آیا GDPR رضایت برای کوکی‌ها را الزامی می‌کند؟

تحلیل الزامات GDPR نشان می‌دهد که رضایت صریح قبل از قرار دادن اکثر کوکی‌ها در دستگاه کاربران الزامی است. چندین منبع معتبر تأیید می‌کنند که کوکی‌ها، همان‌طور که در ماده ۴ (۱) GDPR به عنوان «شناساگرهای آنلاین» تعریف شده‌اند، زمانی که می‌توانند یک کاربر را به طور مستقیم یا غیرمستقیم شناسایی کنند، داده‌های شخصی محسوب می‌شوند (پارلمان اروپا، ۲۰۱۶).

یافته‌های کلیدی:

• رضایت باید آگاهانه، مشخص، آزادانه و بدون ابهام باشد (ماده ۷ GDPR).
• دستورالعمل‌های Article 29 Working Party و متعاقباً European Data Protection Board روشن می‌کنند که رضایت ضمنی (مثلاً، ادامه مرور بدون اقدام صریح) کافی نیست.
• کوکی‌های کاملاً ضروری (مثلاً، آنهایی که برای عملکرد وب‌سایت یا سبدهای خرید لازم هستند) از الزام به کسب رضایت معاف هستند (نظر WP29 04/2012).
• برای همه کوکی‌های غیرضروری—مانند ردیابی، تحلیلی یا تبلیغاتی—رضایت فعال قبلی اجباری است.

«رضایت باید قبل از قرار دادن یا دسترسی به هرگونه کوکی در دستگاه کاربر کسب شود، به جز کوکی‌هایی که برای ارائه خدمتی که کاربر صراحتاً درخواست کرده است، کاملاً ضروری هستند» (دیوان دادگستری اروپا، پرونده Planet49، ۲۰۱۹).

مطالعات تجربی در مورد بنرهای کوکی و انطباق در وب‌سایت‌های اتحادیه اروپا، پیاده‌سازی گسترده سازوکارهای کسب رضایت را نشان می‌دهد. با این حال، الگوهای تاریک و طراحی‌های گمراه‌کننده همچنان منجر به اقدامات غیرمنطبق با مقررات می‌شود (Utz و همکاران، ۲۰۱۹). پلتفرم‌های مدیریت رضایت (CMPs) مؤثر باید موارد زیر را ارائه دهند:

• گزینه‌های واضح برای پذیرش یا رد کوکی‌ها
• اهمیت یکسان برای هر دو گزینه
• کنترل‌های دقیق بر روی دسته‌بندی‌های مختلف کوکی‌ها

عدم انطباق با الزامات رضایت GDPR منجر به چندین اقدام اجرایی برجسته و جریمه از سوی مقامات حفاظت از داده‌ها شده است.

به طور خلاصه، GDPR رضایت قبلی و مثبت کاربر را برای همه کوکی‌ها به جز آنهایی که برای عملکرد وب‌سایت کاملاً ضروری هستند، الزامی می‌کند، و مجموعه‌ای رو به رشد از راهنمایی‌های نظارتی و رویه‌های قانونی این تعهد را در سراسر اتحادیه اروپا و بریتانیا تقویت می‌کند.