규정 준수2026년 4월 2일 | FlexyConsent

GDPR 쿠키 배너 요구사항: 2026년 완벽한 준수 체크리스트

법적 기반

쿠키 동의 의무는 GDPR(Regulation 2016/679)과 ePrivacy Directive(2002/58/EC)에서 비롯됩니다. ePrivacy Directive는 사용자의 기기에 정보를 저장하기 전에 동의를 받도록 요구하며(Article 5(3)), GDPR은 유효한 동의를 정의합니다(Article 4(11), Article 7, Recital 32).

14가지 요구사항

1. 사전 동의

비필수 쿠키는 사용자가 동의하기 전에 실행되어서는 안 됩니다. ePrivacy Directive의 Article 5(3)은 명확합니다. CNIL은 사용자 상호작용 전에 쿠키를 로드한 것에 대해 Google에 1억 5,000만 EUR의 벌금을 부과했습니다(2022).

2. 자유롭게 제공된 동의

동의는 접근 조건이 될 수 없습니다(GDPR Article 4(11)). 쿠키 동의를 서비스 약관과 묶는 것은 허용되지 않습니다.

3. 세분화된 목적 선택

사용자는 각 목적에 대해 독립적으로 동의해야 합니다 — 분석, 광고, 기능(GDPR Recital 43). 카테고리 선택 없이 "모두 수락" 버튼만 있는 것은 불충분합니다.

4. 수락과 거부의 동등한 표시

거부는 수락과 동일하게 눈에 띄어야 합니다. CNIL은 첫 번째 레이어에 동일한 시각적 비중을 가진 "모두 거부" 버튼을 요구합니다. Microsoft는 거부 옵션을 숨긴 것이 부분적인 이유가 되어 6,000만 EUR의 벌금을 받았습니다(2022).

5. 사전 선택된 체크박스 금지

CJEU Planet49 판결(C-673/17, 2019): 사전 선택된 체크박스는 유효한 동의가 아닙니다. 모든 카테고리는 기본적으로 꺼져 있어야 합니다.

6. 쿠키 월 금지

동의가 제공될 때까지 사이트 접근을 차단하는 것은 일반적으로 비준수입니다. EDPB와 네덜란드 DPA가 이를 확인했습니다.

7. 명확하고 쉬운 언어

GDPR Article 7(2) — 동의 요청은 명확하고 쉬운 언어를 사용해야 합니다. "경험 향상을 위해 쿠키를 사용합니다"는 불충분합니다.

8. 언어 일치

GDPR Article 12(1) — 정보는 이해할 수 있어야 합니다. 배너는 웹사이트의 언어와 일치해야 합니다.

9. 쿠키 정책 링크

GDPR Articles 13-14는 포괄적인 정보를 요구합니다. 배너에는 모든 쿠키를 나열하는 전체 쿠키 정책으로의 링크가 있어야 합니다.

10. 쉬운 철회

GDPR Article 7(3) — 철회는 동의만큼 쉬워야 합니다. 상시 위젯이나 푸터 링크로 동의 인터페이스를 다시 열 수 있어야 합니다.

11. 동의 기록 보관

GDPR Article 7(1) — 동의를 받았음을 입증해야 합니다. 타임스탬프, 선택 사항, 배너 버전을 기록하십시오.

12. 제3자 공개

GDPR Article 13(1)(e) — 모든 제3자 데이터 수신자를 공개해야 합니다. TCF 2.3에서는 벤더 목록이 동의 인터페이스에서 접근 가능해야 합니다.

13. 데이터 보존 투명성

GDPR Article 13(2)(a) — 쿠키가 얼마나 오래 유지되는지 공개해야 합니다.

14. 모바일 반응성

모바일에 대한 GDPR 면제는 없습니다. 버튼은 탭할 수 있고, 텍스트는 읽을 수 있으며, 인터페이스는 모든 화면 크기에서 작동해야 합니다.

빠른 감사 체크리스트

자동화하세요: FlexyConsent는 모든 요구사항을 처리합니다 — IAB TCF 2.3, Consent Mode V2를 갖춘 Google 인증 CMP, 43개 이상의 언어, 월 0 EUR부터 시작하는 플랜. panel.flexyconsent.com에서 시작하세요.
← 블로그 전체 읽기 →