Küpsiste kategooriad: kuidas küpsiseid nõusoleku jaoks liigitada
Küpsistele nõusoleku andmine ei ole kõik-või-mitte-midagi otsus. Andmekaitse-eeskirjad nõuavad, et kasutajad saaksid teha täpseid valikuid selle kohta, milliseid küpsiste tüüpe nad aktsepteerivad. Selle võimaldamiseks korraldatakse küpsised kategooriatesse — eesmärgi alusel moodustatud rühmadesse, millest igaühel on oma nõusolekunõuded.
Õige liigitamine on ülioluline. Turundusküpsise määratlemine "rangelt vajalikuks" ei ole pelgalt tehniline viga — see on nõuete rikkumine, mida järelevalveasutused aktiivselt otsivad ja karistavad.
Miks liigitamine on oluline
GDPR nõuab, et nõusolek oleks "konkreetne" (artikkel 4(11)). Artikli 29 alusel loodud töörühm (nüüd EDPB) on selgitanud, et see tähendab, et nõusolek tuleb anda eraldi iga eraldiseisva eesmärgi jaoks. Kõikide küpsiste koondamine ühte "nõustu kõigiga" nupu alla ilma kategooriapõhist valikut pakkumata seda standardit ei täida.
Praktikas tähendab see, et teie küpsistele nõusoleku andmise mehhanism peab esitama küpsised eesmärgi järgi rühmitatuna ja võimaldama kasutajatel iga kategooriat sõltumatult aktsepteerida või tagasi lükata. Tööstusharus välja kujunenud standard — mida ka järelevalveasutused ootavad — kasutab nelja kategooriat.
Neli standardset küpsiste kategooriat
1. Rangelt vajalikud küpsised
Need küpsised on hädavajalikud veebisaidi põhitoimimiseks. Ilma nendeta ei ole võimalik osutada teenust, mida kasutaja on selgesõnaliselt taotlenud.
Nõusolek nõutav: Ei. Rangelt vajalikud küpsised on nõusolekunõudest vabastatud ePrivacy direktiivi artikli 5(3) alusel, mis sätestab, et nõusolekut ei ole vaja küpsiste puhul, mis on "rangelt vajalikud selleks, et abonendi või kasutaja poolt selgesõnaliselt taotletud infoühiskonna teenuse osutaja saaks seda teenust osutada".
Rangelt vajalike küpsiste näited:
- Seansiküpsised, mis säilitavad sisselogimise oleku
- Ostukorviküpsised e-kaubanduse saidil
- CSRF-i (päringuvõltsimise vastased) kaitsemärgid
- Koormuse jaotamise küpsised, mis jaotavad liikluse serverite vahel
- Küpsiste nõusoleku eelistuste küpsised (küpsis, mis jätab meelde teie nõusolekuvaliku)
- Turvaküpsised, mis tuvastavad autentimise kuritarvitamise
Mis EI OLE rangelt vajalik:
- Analüütikaküpsised — isegi esimese osapoole omad. Liikluse mõõtmine on veebisaidi haldajale kasulik, kuid see ei ole vajalik kasutaja taotletud teenuse osutamiseks.
- Sotsiaalmeedia pluginad — jagamisnupud ja manustatud voogedastused teenivad saidi omaniku huve, mitte funktsiooni, mida kasutaja on selgesõnaliselt taotlenud.
- Reklaamiküpsised — need teenivad definitsiooni järgi eesmärki, mis on väljaspool teenust, millele kasutaja juurde pääseb.
- A/B-testimise küpsised — need teenivad saidi haldaja optimeerimise eesmärke, mitte kasutaja selgesõnalist taotlust.
Peamine kontroll on perspektiiv: vajalik kellele? Kui küpsis teenib veebisaidi haldaja huve, mitte funktsiooni, mida kasutaja on selgesõnaliselt taotlenud, ei ole see rangelt vajalik — olenemata sellest, kui oluline see äritegevuse jaoks võib olla.
2. Analüütika- / statistikaküpsised
Need küpsised koguvad teavet selle kohta, kuidas külastajad veebisaiti kasutavad: milliseid lehti külastatakse, kui kaua kasutajad viibivad, kust nad tulevad ja kus nad lahkuvad. Andmed koondatakse tavaliselt ja neid kasutatakse veebisaidi täiustamiseks.
Nõusolek nõutav: Jah, enamikus jurisdiktsioonides. Siiski on mõned andmekaitseasutused (eelkõige Prantsuse CNIL ja Hollandi AP) märkinud, et teatavad esimese osapoole analüütikatööriistad võivad kvalifitseeruda piiratud erandiks, tingimusel et täidetakse konkreetsed tingimused (vt meie jaotist millal on nõusolek nõutav).
Levinud analüütikaküpsised:
| Küpsis | Teenus | Eesmärk | Vaikimisi kestus |
|---|---|---|---|
_ga |
Google Analytics | Eristab unikaalseid kasutajaid | 2 aastat |
_ga_* |
Google Analytics 4 | Säilitab seansi oleku | 2 aastat |
_gid |
Google Analytics | Eristab kasutajaid (24 h) | 24 tundi |
_pk_id.* |
Matomo | Külastaja ID | 13 kuud |
_pk_ses.* |
Matomo | Seansi jälgimine | 30 minutit |
_hjSessionUser_* |
Hotjar | Kasutaja identifikaator | 1 aasta |
Pange tähele, et Google Analyticsi küpsised on oma olemuselt kolmanda osapoole omad, isegi kui need võivad ilmneda esimese osapoole küpsistena — sest Google töötleb andmeid oma serverites ja võib neid kasutada oma eesmärkidel. See eristus on olnud oluline mitmes Euroopa jõustamismeetmes.
3. Turundus- / reklaamiküpsised
Need küpsised jälgivad külastajaid eri veebisaitide vahel, et koostada profiil nende sirvimiskäitumisest. Seda profiili kasutatakse suunatud reklaami edastamiseks, reklaamikampaania tõhususe mõõtmiseks ja selle piiramiseks, mitu korda kasutaja näeb konkreetset reklaami.
Nõusolek nõutav: Alati. ePrivacy direktiivi ega GDPR ühegi tõlgenduse kohaselt ei ole reklaamiküpsiste jaoks erandit.
Levinud turundusküpsised:
| Küpsis | Teenus | Eesmärk | Vaikimisi kestus |
|---|---|---|---|
_fbp |
Meta (Facebook) | Jälgib külastusi reklaami suunamiseks | 3 kuud |
_gcl_au |
Google Ads | Konversioonide jälgimine | 3 kuud |
IDE |
Google DoubleClick | Taassihtimine ja reklaami edastamine | 13 kuud |
_uetsid |
Microsoft Advertising | Konversioonide jälgimine | 1 päev |
li_fat_id |
Liikme kaudne identifikaator | 30 päeva |
Turundusküpsised on peaaegu alati kolmanda osapoole omad. Need kujutavad endast suurimat privaatsusriski ja on kõige rangemalt reguleeritud kategooria. Iga nõusolekumehhanism, mis muudab turundusküpsiste aktsepteerimise lihtsamaks kui nende tagasilükkamise, riskib järelevalveasutuse sekkumisega.
4. Eelistus- / funktsionaalsusküpsised
Need küpsised võimaldavad täiustatud funktsionaalsust ja isikupärastamist, mis läheb kaugemale rangelt vajalikust. Need jätavad meelde kasutaja tehtud valikud, kuid ei ole põhiteenuse toimimiseks vajalikud.
Nõusolek nõutav: Jah, kuigi riskitase on madalam kui analüütika- või turundusküpsistel. Mõned järelevalveasutused suhtuvad eelistusküpsistesse leebemalt, kuid õiguslik seisukoht on, et nõusolek on siiski nõutav.
Näited:
- Keele-eelistus (kui sait toimib ka ilma selleta, kasutades vaikimisi teist keelt)
- Piirkonna või valuuta valik
- Kasutajanime eeltäitmine sisselogimisvormidel
- Videomängija eelistused (helitugevus, kvaliteet)
- Vestlusakna olek (avatud/suletud, vestlusajalugu)
- Fondi suuruse või juurdepääsetavuse eelistused
Eristus "rangelt vajaliku" ja "eelistuse" vahel võib olla peen. Keeleküpsis üksikkeelsel saidil on mõttetu. Keeleküpsis mitmekeelsel saidil, mis kasutab ilma selleta vaikimisi toimivat keelt, on eelistus. Keeleküpsis saidil, mis ei saa ilma selleta üldse toimida — sest sisu ei laadita ilma keelevalikuta — võib väidetavalt olla rangelt vajalik. Kontekst on oluline.
Kuidas oma küpsiseid õigesti liigitada
Järgige seda protsessi iga küpsise puhul oma veebisaidil:
- Tuvastage küpsis. Mis on selle nimi, kes selle seab (esimene või kolmas osapool) ja kui kaua see kestab?
- Määrake selle eesmärk. Miks see küpsis olemas on? Mis juhtub, kui see eemaldatakse?
- Rakendage rangelt vajaliku testi. Kas see küpsis on hädavajalik funktsiooni jaoks, mida kasutaja on selgesõnaliselt taotlenud? Kui kasutaja soovis sisse logida, on seansiküpsis vajalik. Kui soovite jälgida tema käitumist, on see teie vajadus, mitte tema oma.
- Määrake kategooria. Kui see ei ole rangelt vajalik, liigitage see põhieesmärgi alusel: analüütika, turundus või eelistused.
- Dokumenteerige oma põhjendus. Iga küpsise puhul pange kirja, miks te selle just nii liigitasite. See dokumentatsioon on väärtuslik, kui järelevalveasutus peaks kunagi küsima.
Levinud liigitamisvead
Järelevalvemeetmete ja auditijärelduste põhjal on need kõige levinumad vead:
- Google Analyticsi liigitamine rangelt vajalikuks. See on üksik kõige levinum viga. GA on analüütikatööriist. See ei ole kunagi rangelt vajalik kasutajale teenuse osutamiseks. Mitmed andmekaitseasutused on selle konkreetselt esile tõstnud.
- Kõikide kolmanda osapoole küpsiste paigutamine "funktsionaalsuse" alla. Manustatud YouTube'i videod, sotsiaalse jagamise nupud ja vestlusaknad ei ole rangelt vajalikud ning nende küpsised teenivad tavaliselt analüütika- või turunduseesmärke, mis lähevad kaugemale nähtavast funktsionaalsusest.
- Pluginate ja integratsioonide seatud küpsiste ignoreerimine. WordPressi sait 20 pluginaga võib seada kümneid küpsiseid, millest saidi haldaja ei ole isegi teadlik. Te vastutate siiski nende kõigi eest.
- Turundusküpsiste käsitlemine analüütikana. Facebook Pixel ja Google Ads konversioonide jälgimine on turundusküpsised, mitte analüütika — nende põhieesmärk on reklaam, isegi kui te kasutate andmeid analüütiliselt.
- A/B-testimise küpsiste vale liigitamine. Tööriistad nagu Optimizely ja VWO seavad küpsiseid, et määrata kasutajad testrühmadesse. Need ei ole rangelt vajalikud ja need tuleks liigitada analüütikaks või eelistusteks.
Automatiseerige protsess
Käsitsi tehtavad küpsiseauditid on aeganõudvad ja vigadele altid. Veebisaidid muutuvad pidevalt — uus plugin, uuendatud skript, turundusmeeskonna lisatud jälgimispiksel — ja iga muudatus võib tuua kaasa uusi küpsiseid, mis vajavad liigitamist.
Passiro skannib ja liigitab automaatselt kõik teie veebisaidi küpsised, tuvastab uued küpsised nende ilmumisel ja märgib potentsiaalsed valeliigitused. See tagab, et teie küpsiste nõusolekumehhanism kajastab alati teie saidi tegelikult kasutatavaid küpsiseid — mitte ainult neid, millest te viimasel kontrollimisel teadsite.
Nüüd, kui mõistame kategooriaid, vaatame, mida küpsiste nõusolek juriidiliselt tegelikult tähendab — nõuded on konkreetsemad, kui enamik inimesi arvab.
Kas sinu veebisait vastab kupsiste reeglitele?
Skanni oma veebisaiti tasuta ja leia koik kupsised monikuminutiga.
Skanni oma kupsiseid tasuta