Розуміння законодавства про файли cookie та впровадження ефективних рішень для управління згодою стало критично важливим для кожного веб-сайту. У цьому посібнику розглядаються відмінності між європейським та американським законодавством, аналізується робота Google Consent Mode та порівнюються основні рішення для управління згодою.

‍

Закон про файли cookie та управління згодою: оновлення до 2025 року

Розуміння законодавства про файли cookie та впровадження ефективних рішень для управління згодою стало критично важливим для кожного веб-сайту. У цьому посібнику розглядаються відмінності між європейським та американським законодавством, аналізується робота Google Consent Mode та порівнюються основні рішення для управління згодою з останніми оновленнями до 2025 року.

‍

Європейське законодавство: GDPR та Директива про електронну приватність

В Європі захист персональних даних та приватності в Інтернеті регулюється переважно двома законодавчими актами:

GDPR (Загальний регламент про захист даних)

Набувши чинності у 2018 році, GDPR накладає жорсткі вимоги до обробки персональних даних, встановлюючи основоположні принципи:

• Законність і прозорість: вся обробка повинна мати дійсну правову основу
• Мінімізація даних: збір лише необхідних даних
• Безпека: забезпечення належних заходів захисту

Для того, щоб збирати та обробляти персональні дані (включаючи онлайн-ідентифікатори, такі як файли cookie), необхідно мати дійсну правову підставу, таку як ваша явна згода, законний інтерес або договірне зобов'язання.

‍

Порушення GDPR може призвести до дуже високих штрафів, до 4% від глобального обороту компанії.

Директива про електронну приватність

Директива про електронну приватність (2002/58/ЄС, зі змінами, внесеними у 2009 році) зосереджується саме на приватності в електронних комунікаціях, включаючи використання файлів cookie та технологій відслідковування.

Стаття 5(3) Директиви говорить, що обов'язковим є отримання попередньої згоди користувача перед зберіганням або доступом до інформації на його пристрої, за винятком випадків (таких як суворо необхідні технічні файли cookie).

На практиці це означає, що європейські веб-сайти повинні:

• Чітко інформувати користувача про мету використання файлів cookie
• Отримайте вільну, конкретну та інформовану згоду перед встановленням другорядних файлів cookie
• Дозвольте користувачеві відхиляти та змінювати налаштування в будь-який час

Європейські органи з питань конфіденційності активно санкціонують порушення: наприклад, французький CNIL оштрафував Google і Amazon у 2020-2022 роках за розміщення відстежувальних файлів cookie без дійсної згоди.

‍

Оновлення 2025

У березні 2024 року набув чинності Закон ЄС про цифрові ринки (DMA), який ще більше посилив вимоги до згоди для великих технологічних платформ, що суттєво вплинуло на управління файлами cookie та відстеженням. Це змусило такі компанії, як Google, оновити свої рішення щодо управління згодою.

‍

У лютому 2025 року Європейська Комісія офіційно відкликала свою пропозицію щодо нового Регламенту про електронну приватність, залишивши чинною існуючу Директиву. Це означає, що вимоги щодо згоди на використання файлів cookie залишаються такими, якими вони є сьогодні, залишаються обов'язковими і підлягають суворому дотриманню по всій Європі.

‍

У березні 2024 року Європейський суд ухвалив важливе рішення у справі IAB TCF, що має важливі наслідки для впровадження Рамкової програми з прозорості та згоди, яку компанії все ще асимілюють.

‍

Нормативні акти США: CCPA, CPRA та зміни на рівні штатів

У США, на відміну від ЄС, немає загального федерального закону про конфіденційність, який можна порівняти з GDPR. Регулювання відбувається на рівні штатів та галузевому рівні, причому останніми роками відбулися значні зміни.

CCPA (Каліфорнійський закон про конфіденційність споживачів) та CPRA (Каліфорнійський закон про права на приватність)

CCPA, який набув чинності у 2020 році, був посилений CPRA (набуває чинності з 2023 року), що ще більше наблизило його до європейської моделі.

У CPRA є:

• Введено поняття "обмін даними" на додаток до "продажу
• Надання споживачам права відмовитися навіть від передачі їхніх персональних даних для цілей крос-контекстної реклами
• Визначено категорію чутливої персональної інформації з окремим правом на обмеження її використання
• Розширив існуючі права та створив спеціальне агентство, Каліфорнійське агентство із захисту приватності (CPPA)

Оновлення 2025

У період між 2023 і 2025 роками ландшафт приватності в США зазнав стрімкої еволюції:

Станом на січень 2025 року у 20 штатах США діють комплексні закони про конфіденційність даних, а вісім нових законів набудуть чинності у 2025 році. Це означає, що приблизно 40 відсотків американських споживачів тепер мають право на цифрову приватність. Однак фрагментація законодавства створює значні труднощі для компаній, які змушені лавірувати між часто схожими, але не ідентичними вимогами.

‍

Каліфорнія залишається в авангарді, де CPPA був особливо активним у 2024-2025 роках. Агентство наклало кілька значних штрафів, включаючи штраф у розмірі $6,75 млн на компанію, що займається розробкою хмарного програмного забезпечення, у 2024 році. Воно також опублікувало нові запропоновані правила щодо кібербезпеки, оцінки ризиків та технологій автоматизованого прийняття рішень (ADMT), з відкритим періодом публічних коментарів до червня 2025 року.

‍

Серед найактуальніших змін в управлінні файлами cookie, Каліфорнія розширила визначення "конфіденційної особистої інформації", включивши до нього "нейронні дані" (інформацію, отриману в результаті вимірювання активності нервової системи), і уточнила, що особиста інформація також включає в себе цифрові та абстрактні формати, такі як ті, що генеруються штучним інтелектом.

‍

У штаті Делавер було прийнято закон про конфіденційність, який, на відміну від інших, не виключає неприбуткові організації та академічні установи з-під його дії, що значно розширює сферу його застосування.

‍

На відміну від ЄС, американська модель, як і раніше, ґрунтується на відмові, а не на попередній згоді. Тому американський сайт, що обслуговує користувачів з ЄС, повинен буде використовувати банер, що відповідає вимогам GDPR, тоді як для користувачів з США він може просто показувати повідомлення і посилання на відмову без попереднього блокування файлів cookie.

‍

ФПК ОВС: прозорість та консенсус: рамки прозорості та консенсусу

Європейське бюро інтерактивної реклами (IAB) розробило Рамки прозорості та згоди (Transparency & Consent Framework, TCF) як галузевий стандарт, щоб допомогти компаніям управляти згодою користувачів відповідно до GDPR та Директиви про електронну приватність, що особливо актуально в контексті цифрової реклами.

Розробка та версії TCF

ФЦП пройшов кілька ітерацій:

• TCF v1.1: запущений у квітні 2018 року
• TCF v2.0: запущений у серпні 2019 року
• TCF v2.1: запущений у серпні 2020 року, приведений у відповідність до рішення Суду ЄС у справі Planet49
• TCF v2.2: запущений у травні 2023 року, впроваджений до листопада 2023 року, у відповідь на план дій, узгоджений з Бельгійським органом захисту даних (DPA)

TCF v2.2: Основні зміни

TCF v2.2 вніс важливі зміни:

1. Усунення законного інтересу як правової підстави для кастомізації реклами та контенту. Для цілей 3, 4, 5 і 6 (створення персоналізованих рекламних профілів, вибір персоналізованої реклами, створення персоналізованих профілів контенту та вибір персоналізованого контенту) тепер дозволена лише пряма згода.
2. Більш зручні для користувача описи замінюють юридичну інформацію про цілі та функціональність, роблячи комунікацію з користувачами більш зрозумілою та доступною.
3. Стандартизація та розширення інформації про постачальників, включаючи категорії зібраних даних, строки зберігання та інструкції щодо застосування законного інтересу.
4. Більш жорсткі вимоги до паблішерів, які повинні розкривати загальну кількість вендорів та постачальників Google Ad Tech Providers, що використовуються вже на першому рівні КМС.
5. Удосконалення механізмів правозастосування з новими процесами аудиту та диференційованими процедурами правозастосування.

TCF v2.3: останні розробки

У квітні 2025 року IAB Tech Lab та IAB Europe відкрили технічну специфікацію TCF v2.3 для публічного обговорення, яке триватиме до 19 травня 2025 року. Оновлення має на меті забезпечити більшу ясність для постачальників у конкретних сценаріях, коли незрозуміло, чи були дані розкриті користувачеві, що особливо важливо, коли постачальник має намір обробляти дані для спеціальних цілей на основі законного інтересу.

Хронологія розробки TCF v2.3 включає:

• Кінець травня 2025 року: завершення розробки технічних специфікацій
• 1 лютого 2026 року: Кінцевий термін для всіх CMP та Постачальників оновити свої впровадження для підтримки версії 2.3

Режим згоди Google: що це таке і як він працює

Щоб допомогти сайтам і рекламодавцям поважати вибір користувачів щодо надання згоди, Google запровадив режим згоди - технічне рішення, яке коригує поведінку тегів Google відповідно до статусу згоди користувача.

Режим згоди Google V2

У листопаді 2023 року Google запустив режим згоди V2 з обов'язковим впровадженням до березня 2024 року для сайтів, які використовують сервіси Google і збирають дані від користувачів у Європейському економічному просторі (ЄЕП). Це оновлення було спеціально розроблено для узгодження з Законом ЄС про цифрові ринки (DMA).

Режим згоди V2 вводить два нових параметри на додаток до початкових:

• ad_storage та analytics_storage (наявні): керувати зберіганням рекламних та аналітичних файлів cookie
• ad_user_data (new): керує згодою на використання персональних даних у рекламних цілях
• ad_personalisation (новий): керує згодою на використання даних для персоналізованого ремаркетингу

На відміну від ad_storage та analytics_storage, ці нові параметри не впливають на поведінку тегів на самому сайті, а є додатковими параметрами, які надсилаються до сервісів Google, щоб вказати, як можуть використовуватися дані користувачів.

Методи реалізації

Google Consent Mode V2 має два режими реалізації:

1. Базовий режим згоди: Теги Google повністю заблоковані, доки користувач не взаємодіє з банером згоди. Якщо користувач не дає згоди, ніяка інформація не збирається.
2. Розширений режим згоди: Теги Google завантажуються до того, як користувач взаємодіє з банером. Якщо користувач не дає згоди, теги працюють в обмеженому режимі, надсилаючи "анонімні пінги" (без ідентифікаторів користувача), які Google використовує для статистичного моделювання результатів.

Важливо зазначити, що деякі експерти з питань приватності висловили сумніви щодо відповідності розширеного режиму вимогам законодавства про захист даних, оскільки "пінги" можуть представляти собою персональні дані, оброблені без згоди.

Вплив на маркетинг та аналіз

Без режиму згоди Google рекламні платформи не можуть отримувати дані про нових користувачів ЄЕЗ, що значно обмежує можливості збирати дані про аудиторію, вимірювати ефективність кампаній та впроваджувати таргетовані рекламні стратегії.

‍

Завдяки Режиму згоди V2 веб-сайти можуть продовжувати збирати базові аналітичні дані, навіть якщо користувачі не надали згоди на використання файлів cookie, завдяки вдосконаленим методам моделювання, які враховують налаштування згоди.

‍

‍

Рішення з управління згодою (CMP)

Щоб відповідати всім цим правилам, веб-сайти використовують платформи управління згодою (Consent Management Platforms, CMP), які надають банери та інтерфейси для отримання згоди користувачів, а також механізми поваги до їхнього вибору.

Роль ОВС у КМП

ОВС відіграє ключову роль у сертифікації КІП через систему ФСЗ. CMP повинен бути сертифікований за стандартом IAB TCF v2.2:

1. Відображати чітку інформацію про цілі обробки даних
2. Збір розрізнених згод для різних цілей
3. Дозволяє користувачам легко змінювати свої уподобання
4. Безпечне зберігання згод (TC String)
5. Передайте ці переваги всім постачальникам у стандартизованому форматі TCF

У 2023-2024 роках Google запровадив спеціальні сертифікаційні вимоги для КЕП, які бажають підтримувати Google Ads в ЄС та Великій Британії, основною вимогою яких є оновлення відповідності до IAB TCF. КМС, сертифіковані Google, можуть використовувати продукти Google Ads і включені до офіційного списку.

Порівняння основних рішень для ГЗК до 2025 року

Finweet (Згода на використання файлів cookie Finsweet)

Рішення, спеціально розроблене для сайтів, створених за допомогою Webflow, з повною підтримкою IAB TCF v2.2 і Google Consent Mode v2.

Переваги:

• Безкоштовно (базова версія)
• Повна графічна кастомізація (банер вбудовується безпосередньо в конструктор Webflow)
• Підхід без коду для користувачів Webflow

Недоліки:

• Потребує технічної експертизи для належного впровадження
• Безкоштовна версія охоплює лише основні аспекти GDPR
• Підписка необхідна для використання розширених функцій, таких як Google Consent Mode v2.

Ідеально підходить для: розробників або агентств, що працюють над Webflow, які хочуть мати повний контроль і індивідуальний дизайн.

CookieТак.

Рішення plug-and-play, оновлене для підтримки IAB TCF v2.2 та Google Consent Mode v2, тепер має золоту сертифікацію Google CMP Partner.

Переваги:

• Простота використання (просто скопіювати/вставити код)
• Автоматичне сканування файлів cookie сайту
• Регулярні оновлення, щоб відповідати нормативним вимогам
• Підтримка усунення несправностей при впровадженні Google Consent Mode v2

Недоліки:

• Обмежені можливості налаштування
• Модель періодичної підписки
• Для вимогливих брендів він може бути занадто простим

Ідеально підходить для: невеликих сайтів або власників, які хочуть швидко ввійти в курс справи.

Рішення для печива Iubenda

Iubenda - це італійська компанія, яка пропонує повний набір інструментів комплаєнсу, повністю оновлений для підтримки IAB TCF v2.2 та Google Consent Mode v2.

Переваги:

• Рішення "все в одному" (включає багатомовні генератори політик конфіденційності та файлів cookie)
• Сертифіковано IAB TCF v2.2
• Партнери Google для режиму згоди v2
• Веде облік згод на кожну перевірку
• Підтримка геолокалізації користувачів та диференційованого управління в ЄС і США

Недоліки:

• Плата за обслуговування (з річними планами на основі використаних послуг)
• Він може бути завеликим для дуже маленьких ділянок
• Для користувачів Webflow він не є "рідним", як Finsweet

Ідеально підходить для: бізнесу, який шукає професійне та комплексне рішення з мінімальними витратами на обслуговування.

Cookiebot (Usercentric CMP)

Одне з перших популярних SaaS рішень CMP, яке зараз є частиною платформи Usercentrics.

Переваги:

• Автоматизація дотримання вимог щодо файлів cookie
• Періодичне сканування трекерів і файлів cookie, їх автоматична класифікація
• Створення оновленої динамічної політики щодо файлів cookie
• Сертифіковано для TCF v2.2 та сумісно з Google Consent Mode v2
• Підтримка комплаєнсу в декількох юрисдикціях (ЄС та США)

Недоліки:

• Бізнес-модель Freemium з витратами, що зростають разом із трафіком
• Помірне налаштування банерів
• Не можна намалювати з нуля, як у випадку з Finsweet

Ідеально підходить для: середніх сайтів і компаній, які хочуть делегувати управління файлами cookie автоматизації.

UniConsent

Новий CMP, що пропонує комплексне рішення для інтеграції з Google Consent Mode V2 та IAB TCF v2.2.

Переваги:

• Легка інтеграція з Google Consent Mode V2 (Basic та Advanced)
• Підтримка відповідності IAB TCF v2.2
• Спрощена конфігурація з Google Analytics 4 (GA4)
• Інтуїтивно зрозуміла інформаційна панель для управління згодою

Недоліки:

• Менш відомий бренд у порівнянні з іншими рішеннями
• Наявність менш об'ємної документації

Ідеально підходить для: компаній, які шукають рішення, орієнтоване на інтеграцію з Google Consent Mode V2.

Рішення для підприємств

Для великих міжнародних організацій існують корпоративні CMP, такі як OneTrust, TrustArc, Didomi, Usercentrics, Osano тощо.

Переваги:

• Глибока інтеграція з бізнес-системами (CRM тощо)
• Розширене налаштування
• Багатоканальне управління згодою (веб, мобільний додаток, підключене ТБ)
• Форми комплаєнсу за межами файлів cookie (обробка запитів зацікавлених сторін, оцінка впливу)
• Глобальна підтримка комплаєнсу в різних юрисдикціях

Недоліки:

• Високі бюджети
• Комплексне впровадження
• Потребують спеціалізованої консультації

Ідеально підходить для: великих компаній з глобальною присутністю та складними потребами в управлінні консенсусом.

Висновки

Адаптація до правил використання файлів cookie/приватності вимагає як юридичного розуміння різних правил, так і впровадження відповідних технічних рішень.

‍

У Європі переважає суворий режим попередньої згоди, в той час як у США переважає принцип відмови із зобов'язанням щодо прозорості, хоча законодавство штатів поступово розвивається в напрямку більш суворих стандартів, наближаючись до європейської моделі.

‍

Такі інструменти, як Google Consent Mode V2 і IAB TCF v2.2/v2.3, допомагають подолати розрив між маркетингом і конфіденційністю, дозволяючи сайтам використовувати аналітичні та рекламні сервіси, дотримуючись при цьому законів про файли cookie.

‍

Вибір платформи управління згодою залежить від таких факторів, як розмір сайту, наявні технічні ресурси, бюджет і необхідність дотримання міжнародних норм. Важливо, щоб вона давала користувачам реальний контроль над їхніми даними і дозволяла сайту працювати прозоро і відповідно до чинного законодавства.

‍

Компаніям, що працюють як в Європі, так і в США, потрібно буде продовжувати орієнтуватися в складному і мінливому регуляторному середовищі, адаптуючи свої рішення для управління згодою до різних юрисдикцій.

‍

Поширені запитання про законодавство щодо файлів cookie та управління згодою

Які основні відмінності між європейським та американським законодавством про файли cookie?

У Європі (GDPR та Директива про захист персональних даних) переважає модель згоди (opt-in): перед використанням другорядних файлів cookie необхідно отримати явну згоду користувача. Натомість у США (CCPA/CPRA та інші закони штатів) переважає модель відмови: файли cookie можуть використовуватися доти, доки користувач не висловить явних заперечень, а компанії повинні забезпечити чіткий спосіб відмовитися від продажу/передачі даних.

‍

Які файли cookie можуть використовуватися без згоди користувача в Європі?

У Європі без згоди користувача можуть використовуватися лише "строго необхідні" (або "технічні") файли cookie. До них відносяться файли cookie, які необхідні для роботи сайту, наприклад, для аутентифікації, зберігання товарів у кошику електронної комерції або для забезпечення безпеки сайту.

‍

Що таке режим згоди Google Consent Mode V2 і чому він важливий?

Google Consent Mode V2 - це інтерфейс, який повідомляє Google про вибір користувача щодо надання згоди. Він вводить чотири параметри згоди (ad_storage, analytics_storage, ad_user_data, ad_personalisation), які регулюють поведінку тегів Google. Це важливо, оскільки дозволяє сайтам збалансувати вимірювання маркетингових показників з дотриманням конфіденційності, і стає обов'язковим з березня 2024 року для сайтів, які використовують сервіси Google в Європі.

‍

Як вибрати найбільш підходяще рішення CMP для моєї ділянки?

Вибір залежить від кількох факторів: розміру та відвідуваності сайту, наявного бюджету, технічної експертизи, платформи, на якій побудований сайт (наприклад, Webflow, WordPress), а також конкретних вимог до відповідності. Важливо також перевірити, чи сертифікований CMP за стандартом IAB TCF v2.2 і чи підтримує Google Consent Mode V2, особливо якщо використовуються рекламні сервіси Google.

‍

Чи потрібен банер з файлами cookie для сайту, який не використовує маркетингові або аналітичні файли cookie?

В Європі - технічно так. Навіть якщо сайт використовує лише основні файли cookie, все одно необхідно інформувати користувачів про те, які саме файли cookie використовуються. Однак у цьому випадку не обов'язково запитувати згоду, тому банер можна спростити до інформаційного повідомлення, яке не вимагає взаємодії.

‍

Які санкції передбачені за недотримання законодавства про файли cookie?

У Європі порушення GDPR може призвести до штрафів у розмірі до 4% річного глобального обороту або 20 мільйонів євро, залежно від того, яка сума є більшою. У Каліфорнії порушення CCPA/CPRA може призвести до цивільних штрафів у розмірі до $2,500 за ненавмисне порушення та $7,500 за навмисне порушення, а також до потенційних судових позовів від споживачів. Регуляторні органи стали більш активними у правозастосуванні, і за останні роки було накладено кілька значних штрафів.

‍

Чи замінює режим згоди Google Consent Mode V2 необхідність у банері з файлами cookie?

Ні, Google Consent Mode V2 не замінює банерний файл cookie, а працює в тандемі з ним. Система збору згоди користувача (CMP) все ще необхідна для того, щоб збирати дані, які потім передаватимуться в Google Consent Mode для керування поведінкою тегів.

‍

Як керувати згодою для сайту, який має користувачів як в Європі, так і в США?

Найкращим рішенням є впровадження системи, яка розпізнає географічне розташування користувача і відображає відповідний інтерфейс: банер для європейських користувачів і повідомлення про відмову для американських користувачів. Найбільш просунуті CMP пропонують цю функцію геотаргетингу.

‍

Що таке ФЦП ОВС і чому це важливо?

IAB Transparency & Consent Framework (TCF) - це галузевий стандарт, який допомагає компаніям управляти згодою користувачів відповідно до GDPR та Директиви про електронну приватність, зокрема в контексті цифрової реклами. Він забезпечує стандартизований механізм для збору, зберігання та обміну даними про згоду користувачів між видавцями, рекламодавцями та постачальниками рекламних технологій. Остання версія TCF v2.2 покликана підвищити прозорість та підзвітність і була розроблена у відповідь на рекомендації органів захисту даних.

‍

Які основні нові функції впроваджено у TCF v2.3?

TCF v2.3, який наразі перебуває на публічному обговоренні до травня 2025 року, має на меті забезпечити більшу ясність для постачальників у конкретних сценаріях, коли незрозуміло, чи були дані розкриті користувачеві. Це розмежування є особливо важливим, коли постачальник має намір обробляти дані для спеціальних цілей на основі законного інтересу. Очікується, що технічні специфікації будуть завершені до кінця травня 2025 року, а кінцевий термін впровадження - 1 лютого 2026 року.

‍

Джерела

1. IAB Europe (2025). "TCF v2.3 відкритий для публічних коментарів". IAB Tech Lab. https://iabtechlab.com/tcf-v2-3-is-open-for-public-comment/
2. IAB Europe (2025). "TCF 2.2 запускається! Все, що вам потрібно знати". https://iabeurope.eu/tcf-2-2-launches-all-you-need-to-know/
3. IAB Europe (2025). "TCF Supporting Resources". https://iabeurope.eu/tcf-supporting-resources/
4. Google (2025). "Оновлення режиму згоди для руху в Європейському економічному просторі (ЄЕП)". Довідка Google Tag Manager. https://support.google.com/tagmanager/answer/13695607
5. Termly (2025). "Що таке Google Consent Mode v2?" . https://termly.io/resources/articles/what-is-google-consent-mode-v2/.
6. Cookieyes (2024). "Що таке Google Consent Mode V2? Як його впровадити?" . https://www.cookieyes.com/blog/google-consent-mode-v2/.
7. CookieFirst (2024). "Пояснення режиму згоди Google V2". https://cookiefirst.com/google-consent-mode-v2-released/
8. Bloomberg Law (2025). "Which States Have Consumer Data Privacy Laws?" . https://pro.bloomberglaw.com/insights/privacy/state-privacy-legislation-tracker/.
9. IAPP (2025). "US State Privacy Legislation Tracker". https://iapp.org/resources/article/us-state-privacy-legislation-tracker/
10. Каліфорнійське агентство із захисту конфіденційності (2025). "Пропоновані положення щодо оновлень CCPA, аудиту кібербезпеки, оцінки ризиків, технології автоматизованого прийняття рішень (ADMT) та страхових компаній". https://cppa.ca.gov/regulations/ccpa_updates.html
11. White & Case LLP (2025). "Оновлення щодо конфіденційності даних". https://www.whitecase.com/insight-alert/data-privacy-update-2025
12. Асоціація юристів Каліфорнії (2025). "Закон штату про конфіденційність у 2025 році - чого очікувати". https://calawyers.org/privacy-law/state-privacy-law-in-2025-what-to-expect/