Oikeudellinen perusta

Evästesuostumuksen velvoitteet perustuvat GDPR:ään (Regulation 2016/679) ja ePrivacy Directive -direktiiviin (2002/58/EC). ePrivacy Directive edellyttää suostumusta ennen tietojen tallentamista käyttäjän laitteelle (Article 5(3)), kun taas GDPR määrittelee pätevän suostumuksen (Article 4(11), Article 7, Recital 32).

14 vaatimusta

1. Ennakkosuostumus

Ei-välttämättömiä evästeitä ei saa ladata ennen käyttäjän suostumusta. ePrivacy Directive Article 5(3) on yksiselitteinen. CNIL määräsi Google-yhtiölle 150 miljoonan euron sakon (2022) evästeiden lataamisesta ennen käyttäjän toimintaa.

2. Vapaasti annettu suostumus

Suostumus ei voi olla pääsyn edellytys (GDPR Article 4(11)). Evästesuostumusta ei saa niputtaa käyttöehtojen kanssa.

3. Yksityiskohtainen käyttötarkoituksen valinta

Käyttäjien on voitava suostua kuhunkin käyttötarkoitukseen erikseen — analytiikka, mainonta, toiminnalliset (GDPR Recital 43). Pelkkä "Hyväksy kaikki" -painike ilman kategoriavalintaa ei riitä.

4. Hyväksymisen ja hylkäämisen yhtäläinen näkyvyys

Hylkää-vaihtoehdon on oltava yhtä näkyvä kuin Hyväksy. CNIL edellyttää "Hylkää kaikki" -painiketta ensimmäisellä tasolla samalla visuaalisella painoarvolla. Microsoft sai 60 miljoonan euron sakon (2022) osittain hylkäysvaihtoehdon piilottamisesta.

5. Ei esivalittuja valintaruutuja

CJEU Planet49 -tuomio (C-673/17, 2019): esivalitut ruudut eivät ole pätevä suostumus. Kaikkien kategorioiden on oletusarvoisesti oltava pois päältä.

6. Ei evästemuureja

Sivustolle pääsyn estäminen suostumuksen antamiseen asti on yleisesti sääntöjenvastaista. EDPB ja Alankomaiden DPA ovat vahvistaneet tämän.

7. Selkeä, ymmärrettävä kieli

GDPR Article 7(2) — suostumuspyyntöjen on oltava selkeällä, ymmärrettävällä kielellä. "Käytämme evästeitä parantaaksemme kokemustasi" ei riitä.

8. Kielen vastaavuus

GDPR Article 12(1) — tietojen on oltava ymmärrettäviä. Bannerin kielen on vastattava verkkosivuston kieltä.

9. Linkki evästekäytäntöön

GDPR Articles 13-14 edellyttävät kattavaa tietoa. Bannerissa on oltava linkki täydelliseen evästekäytäntöön, jossa luetellaan jokainen eväste.

10. Helppo peruuttaminen

GDPR Article 7(3) — peruuttamisen on oltava yhtä helppoa kuin suostumuksen antaminen. Pysyvän widgetin tai alatunnisteen linkin on mahdollistettava suostumusliittymän uudelleen avaaminen.

11. Suostumustietojen tallentaminen

GDPR Article 7(1) — sinun on osoitettava, että suostumus on saatu. Tallenna aikaleimat, valinnat ja banneriversiot.

12. Kolmansien osapuolien ilmoittaminen

GDPR Article 13(1)(e) — ilmoita kaikki kolmannen osapuolen tietojen vastaanottajat. TCF 2.3:n mukaan toimittajaluettelon on oltava saatavilla suostumusliittymästä.

13. Tietojen säilytysajan läpinäkyvyys

GDPR Article 13(2)(a) — ilmoita, kuinka kauan evästeet säilyvät.

14. Mobiiliresponsiivisuus

GDPR ei anna poikkeusta mobiililaitteille. Painikkeiden on oltava napautettavia, tekstin luettavaa ja liittymän toimiva kaikilla näyttöko'oilla.

Pikatarkistuslista

• Ei-välttämättömät evästeet eivät lataudu ennen suostumusta
• Hyväksy ja Hylkää ovat yhtä näkyviä ensimmäisellä tasolla
• Yksittäinen kategoriavalinta on saatavilla
• Ei-välttämättömien kategorioiden kytkimet eivät ole esivalittuja
• Sivusto on käytettävissä, vaikka käyttäjä hylkää kaikki
• Bannerin kieli vastaa sisällön kieltä
• Käytetään selkeää, ei-teknistä kieltä
• Linkki täydelliseen evästekäytäntöön näkyy bannerissa
• Evästekäytännössä luetellaan jokainen eväste nimen, tarkoituksen ja keston mukaan
• Pysyvä widget mahdollistaa suostumusliittymän uudelleen avaamisen
• Suostumuksen peruuttaminen vaatii saman määrän klikkauksia kuin sen antaminen
• Suostumustiedot tallennetaan aikaleimoin
• Kolmansien osapuolien vastaanottajat on ilmoitettu
• Banneri toimii mobiililaitteilla
• Ei manipuloivia värejä, kokoja tai sanamuotoja

Automatisoi tämä: FlexyConsent hoitaa jokaisen vaatimuksen suoraan — Google-sertifioitu CMP, jossa IAB TCF 2.3, Consent Mode V2, yli 43 kieltä, hinnat alkaen 0 EUR/kk. Aloita osoitteessa panel.flexyconsent.com.