Skip to main content

Listă de verificare pentru conformitatea cookie-urilor: 25 de puncte spre conformitate totală

Conformitatea cookie-urilor implică implementare tehnică, documentație juridică și procese operaționale continue. Lipsa unui singur element poate duce la neconformitate, chiar dacă toate celelalte sunt în ordine. Această listă de verificare structurată în 25 de puncte acoperă fiecare aspect al conformității cookie-urilor conform GDPR, Directivei ePrivacy și principalelor legi internaționale privind confidențialitatea. Folosiți-o atât ca ghid de implementare, cât și ca instrument de audit periodic.

Inventarul cookie-urilor

Nu poți gestiona ceea ce nu ai măsurat. Un inventar complet și precis al cookie-urilor este fundamentul oricărei alte activități de conformitate.

  1. Toate cookie-urile identificate și documentate

    Fiecare cookie pe care îl setează site-ul dvs. trebuie identificat, inclusiv cookie-urile setate de scripturi terțe, conținut încorporat și resurse încărcate dinamic. Folosiți scanarea automată pentru a asigura o acoperire completă a tuturor paginilor, nu doar a paginii principale. Inventarul dvs. ar trebui să includă cookie-uri HTTP, intrări localStorage, intrări sessionStorage și orice alte mecanisme de stocare pe partea clientului utilizate pentru urmărire.

  2. Fiecare cookie categorizat corect

    Fiecare cookie trebuie atribuit categoriei de conformitate corecte: strict necesar, funcțional, analitic/de performanță sau de marketing/publicitate. Categorizarea trebuie să fie corectă — un cookie care urmărește utilizatorii în scopuri publicitare nu poate fi categorizat drept „funcțional” doar pentru că oferă și un anumit beneficiu funcțional. În caz de dubiu, aplicați categoria mai strictă. Autoritățile de protecție a datelor (DPA) examinează cu atenție categorizarea, iar categorizarea greșită este una dintre cele mai frecvente constatări din acțiunile de aplicare a legii.

  3. Cookie-urile terțe identificate împreună cu furnizorii

    Pentru fiecare cookie terț de pe site-ul dvs., documentați ce serviciu îl setează, de ce se află pe site-ul dvs. și ce date colectează sau partajează. Sursele comune de cookie-uri terțe includ platforme de analiză (Google Analytics, Adobe Analytics), rețele publicitare (Google Ads, Meta Pixel, LinkedIn Insight Tag), widgeturi de social media, conținut video încorporat (YouTube, Vimeo), instrumente de chat (Intercom, Drift) și platforme de testare A/B (Optimizely, VWO). Fiecare furnizor terț ar trebui să aibă încheiat un acord de prelucrare a datelor.

  4. Duratele cookie-urilor documentate

    Înregistrați perioada de expirare pentru fiecare cookie. Cookie-urile de sesiune expiră la închiderea browserului. Cookie-urile persistente au o durată de viață definită care trebuie documentată (de ex., 30 de zile, 1 an, 2 ani). Conform principiilor GDPR privind minimizarea datelor și limitarea stocării, duratele cookie-urilor ar trebui să fie proporționale cu scopul lor. Un cookie de analiză care persistă timp de 10 ani ar fi dificil de justificat. CNIL recomandă un maxim de 13 luni pentru cookie-urile de analiză.

  5. Scopurile cookie-urilor documentate într-un limbaj simplu

    Scopul fiecărui cookie trebuie descris într-un limbaj pe care un vizitator obișnuit al site-ului îl poate înțelege. „Acest cookie stochează un identificator unic pentru a urmări activitatea dvs. de navigare pe site-ul nostru în scopuri de analiză” este clar. „_ga: Utilizat de Google Analytics pentru a distinge utilizatorii” nu este suficient pentru majoritatea utilizatorilor. Descrierea scopului ar trebui să răspundă la întrebarea: „Ce face acest cookie și de ce ar trebui să îl permit?”

Mecanismul de consimțământ

Mecanismul de consimțământ este locul unde cerințele juridice se întâlnesc cu implementarea tehnică. Realizarea corectă a acestuia este cel mai critic — și cel mai frecvent ratat — aspect al conformității cookie-urilor.

  1. Consimțământul obținut ÎNAINTE ca cookie-urile neesențiale să fie setate

    Aceasta este cea mai importantă cerință tehnică. Niciun cookie de analiză, publicitate sau alt cookie neesențial nu poate fi setat până când utilizatorul nu și-a dat consimțământul afirmativ. Aceasta înseamnă că scripturile terțe trebuie blocate de la încărcare până la primirea consimțământului. Simpla ștergere a cookie-urilor ulterior nu este conformă — Directiva ePrivacy impune consimțământul înainte de stocare, nu eliminarea retroactivă. Testați acest lucru vizitând site-ul într-o fereastră incognito și verificând ce cookie-uri sunt setate înainte de a interacționa cu bannerul.

  2. Scripturile blocate până la acordarea consimțământului

    Blocarea cookie-urilor nu este suficientă — scripturile care le setează trebuie împiedicate să se execute. Un script care se încarcă și se execută, dar căruia i se împiedică scrierea unui cookie, poate colecta și transmite în continuare date (prin pixeli, beacon-uri sau apeluri API). Gestionarea consimțământului trebuie să împiedice încărcarea scriptului însuși până când categoria de consimțământ corespunzătoare a fost acceptată. Abordările comune de implementare includ modificarea atributului type al etichetelor script (de ex., din text/javascript în text/plain) și injectarea dinamică a scripturilor după consimțământ.

  3. Butoanele Acceptă și Respinge la fel de vizibile

    Opțiunea de a respinge cookie-urile neesențiale trebuie prezentată cu aceeași vizibilitate ca opțiunea de a le accepta. Aceasta înseamnă același tratament vizual: aceeași dimensiune, aceeași greutate de culoare, același nivel al interfeței. Un buton mare, verde, „Acceptă tot” lângă un link mic, gri, „Gestionează setările” nu constituie vizibilitate egală. CNIL, Garante și multe alte DPA-uri au emis amenzi special pentru această problemă. Ambele opțiuni ar trebui să se afle pe primul nivel al bannerului de cookie-uri, fără a necesita clicuri suplimentare.

  4. Consimțământ granular disponibil la nivel de categorie

    Utilizatorii trebuie să poată consimți la categorii specifice de cookie-uri în mod independent. Acceptarea cookie-urilor de analiză nu ar trebui să impună și acceptarea cookie-urilor de publicitate. Ca minim, oferiți comutatoare separate pentru: strict necesare (întotdeauna active, necomutabile), funcționale, de analiză/performanță și de marketing/publicitate. Dacă utilizați cookie-uri pentru mai multe scopuri distincte în cadrul unei categorii, luați în considerare oferirea de opțiuni și mai granulare.

  5. Fără casete bifate în prealabil

    Când un utilizator deschide preferințele detaliate pentru cookie-uri, toate categoriile opționale trebuie să fie debifate în mod implicit. Doar cookie-urile strict necesare (care nu necesită consimțământ) pot fi preactivate. CJUE a confirmat în hotărârea Planet49 (Cauza C-673/17) că bifarea prealabilă a casetelor nu constituie consimțământ valabil. Acest lucru se aplică indiferent dacă utilizatorul le poate debifa — starea implicită trebuie să fie de neacceptare, necesitând o acțiune afirmativă pentru a accepta.

  6. Retragerea consimțământului la fel de ușoară ca acordarea acestuia

    Articolul 7 alineatul (3) din GDPR impune ca retragerea consimțământului să fie la fel de ușoară ca acordarea acestuia. Dacă un utilizator poate accepta cookie-urile printr-un singur clic pe un banner, trebuie să poată retrage consimțământul cu o ușurință comparabilă. Cea mai bună practică este un link sau o pictogramă permanentă, mereu vizibilă (de ex., în subsol sau ca buton flotant), care deschide centrul de preferințe pentru cookie-uri, unde utilizatorul își poate modifica sau revoca alegerile. Solicitarea ca utilizatorul să șteargă cookie-urile din browser, să navigheze la o pagină de setări ascunsă sau să contacteze asistența nu îndeplinește acest standard.

  7. Înregistrările de consimțământ stocate cu marcaje temporale

    Trebuie să puteți demonstra că a fost acordat consimțământul. Stocați o înregistrare a fiecărei acțiuni de consimțământ, incluzând: marcajul temporal, alegerile de consimțământ făcute (ce categorii au fost acceptate/respinse), versiunea bannerului de cookie-uri și a politicii în vigoare la momentul respectiv și un identificator unic pentru consimțământ (nu neapărat legat de un cont de utilizator pentru vizitatorii anonimi). Conform principiului responsabilității din GDPR, sarcina probei consimțământului îi revine operatorului. Dacă nu puteți produce dovada că un anumit utilizator a consimțit, consimțământul acestuia rămâne, în esență, nedovedit.

Politica de cookie-uri

Politica dvs. de cookie-uri este atât un document juridic, cât și un instrument de transparență. Trebuie să fie precisă, completă și comprehensibilă.

  1. Politica de cookie-uri există și este accesibilă

    Trebuie să existe o politică de cookie-uri dedicată (sau o secțiune clară privind cookie-urile în cadrul politicii dvs. de confidențialitate), ușor de găsit. Cea mai bună practică este o pagină dedicată, legată din subsolul site-ului, din bannerul de cookie-uri și din politica principală de confidențialitate. Politica trebuie să fie accesibilă fără a accepta cookie-uri — utilizatorii ar trebui să o poată citi înainte de a lua o decizie de consimțământ.

  2. Toate cookie-urile listate cu nume, scopuri, tipuri și durate

    Politica dvs. de cookie-uri trebuie să includă un tabel sau o listă structurată a fiecărui cookie pe care îl setează site-ul dvs., incluzând: numele cookie-ului, cine îl setează (parte primară sau furnizor terț), ce face (într-un limbaj simplu), dacă este un cookie de sesiune sau persistent și cât timp durează. Acest lucru nu este opțional — este o cerință explicită conform dispozițiilor privind transparența din GDPR (Articolele 12-14) și cerinței de consimțământ informat din Directiva ePrivacy.

  3. Furnizorii terți identificați

    Politica dvs. trebuie să numească serviciile terțe care setează cookie-uri pe site-ul dvs. „Folosim cookie-uri de analiză de la terți” nu este suficient. „Folosim Google Analytics (de la Google LLC), care setează următoarele cookie-uri: _ga, _gid, _gat” este. Utilizatorii au dreptul de a ști cine colectează date despre ei și de a lua decizii informate cu privire la fiecare furnizor.

  4. Instrucțiuni pentru gestionarea cookie-urilor incluse

    Politica dvs. ar trebui să explice cum pot utilizatorii să-și gestioneze preferințele privind cookie-urile, incluzând: cum să acceseze centrul de preferințe pentru cookie-uri pentru a modifica alegerile de consimțământ, cum să șteargă cookie-urile existente prin setările browserului și linkuri către politicile de confidențialitate ale principalilor furnizori terți de cookie-uri. Deși gestionarea cookie-urilor la nivel de browser este responsabilitatea utilizatorului, furnizarea de instrucțiuni clare demonstrează bună-credință și susține principiul responsabilizării utilizatorului.

  5. Politica datată și actualizată periodic

    Politica dvs. de cookie-uri trebuie să includă data ultimei actualizări. Ori de câte ori adăugați cookie-uri noi, eliminați cookie-uri, schimbați furnizori terți sau modificați scopurile cookie-urilor, politica trebuie actualizată pentru a reflecta schimbarea. O politică nedatată sau una care nu a fost actualizată de peste un an reprezintă un semnal de alarmă pentru DPA-uri. Cea mai bună practică: integrați rezultatele scanării cookie-urilor cu politica dvs., astfel încât politica să fie actualizată automat la detectarea unor cookie-uri noi.

Bannerul de cookie-uri

Bannerul de cookie-uri este interfața vizibilă a gestionării consimțământului. Trebuie să echilibreze conformitatea juridică cu ușurința utilizării.

  1. Bannerul se afișează la prima vizită, înainte de setarea cookie-urilor

    Bannerul de cookie-uri trebuie să apară prima dată când un utilizator vizitează site-ul dvs., înainte ca vreun cookie neesențial să fie setat. Bannerul ar trebui să fie imediat vizibil fără derulare, nu ar trebui să poată fi închis ușor prin clicuri accidentale și ar trebui să persiste până când utilizatorul face o alegere activă. Bannerul nu trebuie să interfereze cu capacitatea utilizatorului de a naviga în altă parte de pe pagină sau de a accesa conținutul esențial (deși restricționarea accesului la conținut în spatele unei cerințe de consimțământ poate fi permisă în unele jurisdicții, abordarea mai sigură este de a permite navigarea în timp ce bannerul este afișat).

  2. Bannerul este accesibil (navigabil cu tastatura, compatibil cu cititoarele de ecran)

    Bannerul dvs. de cookie-uri trebuie să fie el însuși accesibil. Aceasta înseamnă: toate elementele interactive (butoane, comutatoare, linkuri) trebuie să fie accesibile și operabile prin tastatură; bannerul trebuie anunțat corect cititoarelor de ecran cu atributele ARIA adecvate; focalizarea trebuie gestionată corect (focalizarea ar trebui să se mute pe banner când acesta apare și să revină la pagină când este închis); contrastul de culoare trebuie să respecte standardele WCAG 2.1 AA (4,5:1 pentru text normal, 3:1 pentru text mare); iar bannerul trebuie să fie utilizabil la diferite niveluri de zoom și dimensiuni de ecran. Un banner de cookie-uri inaccesibil reprezintă atât un risc juridic (nerespectarea conformității WCAG), cât și un risc de reputație pentru orice organizație care pretinde că îi pasă de confidențialitate și incluziune.

  3. Bannerul face legătura către politica completă de cookie-uri

    Bannerul de cookie-uri trebuie să includă un link către politica dvs. completă de cookie-uri, permițând utilizatorilor să citească informații detaliate despre fiecare cookie înainte de a lua decizia de consimțământ. Linkul ar trebui să fie clar vizibil și etichetat (de ex., „Citiți politica noastră de cookie-uri” sau „Aflați mai multe”). GDPR impune ca consimțământul să fie „informat”, ceea ce înseamnă că informațiile necesare pentru a lua o decizie informată trebuie să fie accesibile în punctul de consimțământ.

  4. Bannerul nu folosește modele întunecate (dark patterns)

    Modelele întunecate din bannerele de cookie-uri subminează valabilitatea consimțământului. Evitați: să faceți butonul de acceptare dominant vizual (mai mare, mai luminos, mai proeminent), făcând opțiunea de respingere subtilă sau ascunsă; să folosiți un limbaj confuz („Acceptați setările recomandate” în loc de opțiuni clare); să impuneți mai multe clicuri pentru a respinge decât pentru a accepta; să folosiți o codificare cromatică care sugerează că respingerea este greșită (roșu pentru respingere, verde pentru acceptare); să folosiți un limbaj de tip „confirm-shaming” („Nu, nu îmi pasă de experiența mea”); și orice alt design care împinge, manipulează sau păcălește utilizatorii spre acceptare. Ghidul EDPB privind modelele întunecate (adoptat în februarie 2023) oferă exemple detaliate de practici interzise.

Aspecte tehnice și continue

Conformitatea cookie-urilor nu este un proiect cu o dată de finalizare. Este un proces operațional continuu.

  1. Google Consent Mode v2 implementat (dacă utilizați servicii Google)

    Dacă utilizați orice serviciu Google (Analytics, Ads, Tag Manager), Google Consent Mode v2 este obligatoriu începând cu martie 2024 pentru difuzarea de anunțuri în SEE. Consent Mode comunică alegerile de consimțământ ale utilizatorilor dvs. către etichetele Google, ajustându-le comportamentul în funcție de starea consimțământului. Fără Consent Mode, etichetele Google ar putea să nu funcționeze corect cu platforma dvs. de gestionare a consimțământului, ducând fie la pierderea de date (etichete blocate complet), fie la încălcări ale conformității (etichete care se declanșează fără consimțământ). Implementați atât parametrii de consimțământ ad_storage, cât și analytics_storage și asigurați-vă că aceștia au valoarea implicită „refuzat” până la acordarea consimțământului.

  2. Scanarea periodică a cookie-urilor programată

    Configurați scanări automate ale cookie-urilor la un interval recurent. Ca minim, scanați lunar. În mod ideal, integrați scanarea în conducta dvs. de implementare, astfel încât fiecare lansare să fie scanată automat. Configurați alerte pentru cookie-urile noi sau modificate, astfel încât echipa dvs. să le poată evalua și categoriza prompt. O scanare care rulează, dar nu este niciodată analizată, nu oferă niciun beneficiu de conformitate.

  3. Proces de revizuire a noilor scripturi terțe

    Stabiliți un proces formal care trebuie urmat înainte ca orice nou script, plugin sau serviciu terț să fie adăugat pe site-ul dvs. Procesul ar trebui să includă: identificarea cookie-urilor pe care le setează scriptul, categorizarea acelor cookie-uri, actualizarea configurației de gestionare a consimțământului pentru a le include, actualizarea politicii de cookie-uri și verificarea faptului că scriptul este blocat corect până la acordarea consimțământului corespunzător. Acest proces ar trebui să implice atât o revizuire tehnică (dezvoltare), cât și una de conformitate (juridic/confidențialitate). Cea mai frecventă cauză a eșecurilor de conformitate a cookie-urilor este adăugarea de scripturi noi pe un site fără a trece printr-o revizuire a confidențialității.

  4. Personalul instruit privind conformitatea cookie-urilor

    Toți cei implicați în site-ul dvs. — dezvoltatori, specialiști în marketing, creatori de conținut și manageri — ar trebui să înțeleagă elementele de bază ale conformității cookie-urilor și rolul lor în menținerea acesteia. Dezvoltatorii trebuie să știe cum să adauge scripturi într-un mod care ține cont de consimțământ. Specialiștii în marketing trebuie să înțeleagă că adăugarea unui nou pixel de urmărire necesită o revizuire de conformitate. Creatorii de conținut trebuie să știe că încorporarea unui videoclip YouTube introduce cookie-uri terțe. Instruirea nu trebuie să fie extinsă, dar trebuie să acopere principiul cheie: nicio urmărire nouă fără revizuire. Un singur membru al echipei neinstruit, care adaugă un script de marketing fără a parcurge procesul de revizuire, poate anula luni de muncă de conformitate.

Utilizarea acestei liste de verificare

Această listă de verificare este concepută pentru a fi utilizată în trei moduri:

  • Implementare inițială: Parcurgeți toate cele 25 de puncte în ordine atunci când configurați conformitatea cookie-urilor pentru prima dată. Nu săriți puncte și nu le lăsați pentru mai târziu — conformitatea parțială înseamnă tot neconformitate.
  • Audit periodic: Revizuiți lista de verificare trimestrial pentru a verifica dacă toate punctele rămân îndeplinite. Acordați o atenție deosebită elementelor continue (punctele 22-25), deoarece acestea sunt cele mai susceptibile de a se abate în timp.
  • După modificări: Ori de câte ori site-ul dvs. suferă o schimbare semnificativă (funcționalități noi, servicii terțe noi, reproiectare, migrare CMS), parcurgeți secțiunile relevante ale listei de verificare pentru a confirma că se menține conformitatea.

Conformitatea cookie-urilor este realizabilă. Necesită atenție și proces, dar niciuna dintre cerințele individuale nu este nerezonabil de dificilă. Organizațiile care se confruntă cu dificultăți sunt, de obicei, cele care tratează conformitatea ca pe un proiect unic, mai degrabă decât ca pe o preocupare operațională continuă. Integrați-o în fluxul dvs. de lucru, atribuiți o responsabilitate clară și folosiți această listă de verificare ca instrument recurent de verificare.

Site-ul tău respectă regulile privind cookie-urile?

Scanează-ți site-ul gratuit și găsește toate cookie-urile în câteva minute.

Scanează-ți cookie-urile gratuit