Skip to main content

Как да напишете политика за бисквитките: ръководство стъпка по стъпка

Една политика за бисквитките струва толкова, колкото са нейната точност и яснота. Това ръководство ще ви преведе през процеса на създаване на политика за бисквитките, която отговаря на правните изисквания, служи на вашите потребители и остава точна с течение на времето. Следвайте тези девет стъпки, за да изготвите политика, която е изчерпателна, прозрачна и лесна за поддръжка.

Стъпка 1: Направете одит на своите бисквитки

Преди да можете да пишете за своите бисквитки, трябва да знаете точно кои бисквитки задава вашият уебсайт. Това е основата на цялата ви политика — и стъпката, която повечето организации допускат погрешно.

Един задълбочен одит на бисквитките включва:

  1. Сканиране на всяка страница. Бисквитките могат да се различават между страниците. Началната ви страница може да задава различни бисквитки от страницата за плащане, блога или страниците на профила. Пълният одит трябва да обхваща всички видове страници.
  2. Улавяне на бисквитки от първа и трета страна. Бисквитките от първа страна се задават от вашия собствен домейн. Бисквитките от трета страна се задават от външни услуги — платформи за анализ, рекламни мрежи, widget-и за социални мрежи, вградени видеа, чат widget-и, платежни оператори и други.
  3. Идентифициране на съхранение извън бисквитките. Съвременните уебсайтове използват също localStorage, sessionStorage, IndexedDB и pixel тагове. Една изчерпателна политика обхваща всички механизми за съхранение от страна на клиента, а не само HTTP бисквитките.
  4. Тестване със и без съгласие. Някои бисквитки се задават независимо от съгласието (строго необходими бисквитки). Други трябва да се появяват само след предоставяне на съгласие. Вашият одит трябва да провери дали несъществените бисквитки действително са блокирани до момента на даване на съгласие.

Ръчните одити са ненадеждни. Ръчното отваряне на инструментите за разработчици в браузъра на няколко страници ще пропусне бисквитки, задавани от скриптове на трети страни, които се зареждат асинхронно, бисквитки, задавани само при определени действия на потребителя, и бисквитки, които се появяват само при последващи посещения. Използвайте автоматизирани инструменти за сканиране, за да получите пълна картина.

Автоматизираният скенер за бисквитки на Passiro обхожда целия ви уебсайт, идентифицира всяка бисквитка и механизъм за съхранение и предоставя категоризиран доклад — идеалната отправна точка за вашата политика.

Стъпка 2: Категоризирайте всяка бисквитка

След като разполагате с пълен списък на бисквитките, организирайте ги в стандартни категории. Най-широко приетата категоризация, използвана от IAB Transparency and Consent Framework и препоръчвана от повечето органи за защита на данните, е:

Строго необходими

Бисквитки, без които уебсайтът не може да функционира. Примери: сесийни бисквитки за състоянието на вход, бисквитки за количката за пазаруване, токени за CSRF защита, бисквитки за балансиране на натоварването, бисквитки за предпочитанията за съгласие за бисквитки. Те са освободени от изискването за съгласие съгласно член 5, параграф 3 от Директивата за електронна поверителност (ePrivacy), но все пак трябва да ги разкриете във вашата политика.

Предпочитания / Функционални

Бисквитки, които осигуряват разширена функционалност и персонализация. Примери: избор на език, предпочитание за регион/валута, настройки за размер на шрифта, наскоро прегледани елементи. Те не са строго необходими — сайтът би функционирал и без тях — но подобряват потребителското изживяване. Изискват съгласие.

Анализ / Статистика

Бисквитки, използвани за събиране на данни за това как посетителите взаимодействат с уебсайта. Примери: бисквитки на Google Analytics (_ga, _gid), сесийни бисквитки на Hotjar, Plausible Analytics. Те изискват съгласие в повечето юрисдикции на ЕС, макар че някои органи за защита на данните (по-специално френската CNIL) са създали ограничени изключения за инструменти за измерване на аудиторията, които отговарят на строги условия.

Маркетинг / Реклама

Бисквитки, използвани за таргетирана реклама, ретаргетиране и измерване на ефективността на рекламите. Примери: Google Ads (_gcl_*), Meta Pixel (_fbp), LinkedIn Insight Tag, бисквитки на рекламни мрежи. Те винаги изискват съгласие и са най-внимателно проверяваната категория.

За всяка бисквитка задайте категория и проверете дали категоризацията е точна. Често срещана грешка е категоризирането на бисквитки за анализ или маркетинг като „функционални", за да се избегне изискването за съгласие — това не съответства на изискванията и лесно се открива от регулаторите.

Стъпка 3: Напишете въведението

Вашата политика за бисквитките трябва да започва с кратко въведение, което обхваща:

  • Кои сте вие. Юридическото лице, което управлява уебсайта (име на дружеството, регистриран адрес).
  • Какво обхваща този документ. „Тази политика за бисквитките обяснява как [име на дружеството] използва бисквитки и подобни технологии на [URL на уебсайта]."
  • Кога е актуализирана за последно. Включете видима дата.
  • Как да се свържете с вас. Предоставете имейл за контакт и, ако е приложимо, данните за вашето длъжностно лице по защита на данните.

Ограничете въведението до две-три изречения. Потребителите са тук за конкретна информация, а не за корпоративен предговор.

Стъпка 4: Обяснете какво представляват бисквитките

Включете кратко, нетехническо обяснение какво представляват бисквитките. Много от вашите посетители няма да знаят. Добро обяснение е:

Бисквитките са малки текстови файлове, които се съхраняват на вашето устройство (компютър, таблет или телефон), когато посещавате уебсайт. Те се използват широко, за да работят уебсайтовете, да подобряват ефективността и да предоставят информация на собствениците на уебсайтове. Бисквитките, задавани от уебсайта, който посещавате, се наричат „бисквитки от първа страна". Бисквитките, задавани от други компании (например услуги за анализ или реклама), се наричат „бисквитки от трета страна".

Ако вашият сайт използва технологии извън HTTP бисквитките — като localStorage, pixel тагове или fingerprinting — споменете и тях. „В тази политика използваме термина „бисквитки", за да обозначим бисквитки и подобни технологии, освен ако не е посочено друго."

Стъпка 5: Изброете бисквитките в таблична форма

Представете своите бисквитки в структурирана таблица, организирана по категории. За всяка бисквитка включете:

Поле Описание Пример
Име Техническото име на бисквитката _ga
Доставчик Кой задава тази бисквитка Google Analytics (google.com)
Предназначение Какво прави бисквитката, на разбираем език Генерира уникален идентификатор за записване на статистически данни за това как използвате уебсайта
Тип От първа или трета страна; HTTP бисквитка, localStorage и др. HTTP бисквитка от трета страна
Продължителност Колко дълго се пази бисквитката 2 години

Ето пример за добре структурирана таблица с бисквитки за категорията анализ:

Име на бисквитката Доставчик Предназначение Тип Продължителност
_ga Google Analytics Присвоява уникален идентификатор за разграничаване на посетителите и съставяне на статистически отчети Трета страна 2 години
_gid Google Analytics Присвоява уникален идентификатор за всяка сесия на разглеждане с цел съставяне на статистически отчети Трета страна 24 часа
_gat_UA-* Google Analytics Ограничава скоростта на събиране на данни на сайтове с висок трафик Трета страна 1 минута

Повторете тази таблица за всяка категория: Строго необходими, Предпочитания, Анализ и Маркетинг.

Стъпка 6: Опишете всяка категория

Преди всяка таблица с бисквитки предоставете кратко описание на категорията:

  • Какво правят бисквитките в тази категория — в общи линии.
  • Дали е необходимо съгласие — строго необходимите бисквитки не изискват съгласие; всички останали изискват.
  • Какво се случва, ако потребителят откаже — „Ако откажете бисквитките за анализ, няма да събираме данни за вашите посещения. Уебсайтът ще функционира нормално."

Тази контекстуална информация помага на потребителите да вземат информирани решения и отговаря на изискванията за прозрачност на GDPR.

Стъпка 7: Обяснете как потребителите могат да управляват бисквитките

Този раздел трябва да обхваща два механизма за управление:

Чрез вашия банер за съгласие

Обяснете, че потребителите могат да управляват предпочитанията си за бисквитки по всяко време, като кликнат върху вашата връзка или икона за настройки на бисквитките. Опишете къде да я намерят (напр. „Кликнете върху иконата за бисквитки в долния ляв ъгъл на всяка страница" или „Кликнете върху „Настройки на бисквитките" в долния колонтитул"). Бъдете конкретни — не казвайте просто „чрез нашия банер за бисквитки".

Чрез настройките на браузъра

Предоставете връзки към инструкции за управление на бисквитките за основните браузъри:

Отбележете последствието: „Моля, имайте предвид, че деактивирането на бисквитките чрез настройките на вашия браузър може да засегне функционалността на този и на други уебсайтове, които посещавате."

Стъпка 8: Добавете информация за контакт и данни за длъжностното лице по защита на данните

Предоставете ясна информация за контакт при запитвания, свързани с поверителността:

  • Идентичност на администратора на данни: Име на дружеството, регистриран адрес, регистрационен номер.
  • Имейл за контакт по въпроси на поверителността: Наблюдаван имейл адрес (напр. [email protected]).
  • Длъжностно лице по защита на данните: Ако сте назначили длъжностно лице по защита на данните (задължително за определени организации съгласно член 37 от GDPR), предоставете неговото име и данни за контакт.
  • Надзорен орган: Посочете съответния орган за защита на данните и предоставете връзка към неговия механизъм за подаване на жалби. Например: „Имате право да подадете жалба до [име на органа] на [URL]."

Стъпка 9: Поставете дата на политиката и планирайте актуализации

Включете ясна дата „Последна актуализация". Ангажирайте се да преглеждате и актуализирате политиката на редовни интервали и всеки път, когато използването на бисквитки се промени.

Помислете за добавяне на изявление като: „Ние преглеждаме тази политика за бисквитките редовно и ще я актуализираме при необходимост. Всички съществени промени ще бъдат съобщени чрез съобщение на нашия уебсайт."

На практика планирайте поне тримесечен преглед. Услугите на трети страни често променят своите бисквитки и дори незначителна актуализация на интеграция може да въведе нови бисквитки, които трябва да бъдат декларирани.

Често срещани грешки, които да избягвате

Дори внимателно написани политики за бисквитките често съдържат следните грешки:

  • Неясни описания на предназначението. „Тази бисквитка подобрява вашето изживяване" не казва нищо на потребителя. Бъдете конкретни: какви данни събира бисквитката и за какво се използват?
  • Остарели списъци с бисквитки. Ако вашата политика изброява бисквитки от инструмент, който сте премахнали преди шест месеца, или не изброява бисквитки от инструмент, който сте добавили миналата седмица, тя е неточна. Неточното разкриване подкопава прозрачността.
  • Липсващи бисквитки от трети страни. Много организации изброяват своите собствени бисквитки, но забравят да документират бисквитките от трети страни, задавани от вградено съдържание (видеа от YouTube, бутони за социални мрежи, чат widget-и и др.). Те често са най-инвазивните за поверителността бисквитки на сайта.
  • Грешки в категоризацията. Класифициране на маркетингови или аналитични бисквитки като „функционални" или „необходими", за да се избегне изискването за съгласие. Органите за защита на данните специално търсят това.
  • Липса на механизъм за промяна на предпочитанията. Заявяване, че потребителите могат да управляват своите предпочитания, но без предоставяне на ясно описан, винаги наличен механизъм за това.
  • Копиране на шаблон без персонализация. Общи шаблони за политика за бисквитките, които не отразяват вашите действителни бисквитки, вашите действителни услуги или вашата действителна обработка на данни. Шаблонът е отправна точка, а не завършен документ.
  • Недостъпен език. Правен жаргон, техническа терминология и ненужно сложни изречения. GDPR изисква ясен и разбираем език. Пишете за неспециализирана аудитория.

Синхронизиране на вашата политика с действителните бисквитки

Най-трудната част от поддържането на политика за бисквитките не е написването ѝ — а поддържането ѝ точна. Уебсайтовете са динамични. Маркетинговите екипи добавят нови инструменти, разработчиците интегрират нови услуги, системите за управление на съдържание инсталират приставки с възможности за проследяване. Всяка промяна може да въведе бисквитки, които вашата политика не споменава.

Решението е автоматизирано, непрекъснато наблюдение. Вместо да разчитате на ръчни одити (които са редки, непълни и податливи на грешки), използвайте инструмент за сканиране, който редовно обхожда вашия уебсайт, идентифицира всички активни бисквитки и ги сравнява с декларирания от вас списък с бисквитки.

Passiro сканира вашия уебсайт автоматично, открива недекларирани бисквитки и ви уведомява, когато вашата политика се нуждае от актуализация. Това гарантира, че вашата политика за бисквитките винаги отразява реалността — а не моментна снимка от последния път, когато някой се е сетил да провери. Научете повече за автоматизираното съответствие за бисквитки на Passiro.

Вашият уебсайт съответства ли на правилата за бисквитки?

Сканирайте уебсайта си безплатно и намерете всички бисквитки за минути.

Сканирайте бисквитките си безплатно