Kepatuhan izin cookie: menonaktifkan JavaScript dan aksesibilitas keyboard

Ini tidak mungkin menimbulkan masalah: sebagian besar hal yang memerlukan izin hanya terjadi per JS, dan izin tetap harus diikutsertakan. Namun, masalah aksesibilitas mungkin sah.

Cookies biasanya diatur melalui kolom header dalam respon dari server web. Cookie semacam itu biasanya (tetapi tidak harus) digunakan untuk alasan yang tidak berbahaya seperti token sesi. Dan cookie yang sangat diperlukan tidak membutuhkan persetujuan. Sebaliknya, penggunaan cookie yang bermasalah biasanya dipicu oleh kode JavaScript di halaman. Ketika JavaScript dinonaktifkan, itu tidak dapat mengatur cookie dan meminta persetujuan tidak diperlukan.

Ini membawa kita ke alasan berikutnya: persetujuan ikut serta. Arahan ePrivasi memerlukan persetujuan untuk penggunaan cookie yang tidak benar-benar diperlukan, dan GDPR Art 4 (11) dan Art 7 mendefinisikan persetujuan untuk ikut serta melalui tindakan atau ekspresi afirmatif yang secara jelas menunjukkan keinginan pengunjung. Kotak yang dicentang sebelumnya atau mekanisme persetujuan gaya "dengan melanjutkan menggunakan halaman ini ..." tidak sesuai. Jika mekanisme situs web untuk meminta persetujuan tidak berfungsi, ia tidak dapat berasumsi bahwa persetujuan telah diberikan dan tidak diizinkan untuk melakukan pemrosesan data yang relevan.

Tentu saja, mungkin juga untuk mengambil pandangan yang berlawanan: bahwa JavaScript adalah bagian inti dari standar HTML, dan bahwa agen pengguna tanpa dukungan JavaScript merusak fungsi yang benar dari situs dan membahayakan pengunjung. Operator situs tidak dapat memastikan fungsionalitas situs yang benar pada browser nonstandar tersebut. Tetapi meskipun ini adalah argumen yang valid dalam menghadapi masalah aksesibilitas, tidak masalah untuk persetujuan GDPR: pengontrol data harus dapat menunjukkan bahwa persetujuan benar-benar diberikan (Pasal 7 (1)). Meskipun bukti ini tidak harus berupa catatan eksplisit, menganggap persetujuan dari tidak adanya bukti tampaknya tidak sesuai.

Apakah GDPR membutuhkan aksesibilitas? Tidak secara eksplisit. Persyaratan aksesibilitas dapat diturunkan dari undang-undang lain. Tetapi GDPR memiliki beberapa prinsip dasar yang mengarah ke arah ini. Sebagai kasus khusus untuk deklarasi tertulis yang juga mempertimbangkan hal-hal lain, permintaan izin harus dalam “bentuk yang dapat dipahami dan mudah diakses” (Pasal 7 (2)) yang juga berlaku untuk media tekstual seperti situs web. Secara lebih umum, prinsip transparansi dalam Pasal 5 (1) (a) dapat dikatakan menyiratkan aksesibilitas untuk informasi mengenai pemrosesan data. Untuk konteks hak subjek data, Pasal 12 (1) memberikan perincian tentang bagaimana informasi harus diberikan (transparan, dapat dipahami, mudah diakses, bahasa yang jelas dan sederhana) dan Pasal 12 (2) mengharuskan pengontrol data untuk "memfasilitasi pelaksanaan hak subjek data ”. Dengan fasilitasi ini, subjek data tidak boleh menghadapi hambatan yang tidak wajar dalam pelaksanaan haknya. Situs web yang benar-benar tidak dapat diakses bisa menjadi penghalang seperti itu, misalnya memasukkan info kontak ke dalam gambar.

Namun, tidak berarti bahwa fitur khusus seperti aksesibilitas keyboard atau markup ARIA diperlukan oleh GDPR. Bahkan jika kita menafsirkan GDPR memerlukan beberapa tingkat aksesibilitas, otoritas perlindungan data atau pengadilan harus melihat konteksnya: tingkat aksesibilitas apa yang dapat secara wajar diperlukan?

Jawaban ini terutama mencakup ePrivasi / GDPR karena saya tidak memiliki pemahaman yang lebih dalam tentang CCPA. Namun, CCPA bisa dibilang lebih mudah diakses, karena ini mengamanatkan teknologi (tautan) dan judul tertentu (Jangan Jual Informasi Pribadi Saya) yang kebetulan cukup dapat diakses. CCPA juga memberikan wewenang dan menuntut peraturan lebih lanjut untuk memastikan bahwa pemberitahuan dan informasi dapat diakses oleh konsumen penyandang disabilitas.