Skip to main content

Piškotkova politika: kaj je in kaj mora vsebovati

Piškotkova politika je dokument, ki obiskovalcem vaše spletne strani pojasnjuje, katere piškotke in podobne tehnologije sledenja vaša stran uporablja, zakaj jih uporablja in kako lahko uporabniki nad njimi izvajajo nadzor. Gre za zakonsko zahtevo tako po Direktivi o zasebnosti in elektronskih komunikacijah (ePrivacy) kot po GDPR ter za temelj preglednega obdelovanja podatkov.

Ta vodnik obravnava, kaj je piškotkova politika, kako se razlikuje od politike zasebnosti, kaj mora vsebovati po veljavnih predpisih in kako jo sčasoma ohranjati točno.

Kaj je piškotkova politika?

Piškotkova politika je namenski dokument — bodisi samostojna stran bodisi jasno prepoznaven razdelek znotraj vaše politike zasebnosti —, ki podaja izčrpne informacije o uporabi piškotkov in podobnih tehnologij (lokalno shranjevanje, shranjevanje seje, slikovne značke, spletni svetilniki, prstni odtis in podobno) na vaši spletni strani.

Pravna podlaga za zahtevo po piškotkovi politiki izhaja iz dveh prepletajočih se predpisov:

  • Direktiva o zasebnosti in elektronskih komunikacijah (2002/58/ES), člen 5(3) — zahteva, da so uporabnikom pred pridobitvijo privolitve zagotovljene »jasne in izčrpne informacije« o namenih piškotkov.
  • GDPR, členi 12–14 — zahtevajo preglednost pri obdelovanju podatkov, vključno s tem, kateri podatki se zbirajo, v katere namene, s kom se delijo in kako dolgo se hranijo.

Skupaj ta predpisa od vas zahtevata, da uporabnikom natančno poveste, katere tehnologije sledenja uporabljate, in jim omogočite dejanski nadzor nad temi tehnologijami.

Piškotkova politika v primerjavi s politiko zasebnosti

Piškotkova politika in politika zasebnosti sta dopolnjujoča se, a ločena dokumenta. Razumevanje razlike je pomembno:

Vidik Piškotkova politika Politika zasebnosti
Obseg Izrecno piškotki in tehnologije sledenja Vsa obdelava osebnih podatkov (obrazci, računi, nakupi itd.)
Pravna podlaga Direktiva ePrivacy + zahteve GDPR glede preglednosti Členi 12–14 GDPR
Poudarek vsebine Imena piškotkov, nameni, trajanja, vrste, kategorije, mehanizmi nadzora Kategorije podatkov, pravne podlage, pravice, prenosi, pooblaščena oseba za varstvo podatkov, hramba
Oblika Samostojna stran ali razdelek znotraj politike zasebnosti Samostojna stran (obvezno)
Pogostost posodabljanja Ob vsaki spremembi piškotkov (dodajanje/odstranjevanje orodij, ponudnikov) Ob vsaki spremembi praks obdelovanja podatkov

Piškotkovo politiko lahko vključite kot razdelek znotraj politike zasebnosti, vendar mora biti jasno prepoznavna in do nje enostavno navigirati. Številne organizacije zaradi preglednosti in ker so lahko informacije o piškotkih precej podrobne, vzdržujejo ločeno stran s piškotkovo politiko.

Vaša pasica o piškotkih mora vsebovati povezavo na vašo piškotkovo politiko. Če so informacije o piškotkih razdelek znotraj politike zasebnosti, naj povezava vodi neposredno do tega razdelka — ne silite uporabnikov, da se prebijajo skozi strani nepovezanih informacij o zasebnosti, da bi našli podrobnosti o piškotkih.

Zakonska zahteva po piškotkovi politiki

Direktiva ePrivacy zahteva »jasne in izčrpne informacije« kot pogoj za veljavno privolitev. Načelo preglednosti iz GDPR (člen 5(1)(a)) in zahteve glede informacij (člena 13–14) dodatno določajo, da morajo biti te informacije:

  • Jedrnate, pregledne in razumljive (člen 12(1))
  • Podane v jasnem in preprostem jeziku (člen 12(1))
  • Lahko dostopne (člen 12(1))
  • Zagotovljene brezplačno (člen 12(5))

V praksi to pomeni: vaša piškotkova politika mora biti napisana v jeziku, ki ga razume tudi netehnično podkovana oseba, mora biti povezana s pasico o piškotkih in nogo spletne strani ter mora vsebovati konkretne informacije o vsakem piškotku, ki ga vaša stran uporablja.

Kaj mora vsebovati piškotkova politika

Na podlagi združenih zahtev Direktive ePrivacy, GDPR in smernic organov za varstvo podatkov, med drugim ICO (Združeno kraljestvo), CNIL (Francija) in Delovne skupine iz člena 29, mora vaša piškotkova politika vključevati naslednje informacije:

1. Katere piškotke uporabljate

Podajte popoln seznam vseh piškotkov in podobnih tehnologij, ki so aktivni na vaši spletni strani. To vključuje piškotke, ki jih nastavlja vaša lastna koda (prve stranke), pa tudi piškotke, ki jih nastavljajo storitve tretjih oseb, ki jih uporabljate (analitične platforme, oglaševalska omrežja, gradniki družbenih medijev, vgrajena vsebina, klepetalni roboti itd.).

Vsak piškotek mora biti identificiran po imenu. »Uporabljamo analitične piškotke« ne zadostuje — navesti morate konkretne piškotke: na primer _ga, _gid, _gat za Google Analytics.

2. Namen vsakega piškotka

Za vsak piškotek ali skupino povezanih piškotkov v preprostem jeziku pojasnite, kaj počne. Izogibajte se tehničnemu žargonu. Učinkoviti opisi namena:

  • »Shranjuje vaše nastavitve privolitve za piškotke, da ob vsakem obisku ne vprašamo znova.«
  • »Pomaga nam prešteti, koliko ljudi obišče našo spletno stran in katere strani so najbolj priljubljene.«
  • »Omogoča nam, da vam na drugih spletnih straneh prikazujemo oglase, ki so povezani z vašimi interesi.«

3. Prve stranke v primerjavi s tretjimi

Navedite, ali vsak piškotek nastavlja vaša spletna stran neposredno (prva stranka) ali zunanja storitev (tretja oseba). Za piškotke tretjih oseb navedite ponudnika in povezavo na njegovo politiko zasebnosti. Uporabniki imajo pravico vedeti ne le, da se njihovi podatki zbirajo, temveč tudi, kdo jih zbira.

4. Trajanje / potek

Navedite, kako dolgo vsak piškotek obstaja. Obstajata dve vrsti:

  • Sejni piškotki — izbrišejo se, ko uporabnik zapre brskalnik. To jasno navedite: »Seja (izbriše se ob zaprtju brskalnika).«
  • Trajni piškotki — ostanejo na uporabnikovi napravi določeno obdobje. Navedite konkretno trajanje: »2 leti«, »30 dni«, »13 mesecev«. Ne uporabljajte nejasnih izrazov, kot je »dolgoročno«.

Organi za varstvo podatkov so podrobno preučevali trajanja piškotkov. CNIL na primer priporoča, da piškotki za privolitev (piškotki, ki shranjujejo uporabnikovo izbiro glede privolitve) ne bi smeli presegati 13 mesecev.

5. Kako upravljati in brisati piškotke

Pojasnite, kako lahko uporabniki nadzirajo piškotke prek dveh mehanizmov:

  • Vaša pasica o privolitvi. Pojasnite, da lahko uporabniki kadar koli spremenijo svoje nastavitve piškotkov prek vaših nastavitev piškotkov (navedite mesto povezave/ikone nastavitev).
  • Nastavitve brskalnika. Podajte splošna navodila za upravljanje piškotkov v pogostih brskalnikih (Chrome, Firefox, Safari, Edge). Ni vam treba podati navodil po korakih, morate pa pojasniti, da nastavitve brskalnika obstajajo, in dodati povezave na ustrezne strani za podporo za vsak brskalnik.

6. Kako umakniti privolitev

Člen 7(3) GDPR zahteva, da mora biti umik privolitve enako enostaven kot njena podelitev in da so uporabniki o tej pravici obveščeni pred podajo privolitve. Vaša piškotkova politika mora pojasniti:

  • Da ima uporabnik pravico kadar koli umakniti privolitev.
  • Kako to stori (običajno: klik na ikono/povezavo nastavitev piškotkov, vidno na vsaki strani, ali izbris piškotkov prek nastavitev brskalnika).
  • Da umik privolitve ne vpliva na zakonitost obdelave, ki je temeljila na privolitvi pred njenim umikom.

7. Kategorije piškotkov

Razvrstite piškotke v standardne kategorije, ki jih uporablja vaša pasica o privolitvi. Najbolj razširjena razvrstitev je:

  • Nujno potrebni — piškotki, potrebni za delovanje spletne strani (seje prijave, nakupovalne košarice, varnostni žetoni). Ti po Direktivi ePrivacy ne zahtevajo privolitve.
  • Nastavitve / funkcionalni — piškotki, ki si zapomnijo uporabnikove izbire (jezik, regija, nastavitve prikaza). Ti izboljšujejo izkušnjo, vendar niso nujni.
  • Analitika / statistika — piškotki za zbiranje anonimnih podatkov o uporabi (ogledi strani, viri prometa, vzorci vedenja uporabnikov).
  • Trženje / oglaševanje — piškotki za ciljno oglaševanje, ponovno trženje in merjenje oglasov.

Kategorije v vaši piškotkovi politiki se morajo ujemati s kategorijami v vaši pasici o privolitvi. Neskladje med dokumentoma spodkopava preglednost.

8. Kontaktni podatki

Navedite kontaktne podatke za vprašanja o vaših praksah glede piškotkov. To običajno vključuje:

  • Identiteto upravljavca podatkov (ime vašega podjetja in registrirani naslov)
  • E-poštni naslov za poizvedbe glede zasebnosti
  • Kontaktne podatke pooblaščene osebe za varstvo podatkov (DPO), če ste jo imenovali
  • Vaš nadzorni organ (ustrezni organ za varstvo podatkov)

Kje prikazati piškotkovo politiko

Vaša piškotkova politika mora biti lahko dostopna z več mest:

  • Noga spletne strani. Povezava »Piškotkova politika« v nogi, vidna na vsaki strani. To je standardno mesto, ki ga uporabniki pričakujejo.
  • Pasica o piškotkih. Neposredna povezava s pasice o piškotkih na celotno piškotkovo politiko. To je zakonska zahteva — uporabniki morajo imeti dostop do podrobnih informacij prek vmesnika za privolitev.
  • Plošča za nastavitve piškotkov. Druga plast vašega vmesnika za privolitev naj vsebuje povezavo na piškotkovo politiko za uporabnike, ki želijo več informacij.
  • Politika zasebnosti. Če je vaša piškotkova politika ločen dokument, se nanjo sklicujte iz politike zasebnosti in obratno.

Predstavitev informacij o piškotkih

Najučinkovitejša in najpreglednejša oblika za predstavitev posameznih piškotkov je tabela. Organi za varstvo podatkov, med njimi ICO, priporočajo to obliko:

Ime piškotka Ponudnik Namen Vrsta Trajanje
_ga Google Analytics Razlikuje edinstvene obiskovalce z dodelitvijo naključno ustvarjene številke Tretja oseba, analitika 2 leti
_gid Google Analytics Razlikuje edinstvene obiskovalce za tekoči dan Tretja oseba, analitika 24 ur
cookie_consent Ta spletna stran Shranjuje vaše nastavitve privolitve za piškotke Prva stranka, nujno potrebni 12 mesecev

Ta oblika je jasna, hitro pregledna in na en pogled podaja vse zahtevane informacije.

Kako pogosto posodabljati

Vaša piškotkova politika mora biti ves čas točna. Posodobite jo vsakič, ko:

  • Dodate novo storitev tretje osebe, ki nastavlja piškotke (novo analitično orodje, novo tržno platformo, novega klepetalnega robota).
  • Odstranite storitev, ki je prej nastavljala piškotke.
  • Storitev tretje osebe spremeni svoje piškotke (nova imena, nova trajanja, novi nameni).
  • Spremenite kategorije v svoji pasici o privolitvi.
  • Se spremenijo regulativne smernice (nove zahteve, nove najboljše prakse).

Na vrhu ali dnu piškotkove politike navedite datum »Zadnja posodobitev«. To dokazuje, da se politika dejavno vzdržuje, in uporabnikom pomaga oceniti njeno aktualnost.

Izziv je seveda vedeti, kdaj se vaši piškotki spremenijo. Storitve tretjih oseb pogosto posodabljajo svoje sledenje in piškotek, ki je obstajal pred tremi meseci, je morda zamenjan ali preimenovan. Ročne revizije so nezanesljive, ker so odvisne od tega, ali se nekdo spomni, da preveri.

Ohranjanje točnosti politike z avtomatiziranim skeniranjem

Najpogostejša napaka pri skladnosti piškotkovih politik ni odsotnost informacij — temveč netočne informacije. Politika, ki navaja piškotke, ki jih ne uporabljate več, ali ki ne omenja piškotkov, dodanih z nedavno integracijo tržnega orodja, ni skladna.

Avtomatizirano skeniranje piškotkov reši to težavo. Skener v rednih presledkih obišče vašo spletno stran, ugotovi vse piškotke, ki se nastavljajo, jih primerja z vašimi prijavljenimi piškotki in vas opozori na neskladja.

Passiro samodejno skenira vašo spletno stran za piškotke, jih razvrsti in izpostavi vse neprijavljene piškotke, ki še niso vključeni v vašo politiko. To pomeni, da vaša piškotkova politika ostane točna brez ročnih revizij. Izvedite več o Passirovem avtomatiziranem skeniranju piškotkov.

V tem razdelku

Je vaše spletno mesto skladno s pravili o piškotkih?

Brezplačno skenirajte svoje spletno mesto in odkrijte vse piškotke v nekaj minutah.

Brezplačno skenirajte piškotke