Розуміння законодавства про файли cookie та впровадження ефективних рішень для управління згодою стало критично важливим для кожного веб-сайту. У цьому посібнику розглядаються відмінності між європейським та американським законодавством, аналізується робота Google Consent Mode та порівнюються основні рішення для управління згодою.
Розуміння законодавства про файли cookie та впровадження ефективних рішень для управління згодою стало критично важливим для кожного веб-сайту. У цьому посібнику розглядаються відмінності між європейським та американським законодавством, аналізується робота Google Consent Mode та порівнюються основні рішення для управління згодою з останніми оновленнями до 2025 року.
В Європі захист персональних даних та приватності в Інтернеті регулюється переважно двома законодавчими актами:
Набувши чинності у 2018 році, GDPR накладає жорсткі вимоги до обробки персональних даних, встановлюючи основоположні принципи:
Для того, щоб збирати та обробляти персональні дані (включаючи онлайн-ідентифікатори, такі як файли cookie), необхідно мати дійсну правову підставу, таку як ваша явна згода, законний інтерес або договірне зобов'язання.
Порушення GDPR може призвести до дуже високих штрафів, до 4% від глобального обороту компанії.
Директива про електронну приватність (2002/58/ЄС, зі змінами, внесеними у 2009 році) зосереджується саме на приватності в електронних комунікаціях, включаючи використання файлів cookie та технологій відслідковування.
Стаття 5(3) Директиви говорить, що обов'язковим є отримання попередньої згоди користувача перед зберіганням або доступом до інформації на його пристрої, за винятком випадків (таких як суворо необхідні технічні файли cookie).
На практиці це означає, що європейські веб-сайти повинні:
Європейські органи з питань конфіденційності активно санкціонують порушення: наприклад, французький CNIL оштрафував Google і Amazon у 2020-2022 роках за розміщення відстежувальних файлів cookie без дійсної згоди.
У березні 2024 року набув чинності Закон ЄС про цифрові ринки (DMA), який ще більше посилив вимоги до згоди для великих технологічних платформ, що суттєво вплинуло на управління файлами cookie та відстеженням. Це змусило такі компанії, як Google, оновити свої рішення щодо управління згодою.
У лютому 2025 року Європейська Комісія офіційно відкликала свою пропозицію щодо нового Регламенту про електронну приватність, залишивши чинною існуючу Директиву. Це означає, що вимоги щодо згоди на використання файлів cookie залишаються такими, якими вони є сьогодні, залишаються обов'язковими і підлягають суворому дотриманню по всій Європі.
У березні 2024 року Європейський суд ухвалив важливе рішення у справі IAB TCF, що має важливі наслідки для впровадження Рамкової програми з прозорості та згоди, яку компанії все ще асимілюють.
У США, на відміну від ЄС, немає загального федерального закону про конфіденційність, який можна порівняти з GDPR. Регулювання відбувається на рівні штатів та галузевому рівні, причому останніми роками відбулися значні зміни.
CCPA, який набув чинності у 2020 році, був посилений CPRA (набуває чинності з 2023 року), що ще більше наблизило його до європейської моделі.
У CPRA є:
У період між 2023 і 2025 роками ландшафт приватності в США зазнав стрімкої еволюції:
Станом на січень 2025 року у 20 штатах США діють комплексні закони про конфіденційність даних, а вісім нових законів набудуть чинності у 2025 році. Це означає, що приблизно 40 відсотків американських споживачів тепер мають право на цифрову приватність. Однак фрагментація законодавства створює значні труднощі для компаній, які змушені лавірувати між часто схожими, але не ідентичними вимогами.
Каліфорнія залишається в авангарді, де CPPA був особливо активним у 2024-2025 роках. Агентство наклало кілька значних штрафів, включаючи штраф у розмірі $6,75 млн на компанію, що займається розробкою хмарного програмного забезпечення, у 2024 році. Воно також опублікувало нові запропоновані правила щодо кібербезпеки, оцінки ризиків та технологій автоматизованого прийняття рішень (ADMT), з відкритим періодом публічних коментарів до червня 2025 року.
Серед найактуальніших змін в управлінні файлами cookie, Каліфорнія розширила визначення "конфіденційної особистої інформації", включивши до нього "нейронні дані" (інформацію, отриману в результаті вимірювання активності нервової системи), і уточнила, що особиста інформація також включає в себе цифрові та абстрактні формати, такі як ті, що генеруються штучним інтелектом.
У штаті Делавер було прийнято закон про конфіденційність, який, на відміну від інших, не виключає неприбуткові організації та академічні установи з-під його дії, що значно розширює сферу його застосування.
На відміну від ЄС, американська модель, як і раніше, ґрунтується на відмові, а не на попередній згоді. Тому американський сайт, що обслуговує користувачів з ЄС, повинен буде використовувати банер, що відповідає вимогам GDPR, тоді як для користувачів з США він може просто показувати повідомлення і посилання на відмову без попереднього блокування файлів cookie.
Європейське бюро інтерактивної реклами (IAB) розробило Рамки прозорості та згоди (Transparency & Consent Framework, TCF) як галузевий стандарт, щоб допомогти компаніям управляти згодою користувачів відповідно до GDPR та Директиви про електронну приватність, що особливо актуально в контексті цифрової реклами.
ФЦП пройшов кілька ітерацій:
TCF v2.2 вніс важливі зміни:
У квітні 2025 року IAB Tech Lab та IAB Europe відкрили технічну специфікацію TCF v2.3 для публічного обговорення, яке триватиме до 19 травня 2025 року. Оновлення має на меті забезпечити більшу ясність для постачальників у конкретних сценаріях, коли незрозуміло, чи були дані розкриті користувачеві, що особливо важливо, коли постачальник має намір обробляти дані для спеціальних цілей на основі законного інтересу.
Хронологія розробки TCF v2.3 включає:
Щоб допомогти сайтам і рекламодавцям поважати вибір користувачів щодо надання згоди, Google запровадив режим згоди - технічне рішення, яке коригує поведінку тегів Google відповідно до статусу згоди користувача.
У листопаді 2023 року Google запустив режим згоди V2 з обов'язковим впровадженням до березня 2024 року для сайтів, які використовують сервіси Google і збирають дані від користувачів у Європейському економічному просторі (ЄЕП). Це оновлення було спеціально розроблено для узгодження з Законом ЄС про цифрові ринки (DMA).
Режим згоди V2 вводить два нових параметри на додаток до початкових:
На відміну від ad_storage та analytics_storage, ці нові параметри не впливають на поведінку тегів на самому сайті, а є додатковими параметрами, які надсилаються до сервісів Google, щоб вказати, як можуть використовуватися дані користувачів.
Google Consent Mode V2 має два режими реалізації:
Важливо зазначити, що деякі експерти з питань приватності висловили сумніви щодо відповідності розширеного режиму вимогам законодавства про захист даних, оскільки "пінги" можуть представляти собою персональні дані, оброблені без згоди.
Без режиму згоди Google рекламні платформи не можуть отримувати дані про нових користувачів ЄЕЗ, що значно обмежує можливості збирати дані про аудиторію, вимірювати ефективність кампаній та впроваджувати таргетовані рекламні стратегії.
Завдяки Режиму згоди V2 веб-сайти можуть продовжувати збирати базові аналітичні дані, навіть якщо користувачі не надали згоди на використання файлів cookie, завдяки вдосконаленим методам моделювання, які враховують налаштування згоди.
.png)
Щоб відповідати всім цим правилам, веб-сайти використовують платформи управління згодою (Consent Management Platforms, CMP), які надають банери та інтерфейси для отримання згоди користувачів, а також механізми поваги до їхнього вибору.
ОВС відіграє ключову роль у сертифікації КІП через систему ФСЗ. CMP повинен бути сертифікований за стандартом IAB TCF v2.2:
У 2023-2024 роках Google запровадив спеціальні сертифікаційні вимоги для КЕП, які бажають підтримувати Google Ads в ЄС та Великій Британії, основною вимогою яких є оновлення відповідності до IAB TCF. КМС, сертифіковані Google, можуть використовувати продукти Google Ads і включені до офіційного списку.
Рішення, спеціально розроблене для сайтів, створених за допомогою Webflow, з повною підтримкою IAB TCF v2.2 і Google Consent Mode v2.
Переваги:
Недоліки:
Ідеально підходить для: розробників або агентств, що працюють над Webflow, які хочуть мати повний контроль і індивідуальний дизайн.
Рішення plug-and-play, оновлене для підтримки IAB TCF v2.2 та Google Consent Mode v2, тепер має золоту сертифікацію Google CMP Partner.
Переваги:
Недоліки:
Ідеально підходить для: невеликих сайтів або власників, які хочуть швидко ввійти в курс справи.
Iubenda - це італійська компанія, яка пропонує повний набір інструментів комплаєнсу, повністю оновлений для підтримки IAB TCF v2.2 та Google Consent Mode v2.
Переваги:
Недоліки:
Ідеально підходить для: бізнесу, який шукає професійне та комплексне рішення з мінімальними витратами на обслуговування.
Одне з перших популярних SaaS рішень CMP, яке зараз є частиною платформи Usercentrics.
Переваги:
Недоліки:
Ідеально підходить для: середніх сайтів і компаній, які хочуть делегувати управління файлами cookie автоматизації.
Новий CMP, що пропонує комплексне рішення для інтеграції з Google Consent Mode V2 та IAB TCF v2.2.
Переваги:
Недоліки:
Ідеально підходить для: компаній, які шукають рішення, орієнтоване на інтеграцію з Google Consent Mode V2.
Для великих міжнародних організацій існують корпоративні CMP, такі як OneTrust, TrustArc, Didomi, Usercentrics, Osano тощо.
Переваги:
Недоліки:
Ідеально підходить для: великих компаній з глобальною присутністю та складними потребами в управлінні консенсусом.
Адаптація до правил використання файлів cookie/приватності вимагає як юридичного розуміння різних правил, так і впровадження відповідних технічних рішень.
У Європі переважає суворий режим попередньої згоди, в той час як у США переважає принцип відмови із зобов'язанням щодо прозорості, хоча законодавство штатів поступово розвивається в напрямку більш суворих стандартів, наближаючись до європейської моделі.
Такі інструменти, як Google Consent Mode V2 і IAB TCF v2.2/v2.3, допомагають подолати розрив між маркетингом і конфіденційністю, дозволяючи сайтам використовувати аналітичні та рекламні сервіси, дотримуючись при цьому законів про файли cookie.
Вибір платформи управління згодою залежить від таких факторів, як розмір сайту, наявні технічні ресурси, бюджет і необхідність дотримання міжнародних норм. Важливо, щоб вона давала користувачам реальний контроль над їхніми даними і дозволяла сайту працювати прозоро і відповідно до чинного законодавства.
Компаніям, що працюють як в Європі, так і в США, потрібно буде продовжувати орієнтуватися в складному і мінливому регуляторному середовищі, адаптуючи свої рішення для управління згодою до різних юрисдикцій.
У Європі (GDPR та Директива про захист персональних даних) переважає модель згоди (opt-in): перед використанням другорядних файлів cookie необхідно отримати явну згоду користувача. Натомість у США (CCPA/CPRA та інші закони штатів) переважає модель відмови: файли cookie можуть використовуватися доти, доки користувач не висловить явних заперечень, а компанії повинні забезпечити чіткий спосіб відмовитися від продажу/передачі даних.
У Європі без згоди користувача можуть використовуватися лише "строго необхідні" (або "технічні") файли cookie. До них відносяться файли cookie, які необхідні для роботи сайту, наприклад, для аутентифікації, зберігання товарів у кошику електронної комерції або для забезпечення безпеки сайту.
Google Consent Mode V2 - це інтерфейс, який повідомляє Google про вибір користувача щодо надання згоди. Він вводить чотири параметри згоди (ad_storage, analytics_storage, ad_user_data, ad_personalisation), які регулюють поведінку тегів Google. Це важливо, оскільки дозволяє сайтам збалансувати вимірювання маркетингових показників з дотриманням конфіденційності, і стає обов'язковим з березня 2024 року для сайтів, які використовують сервіси Google в Європі.
Вибір залежить від кількох факторів: розміру та відвідуваності сайту, наявного бюджету, технічної експертизи, платформи, на якій побудований сайт (наприклад, Webflow, WordPress), а також конкретних вимог до відповідності. Важливо також перевірити, чи сертифікований CMP за стандартом IAB TCF v2.2 і чи підтримує Google Consent Mode V2, особливо якщо використовуються рекламні сервіси Google.
В Європі - технічно так. Навіть якщо сайт використовує лише основні файли cookie, все одно необхідно інформувати користувачів про те, які саме файли cookie використовуються. Однак у цьому випадку не обов'язково запитувати згоду, тому банер можна спростити до інформаційного повідомлення, яке не вимагає взаємодії.
У Європі порушення GDPR може призвести до штрафів у розмірі до 4% річного глобального обороту або 20 мільйонів євро, залежно від того, яка сума є більшою. У Каліфорнії порушення CCPA/CPRA може призвести до цивільних штрафів у розмірі до $2,500 за ненавмисне порушення та $7,500 за навмисне порушення, а також до потенційних судових позовів від споживачів. Регуляторні органи стали більш активними у правозастосуванні, і за останні роки було накладено кілька значних штрафів.
Ні, Google Consent Mode V2 не замінює банерний файл cookie, а працює в тандемі з ним. Система збору згоди користувача (CMP) все ще необхідна для того, щоб збирати дані, які потім передаватимуться в Google Consent Mode для керування поведінкою тегів.
Найкращим рішенням є впровадження системи, яка розпізнає географічне розташування користувача і відображає відповідний інтерфейс: банер для європейських користувачів і повідомлення про відмову для американських користувачів. Найбільш просунуті CMP пропонують цю функцію геотаргетингу.
IAB Transparency & Consent Framework (TCF) - це галузевий стандарт, який допомагає компаніям управляти згодою користувачів відповідно до GDPR та Директиви про електронну приватність, зокрема в контексті цифрової реклами. Він забезпечує стандартизований механізм для збору, зберігання та обміну даними про згоду користувачів між видавцями, рекламодавцями та постачальниками рекламних технологій. Остання версія TCF v2.2 покликана підвищити прозорість та підзвітність і була розроблена у відповідь на рекомендації органів захисту даних.
TCF v2.3, який наразі перебуває на публічному обговоренні до травня 2025 року, має на меті забезпечити більшу ясність для постачальників у конкретних сценаріях, коли незрозуміло, чи були дані розкриті користувачеві. Це розмежування є особливо важливим, коли постачальник має намір обробляти дані для спеціальних цілей на основі законного інтересу. Очікується, що технічні специфікації будуть завершені до кінця травня 2025 року, а кінцевий термін впровадження - 1 лютого 2026 року.
.svg)
.svg)
.svg)
.jpeg)
.jpeg)