الزامات بنر کوکی GDPR: چکلیست نهایی انطباق برای سال ۲۰۲۶
مبنای حقوقی
تعهدات رضایت کوکی از GDPR (Regulation 2016/679) و ePrivacy Directive (2002/58/EC) ناشی میشود. ePrivacy Directive قبل از ذخیره اطلاعات در دستگاه کاربر رضایت میخواهد (Article 5(3))، در حالی که GDPR رضایت معتبر را تعریف میکند (Article 4(11), Article 7, Recital 32).
۱۴ الزام
۱. رضایت قبلی
کوکیهای غیرضروری نباید قبل از رضایت کاربر فعال شوند. Article 5(3) از ePrivacy Directive صریح است. CNIL به دلیل بارگذاری کوکیها قبل از تعامل کاربر، Google را EUR ۱۵۰ میلیون جریمه کرد (۲۰۲۲).
۲. رضایت آزادانه داده شده
رضایت نمیتواند شرط دسترسی باشد (GDPR Article 4(11)). رضایت کوکی را نمیتوان با شرایط خدمات ترکیب کرد.
۳. انتخاب دقیق اهداف
کاربران باید با هر هدف بهصورت مستقل موافقت کنند — تحلیل، تبلیغات، عملکردی (GDPR Recital 43). یک دکمه «پذیرش همه» بدون انتخاب دستهبندی کافی نیست.
۴. برابری در نمایش پذیرش و رد
رد باید به اندازه پذیرش قابل مشاهده باشد. CNIL دکمه «رد همه» را در لایه اول با وزن بصری برابر الزامی میداند. Microsoft به دلیل پنهان کردن گزینه رد، بخشی از جریمه EUR ۶۰ میلیونی را دریافت کرد (۲۰۲۲).
۵. بدون کادرهای از پیش تیکخورده
رأی CJEU Planet49 (C-673/17, 2019): کادرهای از پیش تیکخورده رضایت معتبر نیستند. همه دستهبندیها باید بهصورت پیشفرض غیرفعال باشند.
۶. بدون دیوار کوکی
مسدود کردن دسترسی به سایت تا زمان اعطای رضایت عموماً غیرمنطبق است. EDPB و DPA هلند این را تأیید کردهاند.
۷. زبان واضح و ساده
GDPR Article 7(2) — درخواستهای رضایت باید از زبان واضح و ساده استفاده کنند. «ما از کوکیها برای بهبود تجربه شما استفاده میکنیم» کافی نیست.
۸. تطابق زبانی
GDPR Article 12(1) — اطلاعات باید قابل درک باشد. بنر باید با زبان وبسایت مطابقت داشته باشد.
۹. لینک به سیاست کوکی
GDPR Articles 13-14 اطلاعات جامع میخواهند. بنر باید به یک سیاست کوکی کامل که هر کوکی را فهرست میکند لینک داشته باشد.
۱۰. لغو آسان
GDPR Article 7(3) — لغو باید به آسانی اعطای رضایت باشد. یک ویجت دائمی یا لینک در پاورقی باید امکان بازگشایی رابط رضایت را فراهم کند.
۱۱. نگهداری سوابق رضایت
GDPR Article 7(1) — باید ثابت کنید که رضایت گرفته شده است. مُهر زمانی، انتخابها و نسخههای بنر را ثبت کنید.
۱۲. افشای اشخاص ثالث
GDPR Article 13(1)(e) — تمام گیرندگان داده اشخاص ثالث را افشا کنید. تحت TCF 2.3، فهرست فروشندگان باید از رابط رضایت قابل دسترسی باشد.
۱۳. شفافیت در نگهداری دادهها
GDPR Article 13(2)(a) — افشا کنید که کوکیها چقدر دوام دارند.
۱۴. واکنشگرایی موبایل
هیچ معافیت GDPR برای موبایل وجود ندارد. دکمهها باید قابل لمس، متن خوانا و رابط در تمام اندازههای صفحه نمایش کارآمد باشد.
چکلیست سریع حسابرسی
- هیچ کوکی غیرضروری قبل از رضایت فعال نمیشود
- پذیرش و رد در لایه اول بهطور برابر قابل مشاهده هستند
- انتخاب دستهبندی فردی در دسترس است
- هیچ سوئیچ از پیش انتخابشدهای برای دستهبندیهای غیرضروری وجود ندارد
- سایت حتی اگر کاربر همه را رد کند قابل دسترسی است
- زبان بنر با زبان محتوا مطابقت دارد
- از زبان ساده و غیرفنی استفاده شده است
- لینک به سیاست کوکی کامل در بنر قابل مشاهده است
- سیاست کوکی هر کوکی را با نام، هدف و مدت فهرست میکند
- ویجت دائمی امکان بازگشایی رابط رضایت را فراهم میکند
- لغو رضایت به همان تعداد کلیک نیاز دارد که اعطای آن
- سوابق رضایت با مُهر زمانی ثبت میشوند
- گیرندگان اشخاص ثالث افشا شدهاند
- بنر در دستگاههای موبایل کارآمد است
- بدون رنگها، اندازهها یا عبارات فریبکارانه
خودکارسازی کنید: FlexyConsent تمام الزامات را بهصورت پیشفرض مدیریت میکند — CMP تأیید شده توسط Google با IAB TCF 2.3، Consent Mode V2، بیش از ۴۳ زبان، طرحها از EUR ۰/ماه. در panel.flexyconsent.com شروع کنید.