Teisinis pagrindas

Slapukų sutikimo įsipareigojimai kyla iš GDPR (Regulation 2016/679) ir ePrivacy Directive (2002/58/EC). ePrivacy Directive reikalauja sutikimo prieš saugant informaciją vartotojo įrenginyje (Article 5(3)), o GDPR apibrėžia galiojantį sutikimą (Article 4(11), Article 7, Recital 32).

14 reikalavimų

1. Išankstinis sutikimas

Nebūtini slapukai negali būti aktyvuoti, kol vartotojas neduoda sutikimo. ePrivacy Directive Article 5(3) yra aiškus. CNIL skyrė Google 150 mln. EUR baudą (2022) už slapukų įkėlimą prieš vartotojo sąveiką.

2. Laisvai duotas sutikimas

Sutikimas negali būti prieigos sąlyga (GDPR Article 4(11)). Slapukų sutikimo negalima sujungti su paslaugų teikimo sąlygomis.

3. Detalus tikslų pasirinkimas

Vartotojai turi sutikti su kiekvienu tikslu atskirai — analitika, reklama, funkciniai (GDPR Recital 43). Vienas mygtukas „Priimti viską" be kategorijų pasirinkimo yra nepakankamas.

4. Vienodas „Priimti" ir „Atmesti" matomumas

„Atmesti" turi būti toks pat matomas kaip „Priimti". CNIL reikalauja „Atmesti viską" mygtuko pirmajame sluoksnyje su vienodu vizualiniu svoriu. Microsoft buvo skirta 60 mln. EUR bauda (2022), iš dalies dėl atmesti parinkties slėpimo.

5. Jokių iš anksto pažymėtų langelių

CJEU Planet49 sprendimas (C-673/17, 2019): iš anksto pažymėti langeliai nėra galiojantis sutikimas. Visos kategorijos turi būti išjungtos pagal numatytuosius nustatymus.

6. Jokių slapukų sienų

Svetainės prieigos blokavimas, kol neduotas sutikimas, paprastai neatitinka reikalavimų. EDPB ir Nyderlandų DPA tai patvirtino.

7. Aiški, paprasta kalba

GDPR Article 7(2) — sutikimo prašymai turi būti aiškia, paprasta kalba. „Mes naudojame slapukus jūsų patirčiai pagerinti" yra nepakankama.

8. Kalbos atitikimas

GDPR Article 12(1) — informacija turi būti suprantama. Juosta turi atitikti svetainės kalbą.

9. Nuoroda į slapukų politiką

GDPR Articles 13-14 reikalauja išsamios informacijos. Juostoje turi būti nuoroda į pilną slapukų politiką, kurioje išvardyti visi slapukai.

10. Lengvas atšaukimas

GDPR Article 7(3) — atšaukimas turi būti toks pat lengvas kaip sutikimo davimas. Nuolatinis valdiklis arba poraštės nuoroda turi leisti iš naujo atidaryti sutikimo sąsają.

11. Sutikimo įrašų saugojimas

GDPR Article 7(1) — turite įrodyti, kad sutikimas buvo gautas. Registruokite laiko žymes, pasirinkimus ir juostos versijas.

12. Trečiųjų šalių atskleidimas

GDPR Article 13(1)(e) — atskleiskite visus trečiųjų šalių duomenų gavėjus. Pagal TCF 2.3, pardavėjų sąrašas turi būti pasiekiamas iš sutikimo sąsajos.

13. Duomenų saugojimo skaidrumas

GDPR Article 13(2)(a) — atskleiskite, kiek laiko slapukai išlieka aktyvūs.

14. Mobilusis prisitaikymas

GDPR išimčių mobiliesiems nėra. Mygtukai turi būti paspaudžiami, tekstas skaitomas, sąsaja funkcionali visuose ekrano dydžiuose.

Greitas audito kontrolinis sąrašas

• Nebūtini slapukai neaktyvuojami prieš sutikimą
• „Priimti" ir „Atmesti" vienodai matomi pirmajame sluoksnyje
• Galimas individualus kategorijų pasirinkimas
• Nebūtinų kategorijų jungikliai nėra iš anksto pasirinkti
• Svetainė pasiekiama, net jei vartotojas viską atmeta
• Juostos kalba atitinka turinio kalbą
• Naudojama paprasta, netechninė kalba
• Nuoroda į pilną slapukų politiką matoma juostoje
• Slapukų politikoje kiekvienas slapukas išvardytas pagal pavadinimą, paskirtį, trukmę
• Nuolatinis valdiklis leidžia iš naujo atidaryti sutikimo sąsają
• Sutikimo atšaukimas reikalauja tiek pat paspaudimų kaip ir sutikimo davimas
• Sutikimo įrašai registruojami su laiko žymėmis
• Trečiųjų šalių gavėjai atskleisti
• Juosta funkcionali mobiliuosiuose įrenginiuose
• Jokių manipuliacinių spalvų, dydžių ar formuluočių

Automatizuokite: FlexyConsent tvarko visus reikalavimus — Google sertifikuotas CMP su IAB TCF 2.3, Consent Mode V2, 43+ kalbos, planai nuo 0 EUR/mėn. Pradėkite panel.flexyconsent.com.