ข้อกำหนดแบนเนอร์คุกกี้ GDPR: รายการตรวจสอบการปฏิบัติตามข้อกำหนดฉบับสมบูรณ์สำหรับปี 2026
รากฐานทางกฎหมาย
ภาระผูกพันในการยินยอมคุกกี้มาจาก GDPR (Regulation 2016/679) และ ePrivacy Directive (2002/58/EC) โดย ePrivacy Directive กำหนดให้ต้องได้รับความยินยอมก่อนจัดเก็บข้อมูลบนอุปกรณ์ของผู้ใช้ (Article 5(3)) ในขณะที่ GDPR กำหนดนิยามของความยินยอมที่ถูกต้อง (Article 4(11), Article 7, Recital 32)
ข้อกำหนด 14 ประการ
1. ความยินยอมล่วงหน้า
คุกกี้ที่ไม่จำเป็นต้องไม่ทำงานจนกว่าผู้ใช้จะยินยอม Article 5(3) ของ ePrivacy Directive ระบุไว้ชัดเจน CNIL ปรับ Google จำนวน EUR 150 ล้าน (2022) สำหรับการโหลดคุกกี้ก่อนการโต้ตอบของผู้ใช้
2. ความยินยอมที่ให้โดยเสรี
ความยินยอมไม่สามารถเป็นเงื่อนไขในการเข้าถึง (GDPR Article 4(11)) ไม่รวมความยินยอมคุกกี้เข้ากับข้อกำหนดการใช้บริการ
3. การเลือกวัตถุประสงค์แบบละเอียด
ผู้ใช้ต้องยินยอมแต่ละวัตถุประสงค์แยกกัน — การวิเคราะห์ การโฆษณา การทำงาน (GDPR Recital 43) ปุ่ม "ยอมรับทั้งหมด" เพียงปุ่มเดียวโดยไม่มีการเลือกหมวดหมู่นั้นไม่เพียงพอ
4. ความเด่นชัดเท่าเทียมกันสำหรับยอมรับและปฏิเสธ
ปฏิเสธต้องมองเห็นได้ชัดเจนเท่ากับยอมรับ CNIL กำหนดให้มีปุ่ม "ปฏิเสธทั้งหมด" ในชั้นแรกที่มีน้ำหนักการมองเห็นเท่ากัน Microsoft ถูกปรับ EUR 60 ล้าน (2022) ส่วนหนึ่งเพราะซ่อนตัวเลือกปฏิเสธ
5. ไม่มีช่องทำเครื่องหมายที่ติ๊กไว้ล่วงหน้า
คำตัดสินของ CJEU Planet49 (C-673/17, 2019): ช่องที่ติ๊กไว้ล่วงหน้าไม่ใช่ความยินยอมที่ถูกต้อง ทุกหมวดหมู่ต้องปิดเป็นค่าเริ่มต้น
6. ไม่มีกำแพงคุกกี้
การบล็อกการเข้าถึงเว็บไซต์จนกว่าจะให้ความยินยอมโดยทั่วไปไม่เป็นไปตามข้อกำหนด EDPB และ DPA ของเนเธอร์แลนด์ได้ยืนยันเรื่องนี้
7. ภาษาที่ชัดเจนและเรียบง่าย
GDPR Article 7(2) — คำขอความยินยอมต้องใช้ภาษาที่ชัดเจนและเรียบง่าย "เราใช้คุกกี้เพื่อปรับปรุงประสบการณ์ของคุณ" ไม่เพียงพอ
8. การจับคู่ภาษา
GDPR Article 12(1) — ข้อมูลต้องเข้าใจได้ แบนเนอร์ควรตรงกับภาษาของเว็บไซต์
9. ลิงก์ไปยังนโยบายคุกกี้
GDPR Articles 13-14 กำหนดให้มีข้อมูลที่ครอบคลุม แบนเนอร์ต้องลิงก์ไปยังนโยบายคุกกี้ฉบับเต็มที่ระบุคุกกี้ทุกรายการ
10. การถอนที่ง่ายดาย
GDPR Article 7(3) — การถอนความยินยอมต้องง่ายเท่ากับการให้ความยินยอม วิดเจ็ตถาวรหรือลิงก์ท้ายหน้าต้องอนุญาตให้เปิดอินเทอร์เฟซความยินยอมอีกครั้ง
11. การเก็บบันทึกความยินยอม
GDPR Article 7(1) — คุณต้องแสดงให้เห็นว่าได้รับความยินยอมแล้ว บันทึกเวลา ตัวเลือก และเวอร์ชันแบนเนอร์
12. การเปิดเผยบุคคลที่สาม
GDPR Article 13(1)(e) — เปิดเผยผู้รับข้อมูลบุคคลที่สามทั้งหมด ภายใต้ TCF 2.3 รายชื่อผู้ให้บริการต้องเข้าถึงได้จากอินเทอร์เฟซความยินยอม
13. ความโปร่งใสในการเก็บรักษาข้อมูล
GDPR Article 13(2)(a) — เปิดเผยระยะเวลาที่คุกกี้คงอยู่
14. การตอบสนองบนมือถือ
ไม่มีข้อยกเว้น GDPR สำหรับมือถือ ปุ่มต้องแตะได้ ข้อความต้องอ่านได้ อินเทอร์เฟซต้องทำงานได้บนหน้าจอทุกขนาด
รายการตรวจสอบด่วน
- ไม่มีคุกกี้ที่ไม่จำเป็นทำงานก่อนความยินยอม
- ยอมรับและปฏิเสธมองเห็นได้เท่ากันในชั้นแรก
- การเลือกหมวดหมู่แต่ละรายการพร้อมใช้งาน
- ไม่มีสวิตช์ที่เลือกไว้ล่วงหน้าสำหรับหมวดหมู่ที่ไม่จำเป็น
- เว็บไซต์เข้าถึงได้แม้ผู้ใช้ปฏิเสธทั้งหมด
- ภาษาแบนเนอร์ตรงกับภาษาเนื้อหา
- ใช้ภาษาเรียบง่ายไม่ใช่ศัพท์เทคนิค
- ลิงก์ไปยังนโยบายคุกกี้ฉบับเต็มมองเห็นได้บนแบนเนอร์
- นโยบายคุกกี้ระบุคุกกี้ทุกรายการตามชื่อ วัตถุประสงค์ ระยะเวลา
- วิดเจ็ตถาวรอนุญาตให้เปิดอินเทอร์เฟซความยินยอมอีกครั้ง
- การถอนความยินยอมใช้จำนวนคลิกเท่ากับการให้ความยินยอม
- บันทึกความยินยอมถูกเก็บพร้อมเวลา
- ผู้รับบุคคลที่สามถูกเปิดเผย
- แบนเนอร์ทำงานได้บนอุปกรณ์มือถือ
- ไม่มีสี ขนาด หรือถ้อยคำที่หลอกลวง
ทำให้อัตโนมัติ: FlexyConsent จัดการทุกข้อกำหนดให้พร้อมใช้งาน — CMP ที่ได้รับการรับรองจาก Google พร้อม IAB TCF 2.3, Consent Mode V2, รองรับ 43+ ภาษา, แผนเริ่มต้นที่ EUR 0/เดือน เริ่มต้นที่ panel.flexyconsent.com