Kaj GDPR zahteva od pasice za piškotke

GDPR in direktiva ePrivacy določata pet nepogajljivih pravil za soglasje za piškotke:

• Prosto dano: Zavrnitev piškotkov mora biti enako enostavna kot sprejetje.
• Posebno: Soglasje je treba zahtevati ločeno za vsak namen.
• Obveščeno: Uporabniki morajo vedeti, s čim soglašajo, preden soglašajo.
• Nedvoumno: Vnaprej označena polja in nadaljnje brskanje ne štejejo.
• Preklicno: Uporabniki morajo imeti možnost kadar koli preklicati soglasje.

Primer 1: Pasica "Samo sprejmi" (Neskladna)

Kako izgleda

Majhna vrstica z "Uporabljamo piškotke za izboljšanje vaše izkušnje" in enim gumbom "V redu". Brez možnosti zavrnitve, brez nastavitev.

Zakaj ne uspe

Ni prave izbire, ni informacij o piškotkih, ni načina za zavrnitev. CNIL je leta 2022 kaznoval Google s 150 milijoni EUR in Facebook s 60 milijoni EUR za natanko ta vzorec.

Sodba: Nezakonito po GDPR.

Primer 2: Sprejmi vse + majhna povezava "Upravljaj nastavitve" (Neskladna)

Kako izgleda

Izstopajoč gumb "Sprejmi vse" z majhno sivo povezavo "Upravljaj nastavitve". Brez gumba "Zavrni vse".

Zakaj ne uspe

Vizualna hierarhija potiska uporabnike k sprejemu. Zavrnitev zahteva dva klika, sprejetje enega. Več nadzornih organov je odločilo, da to ni prosto dano soglasje.

Sodba: Neskladna. Zavrni mora biti enako dostopen kot Sprejmi.

Primer 3: Enaka gumba Sprejmi in Zavrni (Skladna)

Kako izgleda

Dva enako velika gumba: "Sprejmi vse" in "Zavrni vse". Pod njima povezava "Upravljaj nastavitve". Kratek opis namenov piškotkov.

Zakaj deluje

Prava svobodna izbira, obe možnosti enako izpostavljeni, vsaka en klik. To je vzorec, ki ga je CNIL izrecno priporočil.

Sodba: Skladna. Temelj, ki bi ga moral izpolniti vsak spletni strani.

Primer 4: Stena piškotkov (Neskladna)

Kako izgleda

Prekrivanje čez celoten zaslon, ki blokira vso vsebino. Edina možnost je "Sprejmi piškotke".

Zakaj ne uspe

Člen 7(4) GDPR — soglasje ni prosto, če je dostop do storitve pogojen. Nizozemski nadzorni organ je ugotovil, da stene piškotkov na splošno niso dovoljene.

Sodba: Neskladna v večini jurisdikcij EU.

Primer 5: Vnaprej označena potrditvena polja (Neskladna)

Kako izgleda

Podrobna pasica s kategorijami piškotkov in potrditvenimi polji — a vsa so vnaprej označena.

Zakaj ne uspe

Sodba Sodišča EU Planet49 (2019) je to dokončno rešila: vnaprej označena polja ne pomenijo veljavnega soglasja. Soglasje zahteva jasno potrditveno dejanje.

Sodba: Izrecno nezakonito po sodni praksi Sodišča EU.

Primer 6: Večplastni pristop (Skladna — Najboljša praksa)

Kako izgleda

Prva plast: kompaktna pasica z gumbi Sprejmi vse, Zavrni vse in Prilagodi. Druga plast: podrobno središče nastavitev s posameznimi preklopniki kategorij in seznamom ponudnikov. Tretja plast: popolna politika piškotkov.

Zakaj deluje

Uravnoteži informacije z uporabnostjo. Prva plast ponuja izbiro, druga podrobnosti, tretja popolno preglednost. Izrecno priporočeno s strani EDPB.

Sodba: Najboljša praksa. Zlati standard za skladnost.

Primer 7: Zavajajoče oznake gumbov (Neskladna)

Kako izgleda

"Se strinjam" proti "Ne strinjam se z zavrnitvijo nebistvenih piškotkov". Ali: "Sprejmi priporočene nastavitve" proti "Uporabi omejeno različico".

Zakaj ne uspe

Uvodna izjava 42 GDPR zahteva jasen, preprost jezik. Dvojne zanikanja, nakazane posledice in manipulativne oznake niso skladne.

Sodba: Neskladna. Uporabite jasne, nevtralne oznake.

Primer 8: Pravilno izvedena skladna pasica

Kako izgleda

Čista spodnja vrstica z: jasnim naslovom, kratko razlago, tremi enako oblikovanimi gumbi (Sprejmi vse, Zavrni vse, Upravljaj nastavitve) in povezavo na politiko piškotkov. Upravljaj nastavitve odpre središče nastavitev s posameznimi preklopniki, seznamom ponudnikov in gumbom Shrani.

Zakaj deluje

Izpolnjuje vse zahteve: svobodna izbira, simetrični gumbi, večplastne informacije, preprost jezik, brez vnaprej označenih polj, enostavno preklicanje prek ikone nastavitev piškotkov.

Sodba: Popolnoma skladna.

Resnične globe za slabe pasice

• Google (Francija, 2022): 150 milijonov EUR — možnost zavrnitve je bila težje najti kot sprejetje.
• Facebook (Francija, 2022): 60 milijonov EUR — ista težava asimetrije.
• Microsoft (Francija, 2022): 60 milijonov EUR — oglaševalski piškotki nastavljeni brez veljavnega soglasja.
• TikTok (Francija, 2023): 5 milijonov EUR — zavrnitev piškotkov je zahtevala več korakov kot sprejetje.

Kontrolni seznam skladnosti

• Ali je na prvi plasti viden gumb "Zavrni vse"?
• Sta Sprejmi in Zavrni enako izpostavljena?
• So vsa potrditvena polja privzeto neoznačena?
• Se pasica prikaže pred nastavitvijo nebistvenih piškotkov?
• Lahko uporabniki dostopajo do podrobnih kontrol kategorij?
• Se soglasje beleži s časovnim žigom?
• Lahko uporabniki kadar koli spremenijo soglasje?
• Je pasica v jeziku uporabnika?
• Ali klik na Zavrni dejansko prepreči nebistvene piškotke?

Kako FlexyConsent to obvladuje takoj

FlexyConsent je Googlovo certificirana CMP s podporo IAB TCF 2.3. Obravnava vsako zahtevo skladnosti:

• Enaka gumba Sprejmi in Zavrni na prvi plasti
• Vgrajen večplastni pristop (prva plast za izbiro, druga za podrobne kontrole)
• Brez vnaprej označenih polj — vse izbirne kategorije privzeto neoznačene
• Google Consent Mode V2 vgrajen takoj
• 43 jezikov z avtomatskim zaznavanjem
• Geografsko ciljanje za pasice, specifične za regijo
• Beleženje soglasja in dokazi za revizije
• Načrti od 0 EUR/mesec

Nastavite skladno pasico v manj kot petih minutah na panel.flexyconsent.com.