Organizacja NYOB, zajmująca się prywatnością, poinformowała o podjęciu szeroko zakrojonych działań przeciw niezgodnym z prawem banerom cookies. Wysłała ponad 500 skarg do firm, które w jej mniemaniu posiadają na swoich stronach banery cookies niespełniające wymagań RODO.
Czym jest NYOB i o co im właściwe chodzi? Czy ich działanie zagraża też Twojej firmie?
Wyjaśniam tę kwestię.
Czym jest NYOB?
NYOB jest organizacją non-profit, założoną przez Maxa Schremsa. Pan Schrems to austriacki prawnik i aktywista w walce o prawo do prywatności. Jego nazwisko przewija się wielokrotnie w głośnych sprawach związanych z RODO. Max Schrems przyczynił się między innymi do upadku Safe Harbour i Tarczy prywatności (międzynarodowe umowy dotyczące transferu danych UE-USA). Celem Schremsa i jego organizacji jest prowadzenia aktywnych działań sprawiających, że RODO będzie rzeczywiście przestrzegane.
NYOB i ich zastrzeżenia do banerów cookies
NYOB nie kwestionuje samej idei banerów cookies. Działaliby wtedy wbrew swoim celom. Kwestionują natomiast ich formę.
W założeniu baner informacyjny dotyczący ciasteczek, powinien ułatwić użytkowników strony wyrażenie swoich preferencji co do cookies. Pisząc wprost – AKCEPTUJĘ, czy ODRZUCAM.
Takie jest stanowisko NYOB. Ja dodałbym do tych dwóch opcji jeszcze WYBIERAM KTÓRE AKCEPTUJĘ, A KTÓRE ODRZUCAM.
Tymczasem, jak zwraca uwagę NYOB, praktyka w wielu wypadkach wygląda inaczej.
Na stronach internetowych co rusz spotykamy banery, które „zmuszają” do akceptacji cookies.
W wersji ekstremalnej:
- tylko możliwość wyrażenia zgody – brak opcji wyboru akceptowanych i całkowitego odrzucenia cookies.
W wersjach mniej ekstremalnych:
- możliwość wyrażenia zgody lub wyboru akceptowanych cookies – bez łatwego (jednym kliknięciem) odrzucenia wszystkich ciasteczek,
- możliwość wyrażenia zgody, wyboru akceptowanych cookies – oraz „łatwego” odrzucenia, ale tylko teoretycznie. Na przykład poprzez takie manipulowanie kolorystyką, że przycisk „Akceptuj” jest wyraźnie eksponowany, a pozostałe ledwo widoczne.
Max Schrems podsumował tę sytuacje następująco:
Cała branża konsultantów i projektantów opracowuje szalone labirynty kliknięć, aby uzyskać wyimaginowane wskaźniki zgody. Manipulowanie ludźmi, aby kliknęli 'ok’ jest wyraźnym naruszeniem zasad RODO. Zgodnie z prawem firmy muszą ułatwiać użytkownikom i użytkowniczkom wyrażanie wyboru i projektować systemy w sposób rzetelny i przejrzysty. Firmy otwarcie przyznają, że tylko 3% wszystkich użytkowników faktycznie chce akceptować pliki cookie, ale ponad 90% można nakłonić do kliknięcia przycisku >zgadzam się<.
Co zrobiło NYOB w sprawie banerów cookies?
NYOB działa z rozmachem. Stworzyli oprogramowanie, które automatycznie skanuje strony internetowe, rozpoznaje różne rodzaje naruszeń związanych z banerami cookies i automatycznie generuje skargi. Póki co organizacja NYOB wysłała 500 projektów takich skarg do zainteresowanych firm, a nie do organów ochrony danych. Jeśli firmy nie zareagują i nie poprawią swoich ciasteczkowych banerów, kolejnym krokiem będą skargi do narodowych organów ochrony danych. To z pewnością doprowadzi do nałożenia kilku nowych kar z RODO.
Czy coś grozi Twojej firmie z powodu nieprawidłowego banera cookies?
Jeśli Twoja strona ma prawidłowo skonfigurowane mechanizmy do zarządzania ciasteczkami, nic Ci nie grozi.
Jeśli jest inaczej, a Twoja strona należy do 10 000 najczęściej odwiedzanych stron w Europie, to jesteś na celowniku NYOB.
Jednak nawet jeśli Twoja witryna internetowa nie jest tak popularna, to warto te mechanizmy dopracować. Powodów jest kilka:
- szanujesz prywatność swoich użytkowników,
- chcesz działać zgodnie z prawem,
- możesz trafić na lokalną organizację zajmującą się prywatnością lub niezadowolonego gościa Twojej strony, który zgłosi naruszenie do PUODO.
Liczę, że przemawiają do Ciebie wszystkie powyższe argumenty. Jednak nawet jeden wystarczy, by dostosować swój mechanizm zarządzania ciastkami do wymagań RODO.
Sprawdź jak to zrobić.
Ekspert ochrony danych osobowych z 10 letnim doświadczeniem. Realizował projekty związane z ochroną danych osobowych dla takich marek jak eObuwie.pl, Shoper, KKS Lech Poznań, Carry, Akademickie Inkubatory Przedsiębiorczości. Członek Stowarzyszenia Inspektorów Ochrony Danych (SABI) i Stowarzyszenia Praktyków Ochrony Danych (SPOD). Absolwent Politechniki Poznańskiej. Informatyk, inżynier systemów zarządzania. Absolwent studiów podyplomowych z zakresu systemów zarządzania opartych o normy ISO (Politechnika Poznańska) oraz bezpieczeństwa danych w systemach komputerowych (Collegium DaVinci). Współtwórca autorskiej metody wdrażania RODO.