Liian vaikeista evästebannereista miljoonasakot Googlelle ja Facebookille Ranskassa

Perttu Tolvanen

Evästebannereiden regulaatio on ollut hyvin vaihtelevaa Euroopassa. Nyt Ranskassa on kuitenkin annettu melko kovat sakot Googlelle ja Facebookille siitä, että nämä ovat tehneet evästeistä kieltäytymisestä liian hankalaa.

Google sai 150 miljoonan euron sakot ja Facebook 60 miljoonaa euroa. Yhtiöillä on kolme kuukautta aikaa korjata toimintansa Ranskassa. Jos yhtiöt eivät korjaa toimintaansa määräajassa, ovat jatkosakot 100 000 euroa per päivä.

Wall Street Journal kirjoittaa artikkelissaan tuomiosta seuraavasti:

”A French reg­u­la­tor fined Al­pha­bet Inc.’s Google $169 mil­lion and Meta Plat­forms Inc.’s Face­book $67 mil­lion, say­ing the com­pa­nies made it too dif­fi­cult for users to re­ject cook­ies, the iden­ti­fiers used to track their data.

Face­book and Google re­quired sev­eral steps to re­ject cook­ies used to track their data on You­Tube, Face­book and Google, lead­ing users to ac­cept the tech­nol­ogy be­cause do­ing so re­quired just one click, said France’s data-pro­tec­tion reg­u­la­tor, the CNIL. The reg­u­la­tor gave the com­pa­nies three months to cre­ate a so­lu­tion for re­ject­ing cook­ies that is as sim­ple as the but­ton to ac­cept them.”

Kyse on ollut käytännössä siitä, onko kieltäytyminen yhtä helppoa kuin hyväksyminen, vai vaatiiko kieltäytyminen useampia klikkauksia kuin hyväksyminen. Tässä asiassahan Suomessakin suuri osa verkkokaupoista ja mediataloista pitää Traficomin ohjeistusta täysin pilkkanaan, eikä ole vaivautunut päivittämään evästelappujaan ohjeistuksen vaatimalle tasolle.

The Verge puhuu artikkelissa ‘dark patterneista’, joiden käyttöön Ranskan viranomainen nyt otti kantaa:

“With Google, the problem is one of asymmetry rather than mislabeling. CNIL notes that the company’s websites (including YouTube) allow users to accept all cookies with a single click. But, to reject them, they have to click through several different menu items. Clearly, users are being steered in a particular direction that just so happens to benefit Google. (I’m well aware that The Verge doesn’t offer a single-click “reject all” cookie button either.)

EU law states that when citizens hand over data online, they must do so freely and with a full understanding of the choice they are making. CNIL’s judgement is that Google and Facebook are essentially tricking their users, deploying what are known as “dark patterns” — a style of subtly coercive user interface design — to wangle consent and so breaking the law. Hence the fines and the demand that the companies change their cookie UI design within three months.”

Kyseinen päätös on tosin hieman erikoinen, koska se nojaa vanhaan ePrivacy-asetukseen, joka mahdollistaa yhtiöiden sakottamisen siinä maassa missä yhtiö toimii käytännössä. Uudempi GDPR-asetus toimii eri tavoin, määrittäen valvontavastuun pääkonttorin sijainnin mukaan. Tämä GDPR:n malli on kuitenkin herättänyt paljon närää, koska monet isoista teknologiayhtiöistä pitävät päämajaansa Irlannissa, ja Irlannin tietosuojaviranomaiset ovat olleet varsin hitaita, jopa haluttomia, puuttumaan isojen teknologiayhtiöiden käytänteisiin.

Joka tapauksessa, kyse on todella kiinnostavasta tuomiosta, joka kohdistuu juurikin evästebannereihin ja niiden toteutusmalliin. Suomessakin kun moni tuntuu odottavan, että harhaanjohtavista käytänteistä aletaan antaa oikeita rangaistuksia.

Viime aikoina Traficomin on havaittu seuraavan varsin tiukasti muiden eurooppalaisten valvontaviranomaisten tulkintoja, joten tiukentuvaa evästekuria saattaa olla tulossa myös jollain aikataululla tänne Suomeen.

Wall Street Journalin mukaan ainakin on odotettavissa tiukentuvaa asetusten valvontaa:

”The most re­cent fines against Google and Face­book are a wake-up call to busi­nesses that use cook­ies to track users’ web-brows­ing ac­tiv­ity, Mr. Azim-Khan said. Many com­pa­nies have used cook­ies and pop-up ban­ners that don’t ap­pear to com­ply with reg­u­la­tors’ strict re­quire­ments or use un­clear lan­guage ex­plain­ing how they col­lect data, he said. Eu­ropean reg­u­la­tors have warned com­pa­nies for months that they would en­force rules re­quir­ing they ob­tain con­sent to use cook­ies.”

Lue lisää päätöksestä:

PS. Tilaa Vierityspalkin kerran kuukaudessa ilmestyvä uutiskirje, joka koostaa artikkelit, linkkivinkit, työpaikat ja julkaisut (uutiskirjeellä on jo yli 900 tilaajaa).

Lisää artikkeleita digitaalisesta markkinoinnista:

Jätä kommentti