Liian vaikeista evästebannereista miljoonasakot Googlelle ja Facebookille Ranskassa
Evästebannereiden regulaatio on ollut hyvin vaihtelevaa Euroopassa. Nyt Ranskassa on kuitenkin annettu melko kovat sakot Googlelle ja Facebookille siitä, että nämä ovat tehneet evästeistä kieltäytymisestä liian hankalaa.
Google sai 150 miljoonan euron sakot ja Facebook 60 miljoonaa euroa. Yhtiöillä on kolme kuukautta aikaa korjata toimintansa Ranskassa. Jos yhtiöt eivät korjaa toimintaansa määräajassa, ovat jatkosakot 100 000 euroa per päivä.
Wall Street Journal kirjoittaa artikkelissaan tuomiosta seuraavasti:
”A French regulator fined Alphabet Inc.’s Google $169 million and Meta Platforms Inc.’s Facebook $67 million, saying the companies made it too difficult for users to reject cookies, the identifiers used to track their data.
Facebook and Google required several steps to reject cookies used to track their data on YouTube, Facebook and Google, leading users to accept the technology because doing so required just one click, said France’s data-protection regulator, the CNIL. The regulator gave the companies three months to create a solution for rejecting cookies that is as simple as the button to accept them.”
Kyse on ollut käytännössä siitä, onko kieltäytyminen yhtä helppoa kuin hyväksyminen, vai vaatiiko kieltäytyminen useampia klikkauksia kuin hyväksyminen. Tässä asiassahan Suomessakin suuri osa verkkokaupoista ja mediataloista pitää Traficomin ohjeistusta täysin pilkkanaan, eikä ole vaivautunut päivittämään evästelappujaan ohjeistuksen vaatimalle tasolle.
The Verge puhuu artikkelissa ‘dark patterneista’, joiden käyttöön Ranskan viranomainen nyt otti kantaa:
“With Google, the problem is one of asymmetry rather than mislabeling. CNIL notes* that the company’s websites (including YouTube) allow users to accept all cookies with a single click. But, to reject them, they have to click through several different menu items. Clearly, users are being steered in a particular direction that just so happens to benefit Google. (I’m well aware that The Verge doesn’t offer a single-click “reject all” cookie button either.)
EU law states that when citizens hand over data online, they must do so freely and with a full understanding of the choice they are making. CNIL’s judgement is that Google and Facebook are essentially tricking their users, deploying what are known as “dark patterns” — a style of subtly coercive user interface design — to wangle consent and so breaking the law. Hence the fines and the demand that the companies change their cookie UI design within three months.”
Kyseinen päätös on tosin hieman erikoinen, koska se nojaa vanhaan ePrivacy-asetukseen, joka mahdollistaa yhtiöiden sakottamisen siinä maassa missä yhtiö toimii käytännössä. Uudempi GDPR-asetus toimii eri tavoin, määrittäen valvontavastuun pääkonttorin sijainnin mukaan. Tämä GDPR:n malli on kuitenkin herättänyt paljon närää, koska monet isoista teknologiayhtiöistä pitävät päämajaansa Irlannissa, ja Irlannin tietosuojaviranomaiset ovat olleet varsin hitaita, jopa haluttomia, puuttumaan isojen teknologiayhtiöiden käytänteisiin.
Joka tapauksessa, kyse on todella kiinnostavasta tuomiosta, joka kohdistuu juurikin evästebannereihin ja niiden toteutusmalliin. Suomessakin kun moni tuntuu odottavan, että harhaanjohtavista käytänteistä aletaan antaa oikeita rangaistuksia.
Viime aikoina Traficomin on havaittu seuraavan varsin tiukasti muiden eurooppalaisten valvontaviranomaisten tulkintoja, joten tiukentuvaa evästekuria saattaa olla tulossa myös jollain aikataululla tänne Suomeen.
Wall Street Journalin mukaan ainakin on odotettavissa tiukentuvaa asetusten valvontaa:
”The most recent fines against Google and Facebook are a wake-up call to businesses that use cookies to track users’ web-browsing activity, Mr. Azim-Khan said. Many companies have used cookies and pop-up banners that don’t appear to comply with regulators’ strict requirements or use unclear language explaining how they collect data, he said. European regulators have warned companies for months that they would enforce rules requiring they obtain consent to use cookies.”
Lue lisää päätöksestä:
- The Verge: France fines Google and Facebook for pushing tracking cookies on users with dark patterns (7.1.2021)
- Wall Street Journal: France Fines Google, Facebook for Privacy Violations (6.1.2021, huom. maksumuuri)
Lue lisää: Evästeohjeistus Suomessa – kaikki artikkelit Vierityspalkissa 2018-2024
Perttu Tolvanen
Perttu on Vierityspalkin päätoimittaja ja kirjoittaja.
Perttu Tolvanen on digitaalisten palveluiden suunnittelun, arkkitehtuuriratkaisujen ja kumppanivalintojen asiantuntija. Perttu on konsulttiyhtiö North Patrol Oy:n konsultti ja toinen perustaja. North Patrol on digitoimistoista ja järjestelmätoimittajista riippumaton konsulttiyhtiö, joka suunnittelee digitaalisia palveluita ja auttaa asiakkaita onnistumaan uudistushankkeissaan. Ota yhteyttä Perttuun!
