Что GDPR требует от баннера cookie

GDPR и Директива ePrivacy устанавливают пять обязательных правил для согласия на cookie:

• Свободно данное: отклонение cookie должно быть таким же простым, как и принятие.
• Конкретное: согласие должно запрашиваться отдельно для каждой цели.
• Информированное: пользователи должны знать, на что они дают согласие, прежде чем согласиться.
• Однозначное: предварительно отмеченные флажки и продолжение просмотра не считаются.
• Отзывное: пользователи должны иметь возможность отозвать согласие в любое время.

Пример 1: баннер «Только принять» (несоответствующий)

Как он выглядит

Небольшая полоса с текстом «Мы используем cookie для улучшения вашего опыта» и одной кнопкой «ОК». Без опции отказа, без настроек.

Почему он не проходит

Нет подлинного выбора, нет информации о cookie, нет способа отказаться. CNIL оштрафовал Google на 150 миллионов евро и Facebook на 60 миллионов евро в 2022 году именно за этот паттерн.

Вердикт: незаконно по GDPR.

Пример 2: «Принять всё» + крошечная ссылка «Управление настройками» (несоответствующий)

Как он выглядит

Заметная кнопка «Принять всё» с маленькой серой ссылкой «Управление настройками». Без кнопки «Отклонить всё».

Почему он не проходит

Визуальная иерархия подталкивает пользователей к принятию. Отказ требует двух кликов, а принятие — одного. Множество органов по защите данных постановили, что это не является свободно данным согласием.

Вердикт: несоответствующий. Отказ должен быть таким же доступным, как и принятие.

Пример 3: равноценные кнопки «Принять» и «Отклонить» (соответствующий)

Как он выглядит

Две кнопки одинакового размера: «Принять всё» и «Отклонить всё». Под ними ссылка «Управление настройками». Краткое объяснение целей cookie.

Почему он работает

Подлинный свободный выбор, обе опции одинаково заметны, по одному клику каждая. Это паттерн, который CNIL прямо рекомендовал.

Вердикт: соответствующий. Базовый уровень, которому должен соответствовать каждый сайт.

Пример 4: cookie-стена (несоответствующий)

Как он выглядит

Полноэкранное наложение, блокирующее весь контент. Единственная опция — «Принять cookie».

Почему он не проходит

Статья 7(4) GDPR — согласие не является свободно данным, если доступ к услуге обусловлен им. Нидерландский орган по защите данных пришёл к выводу, что cookie-стены, как правило, не допускаются.

Вердикт: несоответствующий в большинстве юрисдикций ЕС.

Пример 5: предварительно отмеченные флажки (несоответствующий)

Как он выглядит

Подробный баннер, показывающий категории cookie с флажками — но все флажки предварительно отмечены.

Почему он не проходит

Решение Суда ЕС по делу Planet49 (2019) урегулировало это окончательно: предварительно отмеченные флажки не являются действительным согласием. Согласие требует чёткого утвердительного действия.

Вердикт: явно незаконно согласно прецедентному праву Суда ЕС.

Пример 6: многоуровневый подход (соответствующий — лучшая практика)

Как он выглядит

Первый уровень: компактный баннер с кнопками «Принять всё», «Отклонить всё» и «Настроить». Второй уровень: подробный центр настроек с индивидуальными переключателями категорий и списком поставщиков. Третий уровень: полная политика cookie.

Почему он работает

Балансирует информацию с удобством использования. Первый уровень предоставляет выбор, второй — детали, третий — полную прозрачность. Прямо рекомендован EDPB.

Вердикт: лучшая практика. Золотой стандарт соответствия.

Пример 7: вводящие в заблуждение надписи на кнопках (несоответствующий)

Как он выглядит

«Я согласен» против «Я не согласен отклонить несущественные cookie». Или: «Принять рекомендуемые настройки» против «Использовать ограниченную версию».

Почему он не проходит

Преамбула 42 GDPR требует чёткого, простого языка. Двойные отрицания, подразумеваемые последствия и манипулятивные надписи вроде «Нет, спасибо, мне всё равно на мой опыт» являются манипулятивными и несоответствующими.

Вердикт: несоответствующий. Используйте чёткие, нейтральные надписи.

Пример 8: соответствующий баннер, сделанный правильно

Как он выглядит

Чистая нижняя полоса с: чётким заголовком, кратким объяснением, тремя одинаково оформленными кнопками («Принять всё», «Отклонить всё», «Управление настройками») и ссылкой на политику cookie. «Управление настройками» открывает центр настроек с индивидуальными переключателями, списком поставщиков и кнопкой «Сохранить».

Почему он работает

Отмечает каждый пункт: свободный выбор, симметричные кнопки, многоуровневая информация, простой язык, без предварительно отмеченных флажков, лёгкий отзыв через значок настроек cookie.

Вердикт: полностью соответствующий.

Реальные штрафы за плохие баннеры

• Google (Франция, 2022): 150 миллионов евро — опцию отказа было сложнее найти, чем принятие.
• Facebook (Франция, 2022): 60 миллионов евро — та же проблема асимметрии.
• Microsoft (Франция, 2022): 60 миллионов евро — рекламные cookie устанавливались без действительного согласия.
• TikTok (Франция, 2023): 5 миллионов евро — отклонение cookie требовало больше шагов, чем принятие.

Чек-лист соответствия

• Есть ли видимая кнопка «Отклонить всё» на первом уровне?
• Одинаково ли заметны «Принять» и «Отклонить»?
• Все ли флажки сняты по умолчанию?
• Отображается ли баннер до установки несущественных cookie?
• Могут ли пользователи получить доступ к детальным элементам управления категориями?
• Регистрируется ли согласие с меткой времени?
• Могут ли пользователи изменить согласие в любое время?
• Баннер на языке пользователя?
• Действительно ли нажатие «Отклонить» предотвращает несущественные cookie?

Как FlexyConsent справляется с этим из коробки

FlexyConsent — это сертифицированная Google CMP с поддержкой IAB TCF 2.3. Она отвечает всем требованиям соответствия:

• Равноценные кнопки «Принять» и «Отклонить» на первом уровне
• Встроенный многоуровневый подход (первый уровень для выбора, второй для детальных элементов управления)
• Без предварительно отмеченных флажков — все необязательные категории сняты по умолчанию
• Google Consent Mode V2 интегрирован из коробки
• 43 языка с автоопределением
• Геотаргетинг для баннеров под конкретный регион
• Регистрация согласия и доказательство для аудитов
• Тарифы от €0/месяц

Настройте соответствующий баннер менее чем за пять минут на panel.flexyconsent.com.