Podstawa prawna

Obowiązki dotyczące zgody na pliki cookie wynikają z GDPR (Regulation 2016/679) oraz ePrivacy Directive (2002/58/EC). ePrivacy Directive wymaga zgody przed zapisaniem informacji na urządzeniu użytkownika (Article 5(3)), a GDPR definiuje ważną zgodę (Article 4(11), Article 7, Recital 32).

14 wymagań

1. Uprzednia zgoda

Nieistotne pliki cookie nie mogą być uruchamiane przed wyrażeniem zgody przez użytkownika. Article 5(3) ePrivacy Directive jest jednoznaczny. CNIL nałożył na Google karę w wysokości EUR 150 milionów (2022) za ładowanie plików cookie przed interakcją użytkownika.

2. Dobrowolnie udzielona zgoda

Zgoda nie może być warunkiem dostępu (GDPR Article 4(11)). Nie wolno łączyć zgody na pliki cookie z warunkami korzystania z usługi.

3. Szczegółowy wybór celów

Użytkownicy muszą wyrazić zgodę na każdy cel niezależnie — analityka, reklama, funkcjonalność (GDPR Recital 43). Pojedynczy przycisk „Zaakceptuj wszystko" bez wyboru kategorii jest niewystarczający.

4. Równa widoczność Akceptuj i Odrzuć

Odrzuć musi być tak samo widoczne jak Akceptuj. CNIL wymaga przycisku „Odrzuć wszystko" na pierwszej warstwie z równą wagą wizualną. Microsoft został ukarany grzywną EUR 60 milionów (2022), częściowo za ukrycie opcji odrzucenia.

5. Brak wstępnie zaznaczonych pól

Orzeczenie CJEU Planet49 (C-673/17, 2019): wstępnie zaznaczone pola nie stanowią ważnej zgody. Wszystkie kategorie muszą być domyślnie wyłączone.

6. Brak ścian cookie

Blokowanie dostępu do strony do czasu wyrażenia zgody jest zazwyczaj niezgodne z przepisami. EDPB i holenderski DPA potwierdziły to stanowisko.

7. Jasny, prosty język

GDPR Article 7(2) — prośby o zgodę muszą używać jasnego, prostego języka. „Używamy plików cookie, aby poprawić Twoje doświadczenie" jest niewystarczające.

8. Dopasowanie językowe

GDPR Article 12(1) — informacje muszą być zrozumiałe. Baner powinien odpowiadać językowi strony internetowej.

9. Link do polityki cookie

GDPR Articles 13-14 wymagają wyczerpujących informacji. Baner musi zawierać link do pełnej polityki cookie wymieniającej każdy plik cookie.

10. Łatwe wycofanie

GDPR Article 7(3) — wycofanie musi być tak łatwe jak udzielenie zgody. Stały widget lub link w stopce musi umożliwiać ponowne otwarcie interfejsu zgody.

11. Rejestrowanie zgód

GDPR Article 7(1) — musisz móc wykazać, że zgoda została uzyskana. Rejestruj znaczniki czasu, wybory i wersje banerów.

12. Ujawnienie stron trzecich

GDPR Article 13(1)(e) — ujawnij wszystkich odbiorców danych będących stronami trzecimi. W ramach TCF 2.3 lista dostawców musi być dostępna z poziomu interfejsu zgody.

13. Przejrzystość przechowywania danych

GDPR Article 13(2)(a) — ujawnij, jak długo pliki cookie są aktywne.

14. Responsywność mobilna

Brak wyjątku GDPR dla urządzeń mobilnych. Przyciski muszą być dotykowe, tekst czytelny, a interfejs funkcjonalny na wszystkich rozmiarach ekranów.

Szybka lista kontrolna audytu

• Żadne nieistotne pliki cookie nie są uruchamiane przed wyrażeniem zgody
• Akceptuj i Odrzuć są równo widoczne na pierwszej warstwie
• Dostępny jest indywidualny wybór kategorii
• Brak wstępnie zaznaczonych przełączników dla kategorii nieistotnych
• Strona jest dostępna nawet po odrzuceniu wszystkiego przez użytkownika
• Język banera odpowiada językowi treści
• Używany jest jasny, nietechniczny język
• Link do pełnej polityki cookie jest widoczny na banerze
• Polityka cookie wymienia każdy plik cookie według nazwy, celu i czasu trwania
• Stały widget umożliwia ponowne otwarcie interfejsu zgody
• Wycofanie zgody wymaga tej samej liczby kliknięć co jej udzielenie
• Rekordy zgód są rejestrowane ze znacznikami czasu
• Odbiorcy danych będący stronami trzecimi są ujawnieni
• Baner jest funkcjonalny na urządzeniach mobilnych
• Brak manipulacyjnych kolorów, rozmiarów ani sformułowań

Zautomatyzuj to: FlexyConsent spełnia wszystkie wymagania od razu — certyfikowana przez Google CMP z IAB TCF 2.3, Consent Mode V2, ponad 43 języki, plany od EUR 0/miesiąc. Rozpocznij na panel.flexyconsent.com.