Што GDPR патрабуе ад банера cookie

GDPR і Дырэктыва ePrivacy усталёўваюць пяць абавязковых правілаў для згоды на cookie:

• Свабодна дадзеная: адхіленне cookie павінна быць такім жа простым, як і прыняцце.
• Канкрэтная: згода павінна запытвацца асобна для кожнай мэты.
• Інфармаваная: карыстальнікі павінны ведаць, на што яны даюць згоду, перш чым пагадзіцца.
• Адназначная: папярэдне адзначаныя сцяжкі і працяг прагляду не лічацца.
• Адклікальная: карыстальнікі павінны мець магчымасць адклікаць згоду ў любы час.

Прыклад 1: банер «Толькі прыняць» (неадпаведны)

Як ён выглядае

Невялікая паласа з тэкстам «Мы выкарыстоўваем cookie для паляпшэння вашага вопыту» і адной кнопкай «ОК». Без опцыі адмовы, без налад.

Чаму ён не праходзіць

Няма сапраўднага выбару, няма інфармацыі пра cookie, няма спосабу адмовіцца. CNIL аштрафаваў Google на 150 мільёнаў еўра і Facebook на 60 мільёнаў еўра ў 2022 годзе менавіта за гэты патэрн.

Вердыкт: незаконна па GDPR.

Прыклад 2: «Прыняць усё» + малюсенькая спасылка «Кіраванне наладамі» (неадпаведны)

Як ён выглядае

Прыкметная кнопка «Прыняць усё» з маленькай шэрай спасылкай «Кіраванне наладамі». Без кнопкі «Адхіліць усё».

Чаму ён не праходзіць

Візуальная іерархія падштурхоўвае карыстальнікаў да прыняцця. Адмова патрабуе двух клікаў, а прыняцце — аднаго. Мноства органаў па абароне даных пастанавілі, што гэта не з'яўляецца свабодна дадзенай згодай.

Вердыкт: неадпаведны. Адмова павінна быць такой жа даступнай, як і прыняцце.

Прыклад 3: раўнацэнныя кнопкі «Прыняць» і «Адхіліць» (адпаведны)

Як ён выглядае

Дзве кнопкі аднолькавага памеру: «Прыняць усё» і «Адхіліць усё». Пад імі спасылка «Кіраванне наладамі». Кароткае тлумачэнне мэт cookie.

Чаму ён працуе

Сапраўдны свабодны выбар, абедзве опцыі аднолькава прыкметныя, па адным кліку кожная. Гэта патэрн, які CNIL прама рэкамендаваў.

Вердыкт: адпаведны. Базавы ўзровень, якому павінен адпавядаць кожны сайт.

Прыклад 4: cookie-сцяна (неадпаведны)

Як ён выглядае

Поўнаэкраннае накладанне, якое блакіруе ўвесь кантэнт. Адзіная опцыя — «Прыняць cookie».

Чаму ён не праходзіць

Артыкул 7(4) GDPR — згода не з'яўляецца свабодна дадзенай, калі доступ да паслугі абумоўлены ёй. Нідэрландскі орган па абароне даных прыйшоў да высновы, што cookie-сцены, як правіла, не дапускаюцца.

Вердыкт: неадпаведны ў большасці юрысдыкцый ЕС.

Прыклад 5: папярэдне адзначаныя сцяжкі (неадпаведны)

Як ён выглядае

Падрабязны банер, які паказвае катэгорыі cookie са сцяжкамі — але ўсе сцяжкі папярэдне адзначаны.

Чаму ён не праходзіць

Рашэнне Суда ЕС па справе Planet49 (2019) урэгулявала гэта канчаткова: папярэдне адзначаныя сцяжкі не з'яўляюцца сапраўднай згодай. Згода патрабуе выразнага сцвярджальнага дзеяння.

Вердыкт: відавочна незаконна згодна з прэцэдэнтным правам Суда ЕС.

Прыклад 6: шматузроўневы падыход (адпаведны — лепшая практыка)

Як ён выглядае

Першы ўзровень: кампактны банер з кнопкамі «Прыняць усё», «Адхіліць усё» і «Наладзіць». Другі ўзровень: падрабязны цэнтр налад з індывідуальнымі пераключальнікамі катэгорый і спісам пастаўшчыкоў. Трэці ўзровень: поўная палітыка cookie.

Чаму ён працуе

Балансуе інфармацыю з зручнасцю выкарыстання. Першы ўзровень дае выбар, другі — дэталі, трэці — поўную празрыстасць. Прама рэкамендаваны EDPB.

Вердыкт: лепшая практыка. Залаты стандарт адпаведнасці.

Прыклад 7: уводзячыя ў зман надпісы на кнопках (неадпаведны)

Як ён выглядае

«Я згодны» супраць «Я не згодны адхіліць неістотныя cookie». Ці: «Прыняць рэкамендаваныя налады» супраць «Выкарыстоўваць абмежаваную версію».

Чаму ён не праходзіць

Прэамбула 42 GDPR патрабуе выразнай, простай мовы. Падвойныя адмаўленні, маюцца на ўвазе наступствы і маніпулятыўныя надпісы накшталт «Не, дзякуй, мне ўсё роўна на мой вопыт» з'яўляюцца маніпулятыўнымі і неадпаведнымі.

Вердыкт: неадпаведны. Выкарыстоўвайце выразныя, нейтральныя надпісы.

Прыклад 8: адпаведны банер, зроблены правільна

Як ён выглядае

Чыстая ніжняя паласа з: выразным загалоўкам, кароткім тлумачэннем, трыма аднолькава аформленымі кнопкамі («Прыняць усё», «Адхіліць усё», «Кіраванне наладамі») і спасылкай на палітыку cookie. «Кіраванне наладамі» адкрывае цэнтр налад з індывідуальнымі пераключальнікамі, спісам пастаўшчыкоў і кнопкай «Захаваць».

Чаму ён працуе

Адзначае кожны пункт: свабодны выбар, сіметрычныя кнопкі, шматузроўневая інфармацыя, простая мова, без папярэдне адзначаных сцяжкоў, лёгкі адклік праз значок налад cookie.

Вердыкт: цалкам адпаведны.

Рэальныя штрафы за дрэнныя банеры

• Google (Францыя, 2022): 150 мільёнаў еўра — опцыю адмовы было складаней знайсці, чым прыняцце.
• Facebook (Францыя, 2022): 60 мільёнаў еўра — тая ж праблема асіметрыі.
• Microsoft (Францыя, 2022): 60 мільёнаў еўра — рэкламныя cookie ўсталёўваліся без сапраўднай згоды.
• TikTok (Францыя, 2023): 5 мільёнаў еўра — адхіленне cookie патрабавала больш крокаў, чым прыняцце.

Чэк-ліст адпаведнасці

• Ці ёсць бачная кнопка «Адхіліць усё» на першым узроўні?
• Ці аднолькава прыкметныя «Прыняць» і «Адхіліць»?
• Ці зняты ўсе сцяжкі па змаўчанні?
• Ці адлюстроўваецца банер да ўсталёўкі неістотных cookie?
• Ці могуць карыстальнікі атрымаць доступ да дэталёвых элементаў кіравання катэгорыямі?
• Ці рэгіструецца згода з меткай часу?
• Ці могуць карыстальнікі змяніць згоду ў любы час?
• Ці банер на мове карыстальніка?
• Ці сапраўды націск «Адхіліць» прадухіляе неістотныя cookie?

Як FlexyConsent спраўляецца з гэтым з каробкі

FlexyConsent — гэта сертыфікаваная Google CMP з падтрымкай IAB TCF 2.3. Яна адпавядае ўсім патрабаванням адпаведнасці:

• Раўнацэнныя кнопкі «Прыняць» і «Адхіліць» на першым узроўні
• Убудаваны шматузроўневы падыход (першы ўзровень для выбару, другі для дэталёвых элементаў кіравання)
• Без папярэдне адзначаных сцяжкоў — усе неабавязковыя катэгорыі зняты па змаўчанні
• Google Consent Mode V2 інтэграваны з каробкі
• 43 мовы з аўтавызначэннем
• Геатаргетынг для банераў пад канкрэтны рэгіён
• Рэгістрацыя згоды і доказ для аўдытаў
• Тарыфы ад €0/месяц

Наладзьце адпаведны банер менш чым за пяць хвілін на panel.flexyconsent.com.