Lagalegur grunnur

Skyldur um samþykki fyrir vefkökum byggjast á GDPR (Regulation 2016/679) og ePrivacy Directive (2002/58/EC). ePrivacy Directive krefst samþykkis áður en upplýsingar eru geymdar á tæki notandans (Article 5(3)), en GDPR skilgreinir gilt samþykki (Article 4(11), Article 7, Recital 32).

14 kröfurnar

1. Fyrirframsamþykki

Ónauðsynlegar vefkökur mega ekki virkjast fyrr en notandinn samþykkir. Article 5(3) ePrivacy Directive er skýr. CNIL sektaði Google um 150 milljónir evra (2022) fyrir að hlaða vefkökum áður en notandinn brást við.

2. Frjálslega veitt samþykki

Samþykki má ekki vera skilyrði aðgangs (GDPR Article 4(11)). Ekki má tengja samþykki vefkaka við þjónustuskilmála.

3. Sundurliðað tilgangsval

Notendur verða að samþykkja hvern tilgang sjálfstætt — greiningar, auglýsingar, virkni (GDPR Recital 43). Einn „Samþykkja allt" hnappur án flokkavals er ófullnægjandi.

4. Jafn áberandi Samþykkja og Hafna

Hafna verður að vera jafn sýnilegt og Samþykkja. CNIL krefst „Hafna öllu" hnapps á fyrsta lagi með jafnri sjónræna þyngd. Microsoft var sektað um 60 milljónir evra (2022) meðal annars fyrir að fela höfnunarvalkostinn.

5. Engin formerkt reitir

CJEU Planet49 úrskurður (C-673/17, 2019): formerktir reitir eru ekki gilt samþykki. Allir flokkar verða að vera slökktir sjálfgefið.

6. Engar vefkökuveggir

Að loka aðgangi að vefsvæðinu þar til samþykki er veitt er almennt óheimilt. EDPB og hollenska DPA hafa staðfest þetta.

7. Skýrt, einfalt mál

GDPR Article 7(2) — samþykkisbeiðnir verða að nota skýrt, einfalt mál. „Við notum vefkökur til að bæta upplifun þína" er ófullnægjandi.

8. Tungumálasamsvörun

GDPR Article 12(1) — upplýsingar verða að vera skiljanlegar. Borðinn verður að samsvara tungumáli vefsíðunnar.

9. Tengill á vefkökustefnu

GDPR Articles 13-14 krefjast ítarlegra upplýsinga. Borðinn verður að innihalda tengil á fulla vefkökustefnu sem listar hverja vefköku.

10. Auðveld afturköllun

GDPR Article 7(3) — afturköllun verður að vera jafn auðveld og samþykki. Varanlegur búnaður eða tengill í síðufæti verður að leyfa enduropnun samþykkisviðmótsins.

11. Skráning samþykkis

GDPR Article 7(1) — þú verður að sýna fram á að samþykki hafi verið fengið. Skráðu tímastimpla, val og borðaútgáfur.

12. Upplýsingagjöf um þriðja aðila

GDPR Article 13(1)(e) — birtu alla þriðju aðila sem taka við gögnum. Samkvæmt TCF 2.3 verður söluaðilalisti að vera aðgengilegur úr samþykkisviðmótinu.

13. Gagnavarðveisla og gagnsæi

GDPR Article 13(2)(a) — birtu hversu lengi vefkökur vara.

14. Farsímasvörun

Engin GDPR undanþága fyrir farsíma. Hnappar verða að vera snertanlegir, texti læsilegur og viðmótið virkt á öllum skjástærðum.

Fljótleg úttektargátlisti

• Engar ónauðsynlegar vefkökur virkjast fyrir samþykki
• Samþykkja og Hafna eru jafn sýnileg á fyrsta lagi
• Einstaklingsbundið flokkaval er tiltækt
• Engir forvaldir rofar fyrir ónauðsynlega flokka
• Vefsvæðið er aðgengilegt þótt notandinn hafni öllu
• Tungumál borðans samsvarar tungumáli efnisins
• Skýrt, ófagbundið mál er notað
• Tengill á fulla vefkökustefnu er sýnilegur á borðanum
• Vefkökustefnan listar hverja vefköku eftir heiti, tilgangi og tímalengd
• Varanlegur búnaður leyfir enduropnun samþykkisviðmótsins
• Afturköllun samþykkis tekur jafn marga smelli og veiting þess
• Samþykkisskrár eru vistaðar með tímastimplum
• Þriðju aðilar sem taka við gögnum eru birtir
• Borðinn virkar á farsímum
• Engir stýrandi litir, stærðir eða orðalag

Sjálfvirknivæddu þetta: FlexyConsent uppfyllir allar kröfur beint úr kassanum — Google-vottaður CMP með IAB TCF 2.3, Consent Mode V2, 43+ tungumál, áskriftir frá 0 EUR/mánuð. Byrjaðu á panel.flexyconsent.com.