avrupa gizlilik savunma grubu, noybikinci bir çerez izni şikayeti grubunu (toplamda 270) ateşledi – bölgedeki web sitelerini hedefleyerek, kullanıcıların reklam hedefleme için izlenmek üzere onayını düzgün bir şekilde talep etmediğini söylüyor.
Sorun, net bir seçim içermeyen ve/veya yayıncının dikkatlerini satarak para kazanabilmesi için tüketicileri izlenmeye ve profillendirilmeye ‘kabul etmeleri’ için kandırmak için yasa dışı karanlık kalıplar kullanmayan rıza pop-up’larıdır.
noyb’ın karşı mesajı basit: Aldatıcı çerez açılır pencerelerinizi yeniden düzenleyin – ya da resmi yaptırım tehdidiyle karşı karşıya kalın.
Noyb’nin taslak şikayetlerini alan web siteleri, kendilerine işaretlenen uyumsuz çerez afişlerini düzeltmezse, AB veri koruma yetkililerine resmi şikayette bulunacaklarını söylüyor – bu noktada ihlal eden yayıncılar, bölgesel veriler uyarınca 20 milyon Euro’ya kadar para cezası riskiyle karşı karşıya kalıyor. koruma yasası (yani, DPA’lar daha sonra bir ihlali teyit ederse ve bir para cezasının hak edildiğine karar verirse).
noyb’nin manipülatif çerez banner’larına yönelik son hamlesi, geçen yıl sitelere gönderdiği ve OneTrust rıza yönetimi platformunun kullanıcılarına odaklanan 560 şikayetten oluşan ilk dalgayı takip ediyor. 30 gün içinde düzeltileceğini belirledi (noyb, resmi bir şikayette bulunmadan önce sitelere önerilen değişiklikleri yapmaları için 60 gün veriyor).
Etkileyici bir başarı oranı gibi görünen AB genelindeki yaygın çerez izni ihlalleri ölçeği göz önüne alındığında. Ama açıkçası, hala çok fazla sahte çerez afişi var. Yani noyb henüz kampanyayı sonlandırmıyor.
noyb’nin kurucusu Max Schrems, bu grubun geçen yıl belirlediği 5.000 web sitesinin orijinal listesiyle ilgili ikinci adım eylemi olduğunu açıkladı.
“Yaklaşık 5.000 web sitesinin bir listesini aldık. Geçen sefer kabaca ilk 500’den geçtik, bu, OneTrust’ı CMP olarak kullanan, alakalı olacak kadar büyük olan geri kalanı. [Consent Management Platform]”dedi TechCrunch’a. “Ardından diğer CMP’lere geçeceğiz.”
noyb bunu ölçeklendirmek için otomasyonu kullandı “WeComply” kampanyası — seçeneklerin kullanıcılara nasıl sunulduğuyla ilgili uyumluluk sorunlarını belirlemek için izin akışlarını otomatik olarak ayrıştıran bir araç geliştirmek (örneğin, üst katmanda devre dışı bırakmanın sunulmaması veya kafa karıştırıcı düğme renklendirmesi; sahte “meşru menfaat” tercihleri vb.). Platformu daha sonra otomatik olarak, noyb hukuk ekibinin bir üyesi tarafından gözden geçirildikten sonra, sorunlu bir siteye e-postayla gönderilebilecek bir taslak rapor oluşturur.
Bu akıllı yaklaşım, kâr amacı gütmeyen küçük bir kuruluşun 10.000’e kadar çerez izni şikayeti sunmayı öngörmesini ve bu toplu eylem yoluyla, en büyük bölgesel veri koruma alanlarından bazılarının bile olduğu izleme reklamları sektörünün sistematik kural ihlaliyle boğuşmasını sağladı. yetkililer hala dokunmadı (merhaba ICO!).
Noyb’nin buradaki, reklam teknolojisi zincirinin yayıncıların ucundaki sistemik yasaların çiğnenmesiyle mücadele etme stratejisi, çerez banner reformlarında ilk artışa yol açmış olsa da, eylemi sistemsel uzlaşmazlığı da vurgulamıştır: Şirketlerin büyük çoğunluğu (%82) bunu söylüyor. ilk dalgada temasa geçilen kişi tam olarak uymadı – bu nedenle AB çapında 20 farklı veri koruma makamına 456 şikayette bulundu.
Ve bu nedenle, şimdi başka bir toplu şikayette bulunuyor.
Noyb’de veri koruma uzmanı Ala Krinickytė yaptığı açıklamada, “Afiş tasarımında bazı iyileştirmeler görmüş olmasına rağmen, sürekli olarak uyumsuz olan şirketleri de tersine çevirmek için daha fazla çalışma yapılması gerekecek” dedi.
Noyb’nin yayıncı uyumluluğunu dürtmek için doğrudan eylemine ek olarak, Avrupa Veri Koruma Kurulu (EDPB) daha sonra özel bir açıklama duyurdu. görev gücü resmi şikayetlere verilen yanıtları koordine etmek için – ve noyb, artık “çoğu” DPA’nın bu şikayetlerin alındığını doğruladığını söylüyor.
Ve şikayetlerle ilgili kararlar genellikle henüz akmasa da, çerez onayı konularında yaptırım treninin hareket ettiği açıktır. Bu nedenle, geçen yıl Avrupa’nın çerez rıza hesaplamasının geldiğine dair uyarımız geldi.
Son aylarda, çerezler konusunda da bazı önemli kararlar aldık – örneğin Fransa’nın CNIL’in Google ve Facebook’a bu Ocak ayında çerez afişlerinde koyu desen tasarımı nedeniyle ceza vermesi; ve Avrupa Veri Koruma Denetçisinin yine yılın başındaki, Avrupa Parlamentosu’nu kafa karıştırıcı ve aldatıcı tanımlama bilgisi izni nedeniyle tokatlayan kararı.
Fransa ayrıca, izleme çerezlerini otomatik olarak – yani bir pandomim incir yaprağı bile olmadan – bıraktığı için Aralık 2020’de Google ve Amazon’a ağır para cezaları verdi.
(Ve giden Birleşik Krallık bilgi komisyoncusu bile, geçen sonbaharda özel sektöre gitmek üzere yola çıktığından, reklam teknolojisi endüstrisini izlemenin sonunun yakın olduğu konusunda uyardı.)
AB’nin Genel Veri Koruma Yönetmeliği’nin (GDPR) uygulanması, birçok sınır ötesi şikayetin İrlanda’nın DPA’sı aracılığıyla yönlendirilmesine yol açarak GDPR uygulamasını engelleyen kötü şöhretli bir darboğaz yaratırken – Fransa bu özel konuda teknoloji devlerine karşı inisiyatif almayı başardı. çünkü çerez onayı, sınır ötesi operatörlere karşı şikayetlerin bir ‘öncü’ veri denetçisine iletilmesini gerektirmeyen eski ePrivacy Direktifi kapsamındadır.
ePrivacy ayrıca, AB genelindeki Üye Devletlerdeki faaliyetleriyle ilgili olarak yayıncılara karşı çerezlerle ilgili şikayetlerin yapılabileceği anlamına gelir – bu nedenle noyb’nin yüzlerce çerez izni şikayeti, bir veya iki kişinin masasında yedeklenmez, birden fazla veri koruma yetkilisine yayılır.
Noyb ve Fransa’nın CNIL’i tarafından yapılan bu tür stratejik eylem, AB veri korumasının işlevsel (yani aktif) merkezi olmayan uygulamasının nasıl görünebileceğine dair bir fikir veriyor (kelimenin tam anlamıyla: teknoloji devleri için büyük para cezaları ve sistemik kural ihlali için zorunlu reform emirleri); ve bunun karşılığında insanlar ve daha geniş web için neler sunabileceğini (daha az karanlık desen, daha az sıkıcı tıklama, bilgi için daha iyi koruma… ve Google gibi reklam teknolojisi devlerini tüm hedefleme işini yeniden düşünmekle boğuşmaya zorlayan reform için bir itici güç) ).
noyb, kampanyasının şu ana kadar başarıyla hedeflediği çerez başlıklarından bazılarının ekran görüntülerinden önce ve sonra bir galeri derledi – bu, sitelerin çoğunlukla en üst düzeyde net bir ‘tümünü reddet’ seçeneğinin bulunmadığını gösteriyor (yani, ‘tümünü kabul et’ düğmesine eşdeğer) ); ve bu yayıncı alt kümesi, kampanyasını takiben, kullanıcılarına izleme dışında kalma konusunda net bir seçenek sunmaya geçti.
Bak – bu çok zor değildi, değil mi?
noyb ayrıca, ilk şikayet dalgasında hedeflemediği bazı web sitelerinin, muhtemelen konuyla ilgili artan endüstri bilincinin bir sonucu olarak, çerez banner’larını iyileştirdiğini fark ettiğini söyleyerek “dökülme” etkisinin altını çiziyor.
“Henüz iletişime geçmediğimiz birçok web sitesi, şikayette bulunmaya başladığımızda ayarlarını hızla iyileştirdi. Bu, yaklaşımımızın bireysel vakaların ötesinde uyumu sağlamak olduğu anlamına geliyor” diye ekledi Krinickytė.
noyb’un gözlemi, veri korumanın aktif bir şekilde uygulanmasının, en azından yayıncılar gibi müşteriyle yüz yüze olan kuruluşlar üzerinde, işlevsiz reklam teknolojisi endüstrisi ‘normlarında’ daha geniş reformların kıvılcımlanmasına yardımcı olabilecek galvanizleyici bir etkiye sahip olabileceğini öne sürüyor.
Sonuçta, yayıncıların dikkate alması gereken itibar riski vardır – bu nedenle, yeterli sayıda site zararlı varsayılanlardan uzaklaşırsa, izleme endüstrisinin “gizlilik seçimlerini” bildirirken ne söylerlerse söylesinler insanların verilerini ele geçirme yönündeki telafi edici baskısı ile toplu bir kırılma için ivme yaratabilir.
Ayrıca, veri koruma konusunda tarihsel bir yaptırım eksikliğinin tam tersi bir etki yarattığı da çok açık – web kullanıcılarının yaygın ve izinsiz izlenmesine ve veri komisyoncuları, “zenginleştiriciler” ve tüccarlardan oluşan bütün bir karanlık endüstrinin gölgelerde büyümesine olanak tanıyor. ot – ve ancak şimdi, AB’nin uzun süredir devam eden veri koruma yetkilerinin GDPR tarafından çevrilmesinden yıllar sonra (ve önemli ölçüde uygulama potansiyeli, bireylerin haklarını savunmaya yardımcı olmak için noyb gibi sivil toplum gruplarını güçlendirerek güçlendirildi), başlıyoruz gerçek gizlilik reformunun ilk yeşil filizlerini görmek için.
Rıza yönetim platformları (CMP’ler), son zamanlarda Belçika DPA’sının IAB Avrupa’nın “Şeffaflık ve Rıza Çerçevesi”nin GDPR’yi ihlal ettiğini tespit ettiği gibi, reklam teknolojisi endüstrisi tarafından sistematik olarak rıza çalmak için stratejik bir araç olarak çok uzun süredir benimsenmiştir.
Ayrıca, izleme endüstrisinin bu kadar uzun süre cezasız kalmasının sistematik kanunsuzluğu nedeniyle, kaç bireysel yayıncının çerez başlıklarında yasa dışı varsayılanları yapılandırmak için dürtüldüğünü ve/veya korunduğunu düşünmek de ilginçtir.
Pek çoğu, çevrimiçi ortamda gördükleri türden “rıza” varsayılanlarını belirlemiş olabilir – ne kadar işlevsiz ve hatta yasa dışı olduğunun farkında olmadan, reklam teknolojisi şeklindeki bir “norm” ile hizalanarak.
Noyb’ın çerez kampanyasını bu kadar güçlü yapan şey budur: Yeterince ivme yaratırsa, tüm endüstri yeni bir düzene geçebilir – tüketicilerin bilgilerini sağlamak için güvenini kazanmak için ihtiyacınız olan gizli sos, manipülatif karanlık kalıplar değil hizmet kalitesidir.
Bu arada noyb, web’i aldatıcı çerez banner’larından temizlemek için WeComply kampanyasını daha da genişletecek ve daha fazla şikayette bulunmaya devam edecek (10.000 hedefine kadar); Schrems’in belirttiği gibi, kampanyanın kapsamını yazılımının şu anda algılamak üzere yapılandırılmadığı diğer CMP’leri (örneğin TrustArc, Cookiebot, Usercentrics, Quantcast vb.) kullanan sayfalara genişletmek dahil.
Ve ziyaret ettiğiniz her web sitesinde hala bir ‘tümünü reddet’ veya ‘tümünü kabul et’ düğmesini tıklamak zorunda kalmanın çok sıkıcı olduğunu düşünüyorsanız, noyb daha önce bunun için bir teknik düzeltme önerdi: Kullanıcı tarafından yapılandırılan seçenekleri ifade etmek için gelişmiş bir tarayıcı düzeyinde kontrol . Sadece AB milletvekillerinin bayrağı eline alması ve bu tür sinyalleri yasal olarak bağlayıcı hale getirmesi gerekiyor (GDPR, tarayıcıdan rıza seçimlerini ifade eden otomatik sinyallere zaten izin veriyor; ancak böyle bir mekanizmanın açıkça ortaya konabileceği eGizlilik reformu durdurulmuş durumda) .
Bu da yine geniş endüstri reformunu kilit nokta haline getiriyor; Milletvekilleri, tam tersini yapmak için kendilerine bağıran binlerce işletmeleri yoksa, tüketici yanlısı değişiklikleri zorlama konusunda her zaman daha rahattır.