Що таке відповідність вимогам GDPR щодо файлів cookie?

Відповідність файлів cookie вимогам GDPR ґрунтується на ключовій вимозі до вебсайтів отримувати попередню, явну згоду від користувачів перед розміщенням файлів cookie на їхніх пристроях. Загальний регламент про захист даних (GDPR) встановлює, що така згода має бути:

• Вільно наданою
• Конкретною
• Поінформованою
• Однозначною

Цей стандарт досягається лише через стверджувальну дію—як-от натискання кнопки «прийняти»—а не через пасивне прийняття чи попередньо встановлені прапорці. Як зазначають Toth & Wiesche (2022), «саме лише використання вебсайту не може тлумачитися як згода на використання файлів cookie».

Емпіричний аналіз практик дотримання вимог показує, що:

• Багато вебсайтів досі використовують механізми неявної згоди або м'якої згоди, що не відповідають стандартам GDPR.
• Інформаційна прозорість залишається непослідовною. Згідно з дослідженням Santos et al. (2022), менше 25% перевірених банерів файлів cookie надавали чітку та детальну інформацію про типи та цілі використовуваних файлів cookie.
• Можливістю відкликання згоди часто нехтують. Стаття 7(3) GDPR наголошує, що користувачі повинні мати можливість відкликати згоду так само легко, як вони її надали, проте менше половини досліджених сайтів пропонували простий механізм відкликання (Santos et al., 2022).

Підтвердження згоди є ще одним важливим аспектом. GDPR вимагає, щоб вебсайти вели облік згод користувачів для демонстрації відповідності в разі аудиту чи суперечок («Контролер повинен мати можливість продемонструвати, що суб'єкт даних надав згоду», стаття 7(1)). На практиці це часто означає, що внутрішні системи реєструють часові мітки, ідентифікатори користувачів та параметри згоди (Toth & Wiesche, 2022).

Основні висновки:

• Дійсна згода згідно з GDPR вимагає чіткої, активної участі користувача.
• Відкликання згоди та наявність підтверджувальних записів є важливими для повної відповідності.
• Більшість вебсайтів не надають ані детальної інформації, ані легких варіантів відкликання згоди.
• Регуляторна увага все більше зміщується в бік забезпечення виконання та підзвітності через аудити та штрафи.

Ці результати свідчать про стійкий розрив між вимогами GDPR та поширеними практиками вебсайтів, що підкреслює необхідність ретельної технічної реалізації поряд із правовою обізнаністю.