Pravna podlaga

Obveznosti glede soglasja za piškotke izhajajo iz GDPR (Regulation 2016/679) in ePrivacy Directive (2002/58/EC). ePrivacy Directive zahteva soglasje pred shranjevanjem informacij na napravi uporabnika (Article 5(3)), medtem ko GDPR opredeljuje veljavno soglasje (Article 4(11), Article 7, Recital 32).

14 zahtev

1. Predhodno soglasje

Nebistveni piškotki se ne smejo aktivirati, dokler uporabnik ne poda soglasja. Article 5(3) ePrivacy Directive je jasen. CNIL je Google kaznoval z EUR 150 milijoni (2022) za nalaganje piškotkov pred interakcijo uporabnika.

2. Prostovoljno dano soglasje

Soglasje ne sme biti pogoj za dostop (GDPR Article 4(11)). Soglasja za piškotke ni dovoljeno združevati s pogoji storitve.

3. Podroben izbor namenov

Uporabniki morajo soglašati z vsakim namenom neodvisno — analitika, oglaševanje, funkcionalno (GDPR Recital 43). En sam gumb „Sprejmi vse" brez izbire kategorij je nezadosten.

4. Enaka vidnost za Sprejmi in Zavrni

Zavrni mora biti enako vidno kot Sprejmi. CNIL zahteva gumb „Zavrni vse" na prvem nivoju z enako vizualno težo. Microsoft je bil kaznovan z EUR 60 milijoni (2022), deloma ker je bila možnost zavrnitve skrita.

5. Brez vnaprej označenih polj

Odločitev CJEU Planet49 (C-673/17, 2019): vnaprej označena polja niso veljavno soglasje. Vse kategorije morajo biti privzeto izključene.

6. Brez ovir piškotkov

Blokiranje dostopa do spletnega mesta do podaje soglasja je na splošno neskladno. EDPB in nizozemski DPA sta to potrdila.

7. Jasen, preprost jezik

GDPR Article 7(2) — zahteve za soglasje morajo uporabljati jasen, preprost jezik. „Uporabljamo piškotke za izboljšanje vaše izkušnje" je nezadostno.

8. Jezikovno ujemanje

GDPR Article 12(1) — informacije morajo biti razumljive. Pasica mora ustrezati jeziku spletnega mesta.

9. Povezava do pravilnika o piškotkih

GDPR Articles 13-14 zahtevata celovite informacije. Pasica mora vsebovati povezavo do popolnega pravilnika o piškotkih, ki navaja vsak piškotek.

10. Enostaven umik

GDPR Article 7(3) — umik mora biti enako enostaven kot podaja soglasja. Stalni gradnik ali povezava v nogi strani mora omogočati ponovno odprtje vmesnika za soglasje.

11. Vodenje evidenc o soglasjih

GDPR Article 7(1) — dokazati morate, da je bilo soglasje pridobljeno. Beležite časovne žige, izbire in različice pasic.

12. Razkritje tretjih oseb

GDPR Article 13(1)(e) — razkrijte vse prejemnike podatkov tretjih oseb. V okviru TCF 2.3 mora biti seznam ponudnikov dostopen iz vmesnika za soglasje.

13. Preglednost hrambe podatkov

GDPR Article 13(2)(a) — razkrijte, kako dolgo piškotki obstajajo.

14. Mobilna odzivnost

Brez izjeme GDPR za mobilne naprave. Gumbi morajo biti dotakljivi, besedilo berljivo in vmesnik funkcionalen na vseh velikostih zaslona.

Hitri kontrolni seznam revizije

• Noben nebistveni piškotek se ne aktivira pred soglasjem
• Sprejmi in Zavrni sta enako vidna na prvem nivoju
• Na voljo je individualen izbor kategorij
• Brez vnaprej izbranih stikal za nebistvene kategorije
• Spletno mesto je dostopno, tudi če uporabnik zavrne vse
• Jezik pasice ustreza jeziku vsebine
• Uporablja se jasen, netehnični jezik
• Povezava do popolnega pravilnika o piškotkih je vidna na pasici
• Pravilnik o piškotkih navaja vsak piškotek po imenu, namenu in trajanju
• Stalni gradnik omogoča ponovno odprtje vmesnika za soglasje
• Umik soglasja zahteva enako število klikov kot podaja
• Evidence o soglasjih so zabeležene s časovnimi žigi
• Prejemniki podatkov tretjih oseb so razkriti
• Pasica je funkcionalna na mobilnih napravah
• Brez manipulativnih barv, velikosti ali besedil

Avtomatizirajte to: FlexyConsent izpolnjuje vse zahteve takoj — Google certificiran CMP z IAB TCF 2.3, Consent Mode V2, več kot 43 jezikov, načrti od EUR 0/mesec. Začnite na panel.flexyconsent.com.