İnsanlara bu tür tüyler ürpertici izlemeyi reddetmeleri için özgür ve adil bir seçim vermek yerine, web kullanıcılarını davranışsal reklamcılık için verilerini teslim etmeyi kabul etmeleri konusunda manipüle etmeye çalışmak için bariz tasarım hileleri kullanan çerez izni afişleri, Avrupa’dan koordineli bir geri tepme ile karşı karşıya. Birliğin veri koruma düzenleyicileri.
Avusturya’nın otoritesiyle birlikte Fransız CNIL liderliğindeki birkaç DPA’dan oluşan bir görev gücü, çerez pankartlarını analiz eden bir ortak çalışma üzerinde aylarca zaman harcadı. Ve bir raporlamak bu hafta yayınlandıklarında, kendi yetki alanlarındaki belirli çerez izni karanlık kalıpları hakkındaki şikayetlere nasıl yaklaşılacağı konusunda bir fikir birliğine vardılar – bu, aldatıcı tasarımların AB’de dolaşmasını zorlaştıracak gibi görünen bir gelişme.
Görev gücü, Avrupa gizlilik hakları grubu tarafından 2021 ile 2022 arasında yapılan yüzlerce stratejik şikayete cevaben toplandı. noyb – web sitelerinin çerez afişlerinin analizini otomatikleştirmeye ve raporlar ve şikayetler oluşturmaya yardımcı olmak için kendi aracını geliştiren (kar amacı gütmeyen küçük bir kuruluşun stratejik etkisini ölçeklendirmek için yaptığı akıllı bir numara).
Çerezler ve diğer izleme teknolojileri, AB’nin eGizlilik Direktifi kapsamına girer; bu, çerez afişlerinin gözetiminin genellikle Üye Devletlerdeki düzenleyicilere dağıtıldığı anlamına gelir. Bu da söz konusu web sitesinin nerede barındırıldığına bağlı olarak bloğun etrafındaki kuralların değişen uygulamalarının olabileceği anlamına gelir. (Örneğin, bazı Üye Devletlerdeki düzenleyiciler, haber sitelerinin kullanıcılara içeriğe (ücretsiz) erişim elde etmek için reklam izlemeyi kabul etme veya izleme olmadan erişim elde etmek için bir abonelik için ödeme yapma arasında bir seçenek sunmasına izin verir – ancak bu tür ‘çerez izni ödeme duvarları’ devam eder. tartışmalıdır ve her DPA ile başarılı olma olasılığı düşüktür.)
Görev gücü tarafından bildirilen fikir birliğinin derecesi göz önüne alındığında, DPA’ların tanımlama bilgilerine izin veren banner’ların tasarımıyla ilgili şikayetleri nasıl yürüttüğü konusunda bir miktar uyum olacağı öne sürülüyor; örneğin, yetkililerin büyük çoğunluğu ‘tümünü reddet ‘ seçeneğinin ‘tümünü kabul et’ düğmesiyle aynı seviyede olması eGizlilik ihlalidir. Bu nedenle, izlemeyi reddetme seçeneğini ortadan kaldırmaya çalışan sitelere karşı daha fazla yaptırım uygulanması muhtemel görünüyor.
Görev gücü ayrıca, önceden kontrol edilen seçenekler içeren izin akışlarının da (yani, anlaşmayı dürtmeye çalışmak için başka bir taktik olarak) geçerli bir onay olmadığı konusunda hemfikirdir – Avrupa’nın en yüksek mahkemesinin çerezleri izlemek için aktif izin gerekliliğini zaten açıklığa kavuşturması kimseyi şaşırtmamalıdır. 2019’a dönüş yolu.
Son beş yıl içinde, başka bir AB yasası, yani Genel Veri Koruma Yönetmeliği (GDPR) gibi, izinle ilgili kuralları destekleyen başka bir AB yasasının yürürlüğe girmesinden bu yana, DPA’lar kesinlikle çerez onaylarına daha fazla dikkat ediyor. Kuralların ne kadar rutin bir şekilde çiğnendiğine dair şikayetler birikti.
Bu da birçok kişinin bu konudaki rehberliğini güncellemesine (ve sıkılaştırmasına) yol açarak, sitelerin izin takibiyle ilgili kuralların belirsiz olduğunu iddia etmesini zorlaştırdı.
2020’den beri çeşitli teknoloji devlerini (Amazon, Google, Meta, Microsoft ve TikTok dahil) çerezle ilgili çeşitli ihlaller nedeniyle para cezasına çarptıran Fransız CNIL gibi bazı gözlemcilerin çok aktif olmasıyla birlikte yaptırımlar da hızlanıyor. , rızayı manipüle etmeye çalışmak için karanlık kalıpların kullanımına ilişkin birden fazla yaptırım (ve para cezası) dahil.
CNIL’in yaptırım faaliyeti, bazı önemli tasarım değişikliklerini zorunlu kılan düzeltici emirler de içeriyor – Google’ın geçen yıl tüm AB’de görüntülediği çerez başlığını (nihayet) üst düzey bir ‘tümünü reddet’ seçeneğini öne çıkaracak şekilde revize etmesi dahil. Bu oldukça kazanç.
Ve CNIL’in görev gücünün çalışmalarını koordine etmede öncü bir role sahip olduğu göz önüne alındığında, görünüşe göre onun sözleşmelerinin bir kısmı diğer DPA’lara bulaşıyor.
İçinde basın bülteni Avrupa Veri Koruma Kurulu’nun görev gücünün raporunu bu hafta başlarında kabul etmesine eşlik etmek ve sonucu özetlemek için Fransız düzenleyici şöyle yazıyor: “Bu rapor, yetkililerin büyük çoğunluğunun reddetme/reddetme/rıza vermeme seçeneğinin bulunmadığını dikkate aldığını belirtiyor. çerezlerin saklanmasını kabul etmek için öngörülen seviyede olması mevzuata aykırıdır (eGizlilik Direktifi Madde 5(3)). CNIL zaten yönergelerinde ve çeşitli yaptırımlar bağlamında böyle bir pozisyon almıştı.”
Görev gücü, “tümünü kabul et” düğmesinin “tümünü reddet” düğmesiyle birlikte olması gerektiği konusunda anlaşmanın yanı sıra, çerez banner’larının tasarımının web kullanıcılarına ne olduklarını anlamalarını sağlamak için yeterli bilgi sağlaması gerektiği konusunda hemfikirdir. rıza gösterme ve seçimlerini nasıl ifade edecekleri.
Ve bu çerez banner’ları, raporda belirtildiği gibi, kullanıcılara “web sitesi içeriğine erişim için izin vermeleri gerektiği izlenimini verecek veya kullanıcıyı açıkça izin vermeye zorlayacak” şekilde tasarlanmamalıdır.
Ayrıca, bazı çerez tasarım örnekleri üzerinde anlaştılar. olumsuzluk geçerli bir izne yol açar — örneğin tasarımın “tek alternatif eylemin (izin vermek dışında) sunulduğu durumlarda, tanımlama bilgisindeki bir metin paragrafına gömülü ‘reddet’ veya ‘kabul etmeden devam et’ gibi ifadelerin arkasındaki bağlantıdan oluşur. ortalama bir kullanıcının dikkatini bu alternatif eyleme çekmek için yeterli görsel desteğin yokluğunda banner”; veya “tek alternatif eylemin (izin vermek dışında), yeterli bilgi olmaması durumunda, çerezleri kabul etmek için düğmelerin sunulduğu çerez başlığının dışına yerleştirilen ‘reddet’ veya ‘kabul etmeden devam et’ gibi ifadelerin arkasındaki bir bağlantıdan oluştuğu durumlarda kullanıcıların dikkatini çerçevenin dışındaki bu alternatif eyleme çekmek için görsel destek”.
Yani temel olarak, bazı ortak çerez afiş karanlık modellerini dışlama konusunda bir fikir birliğine vardılar.
Ancak, gözü ‘tümünü kabul et’ düğmesine çekmek ve bir reddetme seçeneğini görmeyi zorlaştırmak için seçilebilecek vurgu renklerinin kullanılması gibi görsel hilelerde, görev gücü, görünümün vaka bazında analizine karar verdi. ve çoğu durumda his (ve bu tür tasarım seçimlerinin açıkça yanıltıcı olma potansiyeli) gerekli olacaktır. Ve veri denetleyicilerine genel bir banner standardı (renk ve/veya kontrast açısından) empoze etmenin onların görevi olmadığı konusunda anlaştılar.
Ayrıca, metni “neredeyse hiçbir kullanıcı için okunamaz” hale getirecek şekilde tasarlanmış tüm düğmeleri reddetmenin, kullanıcılar için “açıkça yanıltıcı” olabileceği konusunda da anlaştılar.
Görev gücünün uğraştığı diğer sorunlar arasında, sitelerin reklam işleme için (ayrıca) “meşru bir menfaat” talep etmeye çalışabilecekleri çerez izni cehennemine daha yeni bir ekleme yer aldı. Bazen, genellikle yalnızca ikincil (veya başka bir alt menüde) görüntülenen ve üst seviyenin ‘tümünü reddet’ seçeneği sunmadığı, bunun yerine kullanıcıların tıklamasını gerektiren izin yasal temel düğmelerinin yanına bir dizi ek geçiş eklenir. Bu kafa karıştırıcı geçiş karmaşasını ortaya çıkarmak için ayarlara girin (bazen LI olanlar önceden kontrol edilir).
Raporda, “Bu meşru menfaat kavramının sonraki işlemler için ‘bantın daha derin katmanlarına’ entegre edilmesi, kişisel verilerinin işlenmemesi için iki kez reddetmek zorunda kalacağını düşünen kullanıcılar için kafa karıştırıcı olarak değerlendirilebilir.” bu konuda gözlemler.
Görev gücü ayrıca, düzenleyicilerin tanımlama bilgilerine dayalı müteakip herhangi bir işlemin yasal olup olmadığını nasıl belirlemesi gerektiği konusunda da fikir birliğine vardı – bunun “tanımlama bilgileri veya benzer teknolojiler aracılığıyla bilgilere erişimin depolanması/kazanılmasının Madde 5(3) eGizlilik’e uygun olarak yapılıp yapılmadığının” belirlenmesini gerektireceğini söyledi. direktif (ve ulusal uygulama kuralları) — müteakip tüm işlemler GDPR’ye uygun olarak yapılır. 24”.
“Bu bağlamda, görev gücü üyeleri, Art. eGizlilik direktifindeki 5 (3) (özellikle gerekli durumlarda geçerli bir onay alınmadığında), sonraki işlemenin GDPR 5 ile uyumlu olamayacağı anlamına gelir. Ayrıca, TF üyeleri yerleştirme/okuma için yasal dayanağı onayladı. Madde 5 (3) uyarınca çerezler, kontrolörün meşru menfaatleri olamaz” diye ekliyorlar raporda.
Çerez onay akışlarında ortaya çıkan yeni LI geçiş belasının nasıl ele alınacağına ilişkin yargılarını büyük ölçüde saklı tutuyor gibi görünseler de – “bu tür uygulamalarla ilgili tartışmaları sürdürmek için daha fazla tartışmanın gerekli olacağı somut vakalarla karşılaşmaları halinde yeniden başlatmayı kabul ettiklerini” söylüyorlar. Tutarlı yaklaşım”.
Çalışma grubu ayrıca, gerekli olmayan bazı veri işlemlerini kesinlikle gerekli/temel olarak sınıflandırmaya çalışan ve böylece bunları eGizlilik veya GDPR kapsamında izin gerektirmeyen bir kategoride toplayan siteler hakkında ne yapılacağını tartıştı. Ancak, hangi işlemenin kesinlikle gerekli olduğunu belirlemede pratik zorluklar olduğu görüşünü benimsediler.
“Taskforce üyeleri, hangilerinin temel olduğunu belirlemek için tanımlama bilgilerinin değerlendirilmesinin, özellikle tanımlama bilgilerinin özelliklerinin düzenli olarak değişmesi nedeniyle, bu tür temel tanımlama bilgilerinin istikrarlı ve güvenilir bir listesinin oluşturulmasını engellemesi nedeniyle, pratik zorluklara yol açtığı konusunda hemfikirdir.” yazdı “Bir internet sitesi tarafından kullanılan çerezlerin listesini oluşturacak araçların varlığı, internet sitesi sahiplerinin bu listeleri tutma, talep edildiğinde yetkili mercilere sunma ve çerezlerin gerekliliğini gösterme sorumluluğu ele alınmıştır. listelenmiş.”
Başka bir konuda – iznin geri alınmasıyla ilgili olarak – web sitesi sahiplerinin, küçük bir simge (“üzerinde asılı duran ve kalıcı olarak görünür”) veya bir bağlantı örneği vererek “kullanıcıların istedikleri zaman onaylarını geri çekmelerine olanak tanıyan kolay erişilebilir çözümler” uygulamaya koymaları gerektiği konusunda anlaştılar. görünür ve standardize edilmiş bir yere yerleştirilir”.
Ancak yine de, site sahiplerinden yalnızca uygulama yapmalarının istenebileceğini söyleyerek, kullanıcıların site sahiplerine verdiği izni geri çekmesi için belirli bir standartlaştırılmış yol dayatmaktan kaçındılar. Onay alındıktan sonra “kolay erişilebilir çözümler”.
“Rızayı geri çekmek için gösterilen çözümün duruma göre analizi her zaman gerekli olacaktır. Bu incelemede, sonuç olarak, rıza vermek kadar geri almanın da kolay olduğu şeklindeki yasal şartın yerine getirilip getirilmediği incelenmelidir” dediler.