Правната основа

Задълженията за съгласие за бисквитки произтичат от GDPR (Регламент 2016/679) и Директивата за електронна поверителност (2002/58/EC). Директивата за електронна поверителност изисква съгласие преди съхраняване на информация на устройството на потребителя (член 5(3)), а GDPR определя валидното съгласие (член 4(11), член 7, съображение 32).

14-те изисквания

1. Предварително съгласие

Несъществените бисквитки не трябва да се задействат, докато потребителят не даде съгласие. Член 5(3) от Директивата за електронна поверителност е категоричен. CNIL глоби Google с 150 милиона евро (2022 г.) за зареждане на бисквитки преди взаимодействие с потребителя.

2. Свободно дадено съгласие

Съгласието не може да бъде условие за достъп (GDPR, член 4(11)). Не се допуска обвързване на съгласието за бисквитки с условията за ползване.

3. Детайлен избор по цели

Потребителите трябва да дават съгласие за всяка цел поотделно — анализ, реклама, функционалност (GDPR, съображение 43). Само бутон „Приеми всички" без избор на категории е недостатъчен.

4. Еднакво видими бутони „Приеми" и „Откажи"

„Откажи" трябва да е толкова видим, колкото и „Приеми". CNIL изисква бутон „Откажи всички" на първия слой с еднакво визуално присъствие. Microsoft беше глобена с 60 милиона евро (2022 г.) отчасти заради скриване на опцията за отказ.

5. Без предварително маркирани полета

Решението на Съда на ЕС по делото Planet49 (C-673/17, 2019 г.): предварително маркираните полета не представляват валидно съгласие. Всички категории трябва да бъдат изключени по подразбиране.

6. Без стени за бисквитки

Блокирането на достъпа до сайта, докато не бъде дадено съгласие, по правило не отговаря на изискванията. EDPB и нидерландският орган за защита на данните потвърдиха това.

7. Ясен и разбираем език

GDPR, член 7(2) — заявките за съгласие трябва да използват ясен и разбираем език. „Използваме бисквитки, за да подобрим вашето преживяване" е недостатъчно.

8. Съответствие на езика

GDPR, член 12(1) — информацията трябва да бъде разбираема. Банерът трябва да съответства на езика на уебсайта.

9. Връзка към политиката за бисквитки

GDPR, членове 13-14, изискват изчерпателна информация. Банерът трябва да съдържа връзка към пълна политика за бисквитки, в която са изброени всички бисквитки.

10. Лесно оттегляне

GDPR, член 7(3) — оттеглянето трябва да е толкова лесно, колкото и даването на съгласие. Постоянен елемент или връзка в долния колонтитул трябва да позволява повторно отваряне на интерфейса за съгласие.

11. Съхранение на записи за съгласието

GDPR, член 7(1) — трябва да можете да докажете, че съгласието е било получено. Записвайте времеви печати, направени избори и версии на банера.

12. Разкриване на трети страни

GDPR, член 13(1)(e) — разкрийте всички получатели на данни от трети страни. Съгласно TCF 2.3 списъкът с доставчици трябва да е достъпен от интерфейса за съгласие.

13. Прозрачност за срока на съхранение

GDPR, член 13(2)(a) — разкрийте колко дълго се съхраняват бисквитките.

14. Адаптивност за мобилни устройства

GDPR не предвижда изключение за мобилни устройства. Бутоните трябва да са натискаеми, текстът — четим, а интерфейсът — функционален на всички размери екрани.

Бърз контролен списък за одит

• Несъществените бисквитки не се задействат преди съгласие
• „Приеми" и „Откажи" са еднакво видими на първия слой
• Налице е възможност за индивидуален избор на категории
• Няма предварително избрани превключватели за несъществени категории
• Сайтът е достъпен, дори ако потребителят откаже всички бисквитки
• Езикът на банера съответства на езика на съдържанието
• Използва се ясен, нетехнически език
• На банера е видима връзка към пълната политика за бисквитки
• Политиката за бисквитки изброява всяка бисквитка по име, предназначение и продължителност
• Постоянен елемент позволява повторно отваряне на интерфейса за съгласие
• Оттеглянето на съгласието изисква същия брой кликвания като даването му
• Записите за съгласие се водят с времеви печати
• Получателите от трети страни са разкрити
• Банерът е функционален на мобилни устройства
• Няма манипулативни цветове, размери или формулировки

Автоматизирайте това: FlexyConsent покрива всяко изискване от самото начало — CMP, сертифициран от Google, с IAB TCF 2.3, Consent Mode V2, 43+ езика, планове от 0 евро/месец. Започнете на panel.flexyconsent.com.