Skip to main content

Vafrakökustefna: Hvað hún er og hvað hún þarf að innihalda

Vafrakökustefna er skjal sem útskýrir fyrir gestum vefsíðunnar þinnar hvaða vafrakökur og sambærilega rakningartækni vefurinn þinn notar, hvers vegna hann notar þær og hvernig notendur geta stjórnað þeim. Þetta er lagaleg krafa samkvæmt bæði ePrivacy Directive og GDPR, og er hornsteinn gagnsærrar gagnavinnslu.

Þessi handbók fjallar um hvað vafrakökustefna er, hvernig hún er frábrugðin persónuverndarstefnu, hvað hún þarf að innihalda samkvæmt gildandi reglugerðum og hvernig þú heldur henni réttri yfir tíma.

Hvað er vafrakökustefna?

Vafrakökustefna er sérstakt skjal — annaðhvort sjálfstæð síða eða greinilega auðkenndur hluti innan persónuverndarstefnu þinnar — sem veitir ítarlegar upplýsingar um notkun vefsíðunnar þinnar á vafrakökum og sambærilegri tækni (staðbundnu geymsluminni, lotugeymslu, myndeiningarmerkjum, vefvitum, fingrafarsgreiningu og öðru slíku).

Lagalegur grundvöllur kröfunnar um vafrakökustefnu kemur frá tveimur samtvinnuðum reglugerðum:

  • ePrivacy Directive (2002/58/EC), 5. gr. (3. mgr.) — krefst þess að notendum séu veittar „skýrar og ítarlegar upplýsingar" um tilgang vafrakaka áður en samþykki fæst.
  • GDPR, 12.–14. gr. — krefjast gagnsæis um gagnavinnslu, þar á meðal hvaða gögn eru safnað, í hvaða tilgangi, með hverjum þeim er deilt og hversu lengi þau eru varðveitt.

Saman krefjast þessar reglugerðir þess að þú upplýsir notendur þína nákvæmlega um hvaða rakningartækni þú notar og veitir þeim raunverulega stjórn yfir þeirri tækni.

Vafrakökustefna á móti persónuverndarstefnu

Vafrakökustefna og persónuverndarstefna eru skjöl sem bæta hvort annað upp en eru þó aðgreind. Mikilvægt er að skilja muninn:

Þáttur Vafrakökustefna Persónuverndarstefna
Umfang Sérstaklega vafrakökur og rakningartækni Öll vinnsla persónuupplýsinga (eyðublöð, aðgangar, kaup o.s.frv.)
Lagalegur grundvöllur ePrivacy Directive + gagnsæiskröfur GDPR GDPR 12.–14. gr.
Áhersla efnis Heiti vafrakaka, tilgangur, líftími, tegundir, flokkar, stjórntæki Gagnaflokkar, lagalegir grundvellir, réttindi, flutningar, DPO, varðveisla
Snið Sjálfstæð síða eða hluti innan persónuverndarstefnu Sjálfstæð síða (krafist)
Uppfærslutíðni Þegar vafrakökur breytast (bæta við/fjarlægja tól, þjónustuaðila) Þegar starfshættir gagnavinnslu breytast

Þú mátt setja vafrakökustefnuna sem hluta innan persónuverndarstefnu þinnar, en hún þarf að vera greinilega auðkennd og auðvelt að rata til hennar. Mörg fyrirtæki halda úti sérstakri vafrakökustefnusíðu til skýrleika og vegna þess að upplýsingar um vafrakökur geta verið nokkuð ítarlegar.

Vafrakökuborðinn þinn ætti að tengja á vafrakökustefnuna. Ef upplýsingarnar um vafrakökur eru hluti innan persónuverndarstefnu þinnar ætti tengillinn að beina beint á þann hluta — láttu ekki notendur skruna í gegnum síður af óskyldum persónuverndarupplýsingum til að finna vafrakökuupplýsingar.

Lagaleg krafa um vafrakökustefnu

ePrivacy Directive krefst „skýrra og ítarlegra upplýsinga" sem forsendu fyrir gildu samþykki. Gagnsæisreglan í GDPR (5. gr. 1. mgr. a-liður) og upplýsingakröfur (13.–14. gr.) krefjast þess enn fremur að þessar upplýsingar séu:

  • Hnitmiðaðar, gagnsæjar og skiljanlegar (12. gr. 1. mgr.)
  • Veittar á skýru og einföldu máli (12. gr. 1. mgr.)
  • Auðaðgengilegar (12. gr. 1. mgr.)
  • Veittar án endurgjalds (12. gr. 5. mgr.)

Í reynd: vafrakökustefnan þín þarf að vera skrifuð á máli sem manneskja án tæknilegrar þekkingar getur skilið, hún þarf að vera tengd frá vafrakökuborðanum þínum og fóttexta vefsíðunnar, og hún þarf að innihalda sértækar upplýsingar um hverja vafraköku sem vefurinn þinn notar.

Hvað vafrakökustefna þarf að innihalda

Byggt á samanlögðum kröfum ePrivacy Directive, GDPR og leiðbeiningum frá persónuverndaryfirvöldum, þar á meðal ICO (Bretlandi), CNIL (Frakklandi) og 29. gr. starfshópnum, þarf vafrakökustefnan þín að innihalda eftirfarandi upplýsingar:

1. Hvaða vafrakökur þú notar

Veittu heildstæðan lista yfir allar vafrakökur og sambærilega tækni sem er virk á vefsíðunni þinni. Þetta felur í sér vafrakökur sem þinn eigin kóði setur (fyrsta aðila) sem og vafrakökur sem þjónustur þriðja aðila sem þú notar setja (greiningarvettvangar, auglýsinganet, samfélagsmiðlaviðbætur, innfellt efni, spjallmenni o.s.frv.).

Hver vafrakaka ætti að vera auðkennd með heiti. „Við notum greiningarvafrakökur" er ekki nægjanlegt — þú þarft að lista upp tilteknar vafrakökur: t.d. _ga, _gid, _gat fyrir Google Analytics.

2. Tilgangur hverrar vafraköku

Fyrir hverja vafraköku eða hóp tengdra vafrakaka skaltu útskýra hvað hún gerir á einföldu máli. Forðastu tæknilegt hrognamál. Áhrifaríkar tilgangslýsingar:

  • „Geymir stillingar þínar á vafrakökusamþykki svo við spyrjum ekki aftur í hverri heimsókn."
  • „Hjálpar okkur að telja hversu margir heimsækja vefsíðuna okkar og hvaða síður eru vinsælastar."
  • „Gerir okkur kleift að sýna þér auglýsingar sem eiga við áhugamál þín á öðrum vefsíðum."

3. Fyrsta aðila á móti þriðja aðila

Tilgreindu hvort hver vafrakaka sé sett af vefsíðunni þinni beint (fyrsta aðila) eða af utanaðkomandi þjónustu (þriðja aðila). Fyrir vafrakökur þriðja aðila skaltu auðkenna þjónustuaðilann og tengja á persónuverndarstefnu hans. Notendur eiga rétt á að vita ekki aðeins að gögnum þeirra sé safnað, heldur einnig af hverjum.

4. Líftími / gildistími

Tilgreindu hversu lengi hver vafrakaka varir. Það eru tvær tegundir:

  • Lotuvafrakökur — eyðast þegar notandinn lokar vafranum sínum. Tilgreindu þetta skýrt: „Lota (eyðist þegar þú lokar vafranum)."
  • Varanlegar vafrakökur — eru áfram á tæki notandans í ákveðinn tíma. Tilgreindu tiltekinn líftíma: „2 ár," „30 dagar," „13 mánuðir." Notaðu ekki óljós hugtök á borð við „langtíma."

Persónuverndaryfirvöld hafa skoðað líftíma vafrakaka gaumgæfilega. CNIL mælir til dæmis með því að samþykkisvafrakökur (vafrakökurnar sem geyma samþykkisval notandans) fari ekki yfir 13 mánuði.

5. Hvernig á að stjórna og eyða vafrakökum

Útskýrðu hvernig notendur geta stjórnað vafrakökum með tvennum hætti:

  • Samþykkisborðinn þinn. Útskýrðu að notendur geti breytt vafrakökustillingum sínum hvenær sem er í gegnum vafrakökustillingarnar þínar (tilgreindu staðsetningu tengils/tákns fyrir stillingar).
  • Vafrastillingar. Veittu almennar leiðbeiningar um stjórnun vafrakaka í algengum vöfrum (Chrome, Firefox, Safari, Edge). Þú þarft ekki að veita skref-fyrir-skref leiðbeiningar, en þú ættir að útskýra að vafrastillingar séu til staðar og tengja á viðeigandi stuðningssíður fyrir hvern vafra.

6. Hvernig á að afturkalla samþykki

GDPR 7. gr. (3. mgr.) krefst þess að afturköllun samþykkis sé jafn auðveld og að veita það, og að notendur séu upplýstir um þennan rétt áður en þeir veita samþykki. Vafrakökustefnan þín þarf að útskýra:

  • Að notandinn eigi rétt á að afturkalla samþykki hvenær sem er.
  • Hvernig það er gert (venjulega: smella á vafrakökustillingartáknið/tengilinn sem sést á hverri síðu, eða hreinsa vafrakökur í gegnum vafrastillingar).
  • Að afturköllun samþykkis hafi ekki áhrif á lögmæti vinnslu byggðrar á samþykki fyrir afturköllun þess.

7. Vafrakökuflokkar

Skipulegðu vafrakökur í staðlaða flokka sem samþykkisborðinn þinn notar. Algengasta flokkunin er:

  • Bráðnauðsynlegar — vafrakökur sem eru nauðsynlegar fyrir virkni vefsíðunnar (innskráningarlotur, innkaupakörfur, öryggistóken). Þessar krefjast ekki samþykkis samkvæmt ePrivacy Directive.
  • Kjörstillingar / virkni — vafrakökur sem muna val notandans (tungumál, svæði, birtingarstillingar). Þessar bæta upplifunina en eru ekki nauðsynlegar.
  • Greining / tölfræði — vafrakökur sem notaðar eru til að safna nafnlausum notkunargögnum (síðuskoðunum, umferðarheimildum, hegðunarmynstri notenda).
  • Markaðssetning / auglýsingar — vafrakökur sem notaðar eru fyrir markvissar auglýsingar, endurmörkun og mælingu auglýsinga.

Flokkar vafrakökustefnu þinnar ættu að passa við flokkana í samþykkisborðanum þínum. Ósamræmi milli skjalanna tveggja grefur undan gagnsæi.

8. Samskiptaupplýsingar

Veittu samskiptaupplýsingar fyrir spurningar um vafrakökuvenjur þínar. Þetta felur venjulega í sér:

  • Auðkenni ábyrgðaraðila (nafn fyrirtækis þíns og skráð heimilisfang)
  • Netfang fyrir persónuverndarfyrirspurnir
  • Samskiptaupplýsingar persónuverndarfulltrúa (DPO), ef þú hefur skipað slíkan
  • Eftirlitsyfirvald þitt (viðeigandi persónuverndaryfirvald)

Hvar á að birta vafrakökustefnuna þína

Vafrakökustefnan þín þarf að vera auðaðgengileg frá mörgum stöðum:

  • Fóttexta vefsíðu. Tengill á „Vafrakökustefnu" í fóttextanum þínum, sýnilegur á hverri síðu. Þetta er sá staðlaði staður sem notendur búast við.
  • Vafrakökuborði. Beinn tengill frá vafrakökuborðanum þínum á fulla vafrakökustefnu. Þetta er lagaleg krafa — notendur þurfa að geta nálgast ítarlegar upplýsingar frá samþykkisviðmótinu.
  • Vafrakökustillingar/kjörstillingarspjald. Annað lag samþykkisviðmótsins ætti að tengja á vafrakökustefnuna fyrir notendur sem vilja frekari upplýsingar.
  • Persónuverndarstefna. Ef vafrakökustefnan þín er sérstakt skjal skaltu vísa í hana frá persónuverndarstefnu þinni og öfugt.

Framsetning vafrakökuupplýsinga

Áhrifaríkasta og gagnsæjasta sniðið til að setja fram einstakar vafrakökur er tafla. Persónuverndaryfirvöld, þar á meðal ICO, mæla með þessu sniði:

Heiti vafraköku Þjónustuaðili Tilgangur Tegund Líftími
_ga Google Analytics Aðgreinir einstaka gesti með því að úthluta slembigerðri tölu Þriðja aðila, greining 2 ár
_gid Google Analytics Aðgreinir einstaka gesti fyrir yfirstandandi dag Þriðja aðila, greining 24 klukkustundir
cookie_consent Þessi vefsíða Geymir stillingar þínar á vafrakökusamþykki Fyrsta aðila, nauðsynleg 12 mánuðir

Þetta snið er skýrt, auðyfirlesið og veitir allar nauðsynlegar upplýsingar í fljótu bragði.

Hversu oft á að uppfæra

Vafrakökustefnan þín þarf að vera rétt á öllum tímum. Uppfærðu hana þegar:

  • Þú bætir við nýrri þjónustu þriðja aðila sem setur vafrakökur (nýtt greiningartól, nýr markaðsvettvangur, nýtt spjallmenni).
  • Þú fjarlægir þjónustu sem áður setti vafrakökur.
  • Þjónusta þriðja aðila breytir vafrakökum sínum (ný heiti, nýr líftími, nýr tilgangur).
  • Þú breytir flokkunum í samþykkisborðanum þínum.
  • Leiðbeiningar frá yfirvöldum breytast (nýjar kröfur, nýjar bestu venjur).

Settu dagsetningu „Síðast uppfært" efst eða neðst í vafrakökustefnunni þinni. Þetta sýnir að stefnunni sé virkt haldið við og hjálpar notendum að meta hversu núgild hún er.

Áskorunin er auðvitað sú að vita hvenær vafrakökurnar þínar breytast. Þjónustur þriðja aðila uppfæra rakningu sína oft, og vafrakaka sem var til fyrir þremur mánuðum kann að hafa verið skipt út eða endurnefnd. Handvirkar úttektir eru óáreiðanlegar því þær reiða sig á að einhver muni eftir að athuga.

Haltu stefnunni þinni réttri með sjálfvirkri skönnun

Algengasti brestur í regluvörslu vafrakökustefna er ekki skortur á upplýsingum — heldur rangar upplýsingar. Stefna sem listar upp vafrakökur sem þú notar ekki lengur, eða sem tekst ekki að nefna vafrakökur sem nýleg samþætting markaðstóls bætti við, er ekki í samræmi við reglur.

Sjálfvirk vafrakökuskönnun leysir þetta vandamál. Skanni heimsækir vefsíðuna þína með reglulegu millibili, auðkennir allar vafrakökur sem eru settar, ber þær saman við uppgefnar vafrakökur þínar og lætur þig vita af misræmi.

Passiro skannar sjálfkrafa vefsíðuna þína fyrir vafrakökum, flokkar þær og undirstrikar allar óuppgefnar vafrakökur sem eru ekki enn endurspeglaðar í stefnu þinni. Þetta þýðir að vafrakökustefnan þín helst rétt án handvirkra úttekta. Lærðu meira um sjálfvirka vafrakökuskönnun Passiro.

Uppfyllir vefsíðan þín vefkökureglurnar?

Skannaðu vefsíðuna þína ókeypis og finndu allar vefkökur á nokkrum mínútum.

Skannaðu vefkökurnar þínar ókeypis