Απαιτήσεις banner cookies GDPR: Η οριστική λίστα ελέγχου συμμόρφωσης για το 2026
Η νομική βάση
Οι υποχρεώσεις συγκατάθεσης cookies προκύπτουν από τον GDPR (Regulation 2016/679) και την ePrivacy Directive (2002/58/EC). Η ePrivacy Directive απαιτεί συγκατάθεση πριν από την αποθήκευση πληροφοριών στη συσκευή του χρήστη (Article 5(3)), ενώ ο GDPR ορίζει την έγκυρη συγκατάθεση (Article 4(11), Article 7, Recital 32).
Οι 14 απαιτήσεις
1. Προηγούμενη συγκατάθεση
Τα μη απαραίτητα cookies δεν πρέπει να ενεργοποιούνται πριν ο χρήστης συναινέσει. Το Article 5(3) της ePrivacy Directive είναι σαφές. Η CNIL επέβαλε πρόστιμο EUR 150 εκατομμυρίων στη Google (2022) για φόρτωση cookies πριν από την αλληλεπίδραση του χρήστη.
2. Ελεύθερα δοθείσα συγκατάθεση
Η συγκατάθεση δεν μπορεί να αποτελεί προϋπόθεση πρόσβασης (GDPR Article 4(11)). Η συγκατάθεση cookies δεν μπορεί να ομαδοποιείται με τους όρους υπηρεσίας.
3. Αναλυτική επιλογή σκοπών
Οι χρήστες πρέπει να συναινούν σε κάθε σκοπό ανεξάρτητα — αναλύσεις, διαφήμιση, λειτουργικά (GDPR Recital 43). Ένα μόνο "Αποδοχή όλων" χωρίς επιλογή κατηγοριών είναι ανεπαρκές.
4. Ίση προβολή για Αποδοχή και Απόρριψη
Η Απόρριψη πρέπει να είναι εξίσου ορατή με την Αποδοχή. Η CNIL απαιτεί ένα κουμπί "Απόρριψη όλων" στο πρώτο επίπεδο με ίσο οπτικό βάρος. Η Microsoft τιμωρήθηκε με EUR 60 εκατομμύρια (2022) εν μέρει για την απόκρυψη της επιλογής απόρριψης.
5. Χωρίς προεπιλεγμένα πλαίσια
Απόφαση CJEU Planet49 (C-673/17, 2019): τα προεπιλεγμένα πλαίσια δεν αποτελούν έγκυρη συγκατάθεση. Όλες οι κατηγορίες πρέπει να είναι απενεργοποιημένες από προεπιλογή.
6. Χωρίς cookie walls
Ο αποκλεισμός πρόσβασης στον ιστότοπο μέχρι να δοθεί συγκατάθεση είναι γενικά μη συμμορφούμενος. Το EDPB και η ολλανδική DPA το έχουν επιβεβαιώσει.
7. Σαφής, απλή γλώσσα
GDPR Article 7(2) — τα αιτήματα συγκατάθεσης πρέπει να χρησιμοποιούν σαφή, απλή γλώσσα. Το "Χρησιμοποιούμε cookies για τη βελτίωση της εμπειρίας σας" είναι ανεπαρκές.
8. Αντιστοίχιση γλώσσας
GDPR Article 12(1) — οι πληροφορίες πρέπει να είναι κατανοητές. Το banner πρέπει να αντιστοιχεί στη γλώσσα του ιστοτόπου.
9. Σύνδεσμος προς την πολιτική cookies
GDPR Articles 13-14 απαιτούν ολοκληρωμένη πληροφόρηση. Το banner πρέπει να συνδέεται με μια πλήρη πολιτική cookies που αναφέρει κάθε cookie.
10. Εύκολη ανάκληση
GDPR Article 7(3) — η ανάκληση πρέπει να είναι εξίσου εύκολη με τη χορήγηση συγκατάθεσης. Ένα μόνιμο widget ή σύνδεσμος στο υποσέλιδο πρέπει να επιτρέπει το άνοιγμα εκ νέου της διεπαφής συγκατάθεσης.
11. Τήρηση αρχείων συγκατάθεσης
GDPR Article 7(1) — πρέπει να αποδείξετε ότι η συγκατάθεση λήφθηκε. Καταγράψτε χρονοσφραγίδες, επιλογές και εκδόσεις banner.
12. Γνωστοποίηση τρίτων μερών
GDPR Article 13(1)(e) — γνωστοποιήστε όλους τους αποδέκτες δεδομένων τρίτων μερών. Στο πλαίσιο του TCF 2.3, η λίστα προμηθευτών πρέπει να είναι προσβάσιμη από τη διεπαφή συγκατάθεσης.
13. Διαφάνεια διατήρησης δεδομένων
GDPR Article 13(2)(a) — γνωστοποιήστε πόσο διαρκούν τα cookies.
14. Ανταπόκριση σε κινητές συσκευές
Καμία εξαίρεση GDPR για κινητές συσκευές. Τα κουμπιά πρέπει να είναι πατήσιμα, το κείμενο αναγνώσιμο, η διεπαφή λειτουργική σε όλα τα μεγέθη οθόνης.
Γρήγορη λίστα ελέγχου αξιολόγησης
- Κανένα μη απαραίτητο cookie δεν ενεργοποιείται πριν τη συγκατάθεση
- Αποδοχή και Απόρριψη είναι εξίσου ορατές στο πρώτο επίπεδο
- Η επιλογή μεμονωμένων κατηγοριών είναι διαθέσιμη
- Χωρίς προεπιλεγμένους διακόπτες για μη απαραίτητες κατηγορίες
- Ο ιστότοπος είναι προσβάσιμος ακόμα κι αν ο χρήστης απορρίψει τα πάντα
- Η γλώσσα του banner αντιστοιχεί στη γλώσσα του περιεχομένου
- Χρησιμοποιείται απλή, μη τεχνική γλώσσα
- Ο σύνδεσμος προς την πλήρη πολιτική cookies είναι ορατός στο banner
- Η πολιτική cookies αναφέρει κάθε cookie κατά όνομα, σκοπό και διάρκεια
- Ένα μόνιμο widget επιτρέπει το άνοιγμα εκ νέου της διεπαφής συγκατάθεσης
- Η ανάκληση της συγκατάθεσης απαιτεί τον ίδιο αριθμό κλικ με τη χορήγηση
- Τα αρχεία συγκατάθεσης καταγράφονται με χρονοσφραγίδες
- Οι αποδέκτες τρίτων μερών γνωστοποιούνται
- Το banner λειτουργεί σε κινητές συσκευές
- Χωρίς χειραγωγικά χρώματα, μεγέθη ή διατυπώσεις
Αυτοματοποιήστε το: Το FlexyConsent καλύπτει κάθε απαίτηση αυτόματα — Google-πιστοποιημένο CMP με IAB TCF 2.3, Consent Mode V2, 43+ γλώσσες, πλάνα από EUR 0/μήνα. Ξεκινήστε στο panel.flexyconsent.com.