Skip to main content

Vafrakökuflokkar: Hvernig á að flokka vafrakökur fyrir samþykki

Samþykki fyrir vafrakökum er ekki allt-eða-ekkert ákvörðun. Persónuverndarreglur krefjast þess að notendur geti gert nákvæmar valákvarðanir um hvaða tegundir vafrakaka þeir samþykkja. Til að gera það mögulegt eru vafrakökur flokkaðar — í hópa eftir tilgangi þeirra, þar sem hver hópur hefur sínar eigin samþykkiskröfur.

Það er mikilvægt að flokka rétt. Að flokka markaðsköku ranglega sem „nauðsynlega“ er ekki bara tæknileg villa — það er brot á reglum sem eftirlitsaðilar leita virkt eftir og refsa fyrir.

Hvers vegna flokkun skiptir máli

GDPR krefst þess að samþykki sé „sértækt“ (4. gr. mgr. 11). Article 29 Working Party (nú EDPB) hefur útskýrt að þetta þýði að samþykki verði að vera veitt sérstaklega fyrir hvern aðgreindan tilgang. Að safna öllum vafrakökum saman í eitt „samþykkja allt“ án þess að bjóða upp á val eftir flokkum uppfyllir ekki þennan staðal.

Í reynd þýðir þetta að vafrakökusamþykkisbúnaður þinn verður að birta vafrakökur flokkaðar eftir tilgangi og leyfa notendum að samþykkja eða hafna hverjum flokki sjálfstætt. Staðallinn sem hefur myndast í greininni — og sem eftirlitsaðilar búast við — notar fjóra flokka.

Fjórir staðlaðir vafrakökuflokkar

1. Bráðnauðsynlegar vafrakökur

Þessar vafrakökur eru nauðsynlegar fyrir grunnvirkni vefsíðunnar. Án þeirra er ekki hægt að veita þá þjónustu sem notandinn hefur beinlínis óskað eftir.

Samþykki nauðsynlegt: Nei. Bráðnauðsynlegar vafrakökur eru undanþegnar samþykkiskröfunni samkvæmt 5. gr. mgr. 3 í ePrivacy Directive, sem kveður á um að samþykki sé ekki nauðsynlegt fyrir vafrakökur sem eru „bráðnauðsynlegar til þess að veitandi upplýsingasamfélagsþjónustu, sem áskrifandi eða notandi hefur beinlínis óskað eftir, geti veitt þjónustuna.“

Dæmi um bráðnauðsynlegar vafrakökur:

  • Setukökur sem viðhalda innskráningarstöðu
  • Innkaupakörfukökur á vefverslun
  • CSRF (cross-site request forgery) verndartáknar
  • Álagsjöfnunarkökur sem dreifa umferð á milli netþjóna
  • Kökur fyrir samþykkisval (kakan sem man samþykkisval þitt)
  • Öryggiskökur sem greina misnotkun auðkenningar

Hvað er EKKI bráðnauðsynlegt:

  • Greiningarkökur — jafnvel fyrsta aðila kökur. Að mæla umferð er gagnlegt fyrir rekstraraðila vefsíðunnar, en það er ekki nauðsynlegt til að veita þá þjónustu sem notandinn óskaði eftir.
  • Viðbætur samfélagsmiðla — deilingarhnappar og innfelldir straumar þjóna hagsmunum eiganda vefsíðunnar, ekki virkni sem notandinn óskaði beinlínis eftir.
  • Auglýsingakökur — samkvæmt skilgreiningu þjóna þessar tilgangi umfram þá þjónustu sem notandinn er að nota.
  • A/B prófunarkökur — þessar þjóna hagræðingarmarkmiðum rekstraraðilans, ekki beinni ósk notandans.

Lykilprófið er sjónarhorn: nauðsynlegt fyrir hvern? Ef kakan þjónar hagsmunum rekstraraðila vefsíðunnar frekar en virkni sem notandinn óskaði beinlínis eftir, þá er hún ekki bráðnauðsynleg — óháð því hve mikilvæg hún kann að vera fyrir reksturinn.

2. Greiningar- / tölfræðikökur

Þessar vafrakökur safna upplýsingum um hvernig gestir nota vefsíðuna: hvaða síður eru heimsóttar, hversu lengi notendur staldra við, hvaðan þeir koma og hvar þeir hverfa af síðunni. Gögnin eru yfirleitt tekin saman og notuð til að bæta vefsíðuna.

Samþykki nauðsynlegt: Já, í flestum lögsögum. Hins vegar hafa sum persónuverndaryfirvöld (einkum franska CNIL og hollenska AP) gefið til kynna að tiltekin fyrsta aðila greiningartól kunni að falla undir takmarkaða undanþágu, að því gefnu að tiltekin skilyrði séu uppfyllt (sjá kaflann okkar um hvenær samþykki er nauðsynlegt).

Algengar greiningarkökur:

Kaka Þjónusta Tilgangur Sjálfgefinn líftími
_ga Google Analytics Greinir einstaka notendur 2 ár
_ga_* Google Analytics 4 Viðheldur setustöðu 2 ár
_gid Google Analytics Greinir notendur (24klst) 24 klukkustundir
_pk_id.* Matomo Auðkenni gests 13 mánuðir
_pk_ses.* Matomo Setu-rakning 30 mínútur
_hjSessionUser_* Hotjar Auðkenni notanda 1 ár

Athugið að Google Analytics kökur eru þriðja aðila í eðli sínu jafnvel þótt þær kunni að birtast sem fyrsta aðila kökur — vegna þess að Google vinnur gögnin á eigin netþjónum og kann að nota þau í eigin tilgangi. Þessi greinarmunur hefur verið mikilvægur í nokkrum evrópskum framfylgdaraðgerðum.

3. Markaðs- / auglýsingakökur

Þessar vafrakökur rekja gesti þvert á vefsíður til að byggja upp prófíl um vafrahegðun þeirra. Þessi prófíll er notaður til að birta miðaðar auglýsingar, mæla árangur auglýsingaherferða og takmarka hversu oft notandi sér tiltekna auglýsingu.

Samþykki nauðsynlegt: Alltaf. Það er engin undanþága fyrir auglýsingakökur samkvæmt neinni túlkun á ePrivacy Directive eða GDPR.

Algengar markaðskökur:

Kaka Þjónusta Tilgangur Sjálfgefinn líftími
_fbp Meta (Facebook) Rekur heimsóknir fyrir auglýsingamiðun 3 mánuðir
_gcl_au Google Ads Umbreytingarrakning 3 mánuðir
IDE Google DoubleClick Endurmiðun og auglýsingabirting 13 mánuðir
_uetsid Microsoft Advertising Umbreytingarrakning 1 dagur
li_fat_id LinkedIn Óbeint auðkenni meðlims 30 dagar

Markaðskökur eru nánast alltaf þriðja aðila. Þær fela í sér mestu persónuverndaráhættuna og eru sá flokkur sem er hvað mest reglusettur. Sérhver samþykkisbúnaður sem gerir auðveldara að samþykkja markaðskökur en að hafna þeim á á hættu aðgerðir eftirlitsaðila.

4. Stillingar- / virknikökur

Þessar vafrakökur gera aukna virkni og persónustillingu mögulega sem gengur lengra en það sem er bráðnauðsynlegt. Þær muna val sem notandinn hefur gert en eru ekki nauðsynlegar til að kjarnaþjónustan virki.

Samþykki nauðsynlegt: Já, þótt áhættustigið sé lægra en fyrir greiningar- eða markaðskökur. Sum eftirlitsyfirvöld taka mildari afstöðu til stillingakaka, en réttarstaðan er sú að samþykki er enn nauðsynlegt.

Dæmi:

  • Tungumálaval (þegar síðan virkar án þess og notar bara annað tungumál sjálfgefið)
  • Val á svæði eða gjaldmiðli
  • Forútfylling notandanafns á innskráningarformum
  • Stillingar myndbandsspilara (hljóðstyrkur, gæði)
  • Staða spjallglugga (opinn/lokaður, samtalssaga)
  • Leturstærð eða aðgengisstillingar

Greinarmunurinn milli „bráðnauðsynlegs“ og „stillinga“ getur verið fíngerður. Tungumálakaka á einmála síðu er tilgangslaus. Tungumálakaka á fjöltyngdri síðu sem notar starfhæft tungumál sjálfgefið án hennar er stilling. Tungumálakaka á síðu sem getur alls ekki virkað án hennar — vegna þess að efnið hleðst ekki án tungumálavals — gæti hugsanlega talist bráðnauðsynleg. Samhengið skiptir máli.

Hvernig á að flokka vafrakökurnar þínar rétt

Fylgdu þessu ferli fyrir hverja vafraköku á vefsíðunni þinni:

  1. Auðkenndu kökuna. Hvað heitir hún, hver setur hana (fyrsta aðila eða þriðja aðila), og hversu lengi endist hún?
  2. Ákvarðaðu tilgang hennar. Hvers vegna er þessi kaka til? Hvað gerist ef hún er fjarlægð?
  3. Beittu prófinu um bráðnauðsyn. Er þessi kaka nauðsynleg fyrir virkni sem notandinn óskaði beinlínis eftir? Ef notandinn bað um að skrá sig inn er setukaka nauðsynleg. Ef þú vilt rekja hegðun þeirra er það þín þörf, ekki þeirra.
  4. Úthlutaðu flokknum. Ef hún er ekki bráðnauðsynleg skaltu flokka hana eftir megintilgangi hennar: greining, markaðssetning eða stillingar.
  5. Skjalfestu röksemdafærslu þína. Fyrir hverja köku skaltu skrá hvers vegna þú flokkaðir hana á þann hátt sem þú gerðir. Þessi skjölun er dýrmæt ef eftirlitsaðili spyr einhvern tímann.

Algeng flokkunarmistök

Byggt á framfylgdaraðgerðum eftirlitsaðila og niðurstöðum úttekta eru þetta algengustu villurnar:

  • Að flokka Google Analytics sem bráðnauðsynlegt. Þetta er langalgengustu mistökin. GA er greiningartól. Það er aldrei bráðnauðsynlegt til að veita notanda þjónustu. Nokkur persónuverndaryfirvöld hafa sérstaklega bent á þetta.
  • Að setja allar þriðja aðila kökur undir „virkni“. Innfelld YouTube myndbönd, deilingarhnappar samfélagsmiðla og spjallgluggar eru ekki bráðnauðsynleg og kökur þeirra þjóna yfirleitt greiningar- eða markaðstilgangi umfram sýnilega virkni.
  • Að hunsa kökur sem viðbætur og samþættingar setja. WordPress síða með 20 viðbótum getur sett tugi kaka sem rekstraraðili síðunnar er ekki einu sinni meðvitaður um. Þú berð samt ábyrgð á þeim öllum.
  • Að meðhöndla markaðskökur sem greiningarkökur. Facebook Pixel og umbreytingarrakning Google Ads eru markaðskökur, ekki greiningarkökur — megintilgangur þeirra er auglýsingar, jafnvel þótt þú notir gögnin til greiningar.
  • Að flokka A/B prófunarkökur ranglega. Tól eins og Optimizely og VWO setja kökur til að úthluta notendum í prófunarhópa. Þessar eru ekki bráðnauðsynlegar og ætti að flokka sem greiningar- eða stillingakökur.

Sjálfvirknivæddu ferlið

Handvirkar vafrakökuúttektir eru tímafrekar og hætt við villum. Vefsíður breytast stöðugt — ný viðbót, uppfærð skrifta, markaðsteymi sem bætir við rakningarpixli — og hver breyting getur bætt við nýjum kökum sem þarf að flokka.

Passiro skannar og flokkar sjálfkrafa allar vafrakökur á vefsíðunni þinni, greinir nýjar kökur þegar þær birtast og merkir mögulega ranga flokkun. Þetta tryggir að vafrakökusamþykkisbúnaður þinn endurspegli alltaf raunverulegar kökur sem síðan þín notar — ekki bara þær sem þú vissir af þegar þú skoðaðir síðast.

Nú þegar við skiljum flokkana skulum við líta á hvað vafrakökusamþykki þýðir í raun lagalega — kröfurnar eru sértækari en flestir gera sér grein fyrir.

Uppfyllir vefsíðan þín vefkökureglurnar?

Skannaðu vefsíðuna þína ókeypis og finndu allar vefkökur á nokkrum mínútum.

Skannaðu vefkökurnar þínar ókeypis