Bestu venjur við samþykki fyrir vefkökum
Það er nauðsynlegt að þekkja lögin. En það er í raunverulegri innleiðingu sem vinnan liggur. Þessi hluti fjallar um hagnýtar bestu venjur við samþykki fyrir vefkökum — hvernig á að byggja upp samþykkisupplifun sem er lagalega samræmd, tæknilega traust og virðir notendur þína.
1. Gerðu samþykki raunverulega valfrjálst
Í 4. mgr. 7. gr. GDPR segir að þegar metið er hvort samþykki sé gefið af fúsum og frjálsum vilja skuli „meðal annars taka ítarlegt tillit til þess hvort framkvæmd samnings, þar með talið veiting þjónustu, sé háð samþykki fyrir vinnslu persónuupplýsinga sem eru ekki nauðsynlegar fyrir framkvæmd þess samnings.“
Í reynd þýðir þetta:
- Notaðu ekki vefkökuveggi sem loka á efni nema notandinn samþykki allar vefkökur. EDPB hefur sagt að vefkökuveggir komi almennt í veg fyrir að samþykki sé gefið af frjálsum vilja. Ef notandi kemst ekki inn á vefsvæðið þitt án þess að samþykkja rakningu er „samþykki“ hans þvingað en ekki valfrjálst.
- Ekki skerða upplifun þeirra sem hafna. Að sýna viðvarandi yfirlag, draga úr virkni síðunnar eða birta óbeint þrýstiskilaboð („Við tökum eftir að þú hefur ekki samþykkt vefkökur — upplifun þín gæti orðið verri“) grefur undan hinum frjálsa vilja samþykkisins.
- Bjóddu raunverulega valkosti. Ef þú notar „samþykki eða greiðsla“-líkan verður greidda valkosturinn að vera raunverulega sanngjarn — ekki verðlagður til að refsa fyrir höfnun.
2. Útrýmdu myrkramynstrum
Eftirlitsaðilar beina sjónum sínum sérstaklega að myrkramynstrum (e. dark patterns) í samþykki fyrir vefkökum. EDPB hefur gefið út leiðbeiningar um blekkjandi hönnunarmynstur, og CNIL, Garante og aðrar persónuverndarstofnanir hafa sektað fyrirtæki sérstaklega fyrir stjórnandi samþykkisviðmót.
Forðastu þessi mynstur:
- Ósamhverfir hnappar. „Samþykkja allt“ sem stór, litríkur hnappur og „Stjórna stillingum“ sem lítill textatengill. Báðir valkostir verða að vera jafn áberandi. Nokkrar persónuverndarstofnanir hafa sérstaklega krafist þess að „Hafna öllu“ sé aðgengilegt á fyrsta laginu með sama sjónræna vægi og „Samþykkja allt.“
- Ruglandi orðalag. „Halda áfram án þess að samþykkja“ á móti „Samþykkja og halda áfram“ — þegar báðir hnappar líta svipað út geta notendur ekki greint þá fljótt í sundur. Notaðu skýr og ótvíræð heiti: „Samþykkja allt,“ „Hafna öllu,“ „Sérsníða.“
- Faldir höfnunarvalkostir. Að krefjast þess að notendur smelli sig í gegnum annað eða þriðja lag til að hafna vefkökum, á meðan „Samþykkja allt“ er einn smellur í burtu. CNIL sektaði Google um 150 milljónir evra meðal annars fyrir þessa venju.
- Fyrirfram merktir rofar. Flokkarofar sem eru sjálfgefið „á“ fyrir greiningar og markaðssetningu. Planet49-úrskurður Evrópudómstólsins bannar þetta afdráttarlaust.
- Villandi litir. Grænt fyrir „Samþykkja“ og rautt eða grátt fyrir „Hafna“ gefur til kynna að samþykki sé rétt val og höfnun sé mistök. Notaðu hlutlausa, samræmda hönnun.
- Skammandi orðalag. Orðalag eins og „Nei takk, mér er sama um upplifun mína“ fyrir höfnunarvalkostinn er stjórnandi og grefur undan hinum frjálsa vilja samþykkisins.
- Endurtekin áreitni. Að sýna samþykkisborðann aftur við hverja síðuheimsókn eftir að notandinn hefur hafnað, í von um að þreyta hann. Þegar notandi hefur tekið ákvörðun skaltu virða hana.
3. Vertu gagnsæ/r
Upplýst samþykki krefst þess að notendur skilji hverju þeir eru að samþykkja. Gagnsæi snýst ekki um magn upplýsinga — það snýst um skýrleika.
- Notaðu einfalt mál. „Við notum vefkökur til að rekja vafrahegðun þína um vefinn í auglýsingaskyni“ er skýrt. „Við nýtum fullkomna gagnagreiningartækni til að efla persónulega stafræna upplifun þína“ er það ekki.
- Teldu upp allar vefkökur. Vefkökustefnan þín ætti að innihalda tæmandi lista: heiti vefköku, veitanda, tilgang, tegund (lotu-/varanleg, fyrsta/þriðja aðila) og gildistíma. Þessi listi verður að vera uppfærður.
- Nefndu þriðju aðila. Ef þú deilir gögnum með auglýsinganetum skaltu nefna þau. „Við deilum gögnum með auglýsingasamstarfsaðilum okkar“ er ófullnægjandi. „Við deilum gögnum með Google Ads, Meta (Facebook) og LinkedIn“ er gagnsætt.
- Útskýrðu afleiðingarnar. Hvað gerist ef notandinn samþykkir greiningarvefkökur? Hvað gerist ef hann hafnar? Notendur ættu að skilja hagnýt áhrif vals síns.
4. Bjóddu upp á nákvæma stjórn
GDPR krefst þess að samþykki sé „sértækt“ — gefið sérstaklega fyrir hvern tilgang. Samþykkiskerfið þitt ætti að bjóða upp á:
- Rofa fyrir hvern flokk. Notendur ættu að geta samþykkt greiningarvefkökur en hafnað markaðsvefkökum. Fjórir stöðluðu flokkarnir (nauðsynlegar, greiningar, markaðssetning, kjörstillingar) eru lágmarkið.
- Flýtileiðir fyrir „Samþykkja allt“ og „Hafna öllu.“ Þótt nákvæm stjórn sé nauðsynleg er bæði löglegt og notendavænt að bjóða upp á heildarvalkosti sem flýtileiðir — svo framarlega sem nákvæmi valkosturinn er jafn aðgengilegur.
- Stjórn fyrir hvern söluaðila (mælt með en ekki alltaf krafist). Fyrir hámarks gagnsæi skaltu íhuga að leyfa notendum að sjá og stjórna vefkökum eftir söluaðila — til dæmis að samþykkja Google Analytics en hafna Hotjar, eða samþykkja LinkedIn-rakningu en hafna Facebook. Sumir samþykkisstjórnunarvettvangar kalla þetta „IAB TCF Level 2“ nákvæmni.
5. Gerðu afturköllun jafn auðvelda og að veita samþykki
3. mgr. 7. gr. GDPR er afdráttarlaus: „Hinn skráði skal eiga rétt á að afturkalla samþykki sitt hvenær sem er. [...] Það skal vera jafn auðvelt að afturkalla samþykki og að veita það.“
Þessi krafa er oft brotin. Algeng vandamál eru meðal annars:
- Engin sýnileg leið til að breyta vefkökustillingum eftir að borðanum hefur verið lokað.
- Tengill á „Vefkökustillingar“ grafinn í persónuverndarstefnunni, sem sjálf er grafin í fótskránni.
- Að krefjast þess að notandinn hreinsi vefkökur vafrans til að endurstilla kjörstillingar (þetta er ekki afturköllunaraðferð — þetta er hjáleið).
Innleiðingar sem fylgja bestu venjum fela í sér:
- Viðvarandi tengil á „Vefkökustillingar“ í fótskrá vefsvæðisins.
- Lítið fljótandi tákn (oft vefköku- eða skjaldartákn) sem opnar samþykkisstjórann aftur.
- Hluta í reikningsstillingum notanda (fyrir innskráða notendur) þar sem hægt er að stjórna vefkökustillingum.
Þegar notandi afturkallar samþykki verður þú að hætta strax að nota viðkomandi vefkökur. Eyddu vefkökunum úr vafranum og stöðvaðu tengd forskriftir. Afturköllun verður að vera virk, ekki aðeins skráð.
6. Haltu skrár yfir samþykki
1. mgr. 7. gr. GDPR: „Þegar vinnsla byggist á samþykki skal ábyrgðaraðili geta sýnt fram á að hinn skráði hafi samþykkt vinnslu persónuupplýsinga sinna.“
Samþykkisskrárnar þínar ættu að innihalda:
- Tímastimpil yfir hvenær samþykki var veitt eða því hafnað.
- Flokka sem voru samþykktir og hafnaðir.
- Útgáfu samþykkiskerfisins sem var sýnt (hvernig borðinn leit út, hvaða texti var birtur). Ef þú breytir samþykkisborðanum þínum þarftu að vita við hvaða útgáfu hver notandi átti samskipti.
- Aðferð samþykkis (hvaða hnappur var smellt á, hvaða valkostir voru valdir).
- Nafnlaust auðkenni sem tengir skráninguna við tækið eða lotuna (ekki nafn eða netfang notandans — samþykkisskráin sjálf ætti ekki að verða persónuverndarvandamál).
Geymdu þessar skrár á miðlarahlið. Vefkaka á biðlarahlið ein og sér er ekki fullnægjandi sönnun — notandinn getur eytt henni og þá hefurðu enga sjálfstæða skráningu. Besta venjan er að skrá samþykkisatburði á miðlarann þinn og varðveita þá í þann tíma sem persónuverndarstofnunin þín mælir með (yfirleitt sama tímabil og gildistími vefkakanna, auk hæfilegs svigrúms).
7. Biddu um samþykki aftur eftir breytingar
Samþykki er sértækt fyrir þá tilgangi og vefkökur sem það var veitt fyrir. Ef þú bætir við nýjum vefkökum, nýjum flokkum, nýjum söluaðilum þriðja aðila eða breytir verulega hvernig þú notar núverandi vefkökur, er hugsanlegt að áður safnað samþykki nái ekki lengur yfir nýju vinnsluna.
Biddu notendur aftur um samþykki þegar:
- Þú bætir við nýjum flokki vefkakna sem var ekki áður tekinn til.
- Þú innleiðir nýja rakningarþjónustu þriðja aðila.
- Þú breytir tilgangi núverandi vefkakna (t.d. með því að nota greiningargögn í auglýsingaskyni).
- Umtalsverður tími hefur liðið frá síðasta samþykki (CNIL mælir með ekki meira en 13 mánuðum).
- Reglugerðarkröfur breytast á þann hátt sem hefur áhrif á gildi núverandi samþykkis.
Innleiddu kerfi fyrir samþykkisútgáfur. Úthlutaðu útgáfunúmeri á samþykkisstillingar þínar. Þegar útgáfan breytist (vegna þess að þú bættir við eða breyttir vefkökum) skaltu biðja notendur sem samþykktu samkvæmt fyrri útgáfu aftur um samþykki.
8. Prófaðu samþykkishlutfall með A/B-prófun á siðferðilegan hátt
Það er réttmætt að hámarka samþykkisupplifun þína — að prófa mismunandi útlit, orðalag og hönnun til að finna það sem virkar best. En „virkar best“ verður að þýða „skilar raunverulega upplýstu samþykki á sanngjörnu hlutfalli,“ ekki „hámarkar smelli á samþykkja-allt með stjórnun.“
Leiðbeiningar um siðferðilega A/B-prófun:
- Allar útgáfur verða að vera samræmdar. Hver útgáfa sem þú prófar verður að uppfylla lagalegar kröfur um gilt samþykki. Þú getur ekki prófað samræmda útgáfu á móti ósamræmdri til að sjá hvor fær fleiri samþykki.
- Prófaðu skýrleika, ekki stjórnun. Eykur endurorðun útskýringarinnar skilning og þar með samþykki? Bætir endurstaðsetning borðans þátttöku? Þetta eru réttmætar prófanir.
- Ekki hámarka fyrir „Samþykkja allt“-hlutfall. Hátt samþykkja-allt-hlutfall sem næst með ruglandi hönnun er ekki árangur — það er samræmisáhætta. Hámarkaðu fyrir hlutfall notenda sem taka virkt, upplýst val af einhverju tagi.
- Fylgstu með höfnunarhlutfalli. Ef hönnunarbreyting dregur verulega úr höfnunum skaltu spyrja hvort það hafi verið vegna skýrleika eða vegna hindrunar.
9. Bestu venjur við tæknilega innleiðingu
Samþykkiskerfið er ekki bara viðmótshluti — það krefst réttrar tæknilegrar innleiðingar til að virka í raun.
Lokaðu á forskriftir þar til samþykki er veitt
Mikilvægasta tæknilega krafan: forskriftir sem eru ekki nauðsynlegar mega ekki keyra fyrr en notandinn hefur samþykkt viðkomandi flokk. Það eru til nokkrar aðferðir:
- Breyting á forskriftartegund. Breyttu
type="text/javascript"ítype="text/plain"og bættu við gagnaeigind sem tilgreinir flokkinn. Þegar samþykki er veitt breytir samþykkisstjórnunarforskrift tegundinni til baka og ræsir keyrslu. - Samþætting merkjastjóra. Notaðu merkjastjóra (Google Tag Manager, Tealium o.s.frv.) sem styður samþykkishami. Merki eru stillt þannig að þau ræsist aðeins þegar samþykki fyrir flokki þeirra er til staðar.
- Miðlarahliðargerð (server-side rendering). Hafðu forskriftarmerki aðeins með í HTML síðunnar ef samþykki er þegar skráð (með athugun á samþykkisvefkökunni á miðlarahlið). Þetta er áreiðanlegasta aðferðin en krefst rökvísi á miðlarahlið.
Meðhöndlaðu samþykkisstöðu rétt
- Fyrsta heimsókn (ekkert samþykki skráð): Hlaðið aðeins forskriftum sem eru stranglega nauðsynlegar. Sýndu samþykkiskerfið.
- Endurtekin heimsókn (samþykki skráð): Lestu samþykkisvefkökuna. Hlaðið forskriftum sem samsvara samþykktum flokkum. Ekki sýna samþykkiskerfið aftur nema endurnýjun sé komin á.
- Samþykki afturkallað: Stöðvaðu allar forskriftir í afturkallaða flokknum. Eyddu viðeigandi vefkökum. Uppfærðu samþykkisskrána.
- Samþykki endurnýjað: Meðhöndlaðu sem fyrstu heimsókn fyrir alla nýja flokka. Hlaðið strax áður samþykktum flokkum.
Prófaðu ítarlega
- Staðfestu að engar óþarfa vefkökur séu settar áður en samþykki er veitt. Notaðu þróunarverkfæri vafrans (Application-flipi > Cookies) til að athuga.
- Staðfestu að forskriftir stöðvist í raun þegar samþykki er afturkallað — ekki bara að vefkökunni sé eytt, heldur að forskriftirnar séu ekki lengur að keyra.
- Prófaðu með JavaScript óvirkt. Samþykkiskerfið ætti að vísa til baka á snyrtilegan hátt og engar rakningarforskriftir ættu að hlaðast.
- Prófaðu á snjalltækjum. Samþykkiskerfið verður að vera fullvirkt og nothæft á litlum skjám.
10. Notaðu samþykkisstjórnunarvettvang (CMP)
Það er mögulegt að byggja fullkomlega samræmt samþykkiskerfi frá grunni en það felur í sér umtalsvert viðvarandi viðhald. Samþykkisstjórnunarvettvangur meðhöndlar flækjustigið fyrir þig: söfnun samþykkis, skráahald, forskriftalokun, staðsetningarmiðun og reglugerðaruppfærslur.
Þegar þú metur CMP skaltu íhuga:
- Sjálfvirka vefkökuskönnun. Greinir CMP-inn allar vefkökur á vefsvæðinu þínu, eða þarftu að telja þær upp handvirkt?
- Forskriftalokun. Lokar CMP-inn í raun á forskriftir fyrir samþykki, eða birtir hann aðeins borða?
- Samþykkisskrár. Geymir CMP-inn samþykkissönnun á miðlarahlið?
- IAB TCF-stuðning. Ef þú notar sjálfvirka auglýsingakaup gæti stuðnings við TCF 2.2 verið krafist.
- Áhrif á afköst. CMP-forskriftin hleðst á hverri síðu. Hversu stór er hún? Hindrar hún gerð síðunnar?
- Sérsníðingu. Geturðu látið samþykkisborðann passa við hönnun vörumerkis þíns?
- Aðgengi. Er samþykkiskerfið sjálft aðgengilegt? Er hægt að fara um það með lyklaborði? Virkar það með skjálesurum? Óaðgengilegur samþykkisborði á vefsvæði sem segist láta sig aðgengi varða lítur illa út.
Passiro skannar vefsvæðið þitt til að bera kennsl á allar vefkökur og rakningartækni, flokkar þær sjálfkrafa og veitir hagnýtar ráðleggingar fyrir samþykkisinnleiðingu þína — hvort sem þú byggir hana sjálf/ur eða notar CMP.
Samantekt: Samþykkisgátlistinn
Fljótleg viðmiðun til að meta núverandi samþykkisinnleiðingu þína:
- Engar óþarfa vefkökur eru settar áður en samþykki er veitt.
- Samþykkiskerfið býður upp á „Samþykkja allt“ og „Hafna öllu“ með jöfnu vægi.
- Notendur geta tekið val fyrir hvern flokk (að lágmarki: nauðsynlegar, greiningar, markaðssetning, kjörstillingar).
- Upplýsingarnar sem eru birtar eru skýrar, sértækar og á einföldu máli.
- Fyrirfram merktir reitir og rofar eru ekki notaðir fyrir óþarfa flokka.
- Viðvarandi og auðaðgengileg aðferð er til staðar til að afturkalla eða breyta samþykki.
- Samþykkisskrár eru geymdar á miðlarahlið með tímastimplum og flokkaupplýsingum.
- Samþykki er endurnýjað að minnsta kosti á 13 mánaða fresti (eða fyrr ef vefkökunotkun breytist).
- Samþykkiskerfið er aðgengilegt (nothæft með lyklaborði, samhæft við skjálesara).
- Innleiðingin er prófuð reglulega með tilliti til samræmis (nýjar vefkökur, breyttar forskriftir).
Vel útfært samþykki fyrir vefkökum er ekki hindrun í rekstri þínum. Það er grunnur að trausti milli þín og notenda þinna — og í auknum mæli er það það sem skilur að samræmd fyrirtæki frá þeim sem standa frammi fyrir aðgerðum eftirlitsaðila.
Uppfyllir vefsíðan þín vefkökureglurnar?
Skannaðu vefsíðuna þína ókeypis og finndu allar vefkökur á nokkrum mínútum.
Skannaðu vefkökurnar þínar ókeypis