Õiguslik alus

Küpsiste nõusoleku kohustused tulenevad GDPR-ist (Regulation 2016/679) ja ePrivacy Directive'ist (2002/58/EC). ePrivacy Directive nõuab nõusolekut enne teabe salvestamist kasutaja seadmesse (Article 5(3)), samas kui GDPR määratleb kehtiva nõusoleku (Article 4(11), Article 7, Recital 32).

14 nõuet

1. Eelnev nõusolek

Mittevajalikud küpsised ei tohi aktiveeruda enne kasutaja nõusolekut. ePrivacy Directive Article 5(3) on ühemõtteline. CNIL määras Google'ile EUR 150 miljoni suuruse trahvi (2022) küpsiste laadimise eest enne kasutaja suhtlust.

2. Vabatahtlikult antud nõusolek

Nõusolek ei saa olla juurdepääsu tingimus (GDPR Article 4(11)). Küpsiste nõusolekut ei tohi siduda teenusetingimustega.

3. Üksikasjalik eesmärkide valik

Kasutajad peavad nõustuma iga eesmärgiga eraldi — analüütika, reklaam, funktsionaalne (GDPR Recital 43). Üksainus "Nõustu kõigiga" ilma kategooriate valikuta on ebapiisav.

4. Võrdne nähtavus nõustumise ja keeldumise jaoks

Keeldumine peab olema sama nähtav kui nõustumine. CNIL nõuab "Keeldu kõigest" nuppu esimesel kihil võrdse visuaalse kaaluga. Microsoft'ile määrati EUR 60 miljoni suurune trahv (2022) osaliselt keeldumisvaliku peitmise eest.

5. Eeltäidetud märkeruudud puuduvad

CJEU Planet49 otsus (C-673/17, 2019): eeltäidetud märkeruudud ei ole kehtiv nõusolek. Kõik kategooriad peavad vaikimisi olema välja lülitatud.

6. Küpsiseseinu pole

Saidile juurdepääsu blokeerimine kuni nõusoleku andmiseni on üldiselt mittevastavuses. EDPB ja Hollandi DPA on seda kinnitanud.

7. Selge, lihtne keel

GDPR Article 7(2) — nõusolekutaotlused peavad kasutama selget, lihtsat keelt. "Kasutame küpsiseid teie kogemuse parandamiseks" on ebapiisav.

8. Keele vastavus

GDPR Article 12(1) — teave peab olema arusaadav. Bänner peab vastama veebisaidi keelele.

9. Link küpsisepoliitikale

GDPR Articles 13-14 nõuavad põhjalikku teavet. Bänner peab linkima täielikule küpsisepoliitikale, mis loetleb iga küpsise.

10. Lihtne tagasivõtmine

GDPR Article 7(3) — tagasivõtmine peab olema sama lihtne kui nõusoleku andmine. Püsiv vidin või jaluse link peab võimaldama nõusoleku liidese taasavamist.

11. Nõusoleku dokumenteerimine

GDPR Article 7(1) — peate tõendama, et nõusolek on saadud. Logige ajatemplid, valikud ja bänneri versioonid.

12. Kolmandate osapoolte avalikustamine

GDPR Article 13(1)(e) — avalikustage kõik kolmandate osapoolte andmesaajad. TCF 2.3 raames peab tarnijate nimekiri olema nõusoleku liidesest ligipääsetav.

13. Andmete säilitamise läbipaistvus

GDPR Article 13(2)(a) — avalikustage, kui kaua küpsised kestavad.

14. Mobiilne kohandumine

Mobiilile GDPR erandit ei ole. Nupud peavad olema puudutatavad, tekst loetav, liides funktsionaalne kõikidel ekraanisuurustel.

Kiire auditi kontrollnimekiri

• Ükski mittevajalik küpsis ei aktiveerdu enne nõusolekut
• Nõustu ja Keeldu on esimesel kihil võrdselt nähtavad
• Üksikute kategooriate valik on saadaval
• Mittevajalike kategooriate jaoks eelvalitud lüliteid pole
• Sait on ligipääsetav isegi siis, kui kasutaja keeldub kõigest
• Bänneri keel vastab sisu keelele
• Kasutatakse lihtsat, mittetehnilist keelt
• Link täielikule küpsisepoliitikale on bänneril nähtav
• Küpsisepoliitika loetleb iga küpsise nime, eesmärgi ja kestuse järgi
• Püsiv vidin võimaldab nõusoleku liidese taasavamist
• Nõusoleku tagasivõtmine nõuab sama palju klikke kui selle andmine
• Nõusoleku kirjed logitakse ajatemplitega
• Kolmandate osapoolte saajad on avalikustatud
• Bänner on mobiilseadmetes funktsionaalne
• Manipuleerivaid värve, suurusi ega sõnastust pole

Automatiseerige see: FlexyConsent täidab kõik nõuded vaikimisi — Google'i sertifitseeritud CMP IAB TCF 2.3, Consent Mode V2, 43+ keelt, plaanid alates EUR 0/kuu. Alustage aadressil panel.flexyconsent.com.