Skip to main content

Efni og orðasafn um samræmi vafrakaka

Samræmi vafrakaka byggir á sérhæfðum orðaforða sem sóttur er í reglugerðir ESB, persónuverndarlöggjöf og veftækni. Þetta orðasafn skilgreinir helstu hugtökin sem þú munt rekast á, og í kjölfarið fylgir vandað safn opinberra heimilda og áreiðanlegra tilvísana til frekari fróðleiks.

Orðasafn helstu hugtaka

A–C

CMP (Consent Management Platform / samþykkisstjórnunarvettvangur): Hugbúnaðartól eða þjónusta sem heldur utan um söfnun, geymslu og framfylgd á samþykki notenda fyrir vafrakökum og öðrum rakningartækni. CMP býður að jafnaði upp á viðmót fyrir vafrakökuborða, geymir samþykkisgögn og stýrir því hvaða forskriftir mega keyra út frá vali notandans. Dæmi um slík eru Cookiebot, OneTrust, Usercentrics og opinn hugbúnaður á borð við Klaro.

CNIL (Commission Nationale de l'Informatique et des Libertés): Franska persónuverndarstofnunin. CNIL hefur verið virkasti evrópski eftirlitsaðilinn í málefnum vafrakaka, hefur lagt á hæstu sektir tengdar vafrakökum og gefið út ítarlegustu leiðbeiningarnar um samræmi vafrakaka. Túlkanir og aðgerðir stofnunarinnar setja oft viðmiðið sem aðrar persónuverndarstofnanir fylgja.

Samþykki: Í samhengi GDPR er þetta frjáls, sértæk, upplýst og ótvíræð viljayfirlýsing skráðs einstaklings sem gefin er til kynna með skýrri, jákvæðri aðgerð. Fyrir vafrakökur þýðir þetta að notandinn verður að velja af fúsum vilja að leyfa vafrakökur sem ekki eru nauðsynlegar með markvissri aðgerð, svo sem að smella á "Samþykkja"-hnapp. Þögn, forkrossaðir reitir, aðgerðaleysi og áframhaldandi vafur teljast ekki gilt samþykki.

Vafrakaka: Lítil textaskrá sem vefsvæði vistar á tæki notanda. Vafrakökur eru notaðar í margvíslegum tilgangi, allt frá því að viðhalda innskráningarlotum (algjörlega nauðsynlegt) yfir í að rekja vafurhegðun um allan vefinn (auglýsingar). Tæknilega er vafrakaka nafn-gildi-par með tengdum lýsigögnum þar á meðal léni, slóð, gildistíma og öryggisflöggum.

Vafrakökuborði: Viðmótsþáttur (yfirleitt slá, gluggi eða sprettigluggi) sem birtist þegar notandi heimsækir vefsvæði í fyrsta sinn, upplýsir hann um notkun vefsvæðisins á vafrakökum og óskar eftir samþykki hans. Samræmdur vafrakökuborði veitir skýrar upplýsingar, býður upp á raunverulegt val (samþykkja, hafna, sérsníða) og vistar ekki vafrakökur sem ekki eru nauðsynlegar fyrr en notandinn bregst við.

Vafrakökustefna: Skjal (yfirleitt sérstök vefsíða eða hluti persónuverndarstefnunnar) sem veitir ítarlegar upplýsingar um allar vafrakökur sem notaðar eru á vefsvæði, þar á meðal heiti þeirra, tilgang, tegundir, gildistíma og þriðju aðila sem vista þær. Vafrakökustefnan uppfyllir gagnsæisskyldur GDPR og kröfu ePrivacy-tilskipunarinnar um "skýrar og víðtækar upplýsingar".

Vafrakökuveggur: Aðferð sem hindrar aðgang að efni vefsvæðis nema notandinn samþykki allar vafrakökur. Vafrakökuveggir eru umdeildir og lögmæti þeirra er breytilegt milli lögsagnarumdæma. EDPB hefur lýst því yfir að vafrakökuveggir grafi undan skilyrðinu um "frjálst gefið" gilt samþykki, þar sem notandinn stendur frammi fyrir vali sem er annaðhvort-eða. Sumar innlendar persónuverndarstofnanir (einkum franska Conseil d'Etat) hafa heimilað vafrakökuveggi með takmörkuðum skilyrðum þar sem notandinn hefur raunverulega aðra leið til að nálgast efnið.

D–E

Myrkramynstur (dark pattern): Hönnunarval í notendaviðmóti sem stýrir notendum til að taka ákvarðanir sem þeir hefðu annars ekki tekið. Í samhengi vafrakaka fela myrkramynstur meðal annars í sér: að láta "Samþykkja"-hnappinn skera sig sjónrænt úr á meðan "Hafna"-valkosturinn er falinn, að nota ruglingslegt orðalag, að krefjast fleiri smella til að hafna en að samþykkja, og að beita samviskubitsaðferðum. EDPB gaf út sértækar leiðbeiningar um myrkramynstur í persónuverndarviðmótum í febrúar 2023.

Ábyrgðaraðili: Sá aðili sem ákveður tilgang og aðferðir við vinnslu persónuupplýsinga. Fyrir vafrakökur sem vefsvæði vistar er rekstraraðili vefsvæðisins að jafnaði ábyrgðaraðili. Fyrir vafrakökur þriðja aðila getur verið um sameiginlega ábyrgð að ræða milli rekstraraðila vefsvæðisins og þriðja aðilans, allt eftir því að hve miklu leyti hvor aðili hefur áhrif á tilgang og aðferðir gagnasöfnunar.

Vinnsluaðili: Aðili sem vinnur persónuupplýsingar fyrir hönd ábyrgðaraðila og fylgir fyrirmælum hans. Hýsingaraðili eða CMP-birgir sem starfar eingöngu samkvæmt fyrirmælum rekstraraðila vefsvæðisins væri vinnsluaðili. Aðgreiningin skiptir máli því ábyrgðaraðilar bera meginábyrgð á samræmi, á meðan vinnsluaðilar verða að fara eftir fyrirmælum ábyrgðaraðila og skilmálum vinnslusamnings.

Skráður einstaklingur: Náttúrulegur einstaklingur sem persónuupplýsingar eru unnar um. Í samhengi vafrakaka eru skráðir einstaklingar gestir vefsvæðisins sem safnað er gögnum um í gegnum vafrakökur. Skráðir einstaklingar hafa réttindi samkvæmt GDPR þar á meðal rétt til aðgangs, leiðréttingar, eyðingar, takmörkunar á vinnslu, gagnaflutnings og rétt til að andmæla.

Persónuverndarstofnun (DPA): Sjálfstætt opinbert yfirvald sem ber ábyrgð á eftirliti og framfylgd persónuverndarlöggjafar í hverju aðildarríki ESB. Persónuverndarstofnanir hafa vald til að rannsaka kvartanir, framkvæma úttektir, gefa út leiðbeiningar og leggja á sektir. Hvert aðildarríki hefur að minnsta kosti eina persónuverndarstofnun (Þýskaland hefur margar, eina á hvert sambandsland auk sambandsstofnunarinnar BfDI). Dæmi: CNIL (Frakkland), Garante (Ítalía), ICO (Bretland), Datatilsynet (Danmörk/Noregur).

Persónuverndarfulltrúi (DPO): Aðili sem ábyrgðaraðili eða vinnsluaðili tilnefnir til að hafa umsjón með samræmi við GDPR. GDPR krefst þess að tilteknar stofnanir tilnefni persónuverndarfulltrúa, þar á meðal opinberar stofnanir og stofnanir þar sem kjarnastarfsemi felur í sér umfangsmikla vöktun skráðra einstaklinga. Þótt hlutverkið tengist ekki vafrakökum beint, hefur persónuverndarfulltrúinn að jafnaði umsjón með samræmisáætlun stofnunarinnar varðandi vafrakökur.

EDPB (Evrópska persónuverndarráðið): Sjálfstætt ESB-ráð sem tryggir samræmda beitingu GDPR og stuðlar að samvinnu milli innlendra persónuverndarstofnana. EDPB (sem tók við af 29. greinar starfshópnum) gefur út leiðbeiningar, tilmæli og bindandi ákvarðanir. Leiðbeiningar þess um samþykki (leiðbeiningar 05/2020) og um myrkramynstur eru lykiltilvísanir fyrir samræmi vafrakaka.

ePrivacy-tilskipunin (tilskipun 2002/58/EB): ESB-tilskipun sem fjallar um friðhelgi í rafrænum samskiptum, þar á meðal notkun vafrakaka. Grein 5(3) er meginlagagrundvöllurinn fyrir kröfunni um samþykki fyrir vafrakökum. Þar sem um tilskipun er að ræða verður að innleiða hana í landslög hvers aðildarríkis, sem leiðir til breytileika í framkvæmd. Til stendur að hún verði leyst af hólmi með ePrivacy-reglugerðinni, sem er enn í samningaviðræðum.

F–G

Fyrsta-aðila vafrakaka: Vafrakaka sem lénið sem notandinn er að heimsækja vistar. Til dæmis, ef notandi heimsækir example.com og example.com vistar vafraköku, þá er það fyrsta-aðila vafrakaka. Fyrsta-aðila vafrakökur eru að jafnaði notaðar fyrir nauðsynlegar aðgerðir (lotur, stillingar) og fyrsta-aðila greiningar. Þær eru almennt taldar minna ágengar en þriðja-aðila vafrakökur því þær geta ekki rakið notendur milli mismunandi vefsvæða.

GDPR (almenna persónuverndarreglugerðin): Reglugerð (ESB) 2016/679, heildstæð persónuverndarlöggjöf ESB sem tók gildi 25. maí 2018. GDPR setur lagaramma um hvað telst gilt samþykki (beitt á vafrakökur í gegnum tilvísun ePrivacy-tilskipunarinnar), réttindi skráðra einstaklinga, skyldur ábyrgðar- og vinnsluaðila og fullnustukerfi þar á meðal sektir allt að 4% af árlegri heildarveltu á heimsvísu eða 20 milljónir evra.

GPC (Global Privacy Control): Merki á vafrastigi sem miðlar óskum notanda um að afþakka sölu eða deilingu á persónuupplýsingum hans. Ólíkt eldra Do Not Track (DNT) merkinu hefur GPC lagastoð samkvæmt CCPA/CPRA og nokkrum öðrum persónuverndarlögum bandarískra ríkja. Þegar notandi virkjar GPC í vafra sínum verða vefsvæði sem falla undir þessi lög að meðhöndla það sem gilda afþökkunarbeiðni. GPC nýtur einnig sívaxandi viðurkenningar í Evrópu, þótt það sé ekki enn lögbundið samkvæmt ESB-lögum.

Google Consent Mode: Eiginleiki í merkjainnviðum Google sem lagar hegðun Google-merkja (Analytics, Ads o.s.frv.) að samþykkisstöðunni sem CMP vefsvæðisins miðlar. Consent Mode v2, sem hefur verið krafist fyrir persónusniðnar auglýsingar á EES frá mars 2024, kynnir til sögunnar breyturnar ad_user_data og ad_personalization til viðbótar við hinar fyrirliggjandi ad_storage og analytics_storage. Þegar samþykki er hafnað laga Google-merki hegðun sína til að forðast að vista vafrakökur, þótt þau kunni engu að síður að senda takmörkuð, vafrakökulaus merki eftir uppsetningu.

I–L

IAB TCF (Interactive Advertising Bureau Transparency and Consent Framework): Rammi þróaður af atvinnugreininni til að stjórna samþykki í vistkerfi stafrænna auglýsinga. TCF veitir staðlaða leið fyrir CMP-vettvanga, auglýsendur og útgefendur til að miðla samþykkismerkjum um alla aðfangakeðju auglýsingatækninnar. Útgáfa 2.2 er núverandi staðall. TCF hefur mætt lögfræðilegum áskorunum, einkum úrskurði belgísku persónuverndarstofnunarinnar árið 2022 um að vinnsla IAB Europe á TC-strengnum teldist vinnsla persónuupplýsinga. Ramminn er enn víða notaður en lagaleg staða hans heldur áfram að þróast.

Lögmætir hagsmunir: Einn af sex lagagrundvöllum fyrir vinnslu persónuupplýsinga samkvæmt grein 6(1)(f) í GDPR. Lögmætir hagsmunir krefjast jafnvægisprófs milli hagsmuna ábyrgðaraðilans og réttinda og frelsis skráða einstaklingsins. Fyrir vafrakökur er notkun lögmætra hagsmuna sem lagagrundvallar mjög umdeild. Ríkjandi afstaða evrópskra eftirlitsaðila er sú að samþykki (ekki lögmætir hagsmunir) sé viðeigandi grundvöllur fyrir vafrakökur sem ekki eru nauðsynlegar, því ePrivacy-tilskipunin krefst sérstaklega samþykkis fyrir geymslu á tæki notandans.

O–P

Frával-inn (opt-in): Samþykkislíkan þar sem vinnsla persónuupplýsinga (eða vistun vafrakaka) á sér ekki stað nema notandinn framkvæmi jákvæða aðgerð til að heimila hana. ESB-líkanið fyrir vafrakökur er frával-inn: engar vafrakökur sem ekki eru nauðsynlegar fyrr en notandinn samþykkir. Frával-inn veitir sterkari persónuvernd en krefst samþykkisaðferðar áður en nokkur rakning hefst.

Frával-út (opt-out): Samþykkislíkan þar sem vinnsla persónuupplýsinga (eða vistun vafrakaka) á sér stað sjálfkrafa og notandinn verður að grípa til aðgerða til að stöðva hana. Bandaríska líkanið fyrir vafrakökur (samkvæmt CCPA og svipuðum ríkjalögum) er almennt frával-út: rakning á sér stað nema notandinn andmæli. Frával-út leggur aðgerðarbyrðina á notandann fremur en rekstraraðila vefsvæðisins.

Varanleg vafrakaka: Vafrakaka sem er áfram á tæki notandans í tiltekinn tíma eftir að vafranum er lokað. Varanlegar vafrakökur eru notaðar til að muna stillingar, viðhalda innskráningarlotum milli heimsókna og rekja hegðun yfir tíma. Þær hafa ákveðinn gildistíma og verða áfram þar til hann rennur út eða notandinn eyðir þeim. Gildistími varanlegra vafrakaka skal vera í réttu hlutfalli við tilgang þeirra.

Persónuupplýsingar: Samkvæmt GDPR eru það allar upplýsingar sem tengjast persónugreindum eða persónugreinanlegum náttúrulegum einstaklingi. Þetta felur í sér augljós auðkenni (nafn, tölvupóstfang) og síður augljós (IP-tölur, vafrakökuauðkenni, tækjafingraför). Aðfaraorð 30 í GDPR segja beinlínis að rafræn auðkenni á borð við vafrakökuauðkenni geti talist persónuupplýsingar. Í reynd teljast nánast allar vafrakökur sem auðkenna vafra eða notanda á einstakan hátt til persónuupplýsinga.

Fyrirfram samþykki: Samþykki sem fengið er áður en aðgerðin sem það heimilar á sér stað. Fyrir vafrakökur þýðir fyrirfram samþykki að afla samþykkis notandans áður en nokkrar vafrakökur sem ekki eru nauðsynlegar eru vistaðar á tæki hans. Þetta er grundvallarkrafa greinar 5(3) í ePrivacy-tilskipuninni. Að vista vafrakökur fyrst og biðja um samþykki eftir á, eða eyða vafrakökum afturvirkt ef samþykki er hafnað, uppfyllir ekki kröfuna um fyrirfram samþykki.

S–T

Lotuvafrakaka: Vafrakaka sem er aðeins til meðan á vafralotu notandans stendur og er eytt þegar vafranum er lokað. Lotuvafrakökur eru almennt notaðar til að viðhalda innskráningarstöðu, innihaldi innkaupakörfu og öðrum skammlífum gögnum. Margar lotuvafrakökur teljast algjörlega nauðsynlegar og eru því undanþegnar samþykkiskröfunni, þótt það fari eftir sérstökum tilgangi þeirra.

Algjörlega nauðsynleg vafrakaka: Vafrakaka sem er nauðsynleg til að vefsvæðið virki og til að veita þjónustu sem notandinn hefur beinlínis óskað eftir. Algjörlega nauðsynlegar vafrakökur eru undanþegnar samþykkiskröfunni samkvæmt grein 5(3) í ePrivacy-tilskipuninni. Dæmi eru auðkenningarvafrakökur, öryggisvafrakökur (CSRF-teikn), álagsdreifingarvafrakökur og vafrakökur um viðmótsstillingar sem eru nauðsynlegar fyrir þjónustuna. Greiningarvafrakökur, auglýsingavafrakökur og samfélagsmiðlavafrakökur eru ekki algjörlega nauðsynlegar, óháð því hversu gagnlegar rekstraraðili vefsvæðisins telur þær vera.

Þriðja-aðila vafrakaka: Vafrakaka sem annað lén en það sem notandinn er að heimsækja vistar. Til dæmis, ef notandi heimsækir example.com og vafrakaka er vistuð af facebook.com (í gegnum Facebook Pixel sem er felldur inn í example.com), þá er Facebook-vafrakakan þriðja-aðila vafrakaka. Þriðja-aðila vafrakökur eru fyrst og fremst notaðar til rakningar milli vefsvæða og markvissra auglýsinga. Helstu vafrar takmarka eða útrýma þriðja-aðila vafrakökum: Safari og Firefox loka þegar á þær sjálfgefið og Chrome hefur tilkynnt áform um að hætta stuðningi við þær (þótt tímalínan hafi breyst nokkrum sinnum).

Rakningarpunktur (tracking pixel): Örsmá, ósýnileg mynd (yfirleitt 1x1 pixli) sem er felld inn í vefsíðu eða tölvupóst og sendir upplýsingar aftur til netþjóns þegar hún hleðst. Þótt hann sé tæknilega ekki vafrakaka er rakningarpunktur skyld rakningartækni sem vinnur oft í samhengi við vafrakökur til að rekja hegðun notenda. Hann fellur undir sömu samþykkiskröfur og vafrakökur samkvæmt ePrivacy-tilskipuninni, því hann felur í sér aðgang að upplýsingum á tæki notandans (HTTP-beiðnin sendir IP-tölu notandans, vafraupplýsingar og allar tengdar vafrakökur).

Opinberar heimildir

ESB-löggjöf og leiðbeiningar

Leiðbeiningar innlendra persónuverndarstofnana um vafrakökur

Google Consent Mode

IAB Transparency and Consent Framework

Persónuverndarlög í Bandaríkjunum

Dómaframkvæmd ESB-dómstólsins

Frekari lesning

Tól fyrir samræmi vafrakaka

Að viðhalda samræmi vafrakaka krefst réttu tólanna. Passiro býður upp á sjálfvirka skönnun vafrakaka sem fer yfir allt vefsvæðið þitt með raunverulegri vafravél, greinir allar vafrakökur og rakningartækni, flokkar þær með sífellt uppfærðum gagnagrunni og fylgist með breytingum með áætluðum skönnunum og tilkynningum. Ásamt samþykkisstjórnunarvettvangi Passiro gefur þetta þér heildstæða, ávallt uppfærða mynd af stöðu samræmis vafrakaka á vefsvæðinu þínu.

Kynntu þér skönnunargetu Passiro nánar eða keyrðu ókeypis skönnun á vefsvæðinu þínu til að sjá hvaða vafrakökur vefsvæðið þitt vistar í dag.

Uppfyllir vefsíðan þín vefkökureglurnar?

Skannaðu vefsíðuna þína ókeypis og finndu allar vefkökur á nokkrum mínútum.

Skannaðu vefkökurnar þínar ókeypis