Cerințe GDPR pentru bannerele de cookie-uri: Lista de verificare definitivă a conformității pentru 2026
Fundamentul juridic
Obligațiile privind consimțământul pentru cookie-uri derivă din GDPR (Regulation 2016/679) și ePrivacy Directive (2002/58/EC). ePrivacy Directive impune consimțământul înainte de stocarea informațiilor pe dispozitivul utilizatorului (Article 5(3)), în timp ce GDPR definește consimțământul valid (Article 4(11), Article 7, Recital 32).
Cele 14 cerințe
1. Consimțământ prealabil
Cookie-urile neesențiale nu trebuie activate înainte ca utilizatorul să consimtă. Article 5(3) din ePrivacy Directive este explicit. CNIL a amendat Google cu EUR 150 milioane (2022) pentru încărcarea cookie-urilor înainte de interacțiunea utilizatorului.
2. Consimțământ acordat liber
Consimțământul nu poate fi o condiție de acces (GDPR Article 4(11)). Consimțământul pentru cookie-uri nu poate fi combinat cu termenii și condițiile serviciului.
3. Selecție granulară a scopurilor
Utilizatorii trebuie să consimtă independent pentru fiecare scop — analiză, publicitate, funcțional (GDPR Recital 43). Un singur buton „Acceptă tot" fără selecția categoriilor este insuficient.
4. Vizibilitate egală pentru Acceptare și Respingere
Respingerea trebuie să fie la fel de vizibilă ca Acceptarea. CNIL impune un buton „Respinge tot" pe primul strat cu greutate vizuală egală. Microsoft a fost amendat cu EUR 60 milioane (2022), parțial pentru ascunderea opțiunii de respingere.
5. Fără casete pre-bifate
Decizia CJEU Planet49 (C-673/17, 2019): casetele pre-bifate nu constituie consimțământ valid. Toate categoriile trebuie să fie dezactivate implicit.
6. Fără bariere de cookie-uri
Blocarea accesului la site până la acordarea consimțământului este în general neconformă. EDPB și DPA olandeză au confirmat această poziție.
7. Limbaj clar și simplu
GDPR Article 7(2) — solicitările de consimțământ trebuie să folosească un limbaj clar și simplu. „Folosim cookie-uri pentru a vă îmbunătăți experiența" este insuficient.
8. Potrivirea limbii
GDPR Article 12(1) — informațiile trebuie să fie inteligibile. Bannerul trebuie să corespundă limbii site-ului.
9. Link către politica de cookie-uri
GDPR Articles 13-14 impun informații cuprinzătoare. Bannerul trebuie să conțină un link către o politică completă de cookie-uri care să listeze fiecare cookie.
10. Retragere ușoară
GDPR Article 7(3) — retragerea trebuie să fie la fel de ușoară ca acordarea consimțământului. Un widget permanent sau un link în subsol trebuie să permită redeschiderea interfeței de consimțământ.
11. Înregistrarea consimțământurilor
GDPR Article 7(1) — trebuie să puteți demonstra că consimțământul a fost obținut. Înregistrați marcajele temporale, alegerile și versiunile bannerului.
12. Divulgarea terților
GDPR Article 13(1)(e) — divulgați toți destinatarii terți ai datelor. În cadrul TCF 2.3, lista furnizorilor trebuie să fie accesibilă din interfața de consimțământ.
13. Transparența retenției datelor
GDPR Article 13(2)(a) — divulgați cât timp persistă cookie-urile.
14. Responsivitate mobilă
Fără excepție GDPR pentru mobil. Butoanele trebuie să fie apăsabile, textul lizibil și interfața funcțională pe toate dimensiunile de ecran.
Lista rapidă de verificare a auditului
- Niciun cookie neesențial nu se activează înainte de consimțământ
- Acceptare și Respingere sunt vizibile în mod egal pe primul strat
- Selecția individuală a categoriilor este disponibilă
- Fără comutatoare pre-selectate pentru categoriile neesențiale
- Site-ul este accesibil chiar dacă utilizatorul respinge totul
- Limba bannerului corespunde limbii conținutului
- Se folosește un limbaj clar, non-tehnic
- Link-ul către politica completă de cookie-uri este vizibil pe banner
- Politica de cookie-uri listează fiecare cookie după nume, scop și durată
- Un widget permanent permite redeschiderea interfeței de consimțământ
- Retragerea consimțământului necesită același număr de clicuri ca acordarea lui
- Înregistrările de consimțământ sunt stocate cu marcaje temporale
- Destinatarii terți ai datelor sunt divulgați
- Bannerul este funcțional pe dispozitive mobile
- Fără culori, dimensiuni sau formulări manipulative
Automatizați acest lucru: FlexyConsent îndeplinește toate cerințele din start — CMP certificat de Google cu IAB TCF 2.3, Consent Mode V2, peste 43 de limbi, planuri de la EUR 0/lună. Începeți pe panel.flexyconsent.com.