Právní základ

Povinnosti ohledně souhlasu s cookies vyplývají z GDPR (Regulation 2016/679) a ePrivacy Directive (2002/58/EC). ePrivacy Directive vyžaduje souhlas před uložením informací na zařízení uživatele (Article 5(3)), zatímco GDPR definuje platný souhlas (Article 4(11), Article 7, Recital 32).

14 požadavků

1. Předchozí souhlas

Nezbytné cookies se nesmí aktivovat, dokud uživatel neudělí souhlas. Article 5(3) ePrivacy Directive je jednoznačný. CNIL uložila Google pokutu EUR 150 milionů (2022) za načítání cookies před interakcí uživatele.

2. Svobodně udělený souhlas

Souhlas nemůže být podmínkou přístupu (GDPR Article 4(11)). Souhlas s cookies nelze spojovat s podmínkami služby.

3. Podrobný výběr účelů

Uživatelé musí souhlasit s každým účelem nezávisle — analytika, reklama, funkční (GDPR Recital 43). Jediné tlačítko „Přijmout vše" bez výběru kategorií nestačí.

4. Stejná viditelnost pro Přijmout a Odmítnout

Odmítnout musí být stejně viditelné jako Přijmout. CNIL vyžaduje tlačítko „Odmítnout vše" na první vrstvě se stejnou vizuální váhou. Microsoft dostal pokutu EUR 60 milionů (2022) částečně za skrytí možnosti odmítnutí.

5. Žádná předem zaškrtnutá políčka

Rozhodnutí CJEU Planet49 (C-673/17, 2019): předem zaškrtnutá políčka nejsou platným souhlasem. Všechny kategorie musí být ve výchozím stavu vypnuté.

6. Žádné cookie walls

Blokování přístupu na stránky, dokud není udělen souhlas, je obecně v rozporu s předpisy. EDPB a nizozemský DPA to potvrdily.

7. Jasný a srozumitelný jazyk

GDPR Article 7(2) — žádosti o souhlas musí používat jasný a srozumitelný jazyk. „Používáme cookies pro zlepšení vašeho zážitku" nestačí.

8. Jazyková shoda

GDPR Article 12(1) — informace musí být srozumitelné. Banner musí odpovídat jazyku webových stránek.

9. Odkaz na zásady cookies

GDPR Articles 13-14 vyžadují komplexní informace. Banner musí obsahovat odkaz na úplné zásady cookies se seznamem všech cookies.

10. Snadné odvolání

GDPR Article 7(3) — odvolání musí být stejně snadné jako udělení souhlasu. Trvalý widget nebo odkaz v zápatí musí umožnit opětovné otevření rozhraní pro souhlas.

11. Evidence souhlasů

GDPR Article 7(1) — musíte prokázat, že souhlas byl udělen. Zaznamenávejte časová razítka, volby a verze banneru.

12. Zveřejnění třetích stran

GDPR Article 13(1)(e) — zveřejněte všechny příjemce dat třetích stran. V rámci TCF 2.3 musí být seznam dodavatelů přístupný z rozhraní pro souhlas.

13. Transparentnost uchovávání dat

GDPR Article 13(2)(a) — zveřejněte, jak dlouho cookies přetrvávají.

14. Mobilní responzivita

Pro mobilní zařízení neexistuje výjimka z GDPR. Tlačítka musí být klikatelná, text čitelný, rozhraní funkční na všech velikostech obrazovky.

Rychlý kontrolní seznam auditu

• Žádné nezbytné cookies se neaktivují před souhlasem
• Přijmout a Odmítnout jsou na první vrstvě stejně viditelné
• Individuální výběr kategorií je k dispozici
• Žádné předem vybrané přepínače pro nezbytné kategorie
• Stránky jsou přístupné, i když uživatel vše odmítne
• Jazyk banneru odpovídá jazyku obsahu
• Použit srozumitelný, netechnický jazyk
• Odkaz na úplné zásady cookies je na banneru viditelný
• Zásady cookies uvádějí každou cookie podle názvu, účelu a doby trvání
• Trvalý widget umožňuje opětovné otevření rozhraní pro souhlas
• Odvolání souhlasu vyžaduje stejný počet kliknutí jako jeho udělení
• Evidence souhlasů je zaznamenána s časovými razítky
• Příjemci dat třetích stran jsou zveřejněni
• Banner je funkční na mobilních zařízeních
• Žádné manipulativní barvy, velikosti nebo formulace

Automatizujte to: FlexyConsent zvládá všechny požadavky automaticky — CMP certifikovaný Google s IAB TCF 2.3, Consent Mode V2, 43+ jazyků, plány od EUR 0/měsíc. Začněte na panel.flexyconsent.com.