Rakouský soud: vizuální zvýraznění tlačítka „Přijmout vše" v cookie banneru činí souhlas neplatným
Spolkový správní soud (Bundesverwaltungsgericht, BVwG) potvrdil rozhodnutí rakouského dozorového úřadu, kterým úřad nařídil veřejnoprávní vysílací společnosti přepracovat svůj cookie banner. Soud souhlasil s názorem úřadu, že vizuální zvýraznění tlačítka „Přijmout všechny cookies" oproti ostatním volbám představuje protiprávní popostrkování uživatelů k souhlasu, a tím podkopává platnost samotného souhlasu jako právního titulu pro zpracování osobních údajů. Případ vedený pod spisovou značkou BVwG W171 2303402-1/7E publikoval GDPRhub v týdenním přehledu rozhodnutí 14. května.
Rozsudek je dalším článkem řetězce evropské judikatury, která dark patterns v souhlasných dialozích systematicky kvalifikuje jako porušení požadavku na svobodný a informovaný souhlas podle článku 4 odst. 11 a článku 7 GDPR ve spojení s článkem 6 odst. 1 písm. a). Soud i úřad zdůraznili, že rozhodující není formální existence tlačítka odmítnutí. Rozhodující je celkové vizuální zacházení s nabídnutými volbami. Pokud má jedno tlačítko výraznou barvu, je větší, je zarámované jako primární akce nebo je umístěné na pozici, na kterou se uživatel přirozeně dívá první, zatímco možnost odmítnutí je menší, šedá nebo skrytá za druhým klikem, není rozhodnutí uživatele svobodné v právním smyslu.
Tento přístup navazuje na zprávu Evropského sboru pro ochranu osobních údajů (EDPB) o dark patterns v sociálních sítích z roku 2022, na řadu rozhodnutí francouzské CNIL ve věcech zpřesněných cookie bannerů a na soudní rozhodnutí v Německu a Belgii, které postupně vytvořily konsenzus o tom, že vizuální popostrkování souhlasu (tzv. nudging) je v rozporu s GDPR. Pro správce webů to znamená, že banner, který sice formálně nabízí volbu odmítnutí, ale podává ji designově nerovnoprávně, je dnes v rozporu s evropským právem ochrany osobních údajů a riskuje zákaz ze strany dozorového úřadu.
Praktická pravidla, která z dosavadní judikatury vyplývají, jsou jednoduchá. Tlačítka „Přijmout vše" a „Odmítnout vše" musejí být na stejné úrovni co do velikosti, barvy a pozice. Volba „Spravovat nastavení" nebo „Více informací" nemůže nahrazovat tlačítko odmítnutí. Předem zaškrtnuté souhlasy s jednotlivými kategoriemi cookies (kromě nezbytných technických) jsou bez výjimky neplatné, jak konstatoval Soudní dvůr EU ve věci Planet49 (C-673/17). Pokračování návštěvy webu nelze považovat za souhlas. Cookies nezbytné pro fungování stránky souhlas nevyžadují, ale jejich definici nelze libovolně rozšiřovat – zařazení reklamních a analytických nástrojů do této kategorie je opakovaně sankcionováno.
Rozhodnutí proti rakouské veřejnoprávní vysílací společnosti je z tohoto úhlu pohledu zajímavé tím, že soud potvrdil i ten závěr úřadu, kterým bylo nařízeno banner přepracovat. Sankční rovinu úřad ponechal stranou – soustředil se na nápravné opatření. Pro provozovatele webů v Česku i jinde v EU to ukazuje, že dozorový úřad nemusí každé porušení trestat pokutou, aby měl reálný dopad. Stačí, když nařídí změnu designu, a kontrola plnění tohoto příkazu se stane vážnou administrativní zátěží – pokud správce neprovede úpravu rychle, vstupuje do oblasti opakovaného porušení a s ní spojených tvrdších sankcí.
Pro provozovatele acresia.com, e-shopů, mediálních webů i veřejné správy je z případu praktický závěr: cookie banner je třeba navrhnout tak, aby tlačítka byla rovnocenná. Pokud na webu běží dlouhodobě banner se zvýrazněným „Přijmout vše", je vhodné jeho design přehodnotit ještě před tím, než přijde dotaz dozorového úřadu nebo stížnost subjektu údajů. Náklady takové úpravy jsou minimální, riziko nečinnosti naopak významné.
Zdroj
Další články
Nové zranitelnosti v katalogu CISA KEV – vydání 23b
Zranitelnost HTTP/2 Bomb zasahuje Nginx, Apache, IIS a další webové servery – útočník může za sekundy vyčerpat gigabajty paměti
