 2020 года оштрафовал ряд технологических гигантов (включая Amazon, Google, Meta, Microsoft и TikTok) за различные нарушения, связанные с файлами cookie. , в том числе несколько мер (и штрафов) за использование темных шаблонов, чтобы попытаться манипулировать согласием.

Правоприменительная деятельность CNIL также привела к корректирующим распоряжениям, которые помогли внести некоторые серьезные изменения в дизайн — в том числе Google пересмотрел баннер cookie, который он отображал в ЕС в прошлом году, чтобы (наконец-то) представить вариант первого уровня «отклонить все». Это настоящая победа.

И поскольку CNIL играла ведущую роль в координации работы целевой группы, кажется, что часть его удобства распространяется на его партнеров DPA.

В пресс-релиз в дополнение к принятию Европейским советом по защите данных отчета рабочей группы в начале этой недели и подводит итоги, французский регулирующий орган пишет: «В этом отчете, в частности, говорится, что подавляющее большинство органов власти считают, что «отсутствие какой-либо возможности отклонить / отказаться / нет согласия. куки-файлы на том же уровне, на котором ожидается принятие их хранения, представляют собой нарушение законодательства (статья 5(3) Директивы о конфиденциальности). CNIL уже занял такую ​​позицию в своих директивах и в контексте нескольких санкций.

В дополнение к соглашению о необходимости того, чтобы кнопка «принять все» сопровождалась кнопкой «отклонить все», целевая группа согласилась с тем, что дизайн баннеров с файлами cookie должен предоставлять пользователям Интернета достаточно информации, чтобы вы могли понять, что они из себя представляют. согласия и как выразить свой выбор.

И что баннеры файлов cookie не должны создаваться таким образом, чтобы у пользователя создавалось «впечатление, что он должен дать согласие на доступ к содержимому веб-сайта, или что это явно подталкивает пользователя к даче согласия», как говорится в отчете. говорит.

Они также договорились о некоторых примерах дизайна файлов cookie, которые они могли бы использовать. нет приводит к действующему согласию, например, когда дизайн таков, что «единственное предлагаемое альтернативное действие (кроме предоставления согласия) состоит из ссылки за фразой, такой как «отклонить» или «продолжить без принятия»», встроенной в абзац текста в баннер cookie, при отсутствии достаточной визуальной поддержки, чтобы привлечь внимание обычного пользователя к этому альтернативному действию»; или когда «единственное предлагаемое альтернативное действие (помимо предоставления согласия) состоит из ссылки за формулировкой, такой как «отклонить» или «продолжить без принятия», размещенной за пределами баннера cookie, где представлены кнопки для принятия файлов cookie, при отсутствии достаточного … визуальная поддержка для привлечения внимания пользователя к этому альтернативному действию вне рамок».

Так что, по сути, у них есть некоторый консенсус, чтобы исключить некоторые распространенные темные шаблоны баннеров cookie.

Но что касается визуальных уловок, таких как использование цветов выделения, которые можно было выбрать, чтобы привлечь внимание к кнопке «принять все» и затруднить просмотр варианта отклонения, целевая группа решила, что l ‘индивидуальный анализ аспекта . и ощущение (и вероятность того, что такой выбор дизайна будет явно вводить в заблуждение) будет необходимо в большинстве случаев. И я согласен с тем, что не их дело навязывать общий стандарт баннера (в отношении цвета и/или контраста) контролерам данных.

Они также согласились с тем, что отказ от всех кнопок, разработанных таким образом, чтобы сделать текст «нечитаемым практически для любого пользователя», может «явно вводить пользователей в заблуждение».

Другие проблемы, которыми занималась целевая группа, включают недавнее дополнение к аду согласия на использование файлов cookie, в котором сайты могут пытаться (также) заявлять о «законном интересе» для обработки рекламы. Иногда добавление набора дополнительных переключателей рядом с основными кнопками законного согласия, которые обычно отображаются только во вторичном меню (или в другом подменю) и где верхний уровень не предлагает опцию «отклонить все» — вместо того, чтобы спрашивать пользователя нажать. в настройках, чтобы обнаружить это сбивающее с толку отсутствие переключателей (иногда с предварительно проверенными LI).

«Интеграция этого понятия законного интереса для последующей обработки» в более глубокие слои баннера «может сбить с толку пользователей, которые могут подумать, что им придется дважды отказывать, если они не обрабатывают свои личные данные», — говорится в отчете. наблюдать за этим.

Целевая группа также договорилась о том, как регулирующие органы должны определять, является ли любая последующая обработка на основе файлов cookie законной, заявив, что это будет включать определение того, осуществляется ли «хранение/получение доступа к информации с помощью файлов cookie или аналогичных технологий в соответствии со статьей 5 (3) директивы ePrivacy. (и национальные правила реализации) — любая последующая обработка выполняется в соответствии с GDPR. 24».

«В связи с этим члены рабочей группы посчитали, что замеченное несоблюдение ст. 5 (3) в директиве ePrivacy (в частности, когда действительное согласие не получено в случае необходимости), означает, что последующая обработка может не соответствовать GDPR 5. Кроме того, члены TF подтвердили, что Правовая основа для размещение/чтение файлов cookie в соответствии со статьей 5 (3) не может быть законным интересом контролера», — добавили они в отчете.

Хотя у них, похоже, есть в значительной степени сдержанное суждение о том, как бороться с новым бедствием переключателей LI, появляющихся в потоках согласия на использование файлов cookie, заявив, что они «согласны возобновить обсуждение этого типа практики, если они столкнутся с конкретными случаями, где будет необходимо дальнейшее обсуждение обеспечить последовательный подход».

Рабочая группа также обсудила, что делать с сайтами, которые пытаются классифицировать определенные несущественные процессы обработки данных как строго необходимые/существенные — и, таким образом, группировать их в категорию, не требующую согласия в ePrivacy или GDPR. Однако они считали, что существуют практические трудности в определении того, какая трансформация является строго необходимой.

«Члены Целевой группы согласны с тем, что оценка файлов cookie для определения того, какие из них являются важными, вызывает практические трудности, в частности, из-за того, что характеристики файлов cookie регулярно меняются, что препятствует созданию стабильного и надежного списка таких основных файлов cookie», — сказали они. . он написал «Было обсуждено наличие инструментов для составления списка файлов cookie, используемых веб-сайтом, а также ответственность владельцев веб-сайта за ведение таких списков и предоставление их компетентным органам по запросу, а также демонстрацию необходимости куки. список.”

По другому вопросу — об отзыве согласия — они согласились с тем, что владельцы веб-сайтов должны внедрить «легкодоступные решения, которые позволяют пользователям отозвать свое согласие в любое время», приведя в качестве примера небольшую иконку («перемещенную и постоянно видимую») или ссылка “размещена на видном и стандартизированном месте”.

Однако они снова не смогли навязать пользователям конкретный стандартизированный способ отказа от согласия с владельцами сайтов, заявив, что их можно только попросить реализовать его. «легкодоступные решения» после достижения консенсуса.

«Всегда будет необходим индивидуальный анализ решения, отображаемого для отзыва согласия. В этом анализе необходимо изучить, является ли в результате юридическое требование, от которого так же легко отказаться, как и дать согласие, “, – добавили они.