Що GDPR вимагає від банера cookie

GDPR та Директива ePrivacy встановлюють п'ять непорушних правил для згоди на файли cookie:

• Надана вільно: Відмова від cookie повинна бути такою ж простою, як і прийняття.
• Конкретна: Згода повинна запитуватися окремо для кожної мети.
• Інформована: Користувачі повинні знати, на що погоджуються, до того, як погодяться.
• Однозначна: Попередньо позначені прапорці та продовження перегляду не враховуються.
• Відкликана: Користувачі повинні мати можливість відкликати згоду в будь-який час.

Приклад 1: Банер "Лише прийняти" (Невідповідний)

Як виглядає

Маленька панель з "Ми використовуємо cookie для покращення вашого досвіду" та однією кнопкою "ОК". Без опції відмови, без налаштувань.

Чому не відповідає

Жодного реального вибору, жодної інформації про cookie, жодного способу відмовитися. CNIL оштрафувала Google на 150 мільйонів EUR та Facebook на 60 мільйонів EUR у 2022 році саме за цей шаблон.

Вердикт: Незаконний за GDPR.

Приклад 2: Прийняти все + маленьке посилання "Керувати налаштуваннями" (Невідповідний)

Як виглядає

Помітна кнопка "Прийняти все" з маленьким сірим посиланням "Керувати налаштуваннями". Без кнопки "Відхилити все".

Чому не відповідає

Візуальна ієрархія штовхає користувачів до прийняття. Відхилення потребує двох кліків, прийняття — одного. Кілька DPA вирішили, що це не є вільно наданою згодою.

Вердикт: Невідповідний. Відхилити повинно бути так само доступно, як Прийняти.

Приклад 3: Рівні кнопки Прийняти та Відхилити (Відповідний)

Як виглядає

Дві кнопки однакового розміру: "Прийняти все" та "Відхилити все". Під ними посилання "Керувати налаштуваннями". Короткий опис цілей cookie.

Чому працює

Справжній вільний вибір, обидва варіанти однаково помітні, по одному кліку. Це шаблон, який CNIL явно рекомендувала.

Вердикт: Відповідний. Базовий рівень, якому повинен відповідати кожен веб-сайт.

Приклад 4: Стіна cookie (Невідповідний)

Як виглядає

Повноекранне накладення, що блокує весь контент. Єдиний варіант — "Прийняти cookie".

Чому не відповідає

Стаття 7(4) GDPR — згода не є вільною, якщо доступ до послуги обумовлений. Нідерландське DPA дійшло висновку, що стіни cookie загалом не допускаються.

Вердикт: Невідповідний у більшості юрисдикцій ЄС.

Приклад 5: Попередньо позначені прапорці (Невідповідний)

Як виглядає

Детальний банер з категоріями cookie та прапорцями — але всі попередньо позначені.

Чому не відповідає

Рішення CJEU Planet49 (2019) вирішило це остаточно: попередньо позначені прапорці не є дійсною згодою. Згода потребує чіткої стверджувальної дії.

Вердикт: Явно незаконний за судовою практикою CJEU.

Приклад 6: Багатошаровий підхід (Відповідний — Найкраща практика)

Як виглядає

Перший шар: компактний банер з кнопками Прийняти все, Відхилити все та Налаштувати. Другий шар: детальний центр налаштувань з індивідуальними перемикачами категорій та списком постачальників. Третій шар: повна політика cookie.

Чому працює

Балансує інформацію з зручністю використання. Перший шар надає вибір, другий — деталі, третій — повну прозорість. Явно рекомендовано EDPB.

Вердикт: Найкраща практика. Золотий стандарт відповідності.

Приклад 7: Оманливі підписи кнопок (Невідповідний)

Як виглядає

"Погоджуюся" проти "Не погоджуюся відхилити необов'язкові cookie". Або: "Прийняти рекомендовані налаштування" проти "Використовувати обмежену версію".

Чому не відповідає

Преамбула 42 GDPR вимагає чіткої, простої мови. Подвійні заперечення, натяки на наслідки та маніпулятивні підписи є невідповідними.

Вердикт: Невідповідний. Використовуйте чіткі, нейтральні підписи.

Приклад 8: Правильно створений відповідний банер

Як виглядає

Чиста нижня панель з: чітким заголовком, коротким поясненням, трьома кнопками однакового стилю (Прийняти все, Відхилити все, Керувати налаштуваннями) та посиланням на політику cookie. Керувати налаштуваннями відкриває центр налаштувань з індивідуальними перемикачами, списком постачальників та кнопкою Зберегти.

Чому працює

Відповідає всім вимогам: вільний вибір, симетричні кнопки, багатошарова інформація, проста мова, без попередньо позначених прапорців, легке відкликання через іконку налаштувань cookie.

Вердикт: Повністю відповідний.

Реальні штрафи за погані банери

• Google (Франція, 2022): 150 мільйонів EUR — опція відхилення була важче доступна, ніж прийняття.
• Facebook (Франція, 2022): 60 мільйонів EUR — та сама проблема асиметрії.
• Microsoft (Франція, 2022): 60 мільйонів EUR — рекламні cookie встановлені без дійсної згоди.
• TikTok (Франція, 2023): 5 мільйонів EUR — відхилення cookie вимагало більше кроків, ніж прийняття.

Контрольний список відповідності

• Чи є видима кнопка "Відхилити все" на першому шарі?
• Чи Прийняти та Відхилити однаково помітні?
• Чи всі прапорці за замовчуванням не позначені?
• Чи банер відображається до встановлення необов'язкових cookie?
• Чи можуть користувачі отримати доступ до детальних елементів керування категоріями?
• Чи згода записується з позначкою часу?
• Чи можуть користувачі змінити згоду в будь-який час?
• Чи банер мовою користувача?
• Чи натискання Відхилити дійсно запобігає необов'язковим cookie?

Як FlexyConsent обробляє це з коробки

FlexyConsent — CMP, сертифікована Google, з підтримкою IAB TCF 2.3. Відповідає кожній вимозі:

• Рівні кнопки Прийняти та Відхилити на першому шарі
• Вбудований багатошаровий підхід (перший шар для вибору, другий для детальних елементів керування)
• Без попередньо позначених прапорців — усі необов'язкові категорії за замовчуванням не позначені
• Google Consent Mode V2 інтегровано з коробки
• 43 мови з автоматичним визначенням
• Геотаргетинг для банерів, специфічних для регіону
• Журналювання згоди та докази для аудитів
• Плани від 0 EUR/місяць

Налаштуйте відповідний банер менш ніж за п'ять хвилин на panel.flexyconsent.com.