Početna Blog ˝Odbij sve˝ vs. ˝Saznaj više˝ u prvom stupnju skočnog prozora – pobijedio je noyb?

˝Odbij sve˝ vs. ˝Saznaj više˝ u prvom stupnju skočnog prozora – pobijedio je noyb?

Svi članci
12.11.2024.

noyb je i dalje aktivan, pitanje je vremena kada će zahvatiti i područje RH.

Belgijske medijske kuće odnosno izdavači koje se oslanjaju na, po mišljenju nadzornih tijela, ilegalne bannere kolačića (skočne prozore) platile su 10.000 eura u nagodbi s belgijskim nadzornim tijelom za zaštitu podataka (DPA), koje je odlučilo zatvoriti slučaj bez da im naredi da poprave "nezakonite bannere".

Što se dogodilo?

noyb je belgijskom DPA-u podnio žalbu protiv 15 belgijskih stranica koje koriste tzv. "lažne bannere" s kolačićima. Među njima su veliki TV kanali, javni servis VRT, ali i novine poput Het Laatste Nieuws i L'Avenir. Iako su njihove web stranice već bile predmet istrage DPA proteklih godina, nikada im nije naređeno da promijene svoje nezakonite bannere. Razlog: postupak je zaključen nagodbom.

Prema uvjetima spomenute nagodbe, medijske kuće odnosno izdavači su pristali platiti 10.000 eura – ali im nije naloženo da se pridržavaju bilo koje obveze prema GDPR-u. U svojoj odluci, belgijski DPA nije se niti potrudio objasniti zašto je pristao na nagodbu, a da istovremeno nije dao nalog za poštivanje zahtjeva Opće uredbe o zaštiti podataka.

Koji su bili zahtjevi noyba

noyb je već podnio stotine pritužbi protiv web stranica koje koriste "lažne bannere" s kolačićima, prisilivši Europski odbor za zaštitu podataka (EDPB) da osnuje radnu skupinu koja će koordinirati kako bi se te pritužbe trebale rješavati. U siječnju 2023. EDPB je izdao izvješće u kojem se EU regulatori zalažu za minimalne zahtjeve za dizajn bannera za kolačiće. Mnogi nacionalni DPA-ovi su od tada izdali smjernice koje daleko nadilaze zahtjeve EDPB-a, poput Španjolske i Francuske.

Smjernice RH nadzornog tijela možete naći ovdje.

Nema provedbe ili?

Unatoč izvješću EDPB-a mnoge stranice ni dan danas ne ispunjavaju minimalne zahtjeve, na primjer ne postoji gumb "odbaci sve" ili ne postoji jednostavan način za povlačenje prethodno danog pristanka.

Provjerite jeste li na noybovom popisu

noyb će zahtijevati od belgijskog DPA-u da još jednom istraži slučajeve i naredi promjenu bannera s kolačićima. U slučaju nepoštivanja, DPA može izreći novčanu kaznu.

Bilo je to tako na početku, a onda se dogodilo...

noyb WIN: belgijska DPA "nagodba" pretvorena u ispravne pravne naloge na lažnim bannerima kolačića

Nakon nekoliko noyb pritužbi iz 2023., belgijsko tijelo za zaštitu podataka naredilo je četirima velikim belgijskim stranicama da usklade svoje bannere s kolačićima s GDPR-om.

Konkretno, De Standaard, Het Nieuwsblad, Het Belang van Limburg i Gazet van Antwerpen moraju dodati gumb "odbaci" na prvi stupanj svojih bannera s kolačićima. Osim toga, stranicama je dan nalog da promijene obmanjujuću shemu boja korištenih gumba. Ako se voditelj obrade ne bude pridržavao naloga može se suočiti odnosno suočit će se s kaznom od cca 50.000 € (neki voditelji obrade manje neki više) dnevno po web stranici.

Odluke na GDPRhubu i priopćenje za javnost belgijskog DPA

S posljednjom odlukom, belgijska je vlast napravila zaokret u svom pristupu: četiri web stranice kojima upravlja Mediahuis, naime De Standaard, Het Nieuwsblad, Het Belang van Limburg i Gazet van Antwerpen sada moraju promijeniti svoje bannere s kolačićima.

Najznačajnije je da je web stranicama naređeno da implementiraju gumb "odbaci" na prvom stupnju bannera.

Osim toga, DPA je otkrio da su tvrtke koristile obmanjujuće boje gumba kako bi prevarile ispitanike da pristanu na korištenje kolačića. Nadzorno tijelo je također naglasilo da se obrada osobnih podataka u analitičke svrhe ne može smatrati "strogo nužnom", što znači da je za korištenje analitičkih kolačića uvijek potreban pristanak.

Potencijalna kazna od osam znamenki

Mediahuis i gore spomenute web stranice s vijestima sada imaju 45 dana da ispune naredbe DPA-a i usklade svoje bannere s kolačićima s GDPR-om. U slučaju neusklađenosti, svaka web stranica suočava se s kaznom od cca 50.000 € dnevno, tj. dnevnu kaznu od 200.000 €, što bi moglo dovesti do maksimalne kazne od 10.000.000 €.

Još jedan slučaj

U sličnom slučaju protiv još jednog medija, belgijsko tijelo za zaštitu podataka također je stalo na stranu noyba. I ovaj voditelj obrade morao je dodati gumb "Odbij sve" na prvi sloj svog skočnog prozora (bannera) i prestati koristiti varljive boje i kontraste. U slučaju nepoštivanja medijska kuća morat će platiti kaznu od 40.000 € po danu, a najviše 2 milijuna eura.

Što se dogodilo u zadnjem slučaju

Ispitanik je primijetio da banner kolačića web stranice ima gumb "Prihvati sve" i "Saznaj više". Ispitanik je vjerovao da je ovaj natpis kolačića nezakonit prema GDPR-u. Stoga je prema članku 80. stavku 1. GDPR -a ovlastio noyba da podnese žalbu DPA-i u njegovo ime.

Konkretnije, ispitanik je istaknuo sljedeće povrede:

  • činjenica da banner s kolačićima nije imao gumb "Odbaci sve" krši članke 5 (1) (a) , 6 (1) (a) i 7 (1) GDPR i članak 5 (3) ePrivacy Directive 2002/58/EZ kako je implementiran člankom 10/2 belgijskog Kodeksa o zaštiti podataka (Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel - Loi-cadre);
  • korištenje boje za gumb "Prihvati sve" dovodi u zabludu ispitanike i krši članke 5 (1) (a) , 6 (1) (a) i 7 (1) GDPR i članak 5 (3) ePrivacy Directive 2002/ 58/EZ koji se provodi člankom 10/2 Loi-cadre;
  • činjenica da banner ne dopušta povlačenje privole na jednostavan način kao što je moguće dati tu privolu predstavlja kršenje članaka 5. stavka 1. točke (a) i 17. stavka 1. točke (b) GDPR-a i članka 5. stavka 3. Direktiva o privatnosti i elektroničkim komunikacijama 2002/58/EZ koji se provodi člankom 10/2 Loi-cadre.

Voditelj obrade je tvrdio da noyb ne može zastupati ispitanika. Nadalje, voditelj obrade je primijetio da GDPR ne zahtijeva da web stranice imaju baš gumb "Odbaci sve", niti da gumb "Prihvati" ima određenu boju.

Što je reklo nadzorno tijelo u ovom drugom slučaju?

Prvo, DPA je smatrao da noyb može predstavljati ispitanika. Istaknuo je da je ugovor o zastupanju valjan prema članku 80. stavku 1. GDPR-a .
Nadalje, DPA je smatrao da činjenica da je noyb pružio tehničku i pravnu pomoć ispitaniku ne može biti i nije problem. Naprotiv, prema DPA, to predstavlja dobru praksu.

Meritum

Što se tiče merituma, DPA je primijetio da se, prema članku 4. stavku 11. GDPR-a, pristanak mora dati slobodno. U banneru kolačića to znači da bi prihvaćanje trebalo biti jednostavno kao i odbijanje kolačića.

Stoga bi po mišljenju nadzornog tijela banner s kolačićima trebao imati, sve na prvom sloju, gumb "Prihvati sve" i gumb "Odbij sve". Na navedenim osnovama je DPA utvrdio kršenje članka 6. stavka 1. točke (a) GDPR-a.

Što se tiče boja gumba, DPA je mišljenja da boje koje koristi voditelj obrade mogu očito potaknuti ispitanika da klikne na gumb "prihvati sve", budući da se potonji ističe svojom svijetlom bojom. Stoga je DPA utvrdio kršenje članaka 5 (1) (a) i 6 (1) (a) GDPR-a.

Konačno, što se tiče mogućnosti povlačenja privole, DPA je primijetio da je voditelj obrade postavio gumb koji omogućuje upravljanje kolačićima na dnu svake stranice svoje web stranice. DPA je ovo rješenje smatralo dovoljnim za ispunjavanje zahtjeva iz članka 7. stavka 3. GDPR- a i stoga je odbacilo ovu točku pritužbe.

Na temelju svega navedenog, DPA je ukorio voditelja obrade i naredio mu da implementira banner kolačića koji je usklađen s GDPR-om.
Jeste li vi svjesni koliko koštaju rizici u vašem banneru odnosno skočnom prozoru? Koliko brzo biste mogli ispuniti obvezu tj., nalog da vam ga da nadzorno tijelo - jeste li adekvatno procijenili usklađenost pružatelja usluga vašeg bannera?

Puno je pitanja, vjerujemo da bi svaka odgovorna osoba društva voljela prije donošenja odluke znati koliko košta rizik, a koliki je prihod od prihvaćanja rizika. Javite nam se ako želite adekvatno upravljati svojim rizicima i mitigirati ih na ispravan način.

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.