noyb je i dalje aktivan, pitanje je vremena kada će zahvatiti i područje RH.
Belgijske medijske kuće odnosno izdavači koje se oslanjaju na, po mišljenju nadzornih tijela, ilegalne bannere kolačića (skočne prozore) platile su 10.000 eura u nagodbi s belgijskim nadzornim tijelom za zaštitu podataka (DPA), koje je odlučilo zatvoriti slučaj bez da im naredi da poprave "nezakonite bannere".
noyb je belgijskom DPA-u podnio žalbu protiv 15 belgijskih stranica koje koriste tzv. "lažne bannere" s kolačićima. Među njima su veliki TV kanali, javni servis VRT, ali i novine poput Het Laatste Nieuws i L'Avenir. Iako su njihove web stranice već bile predmet istrage DPA proteklih godina, nikada im nije naređeno da promijene svoje nezakonite bannere. Razlog: postupak je zaključen nagodbom.
Prema uvjetima spomenute nagodbe, medijske kuće odnosno izdavači su pristali platiti 10.000 eura – ali im nije naloženo da se pridržavaju bilo koje obveze prema GDPR-u. U svojoj odluci, belgijski DPA nije se niti potrudio objasniti zašto je pristao na nagodbu, a da istovremeno nije dao nalog za poštivanje zahtjeva Opće uredbe o zaštiti podataka.
noyb je već podnio stotine pritužbi protiv web stranica koje koriste "lažne bannere" s kolačićima, prisilivši Europski odbor za zaštitu podataka (EDPB) da osnuje radnu skupinu koja će koordinirati kako bi se te pritužbe trebale rješavati. U siječnju 2023. EDPB je izdao izvješće u kojem se EU regulatori zalažu za minimalne zahtjeve za dizajn bannera za kolačiće. Mnogi nacionalni DPA-ovi su od tada izdali smjernice koje daleko nadilaze zahtjeve EDPB-a, poput Španjolske i Francuske.
Smjernice RH nadzornog tijela možete naći ovdje.
Unatoč izvješću EDPB-a mnoge stranice ni dan danas ne ispunjavaju minimalne zahtjeve, na primjer ne postoji gumb "odbaci sve" ili ne postoji jednostavan način za povlačenje prethodno danog pristanka.
noyb će zahtijevati od belgijskog DPA-u da još jednom istraži slučajeve i naredi promjenu bannera s kolačićima. U slučaju nepoštivanja, DPA može izreći novčanu kaznu.
Nakon nekoliko noyb pritužbi iz 2023., belgijsko tijelo za zaštitu podataka naredilo je četirima velikim belgijskim stranicama da usklade svoje bannere s kolačićima s GDPR-om.
Konkretno, De Standaard, Het Nieuwsblad, Het Belang van Limburg i Gazet van Antwerpen moraju dodati gumb "odbaci" na prvi stupanj svojih bannera s kolačićima. Osim toga, stranicama je dan nalog da promijene obmanjujuću shemu boja korištenih gumba. Ako se voditelj obrade ne bude pridržavao naloga može se suočiti odnosno suočit će se s kaznom od cca 50.000 € (neki voditelji obrade manje neki više) dnevno po web stranici.
S posljednjom odlukom, belgijska je vlast napravila zaokret u svom pristupu: četiri web stranice kojima upravlja Mediahuis, naime De Standaard, Het Nieuwsblad, Het Belang van Limburg i Gazet van Antwerpen sada moraju promijeniti svoje bannere s kolačićima.
Najznačajnije je da je web stranicama naređeno da implementiraju gumb "odbaci" na prvom stupnju bannera.
Osim toga, DPA je otkrio da su tvrtke koristile obmanjujuće boje gumba kako bi prevarile ispitanike da pristanu na korištenje kolačića. Nadzorno tijelo je također naglasilo da se obrada osobnih podataka u analitičke svrhe ne može smatrati "strogo nužnom", što znači da je za korištenje analitičkih kolačića uvijek potreban pristanak.
Mediahuis i gore spomenute web stranice s vijestima sada imaju 45 dana da ispune naredbe DPA-a i usklade svoje bannere s kolačićima s GDPR-om. U slučaju neusklađenosti, svaka web stranica suočava se s kaznom od cca 50.000 € dnevno, tj. dnevnu kaznu od 200.000 €, što bi moglo dovesti do maksimalne kazne od 10.000.000 €.
U sličnom slučaju protiv još jednog medija, belgijsko tijelo za zaštitu podataka također je stalo na stranu noyba. I ovaj voditelj obrade morao je dodati gumb "Odbij sve" na prvi sloj svog skočnog prozora (bannera) i prestati koristiti varljive boje i kontraste. U slučaju nepoštivanja medijska kuća morat će platiti kaznu od 40.000 € po danu, a najviše 2 milijuna eura.
Ispitanik je primijetio da banner kolačića web stranice ima gumb "Prihvati sve" i "Saznaj više". Ispitanik je vjerovao da je ovaj natpis kolačića nezakonit prema GDPR-u. Stoga je prema članku 80. stavku 1. GDPR -a ovlastio noyba da podnese žalbu DPA-i u njegovo ime.
Konkretnije, ispitanik je istaknuo sljedeće povrede:
Voditelj obrade je tvrdio da noyb ne može zastupati ispitanika. Nadalje, voditelj obrade je primijetio da GDPR ne zahtijeva da web stranice imaju baš gumb "Odbaci sve", niti da gumb "Prihvati" ima određenu boju.
Prvo, DPA je smatrao da noyb može predstavljati ispitanika. Istaknuo je da je ugovor o zastupanju valjan prema članku 80. stavku 1. GDPR-a .
Nadalje, DPA je smatrao da činjenica da je noyb pružio tehničku i pravnu pomoć ispitaniku ne može biti i nije problem. Naprotiv, prema DPA, to predstavlja dobru praksu.
Što se tiče merituma, DPA je primijetio da se, prema članku 4. stavku 11. GDPR-a, pristanak mora dati slobodno. U banneru kolačića to znači da bi prihvaćanje trebalo biti jednostavno kao i odbijanje kolačića.
Stoga bi po mišljenju nadzornog tijela banner s kolačićima trebao imati, sve na prvom sloju, gumb "Prihvati sve" i gumb "Odbij sve". Na navedenim osnovama je DPA utvrdio kršenje članka 6. stavka 1. točke (a) GDPR-a.
Što se tiče boja gumba, DPA je mišljenja da boje koje koristi voditelj obrade mogu očito potaknuti ispitanika da klikne na gumb "prihvati sve", budući da se potonji ističe svojom svijetlom bojom. Stoga je DPA utvrdio kršenje članaka 5 (1) (a) i 6 (1) (a) GDPR-a.
Konačno, što se tiče mogućnosti povlačenja privole, DPA je primijetio da je voditelj obrade postavio gumb koji omogućuje upravljanje kolačićima na dnu svake stranice svoje web stranice. DPA je ovo rješenje smatralo dovoljnim za ispunjavanje zahtjeva iz članka 7. stavka 3. GDPR- a i stoga je odbacilo ovu točku pritužbe.
Na temelju svega navedenog, DPA je ukorio voditelja obrade i naredio mu da implementira banner kolačića koji je usklađen s GDPR-om.
Jeste li vi svjesni koliko koštaju rizici u vašem banneru odnosno skočnom prozoru? Koliko brzo biste mogli ispuniti obvezu tj., nalog da vam ga da nadzorno tijelo - jeste li adekvatno procijenili usklađenost pružatelja usluga vašeg bannera?
Puno je pitanja, vjerujemo da bi svaka odgovorna osoba društva voljela prije donošenja odluke znati koliko košta rizik, a koliki je prihod od prihvaćanja rizika. Javite nam se ako želite adekvatno upravljati svojim rizicima i mitigirati ih na ispravan način.