Cookie банер та згода для ЄС: мінімальний набір для SMB

Q: Чи обов’язково робити кнопку “Відхилити все” на першому екрані?

Для практичного підходу в ЄС це найбезпечніший і найзрозуміліший варіант. Якщо відмову сховано глибше, зростає ризик, що вибір користувача не виглядає вільним і симетричним.

Q: Чи можна запускати GA4 без згоди?

Для типового SMB-сценарію краще виходити з того, що ні, якщо аналітика використовує cookies або ідентифікатори. Для більшості сайтів безпечніше блокувати аналітику до вибору користувача.

Якщо ваш сайт має трафік з ЄС, питання cookie банера вже давно не зводиться до “поставити плашку і забути”. На практиці бізнесу потрібна не красива кнопка, а робоча схема: що саме можна запускати без згоди, що треба блокувати до вибору користувача, як не зламати аналітику повністю і як не створити зайву бюрократію для команди.

Для власників, маркетологів і керівників SMB найкращий підхід — не будувати “комбайн” на 50 сторінок налаштувань, а впровадити мінімальний, але реальний набір: коректний перший шар банера, простий центр налаштувань, блокування неістотних тегів до згоди, зрозумілу політику cookie та можливість легко змінити рішення пізніше. У цій статті — саме практичний мінімум без юридичної води.

Чому тема важлива для SMB саме зараз

Більшість малих і середніх компаній стикаються не з абстрактним GDPR, а з дуже конкретними проблемами. Після встановлення банера різко падає аналітика. Маркетинг каже, що без Meta Pixel і Google Ads усе “сліпе”. Розробник додає CMP, але сторонні скрипти все одно стартують раніше. А власник бізнесу бачить лише одне: сайт став складнішим, а користі не відчувається.

Практична мета тут інша: зменшити ризики, навести лад у тегах і дати користувачу реальний вибір. Для SMB цього зазвичай достатньо. Не треба одразу проектувати надмірно складну legal-архітектуру. Набагато корисніше чесно відповісти на чотири питання:

Які cookies та трекери сайт використовує фактично?
Які з них справді потрібні для роботи сайту?
Які з них можуть чекати на згоду?
Чи можна так само легко відмовитися, як і погодитися?

У 2026 році хороший мінімальний підхід для SMB — це не “максимум кнопок”, а контроль над запуском трекінгу. Якщо користувач не натиснув “Accept”, то рекламні й аналітичні скрипти не мають поводитися так, ніби згода вже є.

Найбільша плутанина виникає тут. Команди часто або просять згоду на все підряд, або навпаки вважають аналітику “технічною необхідністю”. Практично мислити треба через мету.

Що зазвичай можна запускати без окремої згоди

cookies входу в акаунт;
cookies кошика або оформлення замовлення;
технічні cookies безпеки, балансування, збереження сесії;
мовні або інтерфейсні налаштування, якщо без них сервіс реально не працює як очікує користувач.

Ключове правило просте: якщо елемент потрібен саме для надання сервісу, який користувач явно запросив, він ближчий до категорії “necessary”. Але цю категорію не можна роздувати штучно. Якщо той самий cookie або скрипт одночасно використовується для маркетингу, ретаргетингу чи профілювання, це вже не “чиста технічна необхідність”.

Що краще вважати таким, що потребує згоди

GA4, якщо він працює через cookies або ідентифікатори без окремої безпечної схеми;
Google Ads conversion tracking;
Meta Pixel, LinkedIn Insight Tag, TikTok Pixel та інші рекламні пікселі;
теплові карти, сесійні записи, A/B тестування через сторонні сервіси;
YouTube embed, карти, чати, віджети соцмереж, якщо вони ставлять cookies або передають дані третім сторонам;
будь-які теги, що потрібні для персоналізації реклами або ремаркетингу.

Для SMB корисне практичне правило таке: якщо щось не потрібно для входу, кошика, оплати, базової безпеки чи основної функції сторінки, майже напевно це треба відкласти до вибору користувача.

Мінімальний набір для сайту в ЄС

Ось той самий практичний мінімум, який у більшості SMB покриває основний сценарій без зайвого оверінжинірингу.

1. Банер першого шару з трьома очевидними діями: “Прийняти все”, “Відхилити все”, “Налаштувати”.
2. Центр налаштувань з окремими категоріями: Necessary, Analytics, Marketing, Functional.
3. Блокування неістотних тегів до згоди. Не просто приховати банер, а реально не запускати скрипти раніше.
4. Сторінка Cookie Policy або розділ у Privacy Policy з описом категорій, строків і постачальників.
5. Постійне посилання “Cookie settings” у футері або нижній частині сайту.
6. Лог згод: дата, версія банера, вибір категорій, країна/регіон або принаймні технічний контекст показу.
7. Перевірка сторонніх embed-ів: карти, відео, чати, віджети мають не обходити банер.

Якщо ваш бізнес хоче ще простіше, є навіть жорсткіший варіант: прибрати маркетингові пікселі та залишити лише technically necessary cookies. Це найпростіша модель з точки зору ризиків. Так, маркетинг втратить частину даних, але для окремих B2B або сервісних SMB це цілком раціональний компроміс.

Як має виглядати правильний банер

Банер — це не місце для маніпуляцій. У реальному житті саме тут команди найчастіше помиляються: великий яскравий “Accept all”, маленький текстовий лінк “Manage”, наперед увімкнені перемикачі, два кліки на відмову замість одного. Для SMB це поганий шлях і з практичної, і з репутаційної точки зору.

Перший шар банера

коротке пояснення, навіщо використовуються cookies та інші трекери;
кнопка “Прийняти все”;
кнопка “Відхилити все”;
кнопка або лінк “Налаштувати”;
посилання на Privacy Policy / Cookie Policy.

Не ховайте “Відхилити все” у другий шар. Якщо бізнес дуже хоче “менше втрачати аналітику”, краще працювати над поясненням цінності аналітики, а не над темними патернами інтерфейсу.

Другий шар налаштувань

Necessary — завжди активні, без вимикача або з поясненням “required”.
Analytics — окремий перемикач.
Marketing — окремий перемикач.
Functional — окремий перемикач, якщо у вас є неістотні віджети чи інтеграції.

Краще менше категорій, але зрозумілих. Для SMB оптимально 3–4 категорії. Десять тумблерів створюють ілюзію контролю, але зазвичай лише ускладнюють інтерфейс і внутрішнє адміністрування.

Також важливо дати користувачу простий шлях повернутися до цих налаштувань. Посилання “Cookie settings” у футері — просте рішення, яке реально працює.

Мінімальна технічна схема для WordPress і типового маркетингового стеку

Типовий стек SMB сьогодні виглядає так: WordPress, GTM або прямі скрипти, GA4, Google Ads, Meta Pixel, інколи Hotjar / Microsoft Clarity, чат, YouTube-вставки, карти, CRM-форми. Саме тут важливо не переплутати візуальну частину з технічною.

Мінімальна робоча схема:

до вибору користувача всі неістотні категорії стоять у стані denied / blocked;
банер записує вибір по категоріях;
після згоди запускаються лише дозволені теги;
після відмови теги реклами й аналітики не стартують;
при зміні рішення стан оновлюється, а попередні cookies за потреби очищуються або більше не використовуються.

Якщо ви використовуєте Google stack, важливо розуміти різницю між CMP і Consent Mode. CMP або cookie banner збирає вибір користувача. Consent Mode передає цей вибір у Google теги. Тобто Consent Mode не вирішує питання згоди сам по собі — він лише допомагає технічно поводитися відповідно до вибору.

Для практики SMB це означає таке:

якщо у вас є GA4 та Google Ads — синхронізуйте їх із вибором по Analytics / Ads;
якщо у вас є Meta Pixel — не завантажуйте його до дозволу на Marketing;
якщо у вас є YouTube, карти або чат — перевірте, чи не ставлять вони cookies до кліку;
якщо використовуєте GTM — не вважайте, що GTM автоматично все робить правильно; тригерна логіка має бути прив’язана до consent states.

Окремий нюанс для видавців і сайтів з Google-монетизацією: якщо ви працюєте з AdSense, Ad Manager або AdMob для користувачів з EEA/UK/Switzerland, мінімального “самописного банера” може вже не вистачити. Там треба дивитися на сертифікований CMP і актуальну підтримку TCF.

Ще одна важлива річ — лог згод. Не треба робити важку внутрішню систему аудиту. Достатньо зберігати кілька параметрів: час, версію банера, версію тексту політики, список дозволених категорій, локаль або геологіку показу. Для SMB цього зазвичай вистачає, щоб пояснити, що саме було показано користувачу і що він обрав.

Таблиця-перевірка: що має бути в мінімальному сетапі

Елемент	Обов’язково для мінімального набору	Що перевірити	Практична порада
Банер першого шару	Так	Є “Прийняти”, “Відхилити”, “Налаштувати”	Не ховайте відмову в другий клік
Категорії cookies	Так	Necessary відділено від Analytics / Marketing / Functional	Не робіть занадто багато категорій
Блокування тегів до згоди	Так	GA4, Ads, Pixel, heatmaps не стартують раніше	Тестуйте через DevTools і Tag Assistant
Cookie Policy	Так	Описані категорії, сервіси, строки, цілі	Пишіть простою мовою
Посилання “Cookie settings”	Так	Є у футері або постійному місці	Користувач має легко змінити вибір
Лог згод	Так	Фіксуються дата, версія банера, вибір	Зберігайте лише потрібний мінімум
Click-to-load для embed-ів	Бажано	YouTube, Maps, чат не ставлять cookies до кліку	Особливо важливо для лендингів
TCF / сертифікований CMP	Залежить від стеку	Потрібно для окремих ad-tech сценаріїв Google	Актуально не для всіх SMB, а насамперед для монетизації та ad-tech

Типові помилки

Банер є, а блокування тегів немає. Найпоширеніша помилка. Користувач ще нічого не натиснув, а GA4 і Pixel уже працюють.
“Reject all” захований або оформлений як непримітний текст. Це поганий UX і слабке місце для комплаєнсу.
Усі cookies названі “necessary”. Якщо чат, піксель чи аналітика просто оголошені обов’язковими, це не вирішує проблему.
Не враховані сторонні embed-и. Часто саме YouTube, карти, iframe-форми або віджети обходять логіку CMP.
Немає способу змінити рішення. Користувач погодився випадково, а потім не бачить, де це відкликати.
Серверний трекінг подають як спосіб “обійти банер”. Server-side не скасовує вимоги до згоди.
Мультимовний сайт має різні тексти, але різну логіку. UA, EN, DE, PL версії повинні мати не лише переклад, а й однаково коректний механізм.

План впровадження без хаосу

Якщо у вас діючий сайт і не хочеться ламати маркетинг повністю, працюйте поетапно.

Крок 1. Складіть список усіх скриптів, пікселів, embed-ів і віджетів.
Крок 2. Розбийте їх на Necessary / Analytics / Marketing / Functional.
Крок 3. Приберіть все зайве. Часто 20–30% тегів просто не потрібні.
Крок 4. Підключіть CMP або cookie banner, який реально вміє блокувати скрипти.
Крок 5. Налаштуйте Google Consent Mode для Google стеку, якщо він у вас є.
Крок 6. Додайте “Cookie settings” у футер.
Крок 7. Перевірте сайт без згоди, після accept, після reject і після зміни рішення.
Крок 8. Оновіть Cookie Policy простою, людською мовою.

Найкращий підхід для SMB — зробити просту, передбачувану систему, яку команда розуміє і може підтримувати. Якщо ж банер налаштований так складно, що після кожної маркетингової зміни треба викликати розробника, це вже поганий дизайн процесу.

Коли мінімального набору вже недостатньо

Мінімальний підхід добре працює для більшості корпоративних сайтів, лендингів, B2B сайтів послуг, невеликих e-commerce проєктів і маркетингових сайтів SMB. Але є сценарії, де треба йти глибше:

у вас складний ad-tech стек або кілька рекламних мереж;
ви монетизуєте трафік через Google publisher products;
у вас багато сторонніх постачальників даних і потрібно детально керувати vendors;
ви працюєте в більш чутливій ніші або вже проходили перевірки;
у вас різні домени, субдомени, регіональні політики та різні режими показу.

У таких випадках краще не обмежуватися лише “банером з плагіна”. Потрібно окремо перевіряти vendors, строки зберігання, передачу даних, інтеграцію з ad platforms і внутрішню документацію.

Але для більшості SMB реалістичний висновок простий: почніть з мінімального, але справжнього комплаєнсу. Кнопка без блокування тегів — це не рішення. Натомість чесний банер, реальна відмова, контроль запуску скриптів, зрозуміла політика і простий механізм зміни вибору — уже сильна практична база.

FAQ

Чи обов’язково робити кнопку “Відхилити все” на першому екрані?

Для практичного підходу в ЄС — так, це найбезпечніший і найзрозуміліший варіант. Якщо відмову сховано глибше, це створює ризик, що вибір користувача не виглядає вільним і симетричним.

Чи можна запускати GA4 без згоди?

У типового SMB-сценарію краще виходити з того, що ні, якщо аналітика використовує cookies або ідентифікатори. Окремі винятки залежать від дуже конкретної реалізації та локальної практики, але для більшості сайтів безпечніше блокувати аналітику до вибору.

Чи достатньо просто поставити плагін для cookie банера?

Ні. Плагін корисний лише тоді, коли він реально керує запуском тегів, зберігає вибір і дає змогу користувачу повернутися до налаштувань. Банер без технічного контролю — це косметика.

Чи вирішує Google Consent Mode усе сам?

Ні. Consent Mode передає статуси згоди для Google сервісів, але не збирає юридично значущу згоду сам по собі. Вам однаково потрібен CMP або власний коректний механізм банера та налаштувань.

Що робити з YouTube, картами та чатом?

Перевірити їх окремо. Часто саме embed-и й віджети ставлять cookies до того, як користувач щось погодив. Практичне рішення — режим click-to-load або завантаження тільки після дозволу на Functional / Marketing.

Чи потрібен сертифікований CMP кожному SMB?

Не кожному. Для звичайного корпоративного сайту або сервісного лендинга часто достатньо коректного CMP/банера з правильною логікою. Але якщо у вас Google publisher monetization або складний ad-tech стек, вимоги можуть бути вищими.