Skip to main content

Най-добри практики за съгласие за бисквитки

Познаването на закона е необходимо. Реалната работа обаче е в доброто му прилагане. Този раздел разглежда практическите най-добри практики за съгласие за бисквитки — как да изградите изживяване за съгласие, което е правно съответстващо, технически издържано и уважава вашите потребители.

1. Направете съгласието истински доброволно

Член 7(4) от GDPR гласи, че при преценката дали съгласието е дадено свободно, „изключително внимание се обръща на това дали, наред с другото, изпълнението на договор, включително предоставянето на услуга, е поставено в зависимост от съгласие за обработване на лични данни, което не е необходимо за изпълнението на този договор."

На практика това означава:

  • Не използвайте бариери за бисквитки (cookie walls), които блокират съдържанието, освен ако потребителят не приеме всички бисквитки. EDPB заяви, че бариерите за бисквитки по правило пречат съгласието да бъде дадено свободно. Ако потребителят не може да достъпи вашия уебсайт, без да приеме проследяването, неговото „съгласие" е принудено, а не доброволно.
  • Не влошавайте изживяването за потребителите, които отказват. Показването на постоянен наслагващ прозорец, ограничаването на функционалността на страницата или показването на пасивно-агресивни съобщения („Забелязваме, че не сте приели бисквитки — изживяването ви може да пострада") подкопава доброволния характер на съгласието.
  • Предлагайте реални алтернативи. Ако използвате модел „съгласие или плащане", платената алтернатива трябва да бъде наистина разумна — а не с цена, която наказва отказа.

2. Премахнете тъмните модели (dark patterns)

Тъмните модели при съгласието за бисквитки са конкретна мишена за регулаторите. EDPB издаде насоки относно заблуждаващите дизайнерски модели, а CNIL, Garante и други органи за защита на данните са налагали глоби именно за манипулативни интерфейси за съгласие.

Избягвайте тези модели:

  • Асиметрични бутони. „Приемам всички" като голям, цветен бутон, а „Управление на настройките" като малка текстова връзка. И двете опции трябва да бъдат еднакво видими. Няколко органа за защита на данните изрично изискват „Отхвърли всички" да бъде наличен на първото ниво със същата визуална тежест като „Приемам всички".
  • Объркващ език. „Продължи без приемане" срещу „Приеми и продължи" — когато и двата бутона изглеждат сходно, потребителите не могат бързо да ги различат. Използвайте ясни, недвусмислени етикети: „Приемам всички", „Отхвърли всички", „Персонализирай".
  • Скрити опции за отказ. Изискването потребителите да преминат през второ или трето ниво, за да отхвърлят бисквитки, докато „Приемам всички" е на един клик. CNIL глоби Google със 150 милиона евро отчасти заради тази практика.
  • Предварително маркирани превключватели. Превключватели за категории, които по подразбиране са „включени" за аналитика и маркетинг. Решението на Съда на ЕС по делото Planet49 изрично забранява това.
  • Заблуждаващи цветове. Зелено за „Приемам" и червено или сиво за „Отхвърли" внушава, че приемането е правилният избор, а отхвърлянето — грешка. Използвайте неутрален, последователен стил.
  • Засрамване при потвърждение. Език като „Не, благодаря, не ме интересува моето изживяване" за опцията за отказ е манипулативен и подкопава доброволния характер на съгласието.
  • Повтарящо се питане. Повторно показване на банера за съгласие при всяко посещение на страница, след като потребителят е отказал, с надеждата да го изтощите. След като потребителят е направил избор, уважете го.

3. Бъдете прозрачни

Информираното съгласие изисква потребителите да разбират с какво се съгласяват. Прозрачността не е свързана с количеството информация — тя е свързана с яснотата.

  • Използвайте ясен език. „Използваме бисквитки, за да проследяваме поведението ви при сърфиране в мрежата с рекламни цели" е ясно. „Използваме усъвършенствани технологии за анализ на данни, за да подобрим вашето персонализирано дигитално изживяване" не е.
  • Избройте всички бисквитки. Вашата политика за бисквитки трябва да включва пълен опис: име на бисквитката, доставчик, цел, тип (сесийна/постоянна, от първа/трета страна) и срок на валидност. Този опис трябва да се поддържа актуален.
  • Посочете третите страни поименно. Ако споделяте данни с рекламни мрежи, назовете ги. „Споделяме данни с нашите рекламни партньори" не е достатъчно. „Споделяме данни с Google Ads, Meta (Facebook) и LinkedIn" е прозрачно.
  • Обяснете последиците. Какво се случва, ако потребителят приеме аналитични бисквитки? Какво се случва, ако ги откаже? Потребителите трябва да разбират практическото въздействие на своя избор.

4. Предложете детайлен контрол

GDPR изисква съгласието да бъде „конкретно" — дадено поотделно за всяка цел. Вашият механизъм за съгласие трябва да предлага:

  • Превключватели по категории. Потребителите трябва да могат да приемат аналитични бисквитки, докато отхвърлят маркетингови бисквитки. Четирите стандартни категории (необходими, аналитични, маркетингови, предпочитания) са минимумът.
  • Преки пътища „Приемам всички" и „Отхвърли всички". Макар че се изисква детайлен контрол, предлагането на масови опции като преки пътища е едновременно законно и удобно за потребителя — стига детайлната опция да е също толкова достъпна.
  • Контрол по доставчик (препоръчителен, но невинаги задължителен). За максимална прозрачност обмислете да позволите на потребителите да виждат и контролират бисквитките по доставчик — например да приемат Google Analytics, докато отхвърлят Hotjar, или да приемат проследяването на LinkedIn, докато отхвърлят Facebook. Някои платформи за управление на съгласието наричат това детайлност „IAB TCF Level 2".

5. Направете оттеглянето толкова лесно, колкото даването на съгласие

Член 7(3) от GDPR е ясен: „Субектът на данните има право да оттегли съгласието си по всяко време. [...] Оттеглянето на съгласието трябва да е също толкова лесно, колкото и даването му."

Това изискване често се нарушава. Честите пропуски включват:

  • Липса на видим начин за промяна на предпочитанията за бисквитки, след като банерът е затворен.
  • Връзка „Настройки за бисквитки", скрита в политиката за поверителност, която самата е скрита в долния колонтитул.
  • Изискване потребителят да изтрие бисквитките от браузъра си, за да нулира предпочитанията (това не е механизъм за оттегляне — това е заобиколно решение).

Реализациите с най-добри практики включват:

  • Постоянна връзка „Настройки за бисквитки" в долния колонтитул на уебсайта.
  • Малка плаваща икона (често икона на бисквитка или щит), която отваря отново мениджъра за съгласие.
  • Раздел в настройките на профила на потребителя (за влезли потребители), където предпочитанията за бисквитки могат да се управляват.

Когато потребител оттегли съгласието си, трябва незабавно да спрете използването на съответните бисквитки. Изтрийте бисквитките от браузъра и спрете свързаните скриптове. Оттеглянето трябва да бъде реално, а не просто записано.

6. Съхранявайте записи за съгласието

Член 7(1) от GDPR: „Когато обработването се основава на съгласие, администраторът трябва да е в състояние да докаже, че субектът на данните е дал съгласие за обработването на своите лични данни."

Вашите записи за съгласие трябва да включват:

  • Времеви маркер за момента, в който е дадено или отказано съгласието.
  • Категории, приети и отхвърлени.
  • Версия на показания механизъм за съгласие (как е изглеждал банерът, какъв текст е бил показан). Ако промените банера си за съгласие, трябва да знаете с коя версия е взаимодействал всеки потребител.
  • Метод на съгласие (кой бутон е бил натиснат, кои опции са били избрани).
  • Анонимизиран идентификатор, свързващ записа с устройството или сесията (не името или имейла на потребителя — самият запис за съгласие не бива да се превръща в проблем за поверителността).

Съхранявайте тези записи от страна на сървъра. Бисквитка само от страна на клиента не е достатъчно доказателство — потребителят може да я изтрие и вие оставате без независим запис. Най-добрата практика е да регистрирате събитията за съгласие на вашия сървър и да ги съхранявате за срока, препоръчан от вашия орган за защита на данните (обикновено същия период като срока на валидност на бисквитките ви плюс разумен буфер).

7. Питайте отново след промени

Съгласието е конкретно за целите и бисквитките, за които е дадено. Ако добавите нови бисквитки, нови категории, нови доставчици от трети страни или значително промените начина, по който използвате съществуващите бисквитки, вече събраното съгласие може вече да не покрива новото обработване.

Питайте потребителите отново, когато:

  • Добавите нова категория бисквитки, която преди това не е била покрита.
  • Въведете нова услуга за проследяване от трета страна.
  • Промените целта на съществуващи бисквитки (например използване на аналитични данни за рекламни цели).
  • Изминало е значително време от последното съгласие (CNIL препоръчва не повече от 13 месеца).
  • Регулаторните изисквания се променят по начин, който засяга валидността на съществуващото съгласие.

Внедрете система за версии на съгласието. Присвоете номер на версия на вашата конфигурация за съгласие. Когато версията се промени (защото сте добавили или променили бисквитки), питайте отново потребителите, които са дали съгласие по предишна версия.

8. Тествайте A/B нивата на съгласие етично

Оптимизирането на вашето изживяване за съгласие е легитимно — тестване на различни оформления, формулировки и дизайн, за да откриете кое работи най-добре. Но „работи най-добре" трябва да означава „води до истински информирано съгласие с разумен процент", а не „максимизира кликванията върху приемане на всичко чрез манипулация".

Насоки за етично A/B тестване:

  • Всички варианти трябва да са съответстващи. Всяка версия, която тествате, трябва да отговаря на правните изисквания за валидно съгласие. Не можете да тествате съответстваща версия срещу несъответстваща, за да видите коя събира повече приемания.
  • Тествайте яснотата, а не манипулацията. Дали преформулирането на обяснението увеличава разбирането и оттам съгласието? Дали преместването на банера подобрява ангажираността? Това са легитимни тестове.
  • Не оптимизирайте за процента на „Приемам всички". Висок процент на приемане на всичко, постигнат чрез объркващ дизайн, не е успех — това е риск за съответствието. Оптимизирайте за процента на потребителите, които правят активен, информиран избор от какъвто и да е вид.
  • Наблюдавайте процентите на отказ. Ако промяна в дизайна драстично намалява отказите, запитайте се дали ги е намалила чрез яснота или чрез затрудняване.

9. Най-добри практики за техническо внедряване

Механизмът за съгласие не е просто компонент на потребителския интерфейс — той изисква правилно техническо внедряване, за да работи наистина.

Блокирайте скриптовете до получаване на съгласие

Най-критичното техническо изискване: несъществените скриптове не трябва да се изпълняват, докато потребителят не даде съгласие за съответната категория. Има няколко подхода:

  • Манипулация на типа на скрипта. Променете type="text/javascript" на type="text/plain" и добавете атрибут за данни, указващ категорията. Когато се даде съгласие, скрипт на мениджъра за съгласие връща типа обратно и задейства изпълнението.
  • Интеграция с мениджър на тагове. Използвайте мениджър на тагове (Google Tag Manager, Tealium и др.), който поддържа режими на съгласие. Таговете се конфигурират да се задействат само когато е налично съгласие за тяхната категория.
  • Рендиране от страна на сървъра. Включвайте таговете на скриптове в HTML на страницата само ако съгласието вече е записано (чрез проверка от страна на сървъра на бисквитката за съгласие). Това е най-надеждният подход, но изисква логика от страна на сървъра.

Обработвайте състоянието на съгласието правилно

  • Първо посещение (няма записано съгласие): Зареждайте само строго необходимите скриптове. Показвайте механизма за съгласие.
  • Повторно посещение (има записано съгласие): Прочетете бисквитката за съгласие. Заредете скриптовете, съответстващи на приетите категории. Не показвайте отново механизма за съгласие, освен ако не е дошло време за подновяване.
  • Оттеглено съгласие: Спрете всички скриптове в оттеглената категория. Изтрийте съответните бисквитки. Актуализирайте записа за съгласие.
  • Подновено съгласие: Третирайте като първо посещение за всички нови категории. Заредете незабавно вече приетите категории.

Тествайте задълбочено

  • Проверете, че не се задават несъществени бисквитки преди даване на съгласие. Използвайте инструментите за разработчици на браузъра (раздел Application > Cookies) за проверка.
  • Проверете, че скриптовете действително спират при оттегляне на съгласие — не само че бисквитката е изтрита, но и че скриптовете вече не се изпълняват.
  • Тествайте с изключен JavaScript. Механизмът за съгласие трябва да се влоши плавно и не бива да се зареждат скриптове за проследяване.
  • Тествайте на мобилни устройства. Механизмът за съгласие трябва да е напълно функционален и използваем на малки екрани.

10. Използвайте платформа за управление на съгласието (CMP)

Изграждането на напълно съответстващ механизъм за съгласие от нулата е възможно, но включва значителна текуща поддръжка. Платформата за управление на съгласието поема сложността вместо вас: събиране на съгласие, водене на записи, блокиране на скриптове, гео-таргетиране и регулаторни актуализации.

При оценка на CMP вземете предвид:

  • Автоматично сканиране на бисквитки. Открива ли CMP всички бисквитки на вашия сайт, или трябва да ги изброявате ръчно?
  • Блокиране на скриптове. Блокира ли CMP наистина скриптовете преди съгласие, или само показва банер?
  • Записи за съгласие. Съхранява ли CMP доказателство за съгласие от страна на сървъра?
  • Поддръжка на IAB TCF. Ако използвате програматична реклама, може да се изисква поддръжка на TCF 2.2.
  • Влияние върху производителността. Скриптът на CMP се зарежда на всяка страница. Колко е голям? Блокира ли рендирането?
  • Персонализиране. Можете ли да съгласувате банера за съгласие с дизайна на вашата марка?
  • Достъпност. Достъпен ли е самият механизъм за съгласие? Може ли да се навигира с клавиатура? Работи ли с екранни четци? Недостъпен банер за съгласие на уебсайт, който твърди, че държи на достъпността, изглежда зле.

Passiro сканира вашия уебсайт, за да идентифицира всички бисквитки и технологии за проследяване, категоризира ги автоматично и предоставя практически препоръки за вашето внедряване на съгласие — независимо дали го изграждате сами, или използвате CMP.

Обобщение: Контролен списък за съгласие

Бърза справка за оценка на вашето текущо внедряване на съгласие:

  1. Не се задават несъществени бисквитки преди даване на съгласие.
  2. Механизмът за съгласие предлага „Приемам всички" и „Отхвърли всички" с еднаква видимост.
  3. Потребителите могат да правят избор по категории (минимум: необходими, аналитични, маркетингови, предпочитания).
  4. Представената информация е ясна, конкретна и на разбираем език.
  5. Предварително маркирани квадратчета и превключватели не се използват за несъществени категории.
  6. Съществува постоянен, лесно достъпен метод за оттегляне или промяна на съгласието.
  7. Записите за съгласие се съхраняват от страна на сървъра с времеви маркери и подробности за категориите.
  8. Съгласието се подновява поне на всеки 13 месеца (или по-рано, ако използването на бисквитки се промени).
  9. Механизмът за съгласие е достъпен (може да се навигира с клавиатура, съвместим с екранни четци).
  10. Внедряването се тества редовно за съответствие (нови бисквитки, променени скриптове).

Доброто съгласие за бисквитки не е пречка за вашия бизнес. То е основа на доверието между вас и вашите потребители — и все повече е това, което отличава съответстващите бизнеси от онези, изправени пред регулаторни действия.

Вашият уебсайт съответства ли на правилата за бисквитки?

Сканирайте уебсайта си безплатно и намерете всички бисквитки за минути.

Сканирайте бисквитките си безплатно