EDPB je usvojio izvješće radne skupine za skočne prozore s kolačićima, koja je osnovana u rujnu 2021. za koordinaciju odgovora na 500 pritužbi koju je podnio noyb. CNIL je koordinirao ovaj rad s austrijskim vlastima. Održano je 13 radnih sastanaka koji su doveli do usvajanja izvješća sa zaključcima provedenih analiza. Ovaj nacrt i elementi oko kojih su postignuti usuglašeni stavovi omogućit će nadležnim tijelima smjer postupanja po zaprimljenim pritužbama.
U izvješću su se DPA-i složili oko zajedničkog stava u tumačenju primjenjivih odredbi ePrivacy Direktive i GDPR-a, o pitanjima kao što su gumb za odbijanje, unaprijed označeni okvir za pristanak, dizajn skočnog prozora ili gumba za povlačenje privole. Ovo izvješće posebno navodi da velika većina nadležnih tijela smatra da nepostojanje bilo koje opcije za odbijanje/nepristajanje na kolačiće na istoj razini kao što je ona predviđena za prihvaćanje njihove pohrane predstavlja kršenje zakona (članak 5(3) ePrivacy Direktive). CNIL je već zauzeo takav stav u svojim smjernicama i u kontekstu nekoliko sankcija. Osobito u pogledu dizajna natpisa, nadzorna tijela su zaključila da pružene informacije moraju omogućiti korisnicima da razumiju na što pristaju i kako izraziti svoj izbor. Međutim, smatraju da ne mogu nametnuti standard u pogledu boje ili kontrasta na svim web stranicama. Skočni prozor se mora pregledati od slučaja do slučaja kako bi se utvrdilo ne dovodi li korisnike u zabludu odabrani dizajn (npr. boja/kontrast).
Prema izvješću EDPB-a sljedeće uobičajene prakse se jasno smatraju protuzakonitima prema pravu EU-a:
- Nema opcije odbijanja na prvom stupnju (skriveno je u podstupnju)
- Unaprijed označeni okviri umjesto aktivnog pristanka
- Male poveznice u drugom tekstu za odbijanje pristanka
- Poveznice koje nisu na skočnom prozoru za odbijanje pristanka
- Pozivanje na legitiman interes za omogućavanje kolačića koji nisu nužni (i ne traženje privole)
- Nepostojanje stalne mogućnosti povlačenja privole
U nastavku donosimo prijevod izvješća.
Izvješće radne skupine za kolačiće
Napomena
Stavovi predstavljeni u ovom dokumentu proizlaze iz koordinacije članova radne skupine s ciljem rješavanja pritužbi u vezi s kolačićima primljenih od noyb-a. Oni odražavaju zajednički stav koji su dogovorila nadzorna tijela u svom tumačenju primjenjivih odredbi e-Privacy Direktive i primjenjivih odredbi GDPR-a za analizu koju treba voditi pri rješavanju ovih pritužbi. Odražavaju minimalnu razinu u ovoj višestrukoj procjeni slojevitog pravnog okvira za kolačiće i naknadnu obradu prikupljenih podataka. Oni ne predstavljaju samostalne preporuke ili nalaze koji služe za dobivanje zelenog svjetla od nadležnog tijela. Stajališta ne prejudiciraju analizu koju će morati napraviti nadležna tijela za svaku pritužbu i svaku pojedinu web stranicu. Ova se stajališta moraju kombinirati s primjenom dodatnih nacionalnih zahtjeva koji proizlaze iz nacionalnih zakona koji ostaju u potpunosti primjenjivi i kojima se implementira ePrivacy Direktiva u državama članicama, kao i s daljnjim pojašnjenjima i smjernicama koje daju nacionalna nadležna tijela za provedbu zakona.
Nakon trinaest sastanaka članova radne skupine za koordinaciju njihovih radnji u rješavanju pritužbi primljenih od noyba-a, primijećene su sljedeće točke:
Primjenjivi pravni okvir
Gdje se pritužbe odnose na postavljanje ili čitanje kolačića, članovi radne skupine potvrdili su da je primjenjivi okvir samo nacionalni zakon kojim se prenosi ePrivacy Direktiva na postavljanje kolačića.
U vezi s naknadnim aktivnostima obrade koje poduzima voditelj obrade podataka, što znači obrada koja se odvija nakon pohrane ili dobivanja pristupa informacijama pohranjenim u terminalnoj opremi korisnika u skladu s člankom 5. stavkom 3. Direktive 2002/58/EZ (na primjer, postavljanje ili čitanje kolačića), članovi su potvrdili da je primjenjivi okvir GDPR (uključujući privolu, čak i ako je dana u trenutku postavljanja kolačića, u mjeri u kojoj ta privola predstavlja pravnu osnovu za naknadu obradu), u skladu sa zaključcima Mišljenja EDPB-a 5/2019 o povezanosti ePrivacy Direktive i Opće uredbe o zaštiti podataka.
U skladu s okvirom e-privatnosti, podsjetilo se da su određeni pojmovi iz GDPR-a (npr. uvjeti za valjanu privolu i pravo na informacije) neophodni za procjenu postoji li kršenje nacionalnog zakona kojim se prenosi ePrivacy Direktiva ili ne.
Primjena OSS-a
Članovi su podsjetili da se One Stop Shop mehanizam ne primjenjuje na pitanja koja potpadaju pod ePrivacy Direktivu.
Kada se primjenjuje GDPR, članovi radne skupine zauzeli su stav da se članak 4(23)(b) može primijeniti, ali se sam po sebi ne odnosi na pritužbe protiv vlasnika web stranica samo zato što web stranici možete pristupiti iz svih država članica. CSA-ovi će se identificirati na temelju činjeničnih elemenata za donošenje zaključaka o prekograničnim slučajevima.
Praksa tipa A – „bez gumba za odbijanje na prvom stupnju”
Čini se da neki skočni prozori koji prikazuju nekoliko voditelja obrade sadrže gumb za prihvaćanje pohranjivanja kolačića i gumb koji ispitaniku omogućuje pristup daljnjim opcijama, ali bez gumba za odbijanje kolačića.
Kao preliminarnu napomenu, članovi radne skupine podsjetili su da prema zadanim postavkama nijedan kolačić koji zahtijeva pristanak ne može biti postavljen bez pristanka i da pristanak mora biti izražen pozitivnom radnjom od strane korisnika.
Kada su nadzorna tijela upitana bi li smatrali da skočni prozor koji ne nudi opcije prihvaćanja i odbijanja/neslaganja/nepristanka na bilo kojem stupnju predstavlja kršenje ePrivacy Direktive, velika većina nadležnih tijela smatrala je da nepostojanje opcija odbijanja/neslaganja/nepristanka nije u skladu sa zahtjevima za važeću privolu i stoga predstavlja povredu. Manji broj nadležnih tijela smatralo je da se ne radi o povredi u ovom slučaju budući da članak 5. stavak 3. ePrivacy Direktive i elektroničkim komunikacijama ne spominje izričito „opciju odbijanja” za pohranjivanje kolačića.
Praksa tipa B – „unaprijed označene kućice“
Čini se da nekoliko voditelja obrade pruža korisnicima nekoliko opcija (obično predstavljaju svaku kategoriju kolačića koje voditelj želi pohraniti) s unaprijed označenim okvirima na drugom stupnju bannera za kolačiće (nakon što je korisnik kliknuo na gumb "Postavke" u prvom stupnju).
Članovi radne skupine potvrdili su da unaprijed označeni okviri za uključivanje ne dovode do valjanog pristanka kako je navedeno u GDPR-u (uvodna izjava 32 „Šutnja, unaprijed kvačicom označeno polje ili manjak aktivnosti stoga se ne bi smjeli smatrati privolom.” ) ili u članku 5. stavku 3. ePrivacy Direktive.
Praksa tipa C - varljivi „dizajni veze“
Čini se da neki skočni prozori koji prikazuju nekoliko voditelja obrade sadrže poveznicu, a ne gumb, kao opciju za odbijanje kolačića (izravna poveznica za odbijanje ili poveznica na drugi stupanj gdje korisnik može odbiti pohranu kolačića).
Članovi radne skupine složili su se da bi u svakom slučaju trebala postojati jasna naznaka o čemu se u skočnom prozoru radi, kao i o svrsi privole koja se traži i o tome kako pristati na kolačiće.
Članovi su se složili da bi korisnik morao moći razumjeti na što pristaje i kako to učiniti kako bi privola bila valjana. Kako bi privola bila slobodno dana, članovi radne skupine su se složili da ni u kojem slučaju vlasnik web stranice ne smije dizajnirati skočne prozore na način da kod korisnika ostavlja dojam da moraju dati privolu za pristup sadržaju web stranice, niti da jasno prisili korisnika na davanje pristanka (jedan od načina bi mogao biti da se dopusti nastavak surfanja bez kolačića s prve razine, na primjer).
Članovi radne skupine složili su se da sljedeći primjeri ne dovode do valjanih suglasnosti (nije konačan popis):
- jedina ponuđena alternativna radnja (osim davanja suglasnosti) sastoji se od poveznice iza riječi kao što su 'odbiti' ili 'nastaviti bez prihvaćanja' ugrađen u odlomak teksta u banneru kolačića, u nedostatku dovoljne vizualne potpore koja bi skrenula pozornost prosječnog korisnika na ovu alternativnu radnju;
- jedina ponuđena alternativna radnja (osim davanja pristanka) sastoji se od poveznice iza riječi kao što su 'odbiti' ili 'nastavi bez prihvaćanja' postavljene izvan natpisa kolačića gdje su prikazani gumbi za prihvaćanje kolačića, u nedostatku dovoljne vizualne podrške skrenuti pozornost korisnika na ovu alternativnu akciju izvan okvira;
Praksa tipa D i E prakse: „obmanjujuće boje gumbova“ i „obmanjujući kontrast gumbova“
Čini se da konfiguracija nekih skočnih prozora u smislu boja i kontrasta gumba ("omjer kontrasta između gumba za prihvaćanje i pozadine) ” – praksa tipa D) može dovesti do jasnog isticanja gumba „prihvati sve” pored dostupnih opcija.
Članovi radne skupine složili su se zajedno ispitati prakse tipa D i E jer su pitanja povezana i pokreću slične točke rasprave.
Članovi radne skupine složili su se da se opći standard skočnog prozora koji se tiče boje i/ili kontrasta ne može nametnuti voditeljima obrade podataka. Kako bi se ocijenila sukladnost skočnog prozora, mora se provesti provjera od slučaja do slučaja kako bi se provjerilo da kontrast i korištene boje ne dovode korisnike u zabludu i da ne dovode do nenamjernog i, kao takvog, njihovog nevažećeg pristanka.
Kao rezultat toga, također je dogovoreno da će analiza od slučaja do slučaja biti potrebna za rješavanje specifičnih slučajeva, iako su identificirani neki primjeri značajki koje su očito suprotni odredbama ePrivacy Direktive.
Na temelju konkretnih primjera, članovi radne skupine zauzeli su stav da barem ova praksa može biti očito obmanjujuća za korisnike:
- nudi se alternativna radnja (osim davanja pristanka) u obliku gumba gdje je kontrast između teksta i pozadine gumba toliki minimalan da je tekst nečitljiv gotovo svakom korisniku.
Iako se gore navedeni izbori dizajna smatraju problematičnim, članovi radne skupine ponovili su da se svaki konkretni skočni prozor treba procijeniti od slučaja do slučaja.
Praksa tipa H: „legitiman interes, popis svrha”
Čini se da neki voditelji obrade postavljaju skočni prozor koji ističe mogućnost na prvom stupnju, ali ne uključuju opciju odbijanja na ovoj razini, što prosječnog korisnika može navesti da povjeruje da uopće nema mogućnost prigovora na pohranu kolačića, a usput i na naknadnu obradu koja iz njih proizlazi.
Osim toga, na drugom stupnju (skočnog prozora), napravljena je razlika između odbijanja i potencijalnog prigovora na daljnju obradu koji je predstavljen kao dio legitimnog interesa voditelja obrade podataka.
U tim se slučajevima čini da se voditelj obrade oslonio na legitimne interese prema članku 6. stavku 1. točki (f) GDPR-a za različite aktivnosti obrade kao što je, na primjer, „Izrada personaliziranog profila sadržaja” ili „Odabir personaliziranih oglasa” dok bi se moglo smatrati da za takve aktivnosti obrade ne bi postojao prevladavajući legitimni interes.
Integracija ovog pojma legitimnog interesa za naknadnu obradu "u daljnjim stupnjevima bannera" mogla bi se smatrati zbunjujućom za korisnike koji bi mogli pomisliti da moraju dvaput odbiti kako se njihovi osobni podaci ne bi obrađivali.
Članovi radne skupine složili su se da kako bi utvrdili da je naknadna obrada temeljena na kolačićima zakonita, potrebno utvrditi je li pohranjivanje/dobivanje pristupa informacijama putem kolačića ili sličnih tehnologija učinjeno u skladu s člankom 5. stavkom 3. ePrivacy Direktive (i nacionalna provedbena pravila) - svaka naknadna obrada se vrši u skladu s GDPR-om.
U tom smislu, članovi radne skupine zauzeli su stajalište da utvrđena nesukladnost u vezi s čl. 5 (3) u ePrivacy Direktivi (osobito kada nije dobiven valjani pristanak kada je to potrebno), znači da naknadna obrada ne može biti u skladu s GDPR.
Također, članovi su potvrdili da pravna osnova za postavljanje/čitanje kolačića prema članku 5. stavku 3. ne mogu biti legitimni interesi voditelja obrade.
Članovi radne skupine složili su se nastaviti raspravu o ovoj vrsti prakse ako naiđu na konkretne slučajeve u kojima bi bila potrebna daljnja rasprava kako bi se osigurao dosljedan pristup.
Praksa vrste I: „netočno klasificirani bitni kolačići”
Čini se da neki voditelji obrade klasificiraju kao „bitne” ili „strogo neophodne” kolačiće i radnje obrade koje koriste osobne podatke i služe u svrhe koje se ne bi smatrale „strogo potrebnim” u smislu članka 5. stavka 3. ePrivacy Direktive ili uobičajenog značenja “strogo nužno” ili “bitno” prema GDPR-u.
Članovi radne skupine složili su se da procjena kolačića kako bi se utvrdilo koji su bitni izaziva praktične poteškoće, posebno zbog činjenice da se značajke kolačića redovito mijenjaju, što sprječava uspostavu stabilnog i pouzdanog popisa takvih bitnih kolačića.
Raspravljalo se o postojanju alata za uspostavu popisa kolačića koje koristi web-mjesto, kao i o odgovornosti vlasnika web-mjesta da održavaju takve popise i da ih dostave nadležnim tijelima na zahtjev te da pokažu «bitnost» navedenih kolačića.
Po tom pitanju, spomenuto je da postoje posebni alati koji se mogu koristiti za analizu web stranice i izradu izvješća koje prikazuje sve kolačiće koji su postavljeni prilikom posjeta web stranici. Međutim, jedini dostupni alati ne dopuštaju provjeru prirode kolačića, već samo popis postavljenih kolačića kako bi se od vlasnika web stranice zatražilo da dostavi dokumentaciju o njihovoj namjeni. Ovi alati su stoga dodatna pomoć nadležnim tijelima da od vlasnika web stranica traže dodatna pojašnjenja i informacije uz informacije koje se također nalaze na web stranici.
Mišljenje br. 04/2012 o izuzeću pristanka na kolačiće iz WP 29 također je spomenuto u vezi s navedenim kriterijima za procjenu koji su kolačići ključni, a posebno činjenicom da kolačići koji omogućuju vlasnicima web stranica da zadrže postavke koje su izrazili korisnici, u vezi s uslugom, treba smatrati bitnim.
Praksa tipa K: „bez ikone povlačenja”
Čini se da se tamo gdje voditelji obrade daju opciju koja omogućuje povlačenje privole prikazuju različiti oblici opcija. Konkretno, neki voditelji obrade nisu odabrali koristiti mogućnost prikazivanja male lebdeće i stalno vidljive ikone na svim stranicama web stranice koja omogućuje ispitanicima da se vrate na svoje postavke privatnosti, gdje mogu povući svoju privolu.
Vlasnici web stranica trebali bi postaviti lako dostupna rješenja koja korisnicima omogućuju povlačenje privole u bilo kojem trenutku, poput ikone (male lebdeće i trajno vidljive ikone) ili poveznice postavljene na vidljivo i standardizirano mjesto.
Referenca ePrivacy Direktive i elektroničkim komunikacijama na privolu u GDPR-u uključuje i referencu na definiciju privole (članak 4. GDPR-a) kao i na njezine uvjete (članak 7. GDPR-a). 3
Uz zahtjeve da prikupljanje privole bude valjano u skladu s GDPR-om i prema članku 5. stavku 3. ePrivacy Direktive, obvezna su tri dodatna kumulativna uvjeta:
- mogućnost povlačenja privole
- mogućnost povući privolu u bilo kojem trenutku,
- povlačenje privole mora biti jednostavno kao i davanje privole.
Međutim, vlasnicima web stranica može se nametnuti samo implementacija i prikaz lako dostupnih rješenja nakon prikupljanja privole, ali im se ne može nametnuti točno određeno rješenje za povlačenje, a posebno postavljanje lebdećeg rješenja za povlačenje privole za kolačiće i druge trackere. Uvijek će biti potrebna analiza prikazanog rješenja za povlačenje privole od slučaja do slučaja. U ovoj analizi mora se ispitati je li, kao rezultat toga, ispunjen zakonski zahtjev da je privolu jednako lako povući kao i dati.
