Ресурси и речник за съответствие с изискванията за бисквитки
Съответствието с изискванията за бисквитки включва специализиран речник, произтичащ от регулациите на ЕС, законодателството за защита на данните и уеб технологиите. Този речник дефинира ключовите термини, с които ще се сблъскате, последван от подбрана колекция от официални ресурси и авторитетни справочни материали за по-нататъшно изучаване.
Речник на ключовите термини
А–К
CMP (Платформа за управление на съгласието): Софтуерен инструмент или услуга, която управлява събирането, съхранението и прилагането на потребителското съгласие за бисквитки и други технологии за проследяване. Обикновено една CMP предоставя интерфейса на банера за бисквитки, съхранява записите за съгласие и контролира кои скриптове могат да се изпълняват въз основа на изборите на потребителя. Примери включват Cookiebot, OneTrust, Usercentrics и решения с отворен код като Klaro.
CNIL (Commission Nationale de l'Informatique et des Libertés): Френският орган за защита на данните. CNIL е най-активният европейски регулатор в прилагането на правилата за бисквитки, налагайки най-големите свързани с бисквитки глоби и публикувайки най-подробните насоки за съответствие. Неговите тълкувания и действия по прилагане често задават стандарта, който следват другите органи за защита на данните.
Съгласие: В контекста на GDPR, свободно дадено, конкретно, информирано и недвусмислено изразяване на волята на субекта на данните, изразено чрез ясно утвърдително действие. За бисквитките това означава, че потребителят трябва активно да избере да разреши несъществените бисквитки чрез умишлено действие, например натискане на бутона „Приемам". Мълчанието, предварително отметнатите полета, бездействието и продължаването на сърфирането не представляват валидно съгласие.
Бисквитка: Малък текстов файл, поставен на устройството на потребителя от уебсайт. Бисквитките се използват за широк спектър от цели — от поддържане на сесии за вход (строго необходими) до проследяване на поведението при сърфиране в мрежата (реклама). Технически бисквитката представлява двойка име-стойност със свързани метаданни, включващи домейн, път, срок на валидност и флагове за сигурност.
Банер за бисквитки: Елемент от потребителския интерфейс (обикновено лента, модален прозорец или изскачащ прозорец), който се появява при първото посещение на потребител в даден уебсайт, информирайки го за използването на бисквитки от сайта и искайки неговото съгласие. Съвместимият банер за бисквитки предоставя ясна информация, предлага реален избор (приемане, отхвърляне, персонализиране) и не задава несъществени бисквитки, докато потребителят не отговори.
Политика за бисквитки: Документ (обикновено отделна уеб страница или раздел от политиката за поверителност), който предоставя подробна информация за всички бисквитки, използвани на даден уебсайт, включително техните имена, цели, видове, продължителност и трети страни доставчици, които ги задават. Политиката за бисквитки изпълнява задълженията за прозрачност по GDPR и изискването на Директивата за електронна поверителност за „ясна и изчерпателна информация".
Стена за бисквитки: Механизъм, който блокира достъпа до съдържанието на уебсайта, освен ако потребителят не се съгласи с всички бисквитки. Стените за бисквитки са спорни и тяхната законност варира в зависимост от юрисдикцията. EDPB заяви, че стените за бисквитки подкопават изискването за „свободно дадено" валидно съгласие, тъй като потребителят е изправен пред избор от типа „приеми или откажи". Някои национални органи за защита на данните (по-специално френският Държавен съвет) са позволили стени за бисквитки при ограничени условия, когато потребителят разполага с реален алтернативен начин за достъп до съдържанието.
Т–Е
Тъмен модел (dark pattern): Дизайнерски избор в потребителския интерфейс, който манипулира потребителите да вземат решения, които иначе не биха взели. В контекста на бисквитките тъмните модели включват: визуално открояване на бутона „Приемам", докато опцията „Отхвърляне" е скрита, използване на объркващ език, изискване на повече кликвания за отхвърляне, отколкото за приемане, и прилагане на тактики за засрамване при отказ. През февруари 2023 г. EDPB публикува конкретни насоки относно тъмните модели в интерфейсите за защита на данните.
Администратор на данни: Субектът, който определя целите и средствата за обработване на лични данни. За бисквитките, зададени от уебсайт, операторът на уебсайта обикновено е администраторът на данни. За бисквитките на трети страни може да съществува съвместно администриране между оператора на уебсайта и третата страна, в зависимост от степента, до която всяка страна влияе върху целите и средствата за събиране на данни.
Обработващ данни: Субект, който обработва лични данни от името на администратор на данни, следвайки указанията на администратора. Доставчик на хостинг услуги или доставчик на CMP, действащ единствено по указания на оператора на уебсайта, би бил обработващ данни. Разграничението има значение, тъй като администраторите носят основната отговорност за съответствието, докато обработващите трябва да спазват указанията на администратора и условията на споразумение за обработване на данни.
Субект на данните: Физическо лице, чиито лични данни се обработват. В контекста на бисквитките субектите на данните са посетителите на уебсайта, чиито данни се събират чрез бисквитки. Субектите на данните имат права по GDPR, включително право на достъп, коригиране, изтриване, ограничаване на обработването, преносимост на данните и право на възражение.
DPA (Орган за защита на данните): Независимият публичен орган, отговорен за наблюдението и прилагането на законодателството за защита на данните във всяка държава членка на ЕС. Органите за защита на данните имат правомощия да разследват жалби, да провеждат одити, да издават насоки и да налагат глоби. Всяка държава членка има поне един такъв орган (Германия има няколко, по един за всяка провинция плюс федералния BfDI). Примери: CNIL (Франция), Garante (Италия), ICO (Обединеното кралство), Datatilsynet (Дания/Норвегия).
DPO (Длъжностно лице по защита на данните): Лице, определено от администратор или обработващ данни, за да наблюдава съответствието с GDPR. GDPR изисква определени организации да назначат DPO, включително публични органи и организации, чиито основни дейности включват мащабно наблюдение на субекти на данни. Макар да не е пряко свързано с бисквитките, DPO обикновено наблюдава програмата на организацията за съответствие с изискванията за бисквитки.
EDPB (Европейски комитет по защита на данните): Независимият орган на ЕС, който осигурява последователно прилагане на GDPR и насърчава сътрудничеството между националните органи за защита на данните. EDPB (който замени Работната група по член 29) издава насоки, препоръки и обвързващи решения. Неговите насоки относно съгласието (Насоки 05/2020) и относно тъмните модели са ключови справочни материали за съответствието с изискванията за бисквитки.
Директива за електронна поверителност (Директива 2002/58/ЕО): Директивата на ЕС, уреждаща поверителността в електронните съобщения, включително използването на бисквитки. Член 5(3) е основното правно основание за изискването за съгласие за бисквитки. Като директива, тя трябва да бъде транспонирана в националното законодателство на всяка държава членка, което води до различия в прилагането. Предвижда се да бъде заменена от Регламента за електронна поверителност, който все още е в процес на договаряне.
П–G
Бисквитка от първа страна: Бисквитка, зададена от домейна, който потребителят посещава. Например, ако потребител посети example.com и example.com зададе бисквитка, това е бисквитка от първа страна. Бисквитките от първа страна обикновено се използват за основни функции (сесии, предпочитания) и анализ от първа страна. Те обикновено се считат за по-малко натрапчиви от бисквитките на трети страни, тъй като не могат да проследяват потребителите в различни уебсайтове.
GDPR (Общ регламент за защита на данните): Регламент (ЕС) 2016/679, всеобхватното законодателство на ЕС за защита на данните, влязло в сила от 25 май 2018 г. GDPR предоставя правната рамка за това какво представлява валидно съгласие (прилагано за бисквитки чрез препратката в Директивата за електронна поверителност), правата на субектите на данни, задълженията на администраторите и обработващите данни, както и режима на прилагане, включително глоби до 4% от годишния глобален оборот или 20 милиона евро.
GPC (Global Privacy Control): Сигнал на ниво браузър, който съобщава предпочитанието на потребителя да се откаже от продажбата или споделянето на своята лична информация. За разлика от по-стария сигнал Do Not Track (DNT), GPC има правна подкрепа съгласно CCPA/CPRA и няколко други закона за поверителност на щатове в САЩ. Когато потребител активира GPC в браузъра си, уебсайтовете, подчинени на тези закони, трябва да го третират като валидно искане за отказ. GPC се признава все повече и в Европа, макар че все още не е правно задължителен съгласно законодателството на ЕС.
Google Consent Mode: Функция на инфраструктурата за тагове на Google, която коригира поведението на таговете на Google (Analytics, Ads и др.) въз основа на статуса на съгласие, съобщен от CMP на уебсайта. Consent Mode v2, задължителен за персонализиране на рекламите в ЕИП от март 2024 г., въвежда параметрите ad_user_data и ad_personalization наред със съществуващите ad_storage и analytics_storage. Когато съгласието е отказано, таговете на Google коригират поведението си, за да избегнат задаването на бисквитки, макар че все още могат да изпращат ограничени пингове без бисквитки в зависимост от конфигурацията.
I–Л
IAB TCF (Interactive Advertising Bureau Transparency and Consent Framework): Разработена от индустрията рамка за управление на съгласието в екосистемата на цифровата реклама. TCF предоставя стандартизиран начин за CMP, рекламодателите и издателите да съобщават сигнали за съгласие по цялата верига на доставки в рекламните технологии. Версия 2.2 е настоящият стандарт. TCF се е сблъсквала с правни предизвикателства, по-специално решението на белгийския орган за защита на данните от 2022 г., че обработването на TC низа от IAB Europe представлява обработване на лични данни. Рамката остава широко използвана, но правният ѝ статус продължава да се развива.
Легитимен интерес: Едно от шестте законни основания за обработване на лични данни съгласно член 6(1)(е) от GDPR. Легитимният интерес изисква тест за балансиране между интересите на администратора и правата и свободите на субекта на данните. За бисквитките използването на легитимен интерес като законно основание е силно оспорвано. Преобладаващото европейско регулаторно становище е, че съгласието (а не легитимният интерес) е подходящото основание за несъществени бисквитки, тъй като Директивата за електронна поверителност изрично изисква съгласие за съхранение на устройството на потребителя.
О–П
Opt-in (изрично съгласие): Модел на съгласие, при който обработването на лични данни (или задаването на бисквитки) не се извършва, освен ако потребителят не предприеме утвърдително действие, за да го разреши. Моделът за бисквитки в ЕС е opt-in: няма несъществени бисквитки, докато потребителят не даде съгласие. Opt-in осигурява по-силна защита на поверителността, но изисква механизъм за съгласие, преди да започне каквото и да е проследяване.
Opt-out (отказ): Модел на съгласие, при който обработването на лични данни (или задаването на бисквитки) се извършва по подразбиране, а потребителят трябва да предприеме действие, за да го спре. Моделът за бисквитки в САЩ (съгласно CCPA и подобни закони на щати) обикновено е opt-out: проследяването се извършва, освен ако потребителят не възрази. Opt-out поставя тежестта на действието върху потребителя, а не върху оператора на уебсайта.
Постоянна бисквитка: Бисквитка, която остава на устройството на потребителя за определен период след затваряне на браузъра. Постоянните бисквитки се използват за запомняне на предпочитания, поддържане на сесии за вход между посещенията и проследяване на поведението във времето. Те имат зададена дата на изтичане и остават до преминаването на тази дата или до изтриването им от потребителя. Продължителността на постоянните бисквитки трябва да бъде пропорционална на тяхната цел.
Лични данни: Съгласно GDPR, всяка информация, свързана с идентифицирано или подлежащо на идентификация физическо лице. Това включва очевидни идентификатори (име, имейл) и по-малко очевидни такива (IP адреси, идентификатори на бисквитки, отпечатъци на устройства). Съображение 30 от GDPR изрично посочва, че онлайн идентификатори като идентификаторите на бисквитки могат да представляват лични данни. На практика почти всички бисквитки, които уникално идентифицират браузър или потребител, се квалифицират като лични данни.
Предварително съгласие: Съгласие, получено преди действието, което то разрешава. За бисквитките предварителното съгласие означава получаване на съгласието на потребителя, преди на устройството му да бъдат зададени каквито и да е несъществени бисквитки. Това е основно изискване на член 5(3) от Директивата за електронна поверителност. Задаването на бисквитки първо и искането на съгласие след това, или изтриването на бисквитки със задна дата, ако съгласието е отказано, не удовлетворява изискването за предварително съгласие.
С–Т
Сесийна бисквитка: Бисквитка, която съществува само за продължителността на браузърната сесия на потребителя и се изтрива при затваряне на браузъра. Сесийните бисквитки често се използват за поддържане на състоянието на вход, съдържанието на количката за пазаруване и други краткотрайни данни. Много сесийни бисквитки се квалифицират като строго необходими и следователно са освободени от изискването за съгласие, макар че това зависи от тяхната конкретна цел.
Строго необходима бисквитка: Бисквитка, която е от съществено значение за функционирането на уебсайта и за предоставянето на услуга, изрично поискана от потребителя. Строго необходимите бисквитки са освободени от изискването за съгласие съгласно член 5(3) от Директивата за електронна поверителност. Примери включват бисквитки за удостоверяване, бисквитки за сигурност (CSRF токени), бисквитки за балансиране на натоварването и бисквитки за предпочитания на потребителския интерфейс, които са от съществено значение за услугата. Аналитичните бисквитки, рекламните бисквитки и бисквитките за социални медии не са строго необходими, независимо колко полезни ги счита операторът на уебсайта.
Бисквитка на трета страна: Бисквитка, зададена от домейн, различен от този, който потребителят посещава. Например, ако потребител посети example.com и бисквитка бъде зададена от facebook.com (чрез вграден на example.com Facebook Pixel), бисквитката на Facebook е бисквитка на трета страна. Бисквитките на трети страни се използват основно за проследяване между сайтове и таргетирана реклама. Основните браузъри ограничават или премахват бисквитките на трети страни: Safari и Firefox вече ги блокират по подразбиране, а Chrome обяви планове за прекратяването им (макар че сроковете са се променяли многократно).
Проследяващ пиксел: Мъничко, невидимо изображение (обикновено 1x1 пиксел), вградено в уеб страница или имейл, което докладва обратно на сървър, когато бъде заредено. Макар технически да не е бисквитка, проследяващите пиксели са свързана технология за проследяване, която често работи заедно с бисквитките за проследяване на потребителското поведение. Те подлежат на същите изисквания за съгласие като бисквитките съгласно Директивата за електронна поверителност, тъй като включват достъп до информация на устройството на потребителя (HTTP заявката предава IP адреса на потребителя, информацията за браузъра и всички свързани бисквитки).
Официални ресурси
Законодателство и насоки на ЕС
- Пълен текст на GDPR — Регламент (ЕС) 2016/679 на EUR-Lex
- Пълен текст на Директивата за електронна поверителност — Директива 2002/58/ЕО на EUR-Lex
- Изменение на Директивата за електронна поверителност (2009 г.) — Директива 2009/136/ЕО
- Насоки на EDPB — Всички насоки, включително Насоки 05/2020 относно съгласието
- Обществени консултации на EDPB — Включително насоките относно тъмните модели
Национални насоки за бисквитки от органите за защита на данните
- Насоки за бисквитки на CNIL (Франция) — Най-подробните национални насоки за бисквитки, включително критериите за освобождаване при измерване на аудиторията
- Насоки за бисквитки на Garante (Италия) — Всеобхватни насоки от 2021 г. с конкретни изисквания за банери
- Насоки за бисквитки на ICO (Обединеното кралство) — Подробни практически насоки, все още силно релевантни за съответствието с ЕС въпреки Брекзит
- Datatilsynet (Дания) — Насоки и решения на датския орган за защита на данните
- BfDI (Германия) — Федерален комисар по защита на данните
Google Consent Mode
- Документация на Google Consent Mode — Официално ръководство за внедряване
- Изисквания на Google Consent Mode v2 — Изисквания за ЕИП за Google Ads
- Разширена настройка на Consent Mode — Технически детайли за внедряване
IAB Transparency and Consent Framework
- Общ преглед на IAB Europe TCF — Документация на рамката и списък с доставчици
- Спецификации на TCF 2.2 — Техническа спецификация за внедряващите CMP
Закони за поверителност в САЩ
- Страница на CCPA на Главния прокурор на Калифорния — Официални ресурси за CCPA/CPRA
- Агенция за защита на поверителността на Калифорния — Регулации и прилагане на CPRA
- Global Privacy Control (GPC) — Спецификация и поддръжка от браузъри
Съдебна практика на СЕС
- Planet49 (Дело C-673/17) — Предварително отметнатите полета не представляват валидно съгласие
- IAB Europe TCF (Дело C-604/22) — TC низът представлява лични данни
Допълнителна литература
- W3C Tracking Preference Expression (DNT) — Информация за Do Not Track и неговите наследствени технологии
- RFC 6265: HTTP State Management Mechanism — Техническата спецификация за бисквитки
- MDN: Използване на HTTP бисквитки — Всеобхватен справочник за разработчици
- Обяснение на SameSite бисквитките — Разбиране на атрибута SameSite и въздействието му върху бисквитките на трети страни
- Google Privacy Sandbox — Инициативата на Google за замяна на бисквитките на трети страни с алтернативи, запазващи поверителността
Инструменти за съответствие с изискванията за бисквитки
Поддържането на съответствие с изискванията за бисквитки изисква правилните инструменти. Passiro предоставя автоматизирано сканиране на бисквитки, което обхожда целия ви уебсайт с помощта на истински браузърен енджин, идентифицира всички бисквитки и технологии за проследяване, категоризира ги чрез непрекъснато актуализирана база данни и следи за промени с планирани сканирания и известия. В комбинация с платформата за управление на съгласието на Passiro, това ви дава пълна и винаги актуална представа за състоянието на съответствието с изискванията за бисквитки на вашия уебсайт.
Научете повече за възможностите за сканиране на Passiro или извършете безплатно сканиране на вашия уебсайт, за да видите какви бисквитки задава вашият сайт днес.
Вашият уебсайт съответства ли на правилата за бисквитки?
Сканирайте уебсайта си безплатно и намерете всички бисквитки за минути.
Сканирайте бисквитките си безплатно