Det juridiske grunnlaget

Forpliktelser knyttet til samtykke for informasjonskapsler følger av GDPR (Regulation 2016/679) og ePrivacy Directive (2002/58/EC). ePrivacy Directive krever samtykke før lagring av informasjon på brukerens enhet (Article 5(3)), mens GDPR definerer gyldig samtykke (Article 4(11), Article 7, Recital 32).

De 14 kravene

1. Forhåndssamtykke

Ikke-essensielle informasjonskapsler må ikke aktiveres før brukeren samtykker. Article 5(3) i ePrivacy Directive er tydelig. CNIL bøtela Google med EUR 150 millioner (2022) for lasting av informasjonskapsler før brukerinteraksjon.

2. Fritt gitt samtykke

Samtykke kan ikke være en betingelse for tilgang (GDPR Article 4(11)). Samtykke til informasjonskapsler kan ikke bundles med tjenestevilkår.

3. Detaljert formålsvalg

Brukere må samtykke til hvert formål uavhengig — analyse, annonsering, funksjonell (GDPR Recital 43). En enkelt «Godta alle»-knapp uten kategorivalg er utilstrekkelig.

4. Lik synlighet for Godta og Avvis

Avvis må være like synlig som Godta. CNIL krever en «Avvis alle»-knapp på første lag med lik visuell vekt. Microsoft ble bøtelagt med EUR 60 millioner (2022), delvis fordi avvisningsalternativet var skjult.

5. Ingen forhåndsavkryssede bokser

CJEU Planet49-avgjørelsen (C-673/17, 2019): forhåndsavkryssede bokser utgjør ikke gyldig samtykke. Alle kategorier må være deaktivert som standard.

6. Ingen informasjonskapselbarrierer

Å blokkere nettstedstilgang til samtykke er gitt er generelt ikke i samsvar. EDPB og den nederlandske DPA har bekreftet dette.

7. Klart, enkelt språk

GDPR Article 7(2) — samtykkeforespørsler må bruke klart, enkelt språk. «Vi bruker informasjonskapsler for å forbedre opplevelsen din» er utilstrekkelig.

8. Språksamsvar

GDPR Article 12(1) — informasjon må være forståelig. Banneret bør samsvare med nettstedets språk.

9. Lenke til retningslinjer for informasjonskapsler

GDPR Articles 13-14 krever omfattende informasjon. Banneret må lenke til en fullstendig retningslinje for informasjonskapsler som lister opp hver enkelt informasjonskapsel.

10. Enkel tilbaketrekking

GDPR Article 7(3) — tilbaketrekking må være like enkelt som å gi samtykke. En permanent widget eller bunntekstlenke må gjøre det mulig å gjenåpne samtykkegrensesnittet.

11. Samtykkejournalføring

GDPR Article 7(1) — du må kunne dokumentere at samtykke ble innhentet. Logg tidsstempler, valg og bannerversjoner.

12. Tredjeparts offentliggjøring

GDPR Article 13(1)(e) — offentliggjør alle tredjeparts datamottakere. Under TCF 2.3 må leverandørlisten være tilgjengelig fra samtykkegrensesnittet.

13. Åpenhet om datalagringstid

GDPR Article 13(2)(a) — offentliggjør hvor lenge informasjonskapsler varer.

14. Mobil responsivitet

Ingen GDPR-unntak for mobil. Knapper må være trykkbare, tekst lesbar og grensesnittet funksjonelt på alle skjermstørrelser.

Rask revisjonssjekkliste

• Ingen ikke-essensielle informasjonskapsler aktiveres før samtykke
• Godta og Avvis er like synlige på første lag
• Individuelt kategorivalg er tilgjengelig
• Ingen forhåndsvalgte brytere for ikke-essensielle kategorier
• Nettstedet er tilgjengelig selv om brukeren avviser alt
• Bannerspråket samsvarer med innholdsspråket
• Klart, ikke-teknisk språk brukes
• Lenke til fullstendig retningslinje for informasjonskapsler er synlig på banneret
• Retningslinjen for informasjonskapsler lister opp hver informasjonskapsel med navn, formål og varighet
• En permanent widget gjør det mulig å gjenåpne samtykkegrensesnittet
• Tilbaketrekking av samtykke krever samme antall klikk som å gi det
• Samtykkeregistreringer logges med tidsstempler
• Tredjeparts datamottakere er offentliggjort
• Banneret er funksjonelt på mobile enheter
• Ingen manipulerende farger, størrelser eller formuleringer

Automatiser dette: FlexyConsent håndterer alle kravene rett ut av boksen — Google-sertifisert CMP med IAB TCF 2.3, Consent Mode V2, 43+ språk, planer fra EUR 0/måned. Kom i gang på panel.flexyconsent.com.