Francusko tijelo za zaštitu podataka (CNIL) izreklo je kaznu od 75.000 eura tvrtki TAGADAMEDIA zbog prikupljanja osobnih podataka putem obrazaca koji su po dizajnu bili obmanjujući koji nisu dopuštali voditelju obrade da dobije važeći pristanak prema članku 6. stavku 1. točki (a) GDPR-a.
Navedena kompanija je na svojoj web stranici prikupljala razne osobne podatke fizičkih osoba koje su htjele sudjelovati u natjecanjima ili testiranjima novih proizvoda te kompanije.
Putem te web forme prikupljali su se ime i prezime, datum rođenja, adresa stanovanja, email adresa i telefonski broj.
Pored web forme postavljena su dva polja za kliknuti: „POTVRĐUJEM“ na crvenoj podlozi i bijeloj boji fonta te „ODBIJAM“ na sivoj podlozi i crnoj boji fonta osjetno manjeg od veličine polja „POTVRĐUJEM“.
Iznad ova dva ponuđena polja „transparentno“ je postavljen tekst mikro-sitnog fonta koji kaže da pristankom na opciju „POTVRĐUJEM“ korisnik pristaje na primanje marketinških poruka i ponuda.
Nakon što je CNIL pokrenuo nadzorne aktivnosti vlasnik web stranice je izmijenio postavke navedenih polja na način da je predložio CNIL-u da umjesto „POTVRĐUJEM“ i „ODBIJAM“ postavi opcije „PRIHVAĆAM“ i „SLIJEDEĆI KORAK“, obje prikazane u bijelom fontu na crvenoj podlozi. Naravno, i dalje su predlagali tekst u mikro-sitnom fontu koji pojašnjava da se klikom na „PRIHVAĆAM“ pristaje na primanje marketinških poruka i ponuda, a klikom na „SLIJEDEĆI KORAK“ odbija primanje takvih marketinških ponuda.
Jasno je svima što je kompanija htjela i na čemu je ustrajala. Čisto zavaravanje ljudi, zar ne?
Naravno, CNIL, kao jedno od najstrožih nadzornih tijela u EU, je jasno napomenuo da je za slanje marketinških ponuda i poruka neophodna prethodna privola pojedinca.
A da bi ta privola bila zakonita, odnosno, u skladu s GDPR-om, mora biti specifična (jasno opisana s jasnom svrhom), predmetom slobodne volje i potpuno slobodnog odabira i takav izbor pojedinca mora biti nedvojben.
CNIL je jasno ukazao da opcija s dva polja „POTVRĐUJEM“ i „ODBIJAM“ nije u skladu s GDPR-om jer pojedincu nije nigdje opisano što će se dogoditi ako klikne na „ODBIJAM“ pa se time niti ne daje jasna informacija te time i pravo na slobodan potpuni izbor.
A za novopredloženo rješenje „PRIHVAĆAM“ i „SLIJEDEĆI KORAK“ je CNIL utvrdio da se radi o zavaravanju korisnika. Iako su oba polja za klik jednaka, jednake boje i fonta, sam naziv drugog polja „SLIJEDEĆI KORAK“ zbunjuje korisnika i opterećuje ga dodatnim radnjama, gurajući ga da klikne na „PRIHVAĆAM“.
U svakom slučaju ovakve forme ni na koji način ne daju informaciju korisniku da će se pristankom njihovi osobni podaci slati drugim stranama radi marketinga i promidžbe.
Da zaključimo, CNIL je jasno rekao da ovdje prikupljene privole korisnika nisu bile u skladu s GDPR-om, odnosno, nisu bile zakonite.
Da stvar bude gora, CNIL je pronašao da su se, bez obzira na odabir polja za klik, temeljem nekakvog ničime opravdanog legitimnog interesa, sa svrhom da se izbjegnu privole, podaci korisnika o njihovom telefonskom broju i adresi stanovanja dalje obrađivali za svrhe nekakve tehničke i kvalifikacijske podrške.
Muljatori su morali platiti 75.000 EUR kazne zbog obmanjujućeg dizajna privola, web obrazaca, tekstova za informiranje korisnika i skrivenog dijeljenja osobnih podataka.
To se u svijetu privacy profesionalaca naziva „Dark Pattern“.
Više o slučaju na:
https://gdprhub.eu/index.php?title=CNIL_(France)_-_SAN-2023-025&mtc=today
Image by benzoix on Freepik
#gdprcroatia