Sự tuân thủ cookie GDPR là gì?

Việc tuân thủ cookie theo GDPR tập trung vào yêu cầu cốt lõi là các trang web phải nhận được sự đồng ý trước và rõ ràng từ người dùng trước khi triển khai cookie trên thiết bị của họ. Quy định chung về bảo vệ dữ liệu (GDPR) quy định rằng sự đồng ý đó phải:

• Được đưa ra một cách tự nguyện
• Cụ thể
• Có đầy đủ thông tin
• Rõ ràng

Tiêu chuẩn này chỉ đạt được thông qua một hành động xác nhận—chẳng hạn như nhấp vào nút “chấp nhận”—thay vì sự chấp nhận thụ động hoặc các ô đã được đánh dấu sẵn. Như Toth & Wiesche (2022) đã lưu ý, “việc chỉ sử dụng một trang web không thể được hiểu là sự đồng ý cho việc sử dụng cookie”.

Phân tích thực nghiệm về các thực tiễn tuân thủ cho thấy rằng:

• Nhiều trang web vẫn sử dụng các cơ chế đồng ý ngầm hoặc chọn tham gia mềm, vốn không đáp ứng các tiêu chuẩn GDPR.
• Tính minh bạch về thông tin vẫn còn thiếu nhất quán. Theo một nghiên cứu của Santos và cộng sự (2022), chưa đến 25% các biểu ngữ cookie được xem xét cung cấp thông tin rõ ràng và chi tiết về các loại và mục đích của cookie được sử dụng.
• Việc rút lại sự đồng ý thường bị bỏ qua. Điều 7(3) của GDPR nhấn mạnh rằng người dùng phải có thể rút lại sự đồng ý dễ dàng như khi họ đã đồng ý, tuy nhiên chưa đến một nửa số trang web được lấy mẫu cung cấp cơ chế thu hồi đơn giản (Santos và cộng sự, 2022).

Bằng chứng về sự đồng ý là một khía cạnh quan trọng khác. GDPR yêu cầu các trang web phải lưu giữ hồ sơ về sự đồng ý của người dùng để chứng minh sự tuân thủ trong trường hợp kiểm toán hoặc tranh chấp (“Bên kiểm soát phải có khả năng chứng minh rằng chủ thể dữ liệu đã đồng ý,” Điều 7(1)). Trên thực tế, điều này thường được chuyển thành các hệ thống backend ghi lại dấu thời gian, mã định danh người dùng và các tùy chọn đồng ý (Toth & Wiesche, 2022).

Những phát hiện chính:

• Sự đồng ý hợp lệ theo GDPR đòi hỏi sự tham gia tích cực, rõ ràng của người dùng.
• Việc rút lại sự đồng ý và hồ sơ có thể chứng minh là điều cần thiết để tuân thủ đầy đủ.
• Hầu hết các trang web đều thiếu sót trong việc cung cấp cả thông tin chi tiết và các tùy chọn rút lại sự đồng ý dễ dàng.
• Sự tập trung của các cơ quan quản lý ngày càng chuyển sang việc thực thi và trách nhiệm giải trình thông qua các cuộc kiểm toán và phạt tiền.

Những kết quả này cho thấy một khoảng cách dai dẳng giữa các yêu cầu của GDPR và các thực tiễn phổ biến của trang web, nhấn mạnh sự cần thiết của việc triển khai kỹ thuật nghiêm ngặt cùng với nhận thức pháp lý.