Прававая аснова

Абавязацельствы па згодзе на файлы cookie вынікаюць з GDPR (Рэгламент 2016/679) і Дырэктывы ePrivacy (2002/58/EC). Дырэктыва ePrivacy патрабуе згоды перад захаваннем інфармацыі на прыладзе карыстальніка (артыкул 5(3)), тады як GDPR вызначае сапраўдную згоду (артыкул 4(11), артыкул 7, пункт 32 прэамбулы).

14 патрабаванняў

1. Папярэдняя згода

Несутнасныя файлы cookie не павінны спрацоўваць да згоды карыстальніка. Артыкул 5(3) Дырэктывы ePrivacy адназначны. CNIL аштрафаваў Google на 150 млн еўра (2022) за загрузку файлаў cookie да ўзаемадзеяння карыстальніка.

2. Свабодна дадзеная згода

Згода не можа быць умовай доступу (GDPR, артыкул 4(11)). Нельга звязваць згоду на файлы cookie з умовамі абслугоўвання.

3. Дэталёвы выбар мэт

Карыстальнікі павінны даваць згоду на кожную мэту незалежна — аналітыка, рэклама, функцыянальнасць (GDPR, пункт 43 прэамбулы). Адной кнопкі «Прыняць усё» без выбару катэгорый недастаткова.

4. Роўная прыкметнасць для «Прыняць» і «Адхіліць»

«Адхіліць» павінна быць так жа прыкметна, як «Прыняць». CNIL патрабуе кнопку «Адхіліць усё» на першым узроўні з роўнай візуальнай вагой. Microsoft быў аштрафаваны на 60 млн еўра (2022), часткова за ўтойванне опцыі адмовы.

5. Ніякіх папярэдне адзначаных сцяжкоў

Рашэнне CJEU па справе Planet49 (C-673/17, 2019): папярэдне адзначаныя сцяжкі не з'яўляюцца сапраўднай згодай. Усе катэгорыі па змаўчанні павінны быць адключаны.

6. Ніякіх сцен з cookie

Блакіраванне доступу да сайта да атрымання згоды, як правіла, не адпавядае патрабаванням. EDPB і нідэрландскі нагляднчы орган пацвердзілі гэта.

7. Ясная, простая мова

GDPR, артыкул 7(2) — запыты згоды павінны выкарыстоўваць ясную, простую мову. «Мы выкарыстоўваем файлы cookie для паляпшэння вашага досведу» недастаткова.

8. Адпаведнасць мовы

GDPR, артыкул 12(1) — інфармацыя павінна быць зразумелай. Банер павінен адпавядаць мове сайта.

9. Спасылка на палітыку выкарыстання файлаў cookie

Артыкулы 13–14 GDPR патрабуюць вычарпальнай інфармацыі. Банер павінен спасылацца на поўную палітыку выкарыстання файлаў cookie з пералічэннем кожнага файла cookie.

10. Лёгкі адзыў

GDPR, артыкул 7(3) — адзыў павінен быць так жа просты, як і прадастаўленне згоды. Пастаянны віджэт або спасылка ў падвале павінны дазваляць паўторна адкрыць інтэрфейс згоды.

11. Вядзенне ўліку згоды

GDPR, артыкул 7(1) — вы павінны быць здольныя прадэманстраваць, што згода была атрымана. Рэгіструйце часавыя меткі, выбар і версіі банера.

12. Раскрыццё звестак аб трэціх баках

GDPR, артыкул 13(1)(e) — раскрывайце ўсіх старонніх атрымальнікаў дадзеных. Згодна з TCF 2.3, спіс пастаўшчыкоў павінен быць даступны з інтэрфейсу згоды.

13. Празрыстасць тэрмінаў захоўвання дадзеных

GDPR, артыкул 13(2)(a) — раскрывайце, як доўга захоўваюцца файлы cookie.

14. Адаптыўнасць для мабільных прылад

GDPR не прадугледжвае выключэнняў для мабільных прылад. Кнопкі павінны быць націскальнымі, тэкст — чытэльным, інтэрфейс — функцыянальным на ўсіх памерах экрана.

Хуткі чэк-ліст аўдыту

• Несутнасныя файлы cookie не спрацоўваюць да згоды
• «Прыняць» і «Адхіліць» аднолькава прыкметныя на першым узроўні
• Даступны выбар асобных катэгорый
• Няма папярэдне выбраных пераключальнікаў для несутнасных катэгорый
• Сайт даступны, нават калі карыстальнік адхіляе ўсё
• Мова банера адпавядае мове кантэнту
• Выкарыстоўваецца простая, нетэхнічная мова
• Спасылка на поўную палітыку cookie бачная на банеры
• Палітыка cookie пералічвае кожны файл cookie па імені, мэце, тэрміне
• Пастаянны віджэт дазваляе паўторна адкрыць інтэрфейс згоды
• Адзыў згоды патрабуе той жа колькасці клікаў, што і яе прадастаўленне
• Запісы аб згодзе рэгіструюцца з часавымі меткамі
• Старонния атрымальнікі раскрываюцца
• Банер функцыянальны на мабільных прыладах
• Няма маніпулятыўных колераў, памераў або фармулёвак

Аўтаматызуйце гэта: FlexyConsent выконвае кожнае патрабаванне «з каробкі» — CMP з сертыфікацыяй Google, IAB TCF 2.3, Consent Mode V2, 43+ мовы, тарыфы ад 0 еўра/месяц. Пачніце на panel.flexyconsent.com.