Raport dotyczący banerów cookie – czy Twój baner spełnia zalecenia?

Grupa została powołana w odpowiedzi na działania organizacji NOYB None Of Your Bussiness. NOYB to organizacja utworzona przez Maxa Schremsa. Najbardziej znana jest z postępowań przed TSUE, w których wyniku doszło do unieważnienia dwóch umów regulujących transfer danych pomiędzy UE i USA (Safe Harbour i Privacy Shield). Zgodnie z przyjętą przez TSUE terminologią właśnie od nazwiska Maxa Schremsa pochodzą określenia wyroków unieważniających te decyzje: Schrems I i Schrems II.

Od marca 2021 r. NOYB skierował do ponad 700 podmiotów w 33 krajach UE projekty skarg w związku z niezgodnym z RODO używaniem przez nie banerów cookie. W Polsce były to m.in. TVN SA, TVP SA, Interia, PKO BP. 

Wraz z projektem skargi podmioty te otrzymały wezwanie do dostosowania w ciągu miesiąca banerów cookie tak, aby były one zgodne z przepisami obowiązującymi w UE. Dodatkowo NOYB do wezwania załączał również poradnik, który krok po kroku opisywał proces dostosowania banerów do wymogów RODO.

W przypadku braku reakcji po miesiącu wobec podmiotu, który nie dostosował banera na swojej stronie internetowej, kierowano skargę do właściwego organu nadzorczego (w Polsce UODO).

Zgodnie z analizą przeprowadzoną przez NOYB większość naruszeń dotyczyła m.in.:

Podczas posiedzenia plenarnego we wrześniu 2021 r. EROD zgodnie ze swoim komunikatem „podjęła decyzję o utworzeniu grupy zadaniowej w celu koordynowania odpowiedzi na skargi dotyczące banerów cookie złożone przez NOYB”.

Grupa zadaniowa miała na celu promowanie współpracy, wymiany informacji i najlepszych praktyk między organami nadzorczymi. W szczególności miała:

17 stycznia 2023 r. grupa zadaniowa opublikowała raport ze swoich prac. Zgodnie z oświadczeniem grupy nie jest on zbiorem wytycznych ani zaleceń dla administratorów, ale wskazuje minimalny zakres koniecznej analizy, jaką organy nadzorcze powinny przeprowadzić podczas rozpatrywania skarg złożonych przez NOYB.

Jeżeli spojrzeć na zakres tej analizy, to jednoznacznie możemy stwierdzić, że pokrywa się z wytycznymi NOYB. Jeśli jeszcze ktoś ma wątpliwości, jak powinny zostać wdrożone banery i informacje o cookies, to raport może okazać się w tym zakresie pomocny.

Grupa zadaniowa zwróciła przede wszystkim uwagę na następujące naruszenia związane z banerami cookie:

1. BRAK PRZYCISKU „ODRZUĆ” W PIERWSZEJ WARSTWIE INFORMACYJNEJ.

W tym wypadku większość organów nadzorczych stoi na stanowisku, że brak takiego przycisku narusza wymagania stawiane wobec prawidłowo wyrażonej zgody na podstawie przepisów dyrektywy ePrivacy. Pojawiły się również zdania odrębne, ale niestety w raporcie nie wskazano, z jakich krajów członkowskich. Organy nadzorcze nie miały jednak wątpliwości, że zgoda na pliki cookie, które tego wymagają, musi być wyrażona poprzez aktywne działanie użytkownika.

2. DOMYŚLNIE ZAZNACZONE OKIENKA WYBORU (CHECKBOX).

Według autorów raportu nie możemy mówić o prawidłowo wyrażonej zgodzie, jeżeli została wyrażona poprzez „milczenie, wstępnie zaznaczone pola lub brak aktywności ze strony użytkownika”. Dotyczy to również odznaczenia zgody (opt-out) np. popularna opcja wyboru pomiędzy „zatwierdź wszystkie” i „przejdź do ustawień”.

3. WPROWADZAJĄCE W BŁĄD SFORMUŁOWANIE TREŚCI LINKÓW.

Dotyczy to sytuacji, gdy baner nie zawiera przycisku „odrzuć wszystkie”, ale link prowadzący do opcji odrzucenia plików cookies (bezpośredni link do odrzucenia lub link do drugiej warstwy). Członkowie grupy zadaniowej zgodzili się, że właściciel strony internetowej nie może projektować banerów z plikami cookie tak, aby użytkownicy mieli wrażenie, że muszą wyrazić zgodę, aby uzyskać dostęp do treści strony, ani w taki sposób, który wyraźnie nakłania użytkownika do wyrażenia zgody. Jako przykłady takich czynności zostały wskazane dwie sytuacje:

4. WPROWADZAJĄCE W BŁĄD OZNACZENIA KOLORYSTYCZNE BANERÓW.

Grupa nie wskazała, jakie kolory będą odpowiednie dla konkretnych przycisków i czy każda sytuacja wymaga odrębnej analizy. Jednak przynamniej należy zweryfikować, czy zastosowany kontrast i kolory w oczywisty sposób nie wprowadzają użytkowników w błąd i nie powodują niezamierzonego – i tym samym nieważnego – wyrażenia przez nich zgody. Jako przykład została podana sytuacja, gdy kontrast między tekstem a tłem przycisku jest tak minimalny, że tekst jest nieczytelny dla praktycznie każdego użytkownika.

5. UZASADNIONY INTERES JAKO PODSTAWA PRZETWARZANIA DANYCH.

Raport potwierdza, że podstawą prawną umieszczania/odczytywania plików cookie zgodnie z art. 5 (3) dyrektywy ePrivacy nie może być uzasadniony interesy administratora danych.

6. NIEPRAWIDŁOWA KLASYFIKACJA PLIKÓW NIEZBĘDNYCH.

Choć klasyfikacja, które pliki są rzeczywiście niezbędne, może nastręczać problemy, to jednak jest to obowiązek administratora. Według grupy zadaniowej klasyfikacja istotne/ściśle niezbędne jest nadużywana.

7. WYCOFANIE ZGODY POWINNO BYĆ TAK SAMO ŁATWE JAK JEJ WYRAŻENIE.

Właściciele stron internetowych powinni wprowadzić łatwo dostępne rozwiązania umożliwiające użytkownikom wycofanie zgody w dowolnym momencie np. ikonę lub link umieszczony w widocznym i standardowym miejscu.

Raport nie jest zbiorem wytycznych, na których może bezpośrednio oprzeć się administrator wdrażający zarządzanie plikami cookies. Stanowi jednak przydatne narzędzie i wskazówkę, jak organy nadzorcze będą interpretować poszczególne obszary zarządzania cookies, i sugeruje minimalny zakres badania, któremu zostanie poddana strona internetowa w przypadku wniesienia skargi. Pod uwagę będą również brane przepisy danego kraju członkowskiego oraz stan faktyczny konkretnej sprawy.