Skip to main content

Ресурси и речник за съответствие с изискванията за бисквитки

Съответствието с изискванията за бисквитки включва специализиран речник, произтичащ от регулациите на ЕС, законодателството за защита на данните и уеб технологиите. Този речник дефинира ключовите термини, с които ще се сблъскате, последван от подбрана колекция от официални ресурси и авторитетни справочни материали за по-нататъшно изучаване.

Речник на ключовите термини

А–К

CMP (Платформа за управление на съгласието): Софтуерен инструмент или услуга, която управлява събирането, съхранението и прилагането на потребителското съгласие за бисквитки и други технологии за проследяване. Обикновено една CMP предоставя интерфейса на банера за бисквитки, съхранява записите за съгласие и контролира кои скриптове могат да се изпълняват въз основа на изборите на потребителя. Примери включват Cookiebot, OneTrust, Usercentrics и решения с отворен код като Klaro.

CNIL (Commission Nationale de l'Informatique et des Libertés): Френският орган за защита на данните. CNIL е най-активният европейски регулатор в прилагането на правилата за бисквитки, налагайки най-големите свързани с бисквитки глоби и публикувайки най-подробните насоки за съответствие. Неговите тълкувания и действия по прилагане често задават стандарта, който следват другите органи за защита на данните.

Съгласие: В контекста на GDPR, свободно дадено, конкретно, информирано и недвусмислено изразяване на волята на субекта на данните, изразено чрез ясно утвърдително действие. За бисквитките това означава, че потребителят трябва активно да избере да разреши несъществените бисквитки чрез умишлено действие, например натискане на бутона „Приемам". Мълчанието, предварително отметнатите полета, бездействието и продължаването на сърфирането не представляват валидно съгласие.

Бисквитка: Малък текстов файл, поставен на устройството на потребителя от уебсайт. Бисквитките се използват за широк спектър от цели — от поддържане на сесии за вход (строго необходими) до проследяване на поведението при сърфиране в мрежата (реклама). Технически бисквитката представлява двойка име-стойност със свързани метаданни, включващи домейн, път, срок на валидност и флагове за сигурност.

Банер за бисквитки: Елемент от потребителския интерфейс (обикновено лента, модален прозорец или изскачащ прозорец), който се появява при първото посещение на потребител в даден уебсайт, информирайки го за използването на бисквитки от сайта и искайки неговото съгласие. Съвместимият банер за бисквитки предоставя ясна информация, предлага реален избор (приемане, отхвърляне, персонализиране) и не задава несъществени бисквитки, докато потребителят не отговори.

Политика за бисквитки: Документ (обикновено отделна уеб страница или раздел от политиката за поверителност), който предоставя подробна информация за всички бисквитки, използвани на даден уебсайт, включително техните имена, цели, видове, продължителност и трети страни доставчици, които ги задават. Политиката за бисквитки изпълнява задълженията за прозрачност по GDPR и изискването на Директивата за електронна поверителност за „ясна и изчерпателна информация".

Стена за бисквитки: Механизъм, който блокира достъпа до съдържанието на уебсайта, освен ако потребителят не се съгласи с всички бисквитки. Стените за бисквитки са спорни и тяхната законност варира в зависимост от юрисдикцията. EDPB заяви, че стените за бисквитки подкопават изискването за „свободно дадено" валидно съгласие, тъй като потребителят е изправен пред избор от типа „приеми или откажи". Някои национални органи за защита на данните (по-специално френският Държавен съвет) са позволили стени за бисквитки при ограничени условия, когато потребителят разполага с реален алтернативен начин за достъп до съдържанието.

Т–Е

Тъмен модел (dark pattern): Дизайнерски избор в потребителския интерфейс, който манипулира потребителите да вземат решения, които иначе не биха взели. В контекста на бисквитките тъмните модели включват: визуално открояване на бутона „Приемам", докато опцията „Отхвърляне" е скрита, използване на объркващ език, изискване на повече кликвания за отхвърляне, отколкото за приемане, и прилагане на тактики за засрамване при отказ. През февруари 2023 г. EDPB публикува конкретни насоки относно тъмните модели в интерфейсите за защита на данните.

Администратор на данни: Субектът, който определя целите и средствата за обработване на лични данни. За бисквитките, зададени от уебсайт, операторът на уебсайта обикновено е администраторът на данни. За бисквитките на трети страни може да съществува съвместно администриране между оператора на уебсайта и третата страна, в зависимост от степента, до която всяка страна влияе върху целите и средствата за събиране на данни.

Обработващ данни: Субект, който обработва лични данни от името на администратор на данни, следвайки указанията на администратора. Доставчик на хостинг услуги или доставчик на CMP, действащ единствено по указания на оператора на уебсайта, би бил обработващ данни. Разграничението има значение, тъй като администраторите носят основната отговорност за съответствието, докато обработващите трябва да спазват указанията на администратора и условията на споразумение за обработване на данни.

Субект на данните: Физическо лице, чиито лични данни се обработват. В контекста на бисквитките субектите на данните са посетителите на уебсайта, чиито данни се събират чрез бисквитки. Субектите на данните имат права по GDPR, включително право на достъп, коригиране, изтриване, ограничаване на обработването, преносимост на данните и право на възражение.

DPA (Орган за защита на данните): Независимият публичен орган, отговорен за наблюдението и прилагането на законодателството за защита на данните във всяка държава членка на ЕС. Органите за защита на данните имат правомощия да разследват жалби, да провеждат одити, да издават насоки и да налагат глоби. Всяка държава членка има поне един такъв орган (Германия има няколко, по един за всяка провинция плюс федералния BfDI). Примери: CNIL (Франция), Garante (Италия), ICO (Обединеното кралство), Datatilsynet (Дания/Норвегия).

DPO (Длъжностно лице по защита на данните): Лице, определено от администратор или обработващ данни, за да наблюдава съответствието с GDPR. GDPR изисква определени организации да назначат DPO, включително публични органи и организации, чиито основни дейности включват мащабно наблюдение на субекти на данни. Макар да не е пряко свързано с бисквитките, DPO обикновено наблюдава програмата на организацията за съответствие с изискванията за бисквитки.

EDPB (Европейски комитет по защита на данните): Независимият орган на ЕС, който осигурява последователно прилагане на GDPR и насърчава сътрудничеството между националните органи за защита на данните. EDPB (който замени Работната група по член 29) издава насоки, препоръки и обвързващи решения. Неговите насоки относно съгласието (Насоки 05/2020) и относно тъмните модели са ключови справочни материали за съответствието с изискванията за бисквитки.

Директива за електронна поверителност (Директива 2002/58/ЕО): Директивата на ЕС, уреждаща поверителността в електронните съобщения, включително използването на бисквитки. Член 5(3) е основното правно основание за изискването за съгласие за бисквитки. Като директива, тя трябва да бъде транспонирана в националното законодателство на всяка държава членка, което води до различия в прилагането. Предвижда се да бъде заменена от Регламента за електронна поверителност, който все още е в процес на договаряне.

П–G

Бисквитка от първа страна: Бисквитка, зададена от домейна, който потребителят посещава. Например, ако потребител посети example.com и example.com зададе бисквитка, това е бисквитка от първа страна. Бисквитките от първа страна обикновено се използват за основни функции (сесии, предпочитания) и анализ от първа страна. Те обикновено се считат за по-малко натрапчиви от бисквитките на трети страни, тъй като не могат да проследяват потребителите в различни уебсайтове.

GDPR (Общ регламент за защита на данните): Регламент (ЕС) 2016/679, всеобхватното законодателство на ЕС за защита на данните, влязло в сила от 25 май 2018 г. GDPR предоставя правната рамка за това какво представлява валидно съгласие (прилагано за бисквитки чрез препратката в Директивата за електронна поверителност), правата на субектите на данни, задълженията на администраторите и обработващите данни, както и режима на прилагане, включително глоби до 4% от годишния глобален оборот или 20 милиона евро.

GPC (Global Privacy Control): Сигнал на ниво браузър, който съобщава предпочитанието на потребителя да се откаже от продажбата или споделянето на своята лична информация. За разлика от по-стария сигнал Do Not Track (DNT), GPC има правна подкрепа съгласно CCPA/CPRA и няколко други закона за поверителност на щатове в САЩ. Когато потребител активира GPC в браузъра си, уебсайтовете, подчинени на тези закони, трябва да го третират като валидно искане за отказ. GPC се признава все повече и в Европа, макар че все още не е правно задължителен съгласно законодателството на ЕС.

Google Consent Mode: Функция на инфраструктурата за тагове на Google, която коригира поведението на таговете на Google (Analytics, Ads и др.) въз основа на статуса на съгласие, съобщен от CMP на уебсайта. Consent Mode v2, задължителен за персонализиране на рекламите в ЕИП от март 2024 г., въвежда параметрите ad_user_data и ad_personalization наред със съществуващите ad_storage и analytics_storage. Когато съгласието е отказано, таговете на Google коригират поведението си, за да избегнат задаването на бисквитки, макар че все още могат да изпращат ограничени пингове без бисквитки в зависимост от конфигурацията.

I–Л

IAB TCF (Interactive Advertising Bureau Transparency and Consent Framework): Разработена от индустрията рамка за управление на съгласието в екосистемата на цифровата реклама. TCF предоставя стандартизиран начин за CMP, рекламодателите и издателите да съобщават сигнали за съгласие по цялата верига на доставки в рекламните технологии. Версия 2.2 е настоящият стандарт. TCF се е сблъсквала с правни предизвикателства, по-специално решението на белгийския орган за защита на данните от 2022 г., че обработването на TC низа от IAB Europe представлява обработване на лични данни. Рамката остава широко използвана, но правният ѝ статус продължава да се развива.

Легитимен интерес: Едно от шестте законни основания за обработване на лични данни съгласно член 6(1)(е) от GDPR. Легитимният интерес изисква тест за балансиране между интересите на администратора и правата и свободите на субекта на данните. За бисквитките използването на легитимен интерес като законно основание е силно оспорвано. Преобладаващото европейско регулаторно становище е, че съгласието (а не легитимният интерес) е подходящото основание за несъществени бисквитки, тъй като Директивата за електронна поверителност изрично изисква съгласие за съхранение на устройството на потребителя.

О–П

Opt-in (изрично съгласие): Модел на съгласие, при който обработването на лични данни (или задаването на бисквитки) не се извършва, освен ако потребителят не предприеме утвърдително действие, за да го разреши. Моделът за бисквитки в ЕС е opt-in: няма несъществени бисквитки, докато потребителят не даде съгласие. Opt-in осигурява по-силна защита на поверителността, но изисква механизъм за съгласие, преди да започне каквото и да е проследяване.

Opt-out (отказ): Модел на съгласие, при който обработването на лични данни (или задаването на бисквитки) се извършва по подразбиране, а потребителят трябва да предприеме действие, за да го спре. Моделът за бисквитки в САЩ (съгласно CCPA и подобни закони на щати) обикновено е opt-out: проследяването се извършва, освен ако потребителят не възрази. Opt-out поставя тежестта на действието върху потребителя, а не върху оператора на уебсайта.

Постоянна бисквитка: Бисквитка, която остава на устройството на потребителя за определен период след затваряне на браузъра. Постоянните бисквитки се използват за запомняне на предпочитания, поддържане на сесии за вход между посещенията и проследяване на поведението във времето. Те имат зададена дата на изтичане и остават до преминаването на тази дата или до изтриването им от потребителя. Продължителността на постоянните бисквитки трябва да бъде пропорционална на тяхната цел.

Лични данни: Съгласно GDPR, всяка информация, свързана с идентифицирано или подлежащо на идентификация физическо лице. Това включва очевидни идентификатори (име, имейл) и по-малко очевидни такива (IP адреси, идентификатори на бисквитки, отпечатъци на устройства). Съображение 30 от GDPR изрично посочва, че онлайн идентификатори като идентификаторите на бисквитки могат да представляват лични данни. На практика почти всички бисквитки, които уникално идентифицират браузър или потребител, се квалифицират като лични данни.

Предварително съгласие: Съгласие, получено преди действието, което то разрешава. За бисквитките предварителното съгласие означава получаване на съгласието на потребителя, преди на устройството му да бъдат зададени каквито и да е несъществени бисквитки. Това е основно изискване на член 5(3) от Директивата за електронна поверителност. Задаването на бисквитки първо и искането на съгласие след това, или изтриването на бисквитки със задна дата, ако съгласието е отказано, не удовлетворява изискването за предварително съгласие.

С–Т

Сесийна бисквитка: Бисквитка, която съществува само за продължителността на браузърната сесия на потребителя и се изтрива при затваряне на браузъра. Сесийните бисквитки често се използват за поддържане на състоянието на вход, съдържанието на количката за пазаруване и други краткотрайни данни. Много сесийни бисквитки се квалифицират като строго необходими и следователно са освободени от изискването за съгласие, макар че това зависи от тяхната конкретна цел.

Строго необходима бисквитка: Бисквитка, която е от съществено значение за функционирането на уебсайта и за предоставянето на услуга, изрично поискана от потребителя. Строго необходимите бисквитки са освободени от изискването за съгласие съгласно член 5(3) от Директивата за електронна поверителност. Примери включват бисквитки за удостоверяване, бисквитки за сигурност (CSRF токени), бисквитки за балансиране на натоварването и бисквитки за предпочитания на потребителския интерфейс, които са от съществено значение за услугата. Аналитичните бисквитки, рекламните бисквитки и бисквитките за социални медии не са строго необходими, независимо колко полезни ги счита операторът на уебсайта.

Бисквитка на трета страна: Бисквитка, зададена от домейн, различен от този, който потребителят посещава. Например, ако потребител посети example.com и бисквитка бъде зададена от facebook.com (чрез вграден на example.com Facebook Pixel), бисквитката на Facebook е бисквитка на трета страна. Бисквитките на трети страни се използват основно за проследяване между сайтове и таргетирана реклама. Основните браузъри ограничават или премахват бисквитките на трети страни: Safari и Firefox вече ги блокират по подразбиране, а Chrome обяви планове за прекратяването им (макар че сроковете са се променяли многократно).

Проследяващ пиксел: Мъничко, невидимо изображение (обикновено 1x1 пиксел), вградено в уеб страница или имейл, което докладва обратно на сървър, когато бъде заредено. Макар технически да не е бисквитка, проследяващите пиксели са свързана технология за проследяване, която често работи заедно с бисквитките за проследяване на потребителското поведение. Те подлежат на същите изисквания за съгласие като бисквитките съгласно Директивата за електронна поверителност, тъй като включват достъп до информация на устройството на потребителя (HTTP заявката предава IP адреса на потребителя, информацията за браузъра и всички свързани бисквитки).

Официални ресурси

Законодателство и насоки на ЕС

Национални насоки за бисквитки от органите за защита на данните

Google Consent Mode

IAB Transparency and Consent Framework

Закони за поверителност в САЩ

Съдебна практика на СЕС

Допълнителна литература

Инструменти за съответствие с изискванията за бисквитки

Поддържането на съответствие с изискванията за бисквитки изисква правилните инструменти. Passiro предоставя автоматизирано сканиране на бисквитки, което обхожда целия ви уебсайт с помощта на истински браузърен енджин, идентифицира всички бисквитки и технологии за проследяване, категоризира ги чрез непрекъснато актуализирана база данни и следи за промени с планирани сканирания и известия. В комбинация с платформата за управление на съгласието на Passiro, това ви дава пълна и винаги актуална представа за състоянието на съответствието с изискванията за бисквитки на вашия уебсайт.

Научете повече за възможностите за сканиране на Passiro или извършете безплатно сканиране на вашия уебсайт, за да видите какви бисквитки задава вашият сайт днес.

Вашият уебсайт съответства ли на правилата за бисквитки?

Сканирайте уебсайта си безплатно и намерете всички бисквитки за минути.

Сканирайте бисквитките си безплатно