Nền tảng pháp lý

Nghĩa vụ đồng ý cookie bắt nguồn từ GDPR (Regulation 2016/679) và ePrivacy Directive (2002/58/EC). ePrivacy Directive yêu cầu đồng ý trước khi lưu trữ thông tin trên thiết bị của người dùng (Article 5(3)), trong khi GDPR định nghĩa sự đồng ý hợp lệ (Article 4(11), Article 7, Recital 32).

14 yêu cầu

1. Đồng ý trước

Cookie không thiết yếu không được kích hoạt cho đến khi người dùng đồng ý. Article 5(3) của ePrivacy Directive rất rõ ràng. CNIL đã phạt Google EUR 150 triệu (2022) vì tải cookie trước khi người dùng tương tác.

2. Đồng ý tự nguyện

Đồng ý không thể là điều kiện truy cập (GDPR Article 4(11)). Không được gộp đồng ý cookie với điều khoản dịch vụ.

3. Lựa chọn mục đích chi tiết

Người dùng phải đồng ý từng mục đích riêng biệt — phân tích, quảng cáo, chức năng (GDPR Recital 43). Một nút "Chấp nhận tất cả" duy nhất mà không có lựa chọn danh mục là không đủ.

4. Mức độ nổi bật ngang nhau cho Chấp nhận và Từ chối

Từ chối phải hiển thị rõ như Chấp nhận. CNIL yêu cầu nút "Từ chối tất cả" ở lớp đầu tiên với trọng số trực quan tương đương. Microsoft bị phạt EUR 60 triệu (2022) một phần vì ẩn tùy chọn từ chối.

5. Không có ô đánh dấu sẵn

Phán quyết CJEU Planet49 (C-673/17, 2019): ô đánh dấu sẵn không phải là đồng ý hợp lệ. Tất cả danh mục phải mặc định tắt.

6. Không có tường cookie

Chặn truy cập trang web cho đến khi đồng ý nói chung là không tuân thủ. EDPB và DPA Hà Lan đã xác nhận điều này.

7. Ngôn ngữ rõ ràng, đơn giản

GDPR Article 7(2) — yêu cầu đồng ý phải sử dụng ngôn ngữ rõ ràng, đơn giản. "Chúng tôi sử dụng cookie để cải thiện trải nghiệm của bạn" là không đủ.

8. Khớp ngôn ngữ

GDPR Article 12(1) — thông tin phải dễ hiểu. Biểu ngữ nên khớp với ngôn ngữ của trang web.

9. Liên kết đến chính sách cookie

GDPR Articles 13-14 yêu cầu thông tin toàn diện. Biểu ngữ phải liên kết đến chính sách cookie đầy đủ liệt kê mọi cookie.

10. Rút lại dễ dàng

GDPR Article 7(3) — việc rút lại phải dễ dàng như việc đồng ý. Widget cố định hoặc liên kết chân trang phải cho phép mở lại giao diện đồng ý.

11. Lưu trữ hồ sơ đồng ý

GDPR Article 7(1) — bạn phải chứng minh rằng đã thu được sự đồng ý. Ghi lại dấu thời gian, lựa chọn và phiên bản biểu ngữ.

12. Công bố bên thứ ba

GDPR Article 13(1)(e) — công bố tất cả bên nhận dữ liệu thứ ba. Theo TCF 2.3, danh sách nhà cung cấp phải truy cập được từ giao diện đồng ý.

13. Minh bạch về lưu trữ dữ liệu

GDPR Article 13(2)(a) — công bố cookie tồn tại bao lâu.

14. Tương thích di động

Không có miễn trừ GDPR cho di động. Nút phải nhấn được, chữ phải đọc được, giao diện phải hoạt động trên mọi kích thước màn hình.

Danh sách kiểm tra nhanh

• Không cookie không thiết yếu nào kích hoạt trước khi đồng ý
• Chấp nhận và Từ chối hiển thị ngang nhau ở lớp đầu tiên
• Lựa chọn danh mục riêng lẻ khả dụng
• Không có công tắc chọn sẵn cho danh mục không thiết yếu
• Trang web truy cập được ngay cả khi người dùng từ chối tất cả
• Ngôn ngữ biểu ngữ khớp với ngôn ngữ nội dung
• Sử dụng ngôn ngữ đơn giản, không chuyên môn
• Liên kết đến chính sách cookie đầy đủ hiển thị trên biểu ngữ
• Chính sách cookie liệt kê mọi cookie theo tên, mục đích, thời hạn
• Widget cố định cho phép mở lại giao diện đồng ý
• Rút lại đồng ý cần cùng số lần nhấp như khi đồng ý
• Hồ sơ đồng ý được lưu với dấu thời gian
• Bên nhận thứ ba được công bố
• Biểu ngữ hoạt động trên thiết bị di động
• Không có màu sắc, kích thước hoặc từ ngữ thao túng

Tự động hóa điều này: FlexyConsent xử lý mọi yêu cầu ngay lập tức — CMP được Google chứng nhận với IAB TCF 2.3, Consent Mode V2, hỗ trợ 43+ ngôn ngữ, gói từ EUR 0/tháng. Bắt đầu tại panel.flexyconsent.com.