Czego RODO wymaga od banera cookie

RODO i dyrektywa ePrivacy ustanawiają pięć bezdyskusyjnych zasad zgody na pliki cookie:

• Dobrowolna: Odrzucenie plików cookie musi być tak łatwe jak ich akceptacja.
• Konkretna: Zgoda musi być proszona oddzielnie dla każdego celu.
• Świadoma: Użytkownicy muszą wiedzieć, na co się zgadzają, zanim wyrażą zgodę.
• Jednoznaczna: Wstępnie zaznaczone pola i kontynuowanie przeglądania się nie liczą.
• Odwołalna: Użytkownicy muszą móc wycofać zgodę w dowolnym momencie.

Przykład 1: Baner "Tylko akceptuj" (Niezgodny)

Jak wygląda

Mały pasek z "Używamy plików cookie, aby poprawić Twoje doświadczenie" i jednym przyciskiem "OK". Brak opcji odrzucenia, brak ustawień.

Dlaczego nie spełnia wymogów

Brak rzeczywistego wyboru, brak informacji o plikach cookie, brak sposobu na odrzucenie. CNIL ukarał Google kwotą 150 mln EUR i Facebook 60 mln EUR w 2022 roku za dokładnie ten wzorzec.

Werdykt: Niezgodny z RODO.

Przykład 2: Akceptuj wszystko + mały link "Zarządzaj preferencjami" (Niezgodny)

Jak wygląda

Widoczny przycisk "Akceptuj wszystko" z małym szarym linkiem "Zarządzaj preferencjami". Brak przycisku "Odrzuć wszystko".

Dlaczego nie spełnia wymogów

Hierarchia wizualna popycha użytkowników ku akceptacji. Odrzucenie wymaga dwóch kliknięć, akceptacja jednego. Kilka organów ochrony danych orzekło, że nie jest to zgoda dobrowolna.

Werdykt: Niezgodny. Odrzucenie musi być tak samo dostępne jak Akceptacja.

Przykład 3: Równe przyciski Akceptuj i Odrzuć (Zgodny)

Jak wygląda

Dwa równej wielkości przyciski: "Akceptuj wszystko" i "Odrzuć wszystko". Pod nimi link "Zarządzaj preferencjami". Krótkie wyjaśnienie celów plików cookie.

Dlaczego działa

Prawdziwy wolny wybór, obie opcje równie widoczne, po jednym kliknięciu. To wzorzec wyraźnie zalecany przez CNIL.

Werdykt: Zgodny. Podstawa, którą powinna spełniać każda strona.

Przykład 4: Ściana cookie (Niezgodny)

Jak wygląda

Nakładka pełnoekranowa blokująca całą treść. Jedyna opcja to "Akceptuj pliki cookie".

Dlaczego nie spełnia wymogów

Art. 7(4) RODO — zgoda nie jest dobrowolna, jeśli dostęp do usługi jest od niej uzależniony. Holenderski organ ochrony danych stwierdził, że ściany cookie generalnie nie są dozwolone.

Werdykt: Niezgodny w większości jurysdykcji UE.

Przykład 5: Wstępnie zaznaczone pola (Niezgodny)

Jak wygląda

Szczegółowy baner pokazujący kategorie cookie z polami wyboru — ale wszystkie są wstępnie zaznaczone.

Dlaczego nie spełnia wymogów

Wyrok TSUE Planet49 (2019) rozstrzygnął to definitywnie: wstępnie zaznaczone pola nie stanowią ważnej zgody. Zgoda wymaga jasnej czynności potwierdzającej.

Werdykt: Wyraźnie niezgodny z orzecznictwem TSUE.

Przykład 6: Podejście warstwowe (Zgodny — Najlepsza praktyka)

Jak wygląda

Pierwsza warstwa: kompaktowy baner z przyciskami Akceptuj wszystko, Odrzuć wszystko i Dostosuj. Druga warstwa: szczegółowe centrum preferencji z przełącznikami kategorii i listą dostawców. Trzecia warstwa: pełna polityka cookie.

Dlaczego działa

Równoważy informację z użytecznością. Pierwsza warstwa daje wybór, druga szczegóły, trzecia pełną przejrzystość. Wyraźnie zalecane przez EROD.

Werdykt: Najlepsza praktyka. Złoty standard zgodności.

Przykład 7: Mylące etykiety przycisków (Niezgodny)

Jak wygląda

"Zgadzam się" kontra "Nie zgadzam się na odrzucenie nieistotnych plików cookie". Lub: "Akceptuj zalecane ustawienia" kontra "Użyj ograniczonej wersji".

Dlaczego nie spełnia wymogów

Motyw 42 RODO wymaga jasnego, prostego języka. Podwójne negacje, sugerowane konsekwencje i manipulacyjne etykiety są niezgodne.

Werdykt: Niezgodny. Używaj jasnych, neutralnych etykiet.

Przykład 8: Prawidłowo wykonany zgodny baner

Jak wygląda

Czysty dolny pasek z: jasnym nagłówkiem, krótkim wyjaśnieniem, trzema jednolicie stylizowanymi przyciskami (Akceptuj wszystko, Odrzuć wszystko, Zarządzaj preferencjami) i linkiem do polityki cookie. Zarządzaj preferencjami otwiera centrum preferencji z indywidualnymi przełącznikami, listą dostawców i przyciskiem Zapisz.

Dlaczego działa

Spełnia wszystkie wymogi: wolny wybór, symetryczne przyciski, warstwowa informacja, prosty język, brak wstępnie zaznaczonych pól, łatwe wycofanie przez ikonę ustawień cookie.

Werdykt: W pełni zgodny.

Rzeczywiste kary za złe banery

• Google (Francja, 2022): 150 mln EUR — opcja odrzucenia była trudniejsza do znalezienia niż akceptacja.
• Facebook (Francja, 2022): 60 mln EUR — ten sam problem asymetrii.
• Microsoft (Francja, 2022): 60 mln EUR — reklamowe pliki cookie ustawione bez ważnej zgody.
• TikTok (Francja, 2023): 5 mln EUR — odrzucenie plików cookie wymagało więcej kroków niż akceptacja.

Lista kontrolna zgodności

• Czy na pierwszej warstwie jest widoczny przycisk "Odrzuć wszystko"?
• Czy Akceptuj i Odrzuć są równie widoczne?
• Czy wszystkie pola wyboru są domyślnie odznaczone?
• Czy baner wyświetla się przed ustawieniem nieistotnych plików cookie?
• Czy użytkownicy mogą uzyskać dostęp do szczegółowych kontroli kategorii?
• Czy zgoda jest logowana ze znacznikiem czasu?
• Czy użytkownicy mogą zmienić zgodę w dowolnym momencie?
• Czy baner jest w języku użytkownika?
• Czy kliknięcie Odrzuć faktycznie zapobiega nieistotnym plikom cookie?

Jak FlexyConsent obsługuje to od razu

FlexyConsent to CMP certyfikowane przez Google ze wsparciem IAB TCF 2.3. Spełnia każde wymaganie zgodności:

• Równe przyciski Akceptuj i Odrzuć na pierwszej warstwie
• Wbudowane podejście warstwowe (pierwsza warstwa dla wyboru, druga dla szczegółowych kontroli)
• Brak wstępnie zaznaczonych pól — wszystkie opcjonalne kategorie domyślnie odznaczone
• Google Consent Mode V2 zintegrowane od razu
• 43 języki z automatycznym wykrywaniem
• Geotargetowanie dla banerów specyficznych dla regionu
• Logowanie zgody i dowody dla audytów
• Plany od 0 EUR/miesiąc

Skonfiguruj zgodny baner w mniej niż pięć minut na panel.flexyconsent.com.