Правова основа

Зобов'язання щодо згоди на cookie випливають із GDPR (Regulation 2016/679) та ePrivacy Directive (2002/58/EC). ePrivacy Directive вимагає згоди перед збереженням інформації на пристрої користувача (Article 5(3)), тоді як GDPR визначає дійсну згоду (Article 4(11), Article 7, Recital 32).

14 вимог

1. Попередня згода

Необов'язкові cookie не повинні спрацьовувати, поки користувач не надасть згоду. Article 5(3) ePrivacy Directive є однозначною. CNIL оштрафувала Google на EUR 150 мільйонів (2022) за завантаження cookie до взаємодії користувача.

2. Вільно надана згода

Згода не може бути умовою доступу (GDPR Article 4(11)). Не можна поєднувати згоду на cookie з умовами обслуговування.

3. Детальний вибір цілей

Користувачі повинні надавати згоду на кожну мету окремо — аналітика, реклама, функціональність (GDPR Recital 43). Єдина кнопка «Прийняти все» без вибору категорій є недостатньою.

4. Однакова помітність для «Прийняти» та «Відхилити»

«Відхилити» має бути таким же помітним, як «Прийняти». CNIL вимагає кнопку «Відхилити все» на першому рівні з однаковою візуальною вагою. Microsoft було оштрафовано на EUR 60 мільйонів (2022) частково за приховування опції відхилення.

5. Жодних попередньо позначених прапорців

Рішення CJEU Planet49 (C-673/17, 2019): попередньо позначені прапорці не є дійсною згодою. Усі категорії мають бути вимкнені за замовчуванням.

6. Жодних cookie-стін

Блокування доступу до сайту до надання згоди загалом є невідповідним. EDPB та DPA Нідерландів це підтвердили.

7. Чітка, проста мова

GDPR Article 7(2) — запити на згоду мають використовувати чітку, просту мову. «Ми використовуємо cookie для покращення вашого досвіду» є недостатнім.

8. Відповідність мови

GDPR Article 12(1) — інформація має бути зрозумілою. Банер повинен відповідати мові вебсайту.

9. Посилання на політику cookie

GDPR Articles 13-14 вимагають вичерпної інформації. Банер має містити посилання на повну політику cookie з переліком усіх cookie.

10. Легке відкликання

GDPR Article 7(3) — відкликання має бути таким же простим, як і надання згоди. Постійний віджет або посилання в нижньому колонтитулі має дозволяти повторне відкриття інтерфейсу згоди.

11. Ведення записів про згоду

GDPR Article 7(1) — ви повинні продемонструвати, що згоду було отримано. Фіксуйте мітки часу, вибір та версії банера.

12. Розкриття третіх сторін

GDPR Article 13(1)(e) — розкрийте всіх сторонніх одержувачів даних. Відповідно до TCF 2.3, список постачальників має бути доступним з інтерфейсу згоди.

13. Прозорість зберігання даних

GDPR Article 13(2)(a) — розкрийте, як довго зберігаються cookie.

14. Адаптивність для мобільних пристроїв

Винятків GDPR для мобільних пристроїв немає. Кнопки мають бути натискними, текст — читабельним, інтерфейс — функціональним на всіх розмірах екрану.

Швидкий контрольний список аудиту

• Жодні необов'язкові cookie не спрацьовують до надання згоди
• «Прийняти» та «Відхилити» однаково помітні на першому рівні
• Доступний вибір окремих категорій
• Жодних попередньо вибраних перемикачів для необов'язкових категорій
• Сайт доступний, навіть якщо користувач відхилив усе
• Мова банера відповідає мові контенту
• Використовується проста, нетехнічна мова
• Посилання на повну політику cookie видиме на банері
• Політика cookie перелічує кожен cookie за назвою, метою та тривалістю
• Постійний віджет дозволяє повторно відкрити інтерфейс згоди
• Відкликання згоди потребує стільки ж кліків, як і надання
• Записи про згоду зберігаються з мітками часу
• Сторонніх одержувачів розкрито
• Банер працює на мобільних пристроях
• Жодних маніпулятивних кольорів, розмірів чи формулювань

Автоматизуйте це: FlexyConsent забезпечує виконання кожної вимоги одразу — сертифікований Google CMP з IAB TCF 2.3, Consent Mode V2, підтримка 43+ мов, плани від EUR 0/місяць. Починайте на panel.flexyconsent.com.