कुकी सहमति कार्यान्वयन गाइड: कानूनी रूप से अनुपालन सहमति प्रबंधन

2020 से विशेष रूप से कुकी सहमति के उल्लंघन के लिए जीडीपीआर में 400 मिलियन यूरो से अधिक का जुर्माना लगाया गया है। फ्रेंच सीएनआईएल ने कुकीज़ को अस्वीकार करने की तुलना में स्वीकार करना आसान बनाने के लिए Google पर 150 मिलियन यूरो और फेसबुक पर 60 मिलियन यूरो का जुर्माना लगाया है। कुकी सहमति अब एक चेकबॉक्स अभ्यास नहीं है --- यह विशिष्ट तकनीकी आवश्यकताओं के साथ गोपनीयता कानून का एक भारी रूप से लागू क्षेत्र है।

यह मार्गदर्शिका वेबसाइटों और वेब अनुप्रयोगों के लिए कानूनी आवश्यकताओं, तकनीकी कार्यान्वयन और कुकी सहमति के चल रहे प्रबंधन को कवर करती है।

मुख्य बातें

• जीडीपीआर और ई-गोपनीयता के तहत, गैर-आवश्यक कुकीज़ सेट करने से पहले सहमति प्राप्त की जानी चाहिए --- उसके बाद नहीं
• सहमति वापस लेना उतना ही आसान होना चाहिए जितना देना आसान है (एक क्लिक में मना करना, सेटिंग्स में छिपा नहीं)
• अधिकांश यूरोपीय संघ के सदस्य देशों में कुकी दीवारें ("स्वीकार करें या छोड़ें") अवैध हैं
• मार्च 2024 से ईईए में Google Analytics और विज्ञापनों के लिए Google सहमति मोड v2 आवश्यक है

---

क्षेत्र के अनुसार कानूनी आवश्यकताएँ

कुकी सहमति आवश्यकताओं की तुलना

| आवश्यकता | ईयू (जीडीपीआर + ई-गोपनीयता) | यूके (पीईसीआर + यूके जीडीपीआर) | यूएस (सीसीपीए/राज्य कानून) | ब्राज़ील (एलजीपीडी) | कनाडा (पाइपेडा) | |---|----|---|---|---|---|----|---| | गैर-आवश्यक कुकीज़ के लिए पूर्व सहमति | हाँ (ऑप्ट-इन) | हाँ (ऑप्ट-इन) | नहीं (ऑप्ट-आउट मॉडल) | हाँ (ऑप्ट-इन) | निहित सहमति की अनुमति | | सहमति बैनर आवश्यक | हाँ | हाँ | आवश्यक नहीं (लेकिन अनुशंसित) | हाँ | अनुशंसित | | दानेदार विकल्प (श्रेणी के अनुसार) | हाँ | हाँ | आवश्यक नहीं | हाँ | अनुशंसित | | स्वीकार/इनकार को समान प्रमुखता | हाँ | हाँ | एन/ए | हाँ | एन/ए | | कुकी वॉल की अनुमति | नहीं (अधिकांश राज्यों में) | नहीं | एन/ए | नहीं | एन/ए | | सहमति रिकॉर्ड आवश्यक | हाँ | हाँ | नहीं | हाँ | हाँ | | सहमति नवीनीकरण अवधि | अधिकतम 12 माह | अधिकतम 12 माह | एन/ए | निर्दिष्ट नहीं | निर्दिष्ट नहीं | | कुकी नीति आवश्यक | हाँ (विस्तृत) | हाँ (विस्तृत) | हाँ (यदि ट्रैकिंग हो) | हाँ | हाँ |

कुकी के रूप में क्या मायने रखता है

ई-गोपनीयता निर्देश न केवल HTTP कुकीज़ को कवर करता है, बल्कि उन सभी तकनीकों को भी कवर करता है जो उपयोगकर्ता के डिवाइस पर जानकारी संग्रहीत या एक्सेस करती हैं:

• HTTP कुकीज़ (प्रथम-पक्ष और तृतीय-पक्ष)
• लोकलस्टोरेज और सेशनस्टोरेज
• अनुक्रमितडीबी
• डिवाइस फ़िंगरप्रिंटिंग
• ट्रैकिंग पिक्सल / वेब बीकन
• ट्रैकिंग के लिए उपयोग किए जाने वाले ईटैग

---

कुकी वर्गीकरण

मानक श्रेणियाँ

आपकी कुकीज़ का ऑडिट करना

सहमति लागू करने से पहले, अपनी वेबसाइट द्वारा सेट की गई प्रत्येक कुकी का ऑडिट करें:

// Browser console: list all cookies
document.cookie.split(';').forEach(c => console.log(c.trim()));

// Or use a scanning tool
// cookiebot.com/en/cookie-checker
// 2gdpr.com

प्रत्येक कुकी का दस्तावेज़ीकरण करें:

---

तकनीकी कार्यान्वयन

विकल्प 1: सहमति प्रबंधन प्लेटफ़ॉर्म (सीएमपी)

विकल्प 2: कस्टम कार्यान्वयन

उन टीमों के लिए जो पूर्ण नियंत्रण चाहती हैं:

// lib/cookie-consent.ts
type ConsentCategory = 'necessary' | 'functional' | 'analytics' | 'marketing';

interface ConsentPreferences {
  necessary: true; // Always true, cannot be changed
  functional: boolean;
  analytics: boolean;
  marketing: boolean;
  timestamp: string;
  version: string;
}

const CONSENT_COOKIE = 'ecosire_consent';
const CONSENT_VERSION = '2.0';
const CONSENT_DURATION = 365; // days

export function getConsent(): ConsentPreferences | null {
  const cookie = document.cookie
    .split(';')
    .find(c => c.trim().startsWith(`${CONSENT_COOKIE}=`));

  if (!cookie) return null;

  try {
    const prefs = JSON.parse(decodeURIComponent(cookie.split('=')[1]));
    // Invalidate if consent version changed
    if (prefs.version !== CONSENT_VERSION) return null;
    return prefs;
  } catch {
    return null;
  }
}

export function setConsent(preferences: Omit<ConsentPreferences, 'necessary' | 'timestamp' | 'version'>) {
  const consent: ConsentPreferences = {
    necessary: true,
    ...preferences,
    timestamp: new Date().toISOString(),
    version: CONSENT_VERSION,
  };

  const expires = new Date(Date.now() + CONSENT_DURATION * 86400000).toUTCString();
  document.cookie = `${CONSENT_COOKIE}=${encodeURIComponent(JSON.stringify(consent))}; expires=${expires}; path=/; SameSite=Lax`;

  // Apply consent decisions
  applyConsent(consent);

  return consent;
}

function applyConsent(consent: ConsentPreferences) {
  if (consent.analytics) {
    // Initialize Google Analytics
    loadScript('https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX');
  }

  if (consent.marketing) {
    // Initialize marketing pixels
    loadScript('https://connect.facebook.net/en_US/fbevents.js');
  }

  if (!consent.analytics) {
    // Remove analytics cookies
    deleteCookie('_ga');
    deleteCookie('_gid');
  }

  if (!consent.marketing) {
    // Remove marketing cookies
    deleteCookie('_fbp');
    deleteCookie('_fbc');
  }
}

Google सहमति मोड v2

मार्च 2024 से EEA में Google Analytics और Google विज्ञापनों के लिए आवश्यक:

<!-- Set default consent state BEFORE loading Google tags -->
<script>
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}

  // Default: deny all until user consents
  gtag('consent', 'default', {
    'ad_storage': 'denied',
    'ad_user_data': 'denied',
    'ad_personalization': 'denied',
    'analytics_storage': 'denied',
    'functionality_storage': 'denied',
    'personalization_storage': 'denied',
    'security_storage': 'granted', // Always granted (necessary)
    'wait_for_update': 500 // Wait for CMP
  });
</script>

<!-- Load Google Tag Manager -->
<script async src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX"></script>

जब उपयोगकर्ता सहमति प्रदान करता है:

// Update consent state when user interacts with banner
function updateGoogleConsent(preferences) {
  gtag('consent', 'update', {
    'ad_storage': preferences.marketing ? 'granted' : 'denied',
    'ad_user_data': preferences.marketing ? 'granted' : 'denied',
    'ad_personalization': preferences.marketing ? 'granted' : 'denied',
    'analytics_storage': preferences.analytics ? 'granted' : 'denied',
    'functionality_storage': preferences.functional ? 'granted' : 'denied',
    'personalization_storage': preferences.functional ? 'granted' : 'denied',
  });
}

---

सहमति बैनर डिज़ाइन आवश्यकताएँ

ईयू कानूनी आवश्यकताएँ

• किसी भी गैर-आवश्यक कुकीज़ को सेट करने से पहले बैनर दिखाई देता है
• "सभी स्वीकार करें" और "सभी अस्वीकार करें" बटनों की दृश्य प्रमुखता समान है
• बारीक श्रेणी का चयन उपलब्ध है (सिर्फ सभी या कुछ भी नहीं)
• गैर-आवश्यक श्रेणियों के लिए कोई पूर्व-चेक किए गए बॉक्स नहीं
• प्रत्येक श्रेणी का स्पष्ट, सरल भाषा में स्पष्टीकरण
• पूर्ण कुकी नीति से लिंक करें
• सहमति वापसी किसी भी समय पहुंच योग्य (उदाहरण के लिए, पाद लेख लिंक)
• कोई कुकी वॉल नहीं (सहमति के बिना साइट का उपयोग करने में सक्षम होना चाहिए)
• टाइमस्टैम्प और संस्करण के साथ सहमति दर्ज की गई

अभिगम्यता आवश्यकताएँ

• बैनर कीबोर्ड नेविगेशन योग्य है
• स्क्रीन रीडर संगत (ARIA लेबल) -पर्याप्त रंग कंट्रास्ट
• आवश्यक सामग्री को स्थायी रूप से ब्लॉक नहीं करता

---

कुकी-मुक्त एनालिटिक्स विकल्प

उन वेबसाइटों के लिए जो कुकी सहमति बैनर से पूरी तरह बचना चाहती हैं:

कुकी-मुक्त एनालिटिक्स का उपयोग करने से एनालिटिक्स सहमति की आवश्यकता समाप्त हो जाती है, जिससे आपका सहमति बैनर केवल मार्केटिंग कुकीज़ (यदि उपयोग किया जाता है) को कवर करने के लिए सरल हो जाता है।

---

अक्सर पूछे जाने वाले प्रश्न

यदि हम केवल आवश्यक कुकीज़ का उपयोग करते हैं तो क्या हमें कुकी बैनर की आवश्यकता है?

नहीं, यदि आप केवल अत्यंत आवश्यक कुकीज़ (प्रमाणीकरण, सीएसआरएफ, लोड संतुलन) का उपयोग करते हैं, तो किसी सहमति की आवश्यकता नहीं है और किसी बैनर की आवश्यकता नहीं है। हालाँकि, आपको अभी भी अपनी गोपनीयता नीति में इन कुकीज़ का खुलासा करना चाहिए। जैसे ही आप एनालिटिक्स (Google Analytics) या कोई तृतीय-पक्ष ट्रैकिंग जोड़ते हैं, EU में एक सहमति बैनर कानूनी रूप से आवश्यक हो जाता है।

क्या "सॉफ्ट ऑप्ट-इन" (ब्राउज़िंग जारी रखें = सहमति) का उपयोग करना कानूनी है?

नहीं, जीडीपीआर के अंतर्गत नहीं. यूरोपीय डेटा संरक्षण बोर्ड ने स्पष्ट रूप से कहा है कि निरंतर ब्राउज़िंग, स्क्रॉलिंग या इसी तरह की निष्क्रिय कार्रवाइयां वैध सहमति नहीं हैं। सहमति एक स्पष्ट, सकारात्मक कार्रवाई होनी चाहिए --- "स्वीकार करें" या इसी तरह का एक बटन क्लिक करना। प्लैनेट49 (सीजेईयू, 2019) में सॉफ्ट ऑप्ट-इन को गैर-अनुपालक करार दिया गया था।

हम एकल-पृष्ठ अनुप्रयोगों के लिए सहमति कैसे प्रबंधित करते हैं?

एसपीए के लिए, प्रारंभिक पृष्ठ लोड और प्रत्येक मार्ग परिवर्तन पर सहमति स्थिति की जांच करें। यदि सहमति नहीं दी गई है, तो ट्रैकिंग स्क्रिप्ट प्रारंभ न करें। सहमति प्राथमिकताओं को प्रथम-पक्ष कुकी में संग्रहीत करें (जो स्वयं सहमति को याद रखने के लिए सख्ती से आवश्यक है)। जब उपयोगकर्ता सहमति प्रदान करता है, तो पृष्ठ पुनः लोड किए बिना ट्रैकिंग स्क्रिप्ट प्रारंभ करें।

क्या हमें अपनी ओडू वेबसाइट के लिए कुकी सहमति की आवश्यकता है?

यदि आपकी Odoo वेबसाइट यूरोपीय संघ के आगंतुकों को सेवा प्रदान करती है और एनालिटिक्स, मार्केटिंग पिक्सल, या कार्यात्मक कुकीज़ का उपयोग आवश्यकता से अधिक करती है, तो हाँ। ओडू के पास एक बुनियादी कुकी नोटिस है लेकिन यह जीडीपीआर मानकों को पूरा नहीं करता है। कुकीबॉट जैसा उचित सीएमपी लागू करें या एक कस्टम समाधान बनाएं। ECOSIRE ओडू वेबसाइट सेवाएं प्रदान करता है जिसमें जीडीपीआर-अनुपालक कुकी सहमति शामिल है।

---

आगे क्या आता है

कुकी सहमति वेब गोपनीयता अनुपालन का सबसे दृश्यमान पहलू है। इसे अपने एप्लिकेशन आर्किटेक्चर के लिए डिज़ाइन द्वारा गोपनीयता, अपने पूर्ण डेटा प्रोग्राम के लिए डेटा गवर्नेंस और व्यापक अनुपालन के लिए साइबर सुरक्षा नियम के साथ संयोजित करें।

कुकी सहमति कार्यान्वयन और गोपनीयता अनुपालन परामर्श के लिए ECOSIRE से संपर्क करें।

---

ECOSIRE द्वारा प्रकाशित - व्यवसायों को गोपनीयता अनुपालन लागू करने में मदद करना जिस पर उपयोगकर्ता भरोसा करते हैं।