Skip to main content

Политика за бисквитките: какво представлява и какво трябва да съдържа

Политиката за бисквитките е документ, който обяснява на посетителите на уебсайта ви кои бисквитки и подобни технологии за проследяване използва сайтът ви, защо ги използва и как потребителите могат да ги контролират. Тя е законово изискване както съгласно Директивата за електронна поверителност, така и съгласно GDPR, и е крайъгълен камък на прозрачната обработка на данни.

Това ръководство обхваща какво представлява политиката за бисквитките, по какво се различава от политиката за поверителност, какво трябва да съдържа съгласно действащите разпоредби и как да я поддържате актуална във времето.

Какво представлява политиката за бисквитките?

Политиката за бисквитките е специален документ — самостоятелна страница или ясно разпознаваема секция в рамките на политиката ви за поверителност — който предоставя изчерпателна информация за използването на бисквитки и подобни технологии от вашия уебсайт (локално съхранение, съхранение на сесии, пикселни маркери, уеб маяци, вземане на цифров отпечатък и подобни).

Правното основание за изискването на политика за бисквитките произтича от две пресичащи се разпоредби:

  • Директива за електронна поверителност (2002/58/ЕО), член 5, параграф 3 — изисква на потребителите да бъде предоставена „ясна и изчерпателна информация“ относно целите на бисквитките, преди да бъде получено съгласие.
  • GDPR, членове 12—14 — изискват прозрачност относно обработката на данни, включително какви данни се събират, за какви цели, с кого се споделят и колко дълго се съхраняват.

Заедно тези разпоредби изискват да съобщите на потребителите си точно какви технологии за проследяване използвате и да им предоставите реален контрол върху тези технологии.

Политика за бисквитките спрямо политика за поверителност

Политиката за бисквитките и политиката за поверителност са допълващи се, но различни документи. Разбирането на разликата е важно:

Аспект Политика за бисквитките Политика за поверителност
Обхват Конкретно бисквитките и технологиите за проследяване Цялата обработка на лични данни (формуляри, акаунти, покупки и др.)
Правно основание Директива за електронна поверителност + изискванията за прозрачност на GDPR GDPR, членове 12—14
Фокус на съдържанието Имена, цели, срокове, видове, категории на бисквитките, механизми за контрол Категории данни, правни основания, права, трансфери, ДЛЗД, срок на съхранение
Формат Самостоятелна страница или секция в политиката за поверителност Самостоятелна страница (задължителна)
Честота на актуализиране При всяка промяна на бисквитките (добавяне/премахване на инструменти, доставчици) При всяка промяна на практиките за обработка на данни

Може да включите политиката си за бисквитките като секция в политиката си за поверителност, но тя трябва да е ясно разпознаваема и лесна за навигиране. Много организации поддържат отделна страница за политиката за бисквитките с оглед на яснотата и защото информацията за бисквитките може да бъде доста подробна.

Банерът ви за бисквитките трябва да води към политиката ви за бисквитките. Ако информацията ви за бисквитките е секция в рамките на политиката за поверителност, връзката трябва да води директно към тази секция — не карайте потребителите да превъртат през страници с несвързана информация за поверителността, за да намерят подробностите за бисквитките.

Законово изискване за политика за бисквитките

Директивата за електронна поверителност изисква „ясна и изчерпателна информация“ като предпоставка за валидно съгласие. Принципът за прозрачност на GDPR (член 5, параграф 1, буква „а“) и изискванията за информация (членове 13—14) допълнително изискват тази информация да бъде:

  • Кратка, прозрачна и разбираема (член 12, параграф 1)
  • Предоставена на ясен и разбираем език (член 12, параграф 1)
  • Лесно достъпна (член 12, параграф 1)
  • Предоставена безплатно (член 12, параграф 5)

На практика: политиката ви за бисквитките трябва да е написана на език, който нетехнически човек може да разбере, трябва да е свързана с връзка от банера за бисквитките и футъра на уебсайта, и трябва да съдържа конкретна информация за всяка бисквитка, която сайтът ви използва.

Какво трябва да съдържа политиката за бисквитките

Въз основа на комбинираните изисквания на Директивата за електронна поверителност, GDPR и насоките от органите за защита на данните, включително ICO (Обединеното кралство), CNIL (Франция) и Работната група по член 29, вашата политика за бисквитките трябва да включва следната информация:

1. Какви бисквитки използвате

Предоставете пълен списък на всички бисквитки и подобни технологии, активни на уебсайта ви. Това включва бисквитки, зададени от собствения ви код (от първа страна), както и бисквитки, зададени от услуги на трети страни, които използвате (аналитични платформи, рекламни мрежи, притурки за социални медии, вградено съдържание, чатботове и др.).

Всяка бисквитка трябва да бъде идентифицирана по име. „Използваме аналитични бисквитки“ не е достатъчно — трябва да изброите конкретните бисквитки: _ga, _gid, _gat за Google Analytics, например.

2. Цел на всяка бисквитка

За всяка бисквитка или група свързани бисквитки обяснете какво прави на разбираем език. Избягвайте техническия жаргон. Ефективни описания на целта:

  • „Съхранява предпочитанията ви за съгласие за бисквитки, за да не питаме отново при всяко посещение.“
  • „Помага ни да преброим колко души посещават уебсайта ни и кои страници са най-популярни.“
  • „Позволява ни да ви показваме реклами, свързани с вашите интереси, на други уебсайтове.“

3. От първа страна спрямо от трета страна

Посочете дали всяка бисквитка е зададена директно от уебсайта ви (от първа страна) или от външна услуга (от трета страна). За бисквитките от трети страни идентифицирайте доставчика и добавете връзка към неговата политика за поверителност. Потребителите имат право да знаят не само че данните им се събират, но и от кого.

4. Продължителност / изтичане на срока

Посочете колко дълго се запазва всяка бисквитка. Има два вида:

  • Сесийни бисквитки — изтриват се, когато потребителят затвори браузъра си. Посочете това ясно: „Сесийна (изтрива се, когато затворите браузъра си).“
  • Постоянни бисквитки — остават на устройството на потребителя за определен период. Посочете конкретната продължителност: „2 години“, „30 дни“, „13 месеца“. Не използвайте неясни термини като „дългосрочно“.

Органите за защита на данните разглеждат внимателно продължителността на бисквитките. CNIL, например, препоръчва бисквитките за съгласие (тези, които съхраняват избора на потребителя за съгласие) да не надвишават 13 месеца.

5. Как да управлявате и изтривате бисквитки

Обяснете как потребителите могат да контролират бисквитките чрез два механизма:

  • Вашият банер за съгласие. Обяснете, че потребителите могат да променят предпочитанията си за бисквитки по всяко време чрез настройките ви за бисквитки (посочете местоположението на връзката/иконата за настройки).
  • Настройки на браузъра. Предоставете общи инструкции за управление на бисквитки в популярните браузъри (Chrome, Firefox, Safari, Edge). Не е нужно да предоставяте инструкции стъпка по стъпка, но трябва да обясните, че съществуват настройки в браузъра, и да добавите връзка към съответните страници за поддръжка на всеки браузър.

6. Как да оттеглите съгласието

Член 7, параграф 3 от GDPR изисква оттеглянето на съгласието да бъде толкова лесно, колкото и предоставянето му, и потребителите да бъдат информирани за това право преди да дадат съгласие. Политиката ви за бисквитките трябва да обясни:

  • Че потребителят има право да оттегли съгласието си по всяко време.
  • Как да го направи (обикновено: като кликне върху иконата/връзката за настройки на бисквитките, видима на всяка страница, или изчисти бисквитките чрез настройките на браузъра).
  • Че оттеглянето на съгласието не засяга законосъобразността на обработката, основана на съгласие преди неговото оттегляне.

7. Категории бисквитки

Организирайте бисквитките в стандартните категории, използвани от банера ви за съгласие. Най-широко възприетата категоризация е:

  • Строго необходими — бисквитки, необходими за функционирането на уебсайта (сесии за вход, кошници за пазаруване, токени за сигурност). Те не изискват съгласие съгласно Директивата за електронна поверителност.
  • Предпочитания / функционални — бисквитки, които запомнят изборите на потребителя (език, регион, настройки на дисплея). Те подобряват изживяването, но не са задължителни.
  • Аналитични / статистически — бисквитки, използвани за събиране на анонимни данни за използване (преглеждания на страници, източници на трафик, модели на поведение на потребителите).
  • Маркетингови / рекламни — бисквитки, използвани за таргетирана реклама, ретаргетиране и измерване на рекламите.

Категориите в политиката ви за бисквитките трябва да съответстват на категориите в банера ви за съгласие. Несъответствието между двата документа подкопава прозрачността.

8. Информация за контакт

Предоставете данни за контакт за въпроси относно практиките ви за бисквитките. Това обикновено включва:

  • Самоличността на администратора на данни (името на компанията и регистрирания адрес)
  • Имейл адрес за запитвания относно поверителността
  • Данни за контакт с длъжностното лице по защита на данните (ДЛЗД), ако сте назначили такова
  • Вашия надзорен орган (съответния орган за защита на данните)

Къде да покажете политиката си за бисквитките

Политиката ви за бисквитките трябва да е лесно достъпна от множество места:

  • Футър на уебсайта. Връзка „Политика за бисквитките“ във футъра, видима на всяка страница. Това е стандартното място, което потребителите очакват.
  • Банер за бисквитките. Директна връзка от банера за бисквитките към пълната политика за бисквитките. Това е законово изискване — потребителите трябва да могат да получат достъп до подробна информация от интерфейса за съгласие.
  • Панел за настройки/предпочитания за бисквитки. Вторият слой на интерфейса ви за съгласие трябва да води към политиката за бисквитките за потребителите, които искат повече информация.
  • Политика за поверителност. Ако политиката ви за бисквитките е отделен документ, направете кръстосана препратка към нея от политиката си за поверителност и обратно.

Представяне на информацията за бисквитките

Най-ефективният и прозрачен формат за представяне на отделните бисквитки е таблицата. Органите за защита на данните, включително ICO, препоръчват този формат:

Име на бисквитката Доставчик Цел Тип Продължителност
_ga Google Analytics Различава уникалните посетители, като им присвоява произволно генериран номер От трета страна, аналитична 2 години
_gid Google Analytics Различава уникалните посетители за текущия ден От трета страна, аналитична 24 часа
cookie_consent Този уебсайт Съхранява предпочитанията ви за съгласие за бисквитки От първа страна, необходима 12 месеца

Този формат е ясен, лесен за преглед и предоставя цялата изисквана информация с един поглед.

Колко често да актуализирате

Политиката ви за бисквитките трябва да е точна по всяко време. Актуализирайте я винаги, когато:

  • Добавите нова услуга на трета страна, която задава бисквитки (нов аналитичен инструмент, нова маркетингова платформа, нов чатбот).
  • Премахнете услуга, която преди това е задавала бисквитки.
  • Услуга на трета страна промени своите бисквитки (нови имена, нови срокове, нови цели).
  • Промените категориите в банера си за съгласие.
  • Регулаторните насоки се променят (нови изисквания, нови най-добри практики).

Включете дата „Последна актуализация“ в горната или долната част на политиката си за бисквитките. Това демонстрира, че политиката се поддържа активно, и помага на потребителите да преценят нейната актуалност.

Предизвикателството, разбира се, е да знаете кога бисквитките ви се променят. Услугите на трети страни често актуализират проследяването си, а бисквитка, която е съществувала преди три месеца, може да е била заменена или преименувана. Ръчните одити са ненадеждни, защото зависят от това някой да не забрави да провери.

Поддържане на точността на политиката ви с автоматизирано сканиране

Най-честият пропуск в съответствието при политиките за бисквитките не е липсата на информация — а неточната информация. Политика, която изброява бисквитки, които вече не използвате, или която не споменава бисквитки, добавени при неотдавнашно интегриране на маркетингов инструмент, не е в съответствие.

Автоматизираното сканиране на бисквитки решава този проблем. Скенерът посещава уебсайта ви на редовни интервали, идентифицира всички задавани бисквитки, сравнява ги с декларираните от вас бисквитки и ви предупреждава за несъответствия.

Passiro автоматично сканира уебсайта ви за бисквитки, категоризира ги и подчертава всички недекларирани бисквитки, които все още не са отразени в политиката ви. Това означава, че политиката ви за бисквитките остава точна без ръчни одити. Научете повече за автоматизираното сканиране на бисквитки на Passiro.

В тази секция

Вашият уебсайт съответства ли на правилата за бисквитки?

Сканирайте уебсайта си безплатно и намерете всички бисквитки за минути.

Сканирайте бисквитките си безплатно