Evropski odbor za zaštitu podataka (eng. European Data Protection Board – „EDPB“) objavio je 18. januara 2023. godine izveštaj u kojem su sumirani zaključci i smernice radne grupe zadužene za koordinaciju odgovora na pitanja u vezi sa obaveštenjima o kolačićima, tzv. banerima (eng. Report of the work undertaken by the Cookie Banner Taskforce  – „Izveštaj“), a koja pitanja su istaknuta u pritužbama Evropskog udruženja aktivista za zaštitu digitalnih prava NOYB („NOYB“).

Naime, NOYB je podneo nekoliko stotina pritužbi organima za zaštitu podataka o ličnosti širom EU u vezi sa korišćenjem banera, a koje su pretežno usmerene na modalitete pristanka i odbijanja korišćenja kolačića, kao i na dizajn i karakteristike banera.

Izveštajem su, dakle, usvojene smernice u pogledu tumačenja odredbi Direktive o privatnosti i elektronskim komunikacijama 2002/58/EC (eng. Directive on Privacy and Electronic Communications – „Direktiva“), kao i odredaba GDPR.

Izveštaj se sastoji od devet odeljaka, u kojima se analizira osam povreda podataka o ličnosti koje NOYB navodi u pritužbama. U nastavku ovog teksta donosimo pregled najznačajnijih pitanja obrađenih u Izveštaju.

1. Modaliteti prihvatanja i odbijanja kolačića

U Izveštaju je posebna pažnja posvećena postojanju opcije za odbijanje kolačića na baneru. Naime, većina organa za zaštitu podataka o ličnosti je stala na stanovište da opcija za odbijanje kolačića mora biti sadržana na istom nivou na kome je u okviru banera predviđeno polje za pristanak na korišćenje kolačića, te da suprotno postupanje rukovalaca, odnosno obrađivača podataka predstavlja povredu odredaba GDPR i Direktive.

Pored toga, istaknuto da se kolačići (osim neophodnih) mogu instalirati i koristiti samo na osnovu pristanka, pri čemu pristanak podrazumeva aktivnu radnju lica na koje se podaci odnose.

2. Unapred označena polja za davanje pristanka na baneru

Radna grupa EDPB je u Izveštaju utvrdila da određeni broj rukovalaca podacima o ličnosti na drugom nivou banera (dostupnom nakon klika na „Podešavanja“ na prvom nivou banera) korisnicima nudi nekoliko opcija koje se odnose na različite kategorije kolačića, pri čemu su polja za davanje pristanka za prikupljanje i obradu podataka unapred označena. Sa tim u vezi, u Izveštaju je konstatovano da takva praksa nije u saglasnosti sa odredbama Direktive i GDPR, te da se saglasnost lica na koje se podaci odnose koja je data na taj način ne može smatrati valjanim pristankom.

3. Obmanjujući dizajn linka

Izveštajem je nadalje konstatovano da se, u slučaju da baner sadrži link, a ne polje kao opciju za odbijanje kolačića, smatra da nema validnog pristanka lica na koje se podaci odnose. Naime, smatra se da rukovaoci koji dizajniraju banere na navedeni način kod korisnika stvaraju utisak da moraju da daju pristanak kako bi pristupili sadržaju veb-sajta.

Sa tim u vezi, u izveštaju su formulisani sledeći primeri obmanjujućeg dizajna banera, koji ne mogu voditi validnom pristanku korisnika:

• ukoliko je jedina alternativna radnja na baneru (osim davanja pristanka) klik na link koji je postavljen iza reči „odbij“ ili „nastavi bez prihvatanja“, pri čemu navedena opcija nije dovoljno vizuelno istaknuta da bi skrenula pažnju prosečnog korisnika na mogućnost odbijanja;
• ukoliko je jedina alternativna radnja (osim davanja pristanka) klik na link iza reči „odbij“ ili „nastavi bez pristanka“, a koja opcija je postavljena izvan banera na kome je prikazano polje za pristanak, pri čemu opcija odbijanja izvan banera nije dovoljno vizuelno istaknuta da bi skrenula pažnju prosečnog korisnika.

4. Obmanjujuća boja i kontrast polja na baneru

 Sledeće pitanje koje je obrađeno u okviru Izveštaja jeste korišćenje obmanjujućih boja i kontrasta polja (kontrast između polja za pristanak i pozadine) na banerima, usled čega dolazi do jasnog isticanja polja „prihvati sve“ u odnosu na ostale opcije.

Zaključak radne grupe EDPB jeste da se rukovaocima podataka ne mogu nametnuti određeni standardi banera u pogledu boje i/ili kontrasta, već se mora sprovoditi analiza od slučaja do slučaja u cilju provere da li su korišćene očigledno obmanjujuće boje i kontrasti, koji rezultiraju nepunovažnim pristankom korisnika.

Međutim, zauzet je i stav da je praksa rukovalaca shodno kojoj je alternativna opcija (osim davanja pristanka) sadržana u polju gde je kontrast između teksta i pozadine polja minimalan, tako da je tekst nečitljiv skoro svakom korisniku, očigledno obmanjujuća za korisnike i u suprotnosti sa odredbama Direktive.

 Netačno klasifikovanje neophodnih kolačića

 Članovi radne grupe EDPB su takođe utvrdili da mnogi rukovaci podataka kao striktno neophodne kolačiće klasifikuju i one koji služe prikupljanju, tj. obradi podataka u svrhe koje se ne mogu smatrati striktno neophodnim, kako u smislu odredbe člana 5 (3) Direktive, tako i u smislu GDPR.

Sa tim u vezi, u Izveštaju je ukazano na činjenicu da procena da li su kolačići striktno neophodni u praksi izaziva poteškoće, naročito zbog činjenice da se karakteristike kolačića redovno menjaju, usled čega onemogućavaju uspostavljanje stabilne i pouzdane liste neophodnih kolačića.

Naime, radna grupa EDPB je razmatrala mogućnost uspostavljanja liste neophodnih kolačića koje koriste veb-sajtovi, odnosno obaveze vlasnika istih da održavaju takve liste i dostavljaju ih nadležnim organima. Međutim, kako se u Izveštaju zaključuje, jedini dostupni mehanizmi ne omogućavaju proveru svhre kolačića, već samo opciju navođenja instaliranih kolačića, što može nadležnim organima predstavljati osnov za traženje pojašnjenja i dostavljanje dokumentacije o njihovoj svrsi.

Svrha i značaj Izveštaja

Osnovni cilj formiranja ove radne grupe bio je promovisanje saradnje, razmene informacija i kreiranja ujednačene prakse između organa koji su u EU nadležni za zaštitu podataka o ličnosti u vezi sa pravilnom i doslednom primenom banera .

Iako stavovi radne grupe EDPB izraženi u Izveštaju predstavljaju zajedničke zaključke nadležnih organa u pogledu tumačenja i primene odredaba Direktive i GDPR, EDPB je istakao da isti nisu pravno obavezujući. Ipak, nesumnjivo će imati uticaja na praksu postupajućih evropskih tela za nadzor u oblasti zaštite podataka o ličnosti, a očekivano i na srodna tela u drugim državama koja se ugledaju na evropsku praksu, poput Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti Republike Srbije.

Ovaj članak je isključivo informativne prirode i ne predstavlja pravni savet. Ukoliko su Vam potrebne dodatne informacije, budite slobodni da nas kontaktirate.