Какво изисква GDPR от банер за бисквитки

GDPR и Директивата за електронна поверителност установяват пет безусловни правила за съгласие за бисквитки:

• Свободно дадено: Отказът на бисквитки трябва да е толкова лесен, колкото и приемането им.
• Конкретно: Съгласието трябва да се иска отделно за всяка цел.
• Информирано: Потребителите трябва да знаят за какво дават съгласие, преди да го дадат.
• Недвусмислено: Предварително отметнати полета и продължаване на сърфирането не се считат за съгласие.
• Оттегляемо: Потребителите трябва да могат да оттеглят съгласието си по всяко време.

Пример 1: Банер само с „Приемам" (Несъответстващ)

Как изглежда

Малка лента с текст „Използваме бисквитки за подобряване на вашето изживяване" и един бутон „ОК". Без опция за отказ, без настройки.

Защо не отговаря на изискванията

Без реален избор, без информация за бисквитките, без начин за отказ. CNIL наложи глоба на Google от 150 милиона евро и на Facebook от 60 милиона евро през 2022 г. точно за този модел.

Заключение: Незаконно съгласно GDPR.

Пример 2: „Приемам всички" + малък линк „Управление на предпочитанията" (Несъответстващ)

Как изглежда

Видим бутон „Приемам всички" с малък сив линк „Управление на предпочитанията". Без бутон „Отхвърлям всички".

Защо не отговаря на изискванията

Визуалната йерархия насочва потребителите към приемане. Отказът изисква две кликвания, докато приемането — само едно. Множество органи за защита на данните са постановили, че това не е свободно дадено съгласие.

Заключение: Несъответстващ. Отказът трябва да е толкова достъпен, колкото и приемането.

Пример 3: Еднакви бутони за приемане и отказ (Съответстващ)

Как изглежда

Два еднакво големи бутона: „Приемам всички" и „Отхвърлям всички". Под тях — линк „Управление на предпочитанията". Кратко обяснение на целите на бисквитките.

Защо работи

Истински свободен избор, и двете опции са еднакво видими, по едно кликване за всяка. Това е моделът, изрично препоръчан от CNIL.

Заключение: Съответстващ. Базовото ниво, което всеки уебсайт трябва да покрива.

Пример 4: Стена за бисквитки (Несъответстващ)

Как изглежда

Пълноекранно наслагване, блокиращо цялото съдържание. Единствената опция е „Приемам бисквитките".

Защо не отговаря на изискванията

Член 7(4) от GDPR — съгласието не е свободно дадено, ако достъпът до услугата е обвързан с него. Нидерландският орган за защита на данните заключи, че стените за бисквитки по принцип не са разрешени.

Заключение: Несъответстващ в повечето юрисдикции на ЕС.

Пример 5: Предварително отметнати полета (Несъответстващ)

Как изглежда

Подробен банер, показващ категории бисквитки с отметки — но всички полета са предварително отметнати.

Защо не отговаря на изискванията

Решението на Съда на ЕС по делото Planet49 (2019 г.) окончателно реши този въпрос: предварително отметнатите полета не представляват валидно съгласие. Съгласието изисква ясно утвърдително действие.

Заключение: Изрично незаконно съгласно практиката на Съда на ЕС.

Пример 6: Многослоен подход (Съответстващ — Най-добра практика)

Как изглежда

Първо ниво: компактен банер с бутони „Приемам всички", „Отхвърлям всички" и „Персонализиране". Второ ниво: подробен център за предпочитания с отделни превключватели за категории и списък на доставчици. Трето ниво: пълна политика за бисквитките.

Защо работи

Балансира информацията с удобството за ползване. Първото ниво предоставя избор, второто — детайли, третото — пълна прозрачност. Изрично препоръчан от EDPB.

Заключение: Най-добра практика. Златният стандарт за съответствие.

Пример 7: Подвеждащи надписи на бутоните (Несъответстващ)

Как изглежда

„Съгласен съм" срещу „Не съм съгласен да откажа несъществените бисквитки". Или: „Приемам препоръчаните настройки" срещу „Използвай ограничена версия".

Защо не отговаря на изискванията

Съображение 42 от GDPR изисква ясен и разбираем език. Двойните отрицания, внушените последици и манипулативните надписи като „Не, благодаря, не ме интересува моето изживяване" са манипулативни и несъответстващи.

Заключение: Несъответстващ. Използвайте ясни, неутрални надписи.

Пример 8: Правилно направеният съответстващ банер

Как изглежда

Чиста долна лента с: ясно заглавие, кратко обяснение, три еднакво стилизирани бутона (Приемам всички, Отхвърлям всички, Управление на предпочитанията) и линк към политиката за бисквитките. „Управление на предпочитанията" отваря център за предпочитания с отделни превключватели, списък на доставчици и бутон „Запази".

Защо работи

Покрива всички изисквания: свободен избор, симетрични бутони, многослойна информация, разбираем език, без предварително отметнати полета, лесно оттегляне чрез иконка за настройки на бисквитките.

Заключение: Напълно съответстващ.

Реални глоби за лоши банери

• Google (Франция, 2022 г.): 150 милиона евро — опцията за отказ беше по-трудна за намиране от тази за приемане.
• Facebook (Франция, 2022 г.): 60 милиона евро — същият проблем с асиметрията.
• Microsoft (Франция, 2022 г.): 60 милиона евро — рекламни бисквитки, зададени без валидно съгласие.
• TikTok (Франция, 2023 г.): 5 милиона евро — отказът на бисквитки изискваше повече стъпки от приемането.

Контролен списък за съответствие

• Има ли видим бутон „Отхвърлям всички" на първото ниво?
• Еднакво видими ли са бутоните за приемане и отказ?
• Всички отметки по подразбиране неотметнати ли са?
• Показва ли се банерът преди задаването на несъществени бисквитки?
• Могат ли потребителите да достъпят детайлни контроли по категории?
• Записва ли се съгласието с времеви печат?
• Могат ли потребителите да променят съгласието си по всяко време?
• Банерът на езика на потребителя ли е?
• При кликване на „Отхвърлям" наистина ли се предотвратяват несъществените бисквитки?

Как FlexyConsent се справя с всичко това без допълнителни настройки

FlexyConsent е сертифицирана от Google CMP с поддръжка на IAB TCF 2.3. Тя покрива всяко изискване за съответствие:

• Еднакви бутони за приемане и отказ на първото ниво
• Вграден многослоен подход (първо ниво за избор, второ за детайлни контроли)
• Без предварително отметнати полета — всички незадължителни категории са неотметнати по подразбиране
• Google Consent Mode V2, интегриран без допълнителни настройки
• 43 езика с автоматично разпознаване
• Гео-насочване за специфични за региона банери
• Запис на съгласието и доказателства за одити
• Планове от 0 евро/месец

Настройте съответстващ банер за по-малко от пет минути на panel.flexyconsent.com.