מועצת הרשויות הלאומיות להגנת מידע של מדינות האיחוד האירופי (European Data Protection Board - EDPB) פרסמה טיוטת מסמך המתאר את דעתם המשותפת של הרגולטורים על כללי 'עשה' ו'אל-תעשה' לשימוש ב-Cookies. את המסמך גיבש צוות משימה ייעודי לשיתוף פעולה בין הרשויות הלאומיות המטפלות במאות תלונות שהגישה עמותת NOYB על אתרים שלטענת העמותה אינם מצייתים לכללים האירופאים על הגנת הפרטיות בשימוש ב-Cookies.
בין הכללים המוצגים במסמך -
- מרבית הרגולטורים סבורים שיש להציג כפתור לסירוב Cookies לצד הכפתור המאשר שימוש ב-Cookies. אין להסתפק בשני כפתורים בלבד - האחד לאישור השימוש ב-Cookies והאחר לבחירה פרטיקולרית של ה-Cookies בידי המשתמש.
- כלל הרגולטורים סבורים שהנוהג להציג את הקטגוריות השונות של מטרות השימוש Cookies כשהן מסומנות מראש להסכמה - מהווה הפרה של הוראות ה-GDPR והדירקטיבה על פרטיות ברשתות תקשורת אלקטרוניות.
- אין לקבל הצנעה מכוונת של האפשרות לסרב ל-Cookies. דוגמה ראשונה היא כשאפשרות הסירוב קיימת כלינק בתיאור טקסטואלי, בעוד שהאפשרות להסכמה ל-Cookies ניתנת בכפתור הסכמה בולט. דוגמה שניה היא כשרמת ניגודיות הצבע של כפתור הסירוב והטקסט "סירוב" שבתוכו היא כה מינימלית עד שקשה להבחין במשמעות הכפתור. מנגד, הרגולטורים הסכימו שאין מקום להכתיב לבעלי אתרים הוראות ספציפיות לעיצוב הצבעים בכפתורי הסירוב וההסכמה. יש לבחון כל מקרה לגופו כדי לוודא שאפשרויות הבחירה ברורות למשתמש ואינן מטעות או מניפולטיביות.
- בעלי אתרים נדרשים לאפשר לגולשים לחזור בקלות לתפריט ההסכמה ל-Cookies בכל עת כדי לשנות את בחירתם ואף לחזור בהם מהסכמתם לשימוש ב-Cookies.
המסמך מדגיש כי הוא לא מתאר באופן ממצה את כל הכללים החלים על הצבת Cookies באתרים, אלא רק מציג סוגיות נבחרות שהתעוררו במסגרת מהלכי האכיפה של הרגולטורים.