Najbolje prakse za privolu za kolačiće
Poznavanje propisa je nužno. No pravi posao počinje kod dobre provedbe. Ovaj odjeljak obrađuje praktične najbolje prakse za privolu za kolačiće — kako izgraditi iskustvo davanja privole koje je pravno usklađeno, tehnički ispravno i s poštovanjem prema vašim korisnicima.
1. Neka privola bude istinski dobrovoljna
Članak 7. stavak 4. GDPR-a navodi da se pri procjeni je li privola dana dobrovoljno "mora u najvećoj mogućoj mjeri uzeti u obzir, između ostalog, je li izvršenje ugovora, uključujući pružanje usluge, uvjetovano privolom na obradu osobnih podataka koja nije nužna za izvršenje tog ugovora."
U praksi to znači:
- Nemojte koristiti zidove kolačića koji blokiraju sadržaj osim ako korisnik ne prihvati sve kolačiće. EDPB je izjavio da zidovi kolačića općenito onemogućuju dobrovoljno davanje privole. Ako korisnik ne može pristupiti vašoj web stranici bez prihvaćanja praćenja, njegova "privola" je iznuđena, a ne dobrovoljna.
- Nemojte pogoršavati iskustvo korisnicima koji odbiju. Prikazivanje trajnog prekrivača, smanjivanje funkcionalnosti stranice ili prikazivanje pasivno-agresivnih poruka ("Primijetili smo da niste prihvatili kolačiće — vaše iskustvo može biti lošije") narušava dobrovoljnu prirodu privole.
- Ponudite istinske alternative. Ako koristite model "privola ili plaćanje", plaćena alternativa mora biti istinski razumna — a ne cijenom oblikovana tako da kažnjava odbijanje.
2. Uklonite mračne obrasce
Mračni obrasci (dark patterns) u privolama za kolačiće posebno su na meti regulatora. EDPB je izdao smjernice o obmanjujućim dizajnerskim obrascima, a CNIL, Garante i druga tijela za zaštitu podataka kaznila su organizacije upravo zbog manipulativnih sučelja za davanje privole.
Izbjegavajte ove obrasce:
- Asimetrične gumbe. "Prihvati sve" kao velik, šaren gumb i "Upravljaj postavkama" kao mala tekstualna poveznica. Obje opcije moraju biti jednako istaknute. Nekoliko tijela za zaštitu podataka izričito je zatražilo da "Odbij sve" bude dostupno na prvom sloju s istom vizualnom težinom kao i "Prihvati sve".
- Zbunjujući jezik. "Nastavi bez prihvaćanja" nasuprot "Prihvati i nastavi" — kada oba gumba izgledaju slično, korisnici ih ne mogu brzo razlikovati. Koristite jasne, nedvosmislene oznake: "Prihvati sve", "Odbij sve", "Prilagodi".
- Skrivene opcije odbijanja. Zahtijevanje da korisnici prijeđu na drugi ili treći sloj kako bi odbili kolačiće, dok je "Prihvati sve" udaljeno samo jedan klik. CNIL je kaznio Google s 150 milijuna eura dijelom upravo zbog te prakse.
- Unaprijed označene sklopke. Sklopke kategorija koje su prema zadanim postavkama "uključene" za analitiku i marketing. Presuda Suda EU-a u predmetu Planet49 to izričito zabranjuje.
- Zavaravajuće boje. Zelena za "Prihvati" i crvena ili siva za "Odbij" sugerira da je prihvaćanje ispravan izbor, a odbijanje pogreška. Koristite neutralan, dosljedan stil.
- Posramljivanje pri potvrdi. Izrazi poput "Ne, hvala, nije me briga za moje iskustvo" za opciju odbijanja su manipulativni i narušavaju dobrovoljnu prirodu privole.
- Ponovljeno prikazivanje. Ponovno prikazivanje trake za privolu pri svakom posjetu stranici nakon što je korisnik odbio, u nadi da ćete ga izmoriti. Kad korisnik jednom donese odluku, poštujte je.
3. Budite transparentni
Informirana privola zahtijeva da korisnici razumiju s čime se slažu. Transparentnost nije stvar količine informacija — riječ je o jasnoći.
- Koristite jednostavan jezik. "Koristimo kolačiće kako bismo pratili vaše ponašanje pri pregledavanju weba u svrhu oglašavanja" je jasno. "Koristimo napredne tehnologije analize podataka za poboljšanje vašeg personaliziranog digitalnog iskustva" nije.
- Navedite sve kolačiće. Vaša politika kolačića treba sadržavati potpuni popis: naziv kolačića, pružatelja, svrhu, vrstu (privremeni/trajni, prve strane/treće strane) i rok trajanja. Taj popis mora se održavati ažurnim.
- Imenujte treće strane. Ako dijelite podatke s oglašivačkim mrežama, imenujte ih. "Dijelimo podatke s našim oglašivačkim partnerima" nije dovoljno. "Dijelimo podatke s Google Adsom, Metom (Facebook) i LinkedInom" jest transparentno.
- Objasnite posljedice. Što se događa ako korisnik prihvati analitičke kolačiće? Što se događa ako ih odbije? Korisnici trebaju razumjeti praktičan učinak svog izbora.
4. Ponudite detaljnu kontrolu
GDPR zahtijeva da privola bude "posebna" — dana zasebno za svaku svrhu. Vaš mehanizam za privolu trebao bi ponuditi:
- Sklopke po kategorijama. Korisnici bi trebali moći prihvatiti analitičke kolačiće, a odbiti marketinške. Četiri standardne kategorije (nužni, analitički, marketinški, preferencijski) su minimum.
- Prečace "Prihvati sve" i "Odbij sve". Iako je detaljna kontrola obavezna, nuđenje skupnih opcija kao prečaca je i zakonito i korisnički prihvatljivo — sve dok je detaljna opcija jednako dostupna.
- Kontrola po dobavljaču (preporučeno, ali ne uvijek obavezno). Za maksimalnu transparentnost razmotrite mogućnost da korisnici vide i kontroliraju kolačiće po dobavljaču — primjerice, prihvaćanje Google Analyticsa uz odbijanje Hotjara, ili prihvaćanje LinkedIn praćenja uz odbijanje Facebooka. Neke platforme za upravljanje privolama to nazivaju granularnošću "IAB TCF razine 2".
5. Neka povlačenje bude jednako jednostavno kao i davanje privole
Članak 7. stavak 3. GDPR-a je izričit: "Ispitanik ima pravo u svakom trenutku povući svoju privolu. [...] Povlačenje privole mora biti jednako jednostavno kao i njezino davanje."
Ovaj se zahtjev često krši. Uobičajeni propusti uključuju:
- Nepostojanje vidljivog načina za promjenu postavki kolačića nakon što se traka za privolu zatvori.
- Poveznica "Postavke kolačića" zakopana u politici privatnosti, koja je i sama zakopana u podnožju stranice.
- Zahtijevanje da korisnik izbriše kolačiće preglednika kako bi poništio postavke (to nije mehanizam povlačenja — to je zaobilazno rješenje).
Provedbe najbolje prakse uključuju:
- Trajnu poveznicu "Postavke kolačića" u podnožju web stranice.
- Malu plutajuću ikonu (često ikona kolačića ili štita) koja ponovno otvara upravitelj privolama.
- Odjeljak u postavkama korisničkog računa (za prijavljene korisnike) gdje se mogu upravljati postavkama kolačića.
Kada korisnik povuče privolu, morate odmah prestati koristiti relevantne kolačiće. Izbrišite kolačiće iz preglednika i zaustavite pripadajuće skripte. Povlačenje mora biti djelotvorno, a ne samo zabilježeno.
6. Vodite evidenciju o privolama
Članak 7. stavak 1. GDPR-a: "Kada se obrada temelji na privoli, voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka."
Vaša evidencija o privolama trebala bi sadržavati:
- Vremensku oznaku trenutka kada je privola dana ili odbijena.
- Kategorije koje su prihvaćene i odbijene.
- Verziju prikazanog mehanizma za privolu (kako je traka izgledala, koji je tekst prikazan). Ako promijenite svoju traku za privolu, morate znati s kojom je verzijom svaki korisnik komunicirao.
- Način davanja privole (koji je gumb kliknut, koje su opcije odabrane).
- Anonimizirani identifikator koji povezuje zapis s uređajem ili sesijom (ne ime ili e-poštu korisnika — sama evidencija o privoli ne bi trebala postati problem privatnosti).
Pohranite tu evidenciju na strani poslužitelja. Kolačić na strani klijenta sam po sebi nije dovoljan dokaz — korisnik ga može izbrisati, a vi nemate neovisan zapis. Najbolja praksa je bilježiti događaje privole na vaš poslužitelj i čuvati ih onoliko dugo koliko preporučuje vaše tijelo za zaštitu podataka (obično isto razdoblje kao i rok trajanja kolačića, uz razumnu rezervu).
7. Ponovno zatražite privolu nakon promjena
Privola je specifična za svrhe i kolačiće za koje je dana. Ako dodate nove kolačiće, nove kategorije, nove vanjske dobavljače ili znatno promijenite način korištenja postojećih kolačića, prethodno prikupljena privola možda više neće pokrivati novu obradu.
Ponovno zatražite privolu korisnika kada:
- Dodate novu kategoriju kolačića koja prethodno nije bila obuhvaćena.
- Uvedete novu vanjsku uslugu praćenja.
- Promijenite svrhu postojećih kolačića (npr. korištenje analitičkih podataka u svrhu oglašavanja).
- Prođe znatno vremena od zadnje privole (CNIL preporučuje ne više od 13 mjeseci).
- Regulatorni zahtjevi se promijene na način koji utječe na valjanost postojeće privole.
Uvedite sustav verzioniranja privole. Dodijelite broj verzije svojoj konfiguraciji privole. Kada se verzija promijeni (jer ste dodali ili izmijenili kolačiće), ponovno zatražite privolu korisnika koji su je dali prema prethodnoj verziji.
8. Etički A/B testirajte stope privola
Legitimno je optimizirati svoje iskustvo davanja privole — testirati različite rasporede, tekstove i dizajn kako biste pronašli ono što najbolje funkcionira. No "najbolje funkcionira" mora značiti "rezultira istinski informiranom privolom po razumnoj stopi", a ne "maksimizira klikove na 'prihvati sve' putem manipulacije".
Smjernice za etičko A/B testiranje:
- Sve varijante moraju biti usklađene. Svaka verzija koju testirate mora ispunjavati zakonske zahtjeve za valjanu privolu. Ne možete testirati usklađenu verziju protiv neusklađene kako biste vidjeli koja dobiva više prihvaćanja.
- Testirajte jasnoću, a ne manipulaciju. Povećava li preformuliranje objašnjenja razumijevanje, a time i privolu? Poboljšava li premještanje trake angažman? To su legitimni testovi.
- Nemojte optimizirati za stopu "prihvati sve". Visoka stopa prihvaćanja svega postignuta zbunjujućim dizajnom nije uspjeh — to je rizik za usklađenost. Optimizirajte za stopu korisnika koji donose aktivan, informiran izbor bilo koje vrste.
- Pratite stope odbijanja. Ako promjena dizajna dramatično smanji odbijanja, zapitajte se je li ih smanjila kroz jasnoću ili kroz opstrukciju.
9. Najbolje prakse tehničke provedbe
Mehanizam za privolu nije samo komponenta korisničkog sučelja — zahtijeva ispravnu tehničku provedbu da bi doista funkcionirao.
Blokirajte skripte do davanja privole
Najvažniji tehnički zahtjev: skripte koje nisu nužne ne smiju se izvršavati dok korisnik ne da privolu za relevantnu kategoriju. Postoji nekoliko pristupa:
- Manipulacija vrstom skripte. Promijenite
type="text/javascript"utype="text/plain"i dodajte podatkovni atribut koji označava kategoriju. Kada se privola dade, skripta upravitelja privolama mijenja vrstu natrag i pokreće izvršavanje. - Integracija s upraviteljem oznaka. Koristite upravitelja oznaka (Google Tag Manager, Tealium itd.) koji podržava načine rada privole. Oznake su konfigurirane da se aktiviraju samo kada je prisutna privola za njihovu kategoriju.
- Renderiranje na strani poslužitelja. Uključite oznake skripti u HTML stranice samo ako je privola već zabilježena (putem provjere kolačića privole na strani poslužitelja). To je najpouzdaniji pristup, ali zahtijeva logiku na strani poslužitelja.
Ispravno rukujte stanjem privole
- Prvi posjet (privola nije zabilježena): Učitajte samo strogo nužne skripte. Prikažite mehanizam za privolu.
- Ponovni posjet (privola zabilježena): Pročitajte kolačić privole. Učitajte skripte koje odgovaraju prihvaćenim kategorijama. Nemojte ponovno prikazivati mehanizam za privolu osim ako nije došlo vrijeme za obnovu.
- Privola povučena: Zaustavite sve skripte u povučenoj kategoriji. Izbrišite relevantne kolačiće. Ažurirajte evidenciju o privoli.
- Privola obnovljena: Za sve nove kategorije tretirajte kao prvi posjet. Odmah učitajte prethodno prihvaćene kategorije.
Temeljito testirajte
- Provjerite da se prije davanja privole ne postavljaju nikakvi kolačići koji nisu nužni. Za provjeru koristite razvojne alate preglednika (kartica Application > Cookies).
- Provjerite da se skripte doista zaustavljaju kada se privola povuče — ne samo da je kolačić izbrisan, već da skripte više ne rade.
- Testirajte s onemogućenim JavaScriptom. Mehanizam za privolu trebao bi se elegantno prilagoditi i nijedna skripta za praćenje ne bi se smjela učitati.
- Testirajte na mobilnim uređajima. Mehanizam za privolu mora biti potpuno funkcionalan i upotrebljiv na malim zaslonima.
10. Koristite platformu za upravljanje privolama (CMP)
Izgradnja potpuno usklađenog mehanizma za privolu od nule je moguća, ali uključuje značajno stalno održavanje. Platforma za upravljanje privolama za vas rješava složenost: prikupljanje privola, vođenje evidencije, blokiranje skripti, geociljanje i regulatorna ažuriranja.
Pri procjeni CMP-a razmotrite:
- Automatsko skeniranje kolačića. Otkriva li CMP sve kolačiće na vašoj stranici ili ih morate ručno navesti?
- Blokiranje skripti. Blokira li CMP doista skripte prije davanja privole ili samo prikazuje traku?
- Evidencija o privolama. Pohranjuje li CMP dokaz o privoli na strani poslužitelja?
- Podrška za IAB TCF. Ako koristite programatsko oglašavanje, možda će biti potrebna podrška za TCF 2.2.
- Utjecaj na performanse. CMP skripta učitava se na svakoj stranici. Koliko je velika? Blokira li renderiranje?
- Prilagodba. Možete li uskladiti traku za privolu s dizajnom svojeg brenda?
- Pristupačnost. Je li sam mehanizam za privolu pristupačan? Može li se njime upravljati tipkovnicom? Radi li s čitačima zaslona? Nepristupačna traka za privolu na web stranici koja tvrdi da joj je stalo do pristupačnosti ostavlja loš dojam.
Passiro skenira vašu web stranicu kako bi identificirao sve kolačiće i tehnologije praćenja, automatski ih kategorizira i pruža konkretne preporuke za provedbu vaše privole — bez obzira gradite li je sami ili koristite CMP.
Sažetak: kontrolni popis za privolu
Brzi pregled za procjenu vaše trenutne provedbe privole:
- Prije davanja privole ne postavljaju se nikakvi kolačići koji nisu nužni.
- Mehanizam za privolu nudi "Prihvati sve" i "Odbij sve" s jednakom istaknutošću.
- Korisnici mogu donositi odabire po kategorijama (minimalno: nužni, analitički, marketinški, preferencijski).
- Prikazane informacije su jasne, specifične i na jednostavnom jeziku.
- Unaprijed označeni okviri i sklopke ne koriste se za kategorije koje nisu nužne.
- Postoji trajan, lako dostupan način za povlačenje ili promjenu privole.
- Evidencija o privolama pohranjuje se na strani poslužitelja s vremenskim oznakama i detaljima kategorija.
- Privola se obnavlja najmanje svakih 13 mjeseci (ili ranije ako se promijeni korištenje kolačića).
- Mehanizam za privolu je pristupačan (moguća navigacija tipkovnicom, kompatibilan s čitačima zaslona).
- Provedba se redovito testira na usklađenost (novi kolačići, promijenjene skripte).
Dobro provedena privola za kolačiće nije prepreka vašem poslovanju. Ona je temelj povjerenja između vas i vaših korisnika — i sve više je ono što razlikuje usklađene tvrtke od onih koje se suočavaju s regulatornim mjerama.
Je li vaša web stranica usklađena s propisima o kolačićima?
Besplatno skenirajte svoju web stranicu i pronađite sve kolačiće u nekoliko minuta.
Besplatno skenirajte svoje kolačiće