Правовая основа

Обязательства по согласию на файлы cookie вытекают из GDPR (Регламент 2016/679) и Директивы ePrivacy (2002/58/EC). Директива ePrivacy требует согласия перед сохранением информации на устройстве пользователя (статья 5(3)), тогда как GDPR определяет действительное согласие (статья 4(11), статья 7, пункт 32 преамбулы).

14 требований

1. Предварительное согласие

Несущественные файлы cookie не должны срабатывать до согласия пользователя. Статья 5(3) Директивы ePrivacy недвусмысленна. CNIL оштрафовал Google на 150 млн евро (2022) за загрузку файлов cookie до взаимодействия пользователя.

2. Свободно данное согласие

Согласие не может быть условием доступа (GDPR, статья 4(11)). Нельзя связывать согласие на файлы cookie с условиями обслуживания.

3. Детальный выбор целей

Пользователи должны давать согласие на каждую цель независимо — аналитика, реклама, функциональность (GDPR, пункт 43 преамбулы). Одной кнопки «Принять всё» без выбора категорий недостаточно.

4. Равная заметность для «Принять» и «Отклонить»

«Отклонить» должно быть так же заметно, как «Принять». CNIL требует кнопку «Отклонить всё» на первом уровне с равным визуальным весом. Microsoft был оштрафован на 60 млн евро (2022), отчасти за сокрытие опции отказа.

5. Никаких предварительно отмеченных флажков

Решение CJEU по делу Planet49 (C-673/17, 2019): предварительно отмеченные флажки не являются действительным согласием. Все категории по умолчанию должны быть отключены.

6. Никаких стен из cookie

Блокирование доступа к сайту до получения согласия, как правило, не соответствует требованиям. EDPB и нидерландский надзорный орган подтвердили это.

7. Ясный, простой язык

GDPR, статья 7(2) — запросы согласия должны использовать ясный, простой язык. «Мы используем файлы cookie для улучшения вашего опыта» недостаточно.

8. Соответствие языка

GDPR, статья 12(1) — информация должна быть понятной. Баннер должен соответствовать языку сайта.

9. Ссылка на политику использования файлов cookie

Статьи 13–14 GDPR требуют исчерпывающей информации. Баннер должен ссылаться на полную политику использования файлов cookie с перечислением каждого файла cookie.

10. Лёгкий отзыв

GDPR, статья 7(3) — отзыв должен быть так же прост, как и предоставление согласия. Постоянный виджет или ссылка в подвале должны позволять повторно открыть интерфейс согласия.

11. Ведение учёта согласия

GDPR, статья 7(1) — вы должны быть способны продемонстрировать, что согласие было получено. Регистрируйте временные метки, выбор и версии баннера.

12. Раскрытие сведений о третьих сторонах

GDPR, статья 13(1)(e) — раскрывайте всех сторонних получателей данных. Согласно TCF 2.3, список поставщиков должен быть доступен из интерфейса согласия.

13. Прозрачность сроков хранения данных

GDPR, статья 13(2)(a) — раскрывайте, как долго хранятся файлы cookie.

14. Адаптивность для мобильных устройств

GDPR не предусматривает исключений для мобильных устройств. Кнопки должны быть нажимаемыми, текст — читаемым, интерфейс — функциональным на всех размерах экрана.

Быстрый чек-лист аудита

• Несущественные файлы cookie не срабатывают до согласия
• «Принять» и «Отклонить» одинаково заметны на первом уровне
• Доступен выбор отдельных категорий
• Нет предварительно выбранных переключателей для несущественных категорий
• Сайт доступен, даже если пользователь отклоняет всё
• Язык баннера соответствует языку контента
• Используется простой, нетехнический язык
• Ссылка на полную политику cookie видна на баннере
• Политика cookie перечисляет каждый файл cookie по имени, цели, сроку
• Постоянный виджет позволяет повторно открыть интерфейс согласия
• Отзыв согласия требует того же числа кликов, что и его предоставление
• Записи о согласии регистрируются с временными метками
• Сторонние получатели раскрываются
• Баннер функционален на мобильных устройствах
• Нет манипулятивных цветов, размеров или формулировок

Автоматизируйте это: FlexyConsent выполняет каждое требование «из коробки» — CMP с сертификацией Google, IAB TCF 2.3, Consent Mode V2, 43+ языка, тарифы от 0 евро/месяц. Начните на panel.flexyconsent.com.