Resursi i pojmovnik za usklađenost s kolačićima
Usklađenost s kolačićima uključuje specijalizirani rječnik koji proizlazi iz EU propisa, zakona o zaštiti podataka i web tehnologije. Ovaj pojmovnik definira ključne pojmove na koje ćete naići, a nakon njih slijedi pomno odabrana zbirka službenih resursa i mjerodavnih referenci za daljnje proučavanje.
Pojmovnik ključnih pojmova
A–C
CMP (Platforma za upravljanje privolama): Softverski alat ili usluga koja upravlja prikupljanjem, pohranom i provedbom korisničke privole za kolačiće i druge tehnologije praćenja. CMP obično pruža sučelje trake za kolačiće, pohranjuje zapise o privolama i kontrolira koje se skripte smiju izvršavati na temelju odabira korisnika. Primjeri uključuju Cookiebot, OneTrust, Usercentrics i rješenja otvorenog koda poput Klaro.
CNIL (Commission Nationale de l'Informatique et des Libertés): Francusko tijelo za zaštitu podataka. CNIL je najaktivniji europski regulator u provedbi propisa o kolačićima, koji je izrekao najveće kazne povezane s kolačićima i objavio najdetaljnije smjernice za usklađenost s kolačićima. Njegova tumačenja i provedbene mjere često postavljaju standard koji slijede druga nadzorna tijela.
Privola: U kontekstu GDPR-a, slobodno dano, posebno, informirano i nedvosmisleno očitovanje želja ispitanika, izraženo jasnom potvrdnom radnjom. Kod kolačića to znači da korisnik mora aktivno odabrati dopuštanje kolačića koji nisu nužni putem namjerne radnje poput klika na gumb „Prihvati”. Šutnja, unaprijed označene kućice, neaktivnost i nastavak pregledavanja ne predstavljaju valjanu privolu.
Kolačić: Mala tekstualna datoteka koju web-mjesto smješta na korisnikov uređaj. Kolačići se koriste za brojne svrhe, od održavanja prijavljenih sesija (strogo nužni) do praćenja ponašanja pri pregledavanju weba (oglašavanje). Tehnički gledano, kolačić je par naziv-vrijednost s pripadajućim metapodacima uključujući domenu, putanju, istek i sigurnosne oznake.
Traka za kolačiće: Element korisničkog sučelja (obično traka, modalni prozor ili skočni prozor) koji se pojavljuje kada korisnik prvi put posjeti web-mjesto, obavještavajući ga o korištenju kolačića na mjestu i tražeći njegovu privolu. Usklađena traka za kolačiće pruža jasne informacije, nudi stvarne mogućnosti izbora (prihvati, odbij, prilagodi) i ne postavlja kolačiće koji nisu nužni dok korisnik ne odgovori.
Politika kolačića: Dokument (obično namjenska web-stranica ili odjeljak politike privatnosti) koji pruža detaljne informacije o svim kolačićima korištenim na web-mjestu, uključujući njihove nazive, svrhe, vrste, trajanje i pružatelje trećih strana koji ih postavljaju. Politika kolačića ispunjava obveze transparentnosti iz GDPR-a i zahtjev ePrivacy direktive za „jasnim i sveobuhvatnim informacijama”.
Zid kolačića: Mehanizam koji blokira pristup sadržaju web-mjesta osim ako korisnik ne pristane na sve kolačiće. Zidovi kolačića su kontroverzni i njihova zakonitost varira ovisno o jurisdikciji. EDPB je naveo da zidovi kolačića podrivaju zahtjev „slobodno dane” valjane privole, jer se korisnik suočava s izborom „uzmi ili ostavi”. Neka nacionalna nadzorna tijela (osobito francuski Conseil d'Etat) dopustila su zidove kolačića pod ograničenim uvjetima kada korisnik ima stvaran alternativan način pristupa sadržaju.
D–E
Mračni obrazac (dark pattern): Odluka o dizajnu korisničkog sučelja koja manipulira korisnicima da donesu odluke koje inače ne bi donijeli. U kontekstu kolačića, mračni obrasci uključuju: vizualno isticanje gumba „Prihvati” uz skrivanje opcije „Odbij”, korištenje zbunjujućeg jezika, zahtijevanje više klikova za odbijanje nego za prihvaćanje te primjenu taktika izazivanja srama. EDPB je u veljači 2023. objavio posebne smjernice o mračnim obrascima u sučeljima za zaštitu podataka.
Voditelj obrade podataka: Subjekt koji određuje svrhe i sredstva obrade osobnih podataka. Za kolačiće koje postavlja web-mjesto, operator web-mjesta obično je voditelj obrade podataka. Za kolačiće trećih strana može postojati zajedničko vodstvo obrade između operatora web-mjesta i treće strane, ovisno o stupnju u kojem svaka strana utječe na svrhe i sredstva prikupljanja podataka.
Izvršitelj obrade podataka: Subjekt koji obrađuje osobne podatke u ime voditelja obrade, slijedeći njegove upute. Pružatelj usluga hostinga ili dobavljač CMP-a koji djeluje isključivo prema uputama operatora web-mjesta bio bi izvršitelj obrade. Razlika je važna jer voditelji obrade snose primarnu odgovornost za usklađenost, dok izvršitelji obrade moraju postupati u skladu s uputama voditelja i uvjetima ugovora o obradi podataka.
Ispitanik: Fizička osoba čiji se osobni podaci obrađuju. U kontekstu kolačića, ispitanici su posjetitelji web-mjesta čiji se podaci prikupljaju putem kolačića. Ispitanici imaju prava prema GDPR-u uključujući pravo na pristup, ispravak, brisanje, ograničenje obrade, prenosivost podataka i pravo na prigovor.
Nadzorno tijelo za zaštitu podataka (DPA): Neovisno javno tijelo odgovorno za praćenje i provedbu zakona o zaštiti podataka u svakoj državi članici EU-a. Nadzorna tijela imaju ovlast istraživati pritužbe, provoditi revizije, izdavati smjernice i izricati kazne. Svaka država članica ima najmanje jedno nadzorno tijelo (Njemačka ih ima više, po jedno po saveznoj pokrajini plus savezni BfDI). Primjeri: CNIL (Francuska), Garante (Italija), ICO (Ujedinjeno Kraljevstvo), Datatilsynet (Danska/Norveška).
Službenik za zaštitu podataka (DPO): Osoba koju je voditelj ili izvršitelj obrade imenovao za nadzor usklađenosti s GDPR-om. GDPR zahtijeva da određene organizacije imenuju DPO-a, uključujući javna tijela i organizacije čije temeljne aktivnosti uključuju opsežno praćenje ispitanika. Iako nije izravno povezan s kolačićima, DPO obično nadzire program usklađenosti organizacije s kolačićima.
EDPB (Europski odbor za zaštitu podataka): Neovisno tijelo EU-a koje osigurava dosljednu primjenu GDPR-a i promiče suradnju između nacionalnih nadzornih tijela. EDPB (koji je zamijenio Radnu skupinu iz članka 29.) izdaje smjernice, preporuke i obvezujuće odluke. Njegove smjernice o privoli (Smjernice 05/2020) i o mračnim obrascima ključne su reference za usklađenost s kolačićima.
ePrivacy direktiva (Direktiva 2002/58/EZ): EU direktiva koja uređuje privatnost u elektroničkim komunikacijama, uključujući korištenje kolačića. Članak 5. stavak 3. primarna je pravna osnova za zahtjev privole za kolačiće. Kao direktiva, mora se prenijeti u nacionalno zakonodavstvo svake države članice, što dovodi do razlika u provedbi. Trebala bi biti zamijenjena ePrivacy uredbom, koja je i dalje predmet pregovora.
F–G
Kolačić prve strane: Kolačić koji postavlja domena koju korisnik posjećuje. Na primjer, ako korisnik posjeti example.com i example.com postavi kolačić, to je kolačić prve strane. Kolačići prve strane obično se koriste za osnovne funkcije (sesije, postavke) i analitiku prve strane. Općenito se smatraju manje nametljivima od kolačića trećih strana jer ne mogu pratiti korisnike na različitim web-mjestima.
GDPR (Opća uredba o zaštiti podataka): Uredba (EU) 2016/679, sveobuhvatan zakon EU-a o zaštiti podataka na snazi od 25. svibnja 2018. GDPR pruža pravni okvir za ono što predstavlja valjanu privolu (primijenjeno na kolačiće putem upućivanja iz ePrivacy direktive), prava ispitanika, obveze voditelja i izvršitelja obrade te režim provedbe uključujući kazne do 4% globalnog godišnjeg prometa ili 20 milijuna eura.
GPC (Global Privacy Control): Signal na razini preglednika koji priopćava korisnikovu preferenciju za odustajanje od prodaje ili dijeljenja njegovih osobnih podataka. Za razliku od starijeg Do Not Track (DNT) signala, GPC ima pravnu podršku prema CCPA/CPRA i nekoliko drugih američkih državnih zakona o privatnosti. Kada korisnik omogući GPC u svom pregledniku, web-mjesta koja podliježu tim zakonima moraju ga tretirati kao valjani zahtjev za odustajanje. GPC se sve više priznaje i u Europi, iako još nije pravno propisan prema zakonodavstvu EU-a.
Google Consent Mode: Značajka Googleove infrastrukture oznaka koja prilagođava ponašanje Googleovih oznaka (Analytics, Ads itd.) na temelju statusa privole priopćenog od strane CMP-a web-mjesta. Consent Mode v2, obavezan za personalizaciju oglasa u EGP-u od ožujka 2024., uvodi parametre ad_user_data i ad_personalization uz postojeće ad_storage i analytics_storage. Kada je privola odbijena, Googleove oznake prilagođavaju svoje ponašanje kako bi izbjegle postavljanje kolačića, iako mogu i dalje slati ograničene pingove bez kolačića ovisno o konfiguraciji.
I–L
IAB TCF (Interactive Advertising Bureau Transparency and Consent Framework): Okvir razvijen u industriji za upravljanje privolama u ekosustavu digitalnog oglašavanja. TCF pruža standardiziran način na koji CMP-ovi, oglašivači i izdavači priopćavaju signale privole kroz opskrbni lanac oglasne tehnologije. Verzija 2.2 trenutni je standard. TCF se suočio s pravnim izazovima, osobito odlukom belgijskog nadzornog tijela iz 2022. da obrada TC niza od strane IAB Europe predstavlja obradu osobnih podataka. Okvir se i dalje široko koristi, ali njegov pravni status nastavlja se razvijati.
Legitimni interes: Jedna od šest zakonitih osnova za obradu osobnih podataka prema članku 6. stavku 1. točki (f) GDPR-a. Legitimni interes zahtijeva test uravnoteženja između interesa voditelja obrade i prava i sloboda ispitanika. Za kolačiće, korištenje legitimnog interesa kao zakonite osnove izuzetno je sporno. Prevladavajuće europsko regulatorno stajalište jest da je privola (a ne legitimni interes) prikladna osnova za kolačiće koji nisu nužni, jer ePrivacy direktiva izričito zahtijeva privolu za pohranu na korisnikovom uređaju.
O–P
Opt-in (pristanak unaprijed): Model privole u kojem se obrada osobnih podataka (ili postavljanje kolačića) ne događa osim ako korisnik ne poduzme potvrdnu radnju kojom to dopušta. EU model kolačića je opt-in: nema kolačića koji nisu nužni dok korisnik ne da privolu. Opt-in pruža snažniju zaštitu privatnosti, ali zahtijeva mehanizam privole prije početka bilo kakvog praćenja.
Opt-out (odustajanje): Model privole u kojem se obrada osobnih podataka (ili postavljanje kolačića) odvija prema zadanim postavkama, a korisnik mora poduzeti radnju da bi je zaustavio. Američki model kolačića (prema CCPA-u i sličnim državnim zakonima) uglavnom je opt-out: praćenje se odvija osim ako korisnik ne prigovori. Opt-out stavlja teret djelovanja na korisnika, a ne na operatora web-mjesta.
Trajni kolačić: Kolačić koji ostaje na korisnikovom uređaju određeno razdoblje nakon zatvaranja preglednika. Trajni kolačići koriste se za pamćenje postavki, održavanje prijavljenih sesija kroz posjete i praćenje ponašanja tijekom vremena. Imaju određeni datum isteka i ostaju dok taj datum ne prođe ili dok ih korisnik ne izbriše. Trajanje trajnih kolačića trebalo bi biti razmjerno njihovoj svrsi.
Osobni podaci: Prema GDPR-u, svaka informacija koja se odnosi na identificiranu ili prepoznatljivu fizičku osobu. To uključuje očite identifikatore (ime, e-pošta) i manje očite (IP adrese, identifikatore kolačića, otiske uređaja). Uvodna izjava 30. GDPR-a izričito navodi da mrežni identifikatori poput identifikatora kolačića mogu predstavljati osobne podatke. U praksi, gotovo svi kolačići koji jedinstveno identificiraju preglednik ili korisnika kvalificiraju se kao osobni podaci.
Prethodna privola: Privola dobivena prije nego što se dogodi radnja koju ona odobrava. Za kolačiće, prethodna privola znači dobivanje korisnikovog pristanka prije nego što se bilo koji kolačić koji nije nužan postavi na njegov uređaj. To je temeljni zahtjev članka 5. stavka 3. ePrivacy direktive. Postavljanje kolačića prvo pa naknadno traženje privole, ili retroaktivno brisanje kolačića ako je privola odbijena, ne zadovoljava zahtjev prethodne privole.
S–T
Sesijski kolačić: Kolačić koji postoji samo za vrijeme trajanja korisnikove sesije preglednika i briše se kada se preglednik zatvori. Sesijski kolačići obično se koriste za održavanje stanja prijave, sadržaja košarice za kupnju i drugih privremenih podataka. Mnogi sesijski kolačići kvalificiraju se kao strogo nužni i stoga su izuzeti od zahtjeva privole, iako to ovisi o njihovoj specifičnoj svrsi.
Strogo nužni kolačić: Kolačić koji je neophodan za funkcioniranje web-mjesta i pružanje usluge koju je korisnik izričito zatražio. Strogo nužni kolačići izuzeti su od zahtjeva privole prema članku 5. stavku 3. ePrivacy direktive. Primjeri uključuju kolačiće za autentifikaciju, sigurnosne kolačiće (CSRF tokeni), kolačiće za uravnoteženje opterećenja i kolačiće postavki korisničkog sučelja koji su neophodni za uslugu. Analitički kolačići, oglasni kolačići i kolačići društvenih medija nisu strogo nužni, bez obzira na to koliko ih operator web-mjesta smatra korisnima.
Kolačić treće strane: Kolačić koji postavlja domena koja nije ona koju korisnik posjećuje. Na primjer, ako korisnik posjeti example.com i kolačić postavi facebook.com (putem Facebook Pixela ugrađenog na example.com), Facebookov kolačić je kolačić treće strane. Kolačići trećih strana prvenstveno se koriste za praćenje na više web-mjesta i ciljano oglašavanje. Glavni preglednici ograničavaju ili ukidaju kolačiće trećih strana: Safari i Firefox ih već prema zadanim postavkama blokiraju, a Chrome je najavio planove za njihovo ukidanje (iako se vremenski okvir mijenjao više puta).
Piksel za praćenje: Sićušna, nevidljiva slika (obično 1x1 piksel) ugrađena u web-stranicu ili e-poštu koja izvještava natrag na poslužitelj kada se učita. Iako tehnički nije kolačić, pikseli za praćenje su srodna tehnologija praćenja koja često radi zajedno s kolačićima za praćenje ponašanja korisnika. Podliježu istim zahtjevima privole kao i kolačići prema ePrivacy direktivi, jer uključuju pristup informacijama na korisnikovom uređaju (HTTP zahtjev prenosi korisnikovu IP adresu, informacije o pregledniku i sve povezane kolačiće).
Službeni resursi
Zakonodavstvo i smjernice EU-a
- Puni tekst GDPR-a — Uredba (EU) 2016/679 na EUR-Lex
- Puni tekst ePrivacy direktive — Direktiva 2002/58/EZ na EUR-Lex
- Izmjena ePrivacy direktive (2009.) — Direktiva 2009/136/EZ
- EDPB smjernice — Sve smjernice, uključujući Smjernice 05/2020 o privoli
- Javna savjetovanja EDPB-a — Uključujući smjernice o mračnim obrascima
Nacionalne smjernice nadzornih tijela o kolačićima
- CNIL smjernice o kolačićima (Francuska) — Najdetaljnije nacionalne smjernice o kolačićima, uključujući kriterije izuzeća za mjerenje publike
- Garante smjernice o kolačićima (Italija) — Sveobuhvatne smjernice iz 2021. sa specifičnim zahtjevima za trake
- ICO smjernice o kolačićima (Ujedinjeno Kraljevstvo) — Detaljne praktične smjernice, i dalje vrlo relevantne za usklađenost s EU-om unatoč Brexitu
- Datatilsynet (Danska) — Smjernice i odluke danskog nadzornog tijela
- BfDI (Njemačka) — Savezni povjerenik za zaštitu podataka
Google Consent Mode
- Dokumentacija Google Consent Mode — Službeni vodič za implementaciju
- Zahtjevi Google Consent Mode v2 — EGP zahtjevi za Google Ads
- Napredno postavljanje Consent Mode — Tehnički detalji implementacije
IAB Transparency and Consent Framework
- Pregled IAB Europe TCF — Dokumentacija okvira i popis dobavljača
- Specifikacije TCF 2.2 — Tehnička specifikacija za implementatore CMP-a
Američki zakoni o privatnosti
- Stranica CCPA glavnog državnog odvjetnika Kalifornije — Službeni resursi za CCPA/CPRA
- California Privacy Protection Agency — CPRA propisi i provedba
- Global Privacy Control (GPC) — Specifikacija i podrška preglednika
Sudska praksa Suda EU-a
- Planet49 (Predmet C-673/17) — Unaprijed označene kućice ne predstavljaju valjanu privolu
- IAB Europe TCF (Predmet C-604/22) — TC niz predstavlja osobne podatke
Za daljnje čitanje
- W3C Tracking Preference Expression (DNT) — Pozadina Do Not Track signala i njegovih nasljednih tehnologija
- RFC 6265: HTTP State Management Mechanism — Tehnička specifikacija za kolačiće
- MDN: Korištenje HTTP kolačića — Sveobuhvatna referenca za razvojne inženjere
- Objašnjenje SameSite kolačića — Razumijevanje atributa SameSite i njegovog utjecaja na kolačiće trećih strana
- Google Privacy Sandbox — Googleova inicijativa za zamjenu kolačića trećih strana alternativama koje čuvaju privatnost
Alati za usklađenost s kolačićima
Održavanje usklađenosti s kolačićima zahtijeva prave alate. Passiro pruža automatizirano skeniranje kolačića koje pregledava cijelo vaše web-mjesto koristeći stvarni pokretač preglednika, identificira sve kolačiće i tehnologije praćenja, kategorizira ih pomoću kontinuirano ažurirane baze podataka te prati promjene s planiranim skeniranjima i upozorenjima. U kombinaciji s Passiro platformom za upravljanje privolama, to vam pruža cjelovit i uvijek aktualan pregled usklađenosti vašeg web-mjesta s kolačićima.
Saznajte više o mogućnostima skeniranja Passira ili pokrenite besplatno skeniranje vašeg web-mjesta kako biste vidjeli koje kolačiće vaše mjesto danas postavlja.
Je li vaša web stranica usklađena s propisima o kolačićima?
Besplatno skenirajte svoju web stranicu i pronađite sve kolačiće u nekoliko minuta.
Besplatno skenirajte svoje kolačiće