Asas Undang-Undang

Kewajipan persetujuan kuki berpunca daripada GDPR (Regulation 2016/679) dan ePrivacy Directive (2002/58/EC). ePrivacy Directive memerlukan persetujuan sebelum menyimpan maklumat pada peranti pengguna (Article 5(3)), manakala GDPR mentakrifkan persetujuan yang sah (Article 4(11), Article 7, Recital 32).

14 Keperluan

1. Persetujuan Terlebih Dahulu

Kuki tidak penting tidak boleh diaktifkan sebelum pengguna memberikan persetujuan. Article 5(3) ePrivacy Directive adalah jelas. CNIL mendenda Google EUR 150 juta (2022) kerana memuatkan kuki sebelum interaksi pengguna.

2. Persetujuan yang Diberikan Secara Bebas

Persetujuan tidak boleh menjadi syarat untuk akses (GDPR Article 4(11)). Persetujuan kuki tidak boleh digabungkan dengan terma perkhidmatan.

3. Pemilihan Tujuan Terperinci

Pengguna mesti memberikan persetujuan untuk setiap tujuan secara berasingan — analitik, pengiklanan, fungsi (GDPR Recital 43). Butang "Terima Semua" tunggal tanpa pemilihan kategori adalah tidak mencukupi.

4. Keterlihatan Sama untuk Terima dan Tolak

Tolak mesti sama jelas seperti Terima. CNIL memerlukan butang "Tolak Semua" pada lapisan pertama dengan pemberat visual yang sama. Microsoft didenda EUR 60 juta (2022) sebahagiannya kerana menyembunyikan pilihan tolak.

5. Tiada Kotak Prasetel

Keputusan CJEU Planet49 (C-673/17, 2019): kotak prasetel bukan persetujuan yang sah. Semua kategori mesti lalai kepada mati.

6. Tiada Dinding Kuki

Menyekat akses laman sehingga persetujuan diberikan secara umumnya tidak mematuhi. EDPB dan DPA Belanda telah mengesahkan ini.

7. Bahasa yang Jelas dan Mudah

GDPR Article 7(2) — permintaan persetujuan mesti menggunakan bahasa yang jelas dan mudah. "Kami menggunakan kuki untuk meningkatkan pengalaman anda" adalah tidak mencukupi.

8. Padanan Bahasa

GDPR Article 12(1) — maklumat mesti boleh difahami. Sepanduk perlu sepadan dengan bahasa laman web.

9. Pautan ke Dasar Kuki

GDPR Articles 13-14 memerlukan maklumat menyeluruh. Sepanduk mesti mempunyai pautan ke dasar kuki penuh yang menyenaraikan setiap kuki.

10. Penarikan Balik Mudah

GDPR Article 7(3) — penarikan balik mesti semudah memberikan persetujuan. Widget tetap atau pautan pengaki mesti membenarkan pembukaan semula antara muka persetujuan.

11. Penyimpanan Rekod Persetujuan

GDPR Article 7(1) — anda mesti membuktikan bahawa persetujuan telah diperoleh. Catatkan cap masa, pilihan dan versi sepanduk.

12. Pendedahan Pihak Ketiga

GDPR Article 13(1)(e) — dedahkan semua penerima data pihak ketiga. Di bawah TCF 2.3, senarai vendor mesti boleh diakses dari antara muka persetujuan.

13. Ketelusan Pengekalan Data

GDPR Article 13(2)(a) — dedahkan berapa lama kuki kekal aktif.

14. Responsif Mudah Alih

Tiada pengecualian GDPR untuk mudah alih. Butang mesti boleh diketuk, teks boleh dibaca, antara muka berfungsi pada semua saiz skrin.

Senarai Semak Audit Pantas

• Tiada kuki tidak penting diaktifkan sebelum persetujuan
• Terima dan Tolak sama jelas pada lapisan pertama
• Pemilihan kategori individu tersedia
• Tiada togol prasetel untuk kategori tidak penting
• Laman boleh diakses walaupun pengguna menolak semua
• Bahasa sepanduk sepadan dengan bahasa kandungan
• Bahasa mudah dan bukan teknikal digunakan
• Pautan ke dasar kuki penuh kelihatan pada sepanduk
• Dasar kuki menyenaraikan setiap kuki mengikut nama, tujuan, tempoh
• Widget tetap membenarkan pembukaan semula antara muka persetujuan
• Penarikan balik persetujuan memerlukan bilangan klik yang sama seperti memberikannya
• Rekod persetujuan dicatatkan dengan cap masa
• Penerima pihak ketiga didedahkan
• Sepanduk berfungsi pada peranti mudah alih
• Tiada warna, saiz atau perkataan manipulatif

Automasikan ini: FlexyConsent mengendalikan setiap keperluan — CMP bertauliah Google dengan IAB TCF 2.3, Consent Mode V2, 43+ bahasa, pelan bermula dari EUR 0/bulan. Mulakan di panel.flexyconsent.com.