Vafrakökuborðar: Heildarleiðbeiningarnar
Vafrakökuborði er tengiflöturinn milli vefsvæðisins þíns og réttar gesta þinna til friðhelgi einkalífs. Hann er sá búnaður sem þú notar til að afla — eða mistekst að afla — lögmæts samþykkis fyrir ónauðsynlegum vafrakökum. Að gera þetta rétt er ekki valkvætt: það er lagaleg krafa um alla Evrópusambandið og sífellt fleiri lögsagnarumdæmi um heim allan.
Þessar leiðbeiningar fjalla um hvað vafrakökuborðar eru, af hverju þeir eru til, hvað lögin krefjast og hvernig má útfæra borða sem er bæði í samræmi við lög og notendavænn.
Hvað er vafrakökuborði?
Vafrakökuborði er þáttur í notendaviðmóti — sem birtist yfirleitt þegar gestur kemur fyrst inn á vefsvæðið þitt — sem upplýsir notandann um notkun vefsvæðisins á vafrakökum og áþekkri rakningartækni og býður notandanum búnað til að veita eða halda eftir samþykki.
Hugtakið „vafrakökuborði“ er nokkuð óformlegt. Í lagalegum skilningi er um að ræða viðmót til samþykkisstjórnunar. Það er til vegna tveggja ESB-laga sem skarast:
- ePrivacy-tilskipunin (2002/58/EB), 5. gr. (3. mgr.) — krefst samþykkis áður en upplýsingum er komið fyrir eða þær sóttar á tæki notanda (með þröngum undantekningum fyrir strangt nauðsynlegar vafrakökur).
- Almenna persónuverndarreglugerðin (GDPR), 4. gr. (11. mgr.) og 7. gr. — skilgreinir hvað telst gilt samþykki: það verður að vera veitt af fúsum og frjálsum vilja, afmarkað, upplýst og ótvírætt, veitt með skýrri jákvæðri aðgerð.
Saman þýða þessi lög að áður en þú setur greiningarköku, markaðsdíla eða annan ónauðsynlegan rakningarbúnað verður þú að spyrja notandann og fá skýrt „já“.
Lagalegar kröfur til vafrakökuborða
Vafrakökuborði sem er í samræmi við lög er ekki bara tilkynning — hann er búnaður til að afla samþykkis. Evrópska persónuverndarráðið (EDPB) og persónuverndarstofnanir einstakra ríkja hafa gefið út ítarlegar leiðbeiningar um hvað borðar verða að innihalda. Hér eru kröfurnar sem ekki verður hvikað frá:
Hvað verður að sýna
- Skýra lýsingu á tilgangi. Notendur verða að skilja hvers vegna vafrakökur eru notaðar, ekki bara að þær séu til staðar. „Við notum vafrakökur til að bæta upplifun þína“ er ófullnægjandi. Þú verður að útskýra tilteknu tilgangina: greiningar, auglýsingar, sérstillingar, samþættingu samfélagsmiðla.
- Samþykkishnapp. Skýra, jákvæða aðgerð til að samþykkja ónauðsynlegar vafrakökur.
- Höfnunarhnapp (eða jafngildi). Notendur verða að geta hafnað ónauðsynlegum vafrakökum jafn auðveldlega. CNIL (Frakklandi), danska persónuverndarstofnunin (Datatilsynet) og EDPB hafa öll staðfest: að hafna vafrakökum verður að vera jafn auðvelt og að samþykkja þær.
- Tengil á vafrakökustillingar eða valkosti. Notendur verða að geta tekið nákvæmar ákvarðanir — samþykkt sumar tegundir vafrakaka en hafnað öðrum.
- Tengil á vafrakökustefnu þína. Borðinn verður að veita aðgang að ítarlegum upplýsingum um hvaða vafrakökur þú notar, tilgang þeirra, líftíma og hvort þær eru frá fyrsta aðila eða þriðja aðila.
- Auðkenni ábyrgðaraðila. Notendur verða að vita hver safnar gögnum þeirra.
Hvað má ekki gerast
- Ónauðsynlegar vafrakökur má ekki setja áður en notandinn tekur ákvörðun.
- Samþykki má ekki álykta af skrunun, áframhaldandi vafri eða aðgerðaleysi.
- Forhakaðir reitir teljast ekki gilt samþykki (staðfest af Evrópudómstólnum í Planet49-úrskurðinum, máli C-673/17).
- Vafrakökuveggir — að loka aðgangi að vefsvæðinu nema notandinn samþykki — eru almennt bannaðir, þótt takmarkaðar undantekningar séu til í sumum lögsagnarumdæmum.
Tegundir vafrakökuborða
Ekki eru allir vafrakökuborðar eins. Sú tegund sem þú þarft ræðst af lögsagnarumdæmi þínu, þeim vafrakökum sem þú notar og því hversu miklu samræmi við lög þú stefnir að.
Borðar sem eingöngu tilkynna
Þessir upplýsa einfaldlega notandann um að vafrakökur séu í notkun, oft með einum „Í lagi“- eða „Ég skil“-hnappi. Borðar sem eingöngu tilkynna eru ekki í samræmi við ESB-lög. Þeir voru algengir á fyrstu dögum vafrakökureglna, en þeir uppfylla ekki kröfur GDPR um samþykki. Ef vefsvæðið þitt beinist að notendum í ESB er borði sem eingöngu tilkynnir áhætta.
Opt-in-borðar (samþykki fyrst)
Gullni staðallinn fyrir samræmi við ESB. Engar ónauðsynlegar vafrakökur eru settar fyrr en notandinn samþykkir með jákvæðri aðgerð. Borðinn birtir skýra valkosti um að samþykkja og hafna, og helst tengil á nákvæmar stillingar. Þetta er sú útfærsla sem ePrivacy-tilskipunin krefst eins og hún er túlkuð í gegnum GDPR.
Lagskiptir borðar
Lagskipt nálgun birtir grunnupplýsingar á fyrsta lagi (borðanum sjálfum) og ítarlegar upplýsingar á öðru lagi (stillingaspjaldi eða stillingasíðu). Þetta er sú nálgun sem EDPB og flestar persónuverndarstofnanir mæla með. Hún vegur saman gagnsæi og notagildi: notendur fá lykilupplýsingarnar strax, með möguleikann á að grafa dýpra.
Vel útfærður lagskiptur borði sýnir yfirleitt:
- Fyrsta lag: Stutta tilgangslýsingu, samþykkishnapp, höfnunarhnapp, tengil á „Stjórna valkostum“.
- Annað lag: Sundurliðun eftir hverjum flokki með kveikjurofum, ítarlegar lýsingar og lista yfir tilteknar vafrakökur í hverjum flokki.
Staðsetning borðans
Hvar þú staðsetur vafrakökuborðann hefur áhrif bæði á samræmi við lög og notendaupplifun. Algengar staðsetningar eru meðal annars:
| Staðsetning | Kostir | Gallar |
|---|---|---|
| Neðri stika | Truflar lítið, leyfir skoðun efnis, víða þekkt | Getur farið fram hjá fólki, gæti hulið efni í fæti síðu |
| Miðgluggi (yfirlag) | Ómögulegt að hunsa, knýr fram ákvörðun, mikil þátttaka | Truflar upplifunina, getur virkað ágengur |
| Efri stika | Sýnileg, hefðbundin staðsetning | Getur ýtt efni niður, gæti truflað flakk |
| Hornvirki | Lágmarks sjónræn áhrif, óáberandi | Auðvelt að missa af, lítil þátttaka, gæti vakið áhyggjur af samræmi við lög |
EDPB hefur ekki mælt fyrir um tiltekna staðsetningu, en borðinn verður að vera greinilega sýnilegur og ekki auðvelt að líta fram hjá honum. Miðgluggi eða áberandi neðri stika eru öruggustu valkostirnir út frá samræmi við lög. Lítið hornvirki sem notendur hunsa venjulega uppfyllir kannski ekki kröfuna um „skýrar og áberandi“ upplýsingar.
Hvað borði í samræmi við lög verður að innihalda
Í stuttu máli verður borði sem uppfyllir núverandi ESB-staðla að innihalda eftirfarandi þætti:
- Tilgangslýsing: Hnitmiðaða útskýringu á því af hverju vafrakökur eru notaðar, flokkaða eftir flokkum (nauðsynlegar, greiningar, markaðssetning, valkostir).
- Samþykkja allt-hnappur: Skýrt merktur, veitir samþykki fyrir öllum flokkum ónauðsynlegra vafrakaka.
- Hafna öllu-hnappur: Jafn áberandi og samþykkishnappurinn — sömu stærð, sama sjónrænt vægi, sama aðgengi.
- Tengill á Stjórna valkostum / Stillingar: Opnar annað lag þar sem notendur geta tekið ákvarðanir eftir hverjum flokki.
- Tengill á vafrakökustefnu: Tengir á ítarlegt vafrakökustefnuskjal.
- Tengill á persónuverndarstefnu: Tengir á fulla persónuverndarstefnu vefsvæðisins (má sameina tengli á vafrakökustefnu).
Algeng mistök við útfærslu vafrakökuborða
Jafnvel útfærslur með góðum ásetningi innihalda oft villur sem grafa undan samræmi við lög:
- Að setja vafrakökur áður en samþykki er veitt. Algengasta og alvarlegasta villan. Ef greiningar- eða auglýsingamerki þín virkjast við hleðslu síðu, áður en notandinn á samskipti við borðann, ertu að brjóta lög. Samþykki verður að afla áður en vafrakökurnar eru settar.
- Enginn höfnunarhnappur. Að bjóða aðeins upp á „Samþykkja“ og „Stillingar“ nægir ekki. Notendur verða að geta hafnað öllum ónauðsynlegum vafrakökum frá fyrsta lagi, með einni aðgerð.
- Sjónræn afvegaleiðing. Að gera samþykkishnappinn stóran og grænan á meðan höfnunarvalið er lítill textatengill er myrkt mynstur. Persónuverndarstofnanir hafa lagt á umtalsverðar sektir fyrir þessa háttsemi.
- Óljósar tilgangslýsingar. „Við notum vafrakökur til að bæta upplifun þína“ segir notandanum ekkert. Vertu nákvæmur: greiningar, markvissar auglýsingar, samfélagsmiðlainnfellingar, A/B-prófanir.
- Að hunsa samþykki á síðari síðum. Samþykki (eða höfnun) verður að haldast út alla setuna og milli heimsókna. Ef notandi hafnar vafrakökum á forsíðunni verður að virða þá ákvörðun á hverri síðari síðu.
- Að bjóða ekki upp á leið til að breyta valkostum. Notendur verða að geta afturkallað samþykki hvenær sem er, jafn auðveldlega og þeir veittu það (7. gr. (3. mgr.) GDPR). Fastur stillingatengill — oft lítið tákn í horni síðunnar — ætti alltaf að vera til staðar.
- Að uppfæra ekki þegar vafrakökur breytast. Ef þú bætir við nýju markaðstæki verður að uppfæra borðaflokkana og vafrakökustefnuna. Úrelt samþykki er ekki gilt samþykki.
Afköst borða og síðu
Vafrakökuborðar sitja í mikilvægri stöðu: þeir hlaðast við hverja fyrstu heimsókn, á hverri síðu. Illa útfærður borði getur skert afköst vefsvæðisins verulega, haft áhrif á Core Web Vitals og þar með á leitarröðun þína.
Lykilatriði varðandi afköst:
- Þyngd skriftu. Skrifta samþykkisstjórnunarvettvangs (CMP) ætti að vera eins létt og mögulegt er. Þungar skriftur sem hlaða viðbótarháðum þáttum geta bætt hundruðum millisekúndna við hleðslutíma síðu. Stefndu að minna en 30KB gzipp-þjöppuðu fyrir borðaskriftuna.
- Birtingarhindrun. Borðaskriftan verður að hlaðast ósamstillt. Hún ætti aldrei að hindra birtingu efnis síðunnar. Notendur ættu að sjá vefsvæðið hlaðast á meðan borðinn birtist.
- Útlitsfærsla. Borði sem ýtir efni niður eða veldur því að þættir hoppa til mun skaða Cumulative Layout Shift (CLS)-einkunn þína. Notaðu fasta eða yfirlagsstaðsetningu til að forðast útlitsfærslur.
- Merkjastjórnun. Borðinn verður að samþættast merkjastjóranum þínum til að hlaða skriftum með skilyrðum eftir samþykki. Merki sem virkjast áður en samþykki er athugað eru bæði lagalegt vandamál og afkastavandamál — þau hlaða óþarfa auðlindir.
Besta nálgunin er borðalausn sem er byggð fyrir afköst frá grunni: lágmarks JavaScript, engir utanaðkomandi háðir þættir, ósamstillt hleðsla og þétt samþætting við merkjastjórnun þína.
Nálgun Passiro að vafrakökusamþykki
Samþykkisborði Passiro er hannaður til að uppfylla allar kröfur sem lýst er á þessari síðu — og gera það án þess að skerða afköst vefsvæðisins þíns. Borðaskriftan okkar er undir 15KB gzipp-þjöppuð, hleðst ósamstillt, styður Google Consent Mode v2 og býður upp á fullkomlega aðgengilegt samþykkisviðmót í samræmi við WCAG AA strax frá byrjun. Passiro er skráð hjá IAB Europe sem CMP ID 499, sem gerir kleift að mynda gilda TC String og taka fullan þátt í IAB TCF v2.3-rammanum.
Við sjáum um lagalegan flækjustig svo þú getir einbeitt þér að fyrirtækinu þínu. Passiro skannar vefsvæðið þitt sjálfkrafa fyrir vafrakökum, flokkar þær, myndar borðastillingar í samræmi við lög og heldur öllu samstilltu eftir því sem vefsvæðið þitt þróast.
Sjáðu hvernig Passiro getur hjálpað þér að ná vafrakökusamræmi.
Uppfyllir vefsíðan þín vefkökureglurnar?
Skannaðu vefsíðuna þína ókeypis og finndu allar vefkökur á nokkrum mínútum.
Skannaðu vefkökurnar þínar ókeypis