Küpsiste poliitika: mis see on ja mida see peab sisaldama
Küpsiste poliitika on dokument, mis selgitab teie veebisaidi külastajatele, milliseid küpsiseid ja sarnaseid jälgimistehnoloogiaid teie sait kasutab, miks neid kasutatakse ja kuidas kasutajad saavad neid hallata. See on juriidiline nõue nii ePrivacy direktiivi kui ka GDPR-i alusel ning läbipaistva andmetöötluse nurgakivi.
See juhend käsitleb, mis on küpsiste poliitika, kuidas see erineb privaatsuspoliitikast, mida see peab kehtivate õigusaktide järgi sisaldama ja kuidas hoida see ajakohane.
Mis on küpsiste poliitika?
Küpsiste poliitika on eraldi dokument — kas iseseisev leht või selgelt eristatav osa teie privaatsuspoliitikast —, mis annab põhjaliku ülevaate teie veebisaidi küpsiste ja sarnaste tehnoloogiate (kohalik salvestus, sessioonisalvestus, pikslimärgid, veebimajakad, sõrmejälgede võtmine jms) kasutamisest.
Küpsiste poliitika nõude õiguslik alus tuleneb kahest omavahel seotud õigusaktist:
- ePrivacy direktiiv (2002/58/EÜ), artikkel 5(3) — nõuab, et kasutajatele antaks enne nõusoleku saamist "selget ja põhjalikku teavet" küpsiste eesmärkide kohta.
- GDPR, artiklid 12–14 — nõuavad läbipaistvust andmetöötluse osas, sealhulgas selle kohta, milliseid andmeid kogutakse, millistel eesmärkidel, kellega neid jagatakse ja kui kaua neid säilitatakse.
Koos nõuavad need õigusaktid teilt, et selgitaksite kasutajatele täpselt, milliseid jälgimistehnoloogiaid kasutate, ning annaksite neile nende tehnoloogiate üle sisulise kontrolli.
Küpsiste poliitika vs privaatsuspoliitika
Küpsiste poliitika ja privaatsuspoliitika on teineteist täiendavad, kuid eraldiseisvad dokumendid. Nende erinevuse mõistmine on oluline:
| Aspekt | Küpsiste poliitika | Privaatsuspoliitika |
|---|---|---|
| Ulatus | Konkreetselt küpsised ja jälgimistehnoloogiad | Kogu isikuandmete töötlus (vormid, kontod, ostud jne) |
| Õiguslik alus | ePrivacy direktiivi + GDPR-i läbipaistvusnõuded | GDPR artiklid 12–14 |
| Sisu fookus | Küpsiste nimed, eesmärgid, kestused, tüübid, kategooriad, kontrollimehhanismid | Andmekategooriad, õiguslikud alused, õigused, edastused, andmekaitseametnik, säilitamine |
| Formaat | Iseseisev leht või osa privaatsuspoliitikast | Iseseisev leht (kohustuslik) |
| Uuendamise sagedus | Alati, kui küpsised muutuvad (tööriistade, teenusepakkujate lisamine/eemaldamine) | Alati, kui andmetöötluse tavad muutuvad |
Võite lisada oma küpsiste poliitika privaatsuspoliitika osana, kuid see peab olema selgelt eristatav ja hõlpsasti leitav. Paljud organisatsioonid hoiavad selguse mõttes eraldi küpsiste poliitika lehte, kuna küpsistealane teave võib olla üsna üksikasjalik.
Teie küpsiste bänner peaks viitama teie küpsiste poliitikale. Kui küpsistealane teave on privaatsuspoliitika osa, peaks link suunama otse sellele osale — ärge sundige kasutajaid küpsistealase teabe leidmiseks kerima läbi lehekülgede kaupa asjasse mittepuutuvat privaatsusteavet.
Küpsiste poliitika juriidiline nõue
ePrivacy direktiiv nõuab kehtiva nõusoleku eeltingimusena "selget ja põhjalikku teavet". GDPR-i läbipaistvuse põhimõte (artikkel 5(1)(a)) ja teabenõuded (artiklid 13–14) nõuavad täiendavalt, et see teave oleks:
- Lühike, läbipaistev ja arusaadav (artikkel 12(1))
- Esitatud selges ja lihtsas keeles (artikkel 12(1))
- Hõlpsasti kättesaadav (artikkel 12(1))
- Esitatud tasuta (artikkel 12(5))
Praktikas tähendab see: teie küpsiste poliitika peab olema kirjutatud keeles, mida ka mittetehniline inimene mõistab, sellele peab viitama teie küpsiste bänner ja veebisaidi jalus ning see peab sisaldama konkreetset teavet iga teie saidil kasutatava küpsise kohta.
Mida küpsiste poliitika peab sisaldama
ePrivacy direktiivi, GDPR-i ning andmekaitseasutuste, sealhulgas ICO (Ühendkuningriik), CNIL (Prantsusmaa) ja artikli 29 töörühma juhiste kombineeritud nõuete põhjal peab teie küpsiste poliitika sisaldama järgmist teavet:
1. Milliseid küpsiseid te kasutate
Esitage täielik loend kõigist teie veebisaidil aktiivsetest küpsistest ja sarnastest tehnoloogiatest. See hõlmab nii teie enda koodi seatud küpsiseid (esimese osapoole) kui ka teie kasutatavate kolmandate osapoolte teenuste seatud küpsiseid (analüütikaplatvormid, reklaamivõrgud, sotsiaalmeedia vidinad, manustatud sisu, vestlusrobotid jne).
Iga küpsis tuleks tuvastada nime järgi. "Me kasutame analüütikaküpsiseid" ei ole piisav — peate loetlema konkreetsed küpsised: näiteks _ga, _gid, _gat Google Analyticsi puhul.
2. Iga küpsise eesmärk
Selgitage iga küpsise või seotud küpsiste rühma kohta lihtsas keeles, mida see teeb. Vältige tehnilist žargooni. Head eesmärgikirjeldused:
- "Salvestab teie küpsiste nõusoleku eelistused, et me ei küsiks seda igal külastusel uuesti."
- "Aitab meil loendada, kui palju inimesi meie veebisaiti külastab ja millised leheküljed on kõige populaarsemad."
- "Võimaldab meil kuvada teile teistel veebisaitidel teie huvidele vastavaid reklaame."
3. Esimese osapoole vs kolmanda osapoole
Näidake, kas iga küpsis seatakse teie veebisaidi poolt otse (esimese osapoole) või välise teenuse poolt (kolmanda osapoole). Kolmanda osapoole küpsiste puhul tuvastage teenusepakkuja ja viidake tema privaatsuspoliitikale. Kasutajatel on õigus teada mitte ainult seda, et nende andmeid kogutakse, vaid ka seda, kes seda teeb.
4. Kestus / aegumine
Märkige, kui kaua iga küpsis püsib. On kaks tüüpi:
- Sessiooniküpsised — kustutatakse, kui kasutaja sulgeb brauseri. Märkige see selgelt: "Sessioon (kustutatakse, kui sulgete brauseri)."
- Püsivad küpsised — jäävad kasutaja seadmesse kindlaks perioodiks. Märkige konkreetne kestus: "2 aastat", "30 päeva", "13 kuud". Ärge kasutage ebamääraseid väljendeid nagu "pikaajaline".
Andmekaitseasutused on küpsiste kestusi põhjalikult uurinud. Näiteks CNIL soovitab, et nõusolekuküpsised (küpsised, mis salvestavad kasutaja nõusolekuvaliku) ei ületaks 13 kuud.
5. Kuidas küpsiseid hallata ja kustutada
Selgitage, kuidas kasutajad saavad küpsiseid kahe mehhanismi kaudu hallata:
- Teie nõusolekubänner. Selgitage, et kasutajad saavad oma küpsiste eelistusi igal ajal muuta teie küpsiste seadete kaudu (märkige seadete lingi/ikooni asukoht).
- Brauseri seaded. Andke üldised juhised küpsiste haldamiseks levinud brauserites (Chrome, Firefox, Safari, Edge). Te ei pea andma samm-sammult juhiseid, kuid peaksite selgitama, et brauseri seaded on olemas, ja viitama iga brauseri asjakohastele tugilehtedele.
6. Kuidas nõusolekut tagasi võtta
GDPR-i artikkel 7(3) nõuab, et nõusoleku tagasivõtmine oleks sama lihtne kui selle andmine ning et kasutajaid teavitatakse sellest õigusest enne nõusoleku andmist. Teie küpsiste poliitika peab selgitama:
- Et kasutajal on õigus nõusolek igal ajal tagasi võtta.
- Kuidas seda teha (tavaliselt: klõpsata igal lehel nähtaval küpsiste seadete ikoonil/lingil või kustutada küpsised brauseri seadete kaudu).
- Et nõusoleku tagasivõtmine ei mõjuta enne tagasivõtmist nõusolekul põhineva töötluse seaduslikkust.
7. Küpsiste kategooriad
Korrastage küpsised standardsetesse kategooriatesse, mida kasutab teie nõusolekubänner. Kõige laialdasemalt kasutusel olev kategoriseerimine on:
- Rangelt vajalikud — küpsised, mis on vajalikud veebisaidi toimimiseks (sisselogimissessioonid, ostukorvid, turvatokenid). Need ei vaja ePrivacy direktiivi järgi nõusolekut.
- Eelistused / funktsionaalsed — küpsised, mis jätavad meelde kasutaja valikud (keel, piirkond, kuvaseaded). Need parandavad kasutuskogemust, kuid ei ole hädavajalikud.
- Analüütika / statistika — küpsised, mida kasutatakse anonüümsete kasutusandmete kogumiseks (lehekülgede vaatamised, liiklusallikad, kasutajakäitumise mustrid).
- Turundus / reklaam — küpsised, mida kasutatakse suunatud reklaami, taassuunamise ja reklaami mõõtmise jaoks.
Teie küpsiste poliitika kategooriad peaksid ühtima nõusolekubänneri kategooriatega. Nende kahe dokumendi vaheline ebajärjekindlus õõnestab läbipaistvust.
8. Kontaktandmed
Esitage kontaktandmed teie küpsistetavasid puudutavate küsimuste jaoks. See hõlmab tavaliselt:
- Vastutava töötleja andmed (teie ettevõtte nimi ja registreeritud aadress)
- E-posti aadress privaatsusega seotud päringute jaoks
- Andmekaitseametniku (DPO) kontaktandmed, kui olete sellise määranud
- Teie järelevalveasutus (asjakohane andmekaitseasutus)
Kus küpsiste poliitikat kuvada
Teie küpsiste poliitika peab olema hõlpsasti kättesaadav mitmest asukohast:
- Veebisaidi jalus. Link "Küpsiste poliitika" teie jaluses, nähtav igal lehel. See on standardne asukoht, mida kasutajad ootavad.
- Küpsiste bänner. Otselink teie küpsiste bännerist täielikule küpsiste poliitikale. See on juriidiline nõue — kasutajatel peab olema võimalus nõusolekuliidesest üksikasjalikule teabele ligi pääseda.
- Küpsiste seadete/eelistuste paneel. Teie nõusolekuliidese teine kiht peaks viitama küpsiste poliitikale nende kasutajate jaoks, kes soovivad rohkem teavet.
- Privaatsuspoliitika. Kui teie küpsiste poliitika on eraldi dokument, viidake sellele ristviitena oma privaatsuspoliitikast ja vastupidi.
Küpsistealase teabe esitamine
Kõige tõhusam ja läbipaistvam formaat üksikute küpsiste esitamiseks on tabel. Andmekaitseasutused, sealhulgas ICO, soovitavad seda formaati:
| Küpsise nimi | Teenusepakkuja | Eesmärk | Tüüp | Kestus |
|---|---|---|---|---|
_ga |
Google Analytics | Eristab unikaalseid külastajaid, määrates juhuslikult genereeritud numbri | Kolmas osapool, analüütika | 2 aastat |
_gid |
Google Analytics | Eristab unikaalseid külastajaid jooksva päeva jooksul | Kolmas osapool, analüütika | 24 tundi |
cookie_consent |
See veebisait | Salvestab teie küpsiste nõusoleku eelistused | Esimene osapool, vajalik | 12 kuud |
See formaat on selge, kiirelt haaratav ja annab kogu nõutava teabe ühe pilguga.
Kui sageli uuendada
Teie küpsiste poliitika peab olema alati täpne. Uuendage seda alati, kui:
- Lisate uue kolmanda osapoole teenuse, mis seab küpsiseid (uus analüütikatööriist, uus turundusplatvorm, uus vestlusrobot).
- Eemaldate teenuse, mis varem küpsiseid seadis.
- Kolmanda osapoole teenus muudab oma küpsiseid (uued nimed, uued kestused, uued eesmärgid).
- Muudate oma nõusolekubänneri kategooriaid.
- Regulatiivsed juhised muutuvad (uued nõuded, uued parimad tavad).
Lisage oma küpsiste poliitika ülaossa või alaossa "Viimati uuendatud" kuupäev. See näitab, et poliitikat hallatakse aktiivselt, ja aitab kasutajatel hinnata selle ajakohasust.
Väljakutse on muidugi teada, millal teie küpsised muutuvad. Kolmandate osapoolte teenused uuendavad oma jälgimist sageli ning küpsis, mis eksisteeris kolm kuud tagasi, võib olla asendatud või ümber nimetatud. Käsitsi auditid on ebausaldusväärsed, kuna need sõltuvad sellest, kas keegi mäletab kontrollida.
Poliitika täpsena hoidmine automaatse skannimise abil
Kõige levinum vastavusveaküpsiste poliitikates ei ole teabe puudumine — see on ebatäpne teave. Poliitika, mis loetleb küpsiseid, mida te enam ei kasuta, või mis ei maini hiljutise turundustööriista integreerimisega lisatud küpsiseid, ei ole vastavuses.
Automaatne küpsiste skannimine lahendab selle probleemi. Skanner külastab teie veebisaiti korrapäraste ajavahemike järel, tuvastab kõik seatud küpsised, võrdleb neid teie deklareeritud küpsistega ja hoiatab teid lahknevustest.
Passiro skannib automaatselt teie veebisaiti küpsiste tuvastamiseks, kategoriseerib need ja tõstab esile kõik deklareerimata küpsised, mis pole veel teie poliitikas kajastatud. See tähendab, et teie küpsiste poliitika püsib täpne ilma käsitsi audititeta. Lugege lähemalt Passiro automaatse küpsiste skannimise kohta.
Selles jaotises
Kas sinu veebisait vastab kupsiste reeglitele?
Skanni oma veebisaiti tasuta ja leia koik kupsised monikuminutiga.
Skanni oma kupsiseid tasuta