სამართლებრივი საფუძველი

ქუქი-თანხმობის ვალდებულებები გამომდინარეობს GDPR-იდან (Regulation 2016/679) და ePrivacy Directive-იდან (2002/58/EC). ePrivacy Directive მოითხოვს თანხმობას მომხმარებლის მოწყობილობაზე ინფორმაციის შენახვამდე (Article 5(3)), ხოლო GDPR განსაზღვრავს მოქმედ თანხმობას (Article 4(11), Article 7, Recital 32).

14 მოთხოვნა

1. წინასწარი თანხმობა

არაარსებითი ქუქი-ფაილები არ უნდა გააქტიურდეს მომხმარებლის თანხმობამდე. ePrivacy Directive-ის Article 5(3) ცალსახაა. CNIL-მა Google-ს 150 მილიონი EUR ჯარიმა დააკისრა (2022) მომხმარებლის ინტერაქციამდე ქუქი-ფაილების ჩატვირთვისთვის.

2. თავისუფლად მიცემული თანხმობა

თანხმობა არ შეიძლება იყოს წვდომის პირობა (GDPR Article 4(11)). ქუქი-თანხმობის მომსახურების პირობებთან გაერთიანება დაუშვებელია.

3. მიზნების გრანულური შერჩევა

მომხმარებლებმა უნდა მისცენ თანხმობა თითოეულ მიზანს დამოუკიდებლად — ანალიტიკა, რეკლამა, ფუნქციონალური (GDPR Recital 43). ერთი ღილაკი „ყველას მიღება" კატეგორიის შერჩევის გარეშე არასაკმარისია.

4. მიღებისა და უარყოფის თანაბარი გამოჩენა

უარყოფა ისეთივე თვალსაჩინო უნდა იყოს, როგორც მიღება. CNIL მოითხოვს „ყველას უარყოფა" ღილაკს პირველ ფენაზე თანაბარი ვიზუალური წონით. Microsoft-ს 60 მილიონი EUR ჯარიმა დაეკისრა (2022) ნაწილობრივ უარყოფის ოფციის დამალვისთვის.

5. წინასწარ მონიშნული ყუთები არ დაიშვება

CJEU Planet49-ის გადაწყვეტილება (C-673/17, 2019): წინასწარ მონიშნული ყუთები არ წარმოადგენს მოქმედ თანხმობას. ყველა კატეგორია ნაგულისხმევად გამორთული უნდა იყოს.

6. ქუქი-კედლები არ დაიშვება

საიტზე წვდომის დაბლოკვა თანხმობის მიცემამდე, როგორც წესი, შეუსაბამოა. EDPB და ნიდერლანდების DPA ამას დაადასტურეს.

7. მკაფიო, მარტივი ენა

GDPR Article 7(2) — თანხმობის მოთხოვნები მკაფიო, მარტივი ენით უნდა იყოს. „ჩვენ ვიყენებთ ქუქი-ფაილებს თქვენი გამოცდილების გასაუმჯობესებლად" არასაკმარისია.

8. ენის შესაბამისობა

GDPR Article 12(1) — ინფორმაცია გასაგები უნდა იყოს. ბანერი ვებსაიტის ენას უნდა შეესაბამებოდეს.

9. ქუქი-პოლიტიკის ბმული

GDPR Articles 13-14 მოითხოვს ყოვლისმომცველ ინფორმაციას. ბანერი უნდა შეიცავდეს ბმულს სრულ ქუქი-პოლიტიკაზე, რომელიც ჩამოთვლის ყველა ქუქი-ფაილს.

10. მარტივი გამოთხოვა

GDPR Article 7(3) — გამოთხოვა ისეთივე მარტივი უნდა იყოს, როგორც თანხმობის მიცემა. მუდმივი ვიჯეტი ან ქვედა კოლონტიტულის ბმული თანხმობის ინტერფეისის ხელახლა გახსნის საშუალებას უნდა იძლეოდეს.

11. თანხმობის ჩანაწერების შენახვა

GDPR Article 7(1) — თქვენ უნდა დაამტკიცოთ, რომ თანხმობა მიღებულ იქნა. ჩაწერეთ დროის ანაბეჭდები, არჩევანი და ბანერის ვერსიები.

12. მესამე მხარეების გამჟღავნება

GDPR Article 13(1)(e) — გაამჟღავნეთ ყველა მესამე მხარის მონაცემთა მიმღები. TCF 2.3-ის ფარგლებში, მომწოდებლების სია თანხმობის ინტერფეისიდან ხელმისაწვდომი უნდა იყოს.

13. მონაცემთა შენახვის გამჭვირვალობა

GDPR Article 13(2)(a) — გაამჟღავნეთ, რამდენ ხანს რჩება ქუქი-ფაილები აქტიური.

14. მობილური ადაპტაცია

მობილურისთვის GDPR-ის გამონაკლისი არ არსებობს. ღილაკები შესაძლებელი უნდა იყოს დასაჭერად, ტექსტი — წასაკითხად, ინტერფეისი — ფუნქციონალური ყველა ეკრანის ზომაზე.

სწრაფი აუდიტის ჩეკლისტი

• არაარსებითი ქუქი-ფაილები არ აქტიურდება თანხმობამდე
• მიღება და უარყოფა თანაბრად ჩანს პირველ ფენაზე
• ინდივიდუალური კატეგორიის შერჩევა ხელმისაწვდომია
• არაარსებითი კატეგორიებისთვის წინასწარ შერჩეული გადამრთველები არ არის
• საიტი ხელმისაწვდომია, თუ მომხმარებელი ყველაფერს უარყოფს
• ბანერის ენა შეესაბამება კონტენტის ენას
• მარტივი, არატექნიკური ენაა გამოყენებული
• სრული ქუქი-პოლიტიკის ბმული ბანერზე ჩანს
• ქუქი-პოლიტიკა ჩამოთვლის ყველა ქუქი-ფაილს სახელით, მიზნით, ხანგრძლივობით
• მუდმივი ვიჯეტი საშუალებას იძლევა თანხმობის ინტერფეისის ხელახლა გახსნისა
• თანხმობის გამოთხოვას იგივე რაოდენობის დაწკაპუნება სჭირდება, როგორც მიცემას
• თანხმობის ჩანაწერები დროის ანაბეჭდებით ინახება
• მესამე მხარის მიმღებები გამჟღავნებულია
• ბანერი ფუნქციონალურია მობილურ მოწყობილობებზე
• მანიპულაციური ფერები, ზომები ან ფორმულირებები არ არის

ავტომატიზაცია: FlexyConsent ყველა მოთხოვნას ამუშავებს — Google-ის სერტიფიცირებული CMP IAB TCF 2.3-ით, Consent Mode V2, 43+ ენა, გეგმები 0 EUR/თვიდან. დაიწყეთ panel.flexyconsent.com-ზე.