Skip to main content

Geriausia slapukų sutikimo valdymo praktika

Būtina žinoti įstatymus. Tačiau tikrasis darbas prasideda, kai reikia juos tinkamai įgyvendinti. Šiame skyriuje aptariama praktinė geriausia slapukų sutikimo valdymo praktika – kaip sukurti tokią sutikimo patirtį, kuri būtų teisiškai atitinkanti reikalavimus, techniškai patikima ir pagarbi naudotojams.

1. Užtikrinkite, kad sutikimas būtų tikrai savanoriškas

GDPR 7 straipsnio 4 dalyje nurodyta, kad vertinant, ar sutikimas duotas laisva valia, „ypač atsižvelgiama į tai, ar, be kita ko, sutartis, įskaitant paslaugos teikimą, vykdoma su sąlyga, kad būtų duotas sutikimas tvarkyti asmens duomenis, kurie nebūtini tos sutarties vykdymui“.

Praktikoje tai reiškia:

  • Nenaudokite slapukų sienų, kurios blokuoja turinį, kol naudotojas nepriima visų slapukų. EDPB pareiškė, kad slapukų sienos paprastai neleidžia sutikimo duoti laisva valia. Jei naudotojas negali pasiekti jūsų svetainės nepriimdamas sekimo, jo „sutikimas“ yra išgautas prievarta, o ne savanoriškas.
  • Nebloginkite patirties naudotojams, kurie atsisako. Nuolatinio perdangos rodymas, puslapio funkcionalumo ribojimas ar pasyviai agresyvių pranešimų rodymas („Pastebėjome, kad nepriėmėte slapukų – jūsų patirtis gali pablogėti“) pažeidžia savanorišką sutikimo pobūdį.
  • Pasiūlykite tikras alternatyvas. Jei taikote modelį „sutik arba mokėk“, mokama alternatyva turi būti tikrai pagrįsta – o ne kaina, kuria baudžiama už atsisakymą.

2. Panaikinkite apgaulingus dizaino elementus

Apgaulingi dizaino elementai (angl. dark patterns) slapukų sutikime yra ypatingas reguliuotojų dėmesio objektas. EDPB paskelbė gaires dėl apgaulingų dizaino šablonų, o CNIL, Garante ir kitos duomenų apsaugos institucijos skyrė baudas organizacijoms būtent už manipuliacines sutikimo sąsajas.

Venkite šių šablonų:

  • Asimetriškų mygtukų. „Priimti viską“ kaip didelis, spalvingas mygtukas, o „Tvarkyti nustatymus“ – kaip maža teksto nuoroda. Abi parinktys turi būti vienodai matomos. Kelios duomenų apsaugos institucijos konkrečiai reikalauja, kad „Atmesti viską“ būtų prieinama pirmajame lygmenyje su tokiu pat vizualiniu svoriu kaip ir „Priimti viską“.
  • Painios kalbos. „Tęsti nepriimant“ ir „Priimti ir tęsti“ – kai abu mygtukai atrodo panašiai, naudotojai negali jų greitai atskirti. Naudokite aiškius, nedviprasmiškus užrašus: „Priimti viską“, „Atmesti viską“, „Pritaikyti“.
  • Paslėptų atmetimo parinkčių. Reikalavimas, kad naudotojai spustelėtų iki antrojo ar trečiojo lygmens, norėdami atmesti slapukus, kai „Priimti viską“ pasiekiama vienu paspaudimu. CNIL skyrė „Google“ 150 mln. EUR baudą iš dalies būtent už šią praktiką.
  • Iš anksto pažymėtų jungiklių. Kategorijų jungikliai, kurie pagal numatytuosius nustatymus yra „įjungti“ analitikai ir rinkodarai. CJEU sprendimas Planet49 byloje tai aiškiai draudžia.
  • Klaidinančių spalvų. Žalia „Priimti“ ir raudona ar pilka „Atmesti“ spalva rodo, kad priėmimas yra teisingas pasirinkimas, o atmetimas – klaida. Naudokite neutralų, nuoseklų stilių.
  • Gėdinimo per patvirtinimą. Formuluotės, tokios kaip „Ne, ačiū, man nesvarbi mano patirtis“ atmetimo parinkčiai, yra manipuliacinės ir pažeidžia savanorišką sutikimo pobūdį.
  • Pakartotinio raginimo. Sutikimo juostos rodymas kiekvieną kartą lankantis puslapyje po to, kai naudotojas atsisakė, tikintis jį pavarginti. Kai naudotojas padarė pasirinkimą, jį gerbkite.

3. Būkite skaidrūs

Informuotas sutikimas reikalauja, kad naudotojai suprastų, su kuo sutinka. Skaidrumas – tai ne informacijos kiekis, o jos aiškumas.

  • Naudokite paprastą kalbą. „Naudojame slapukus, kad reklamos tikslais sektume jūsų naršymo elgseną internete“ yra aišku. „Pasitelkiame pažangias duomenų analitikos technologijas, kad pagerintume jūsų suasmenintą skaitmeninę patirtį“ – ne.
  • Išvardykite visus slapukus. Jūsų slapukų politikoje turėtų būti pateiktas pilnas sąrašas: slapuko pavadinimas, teikėjas, paskirtis, tipas (sesijos / nuolatinis, savas / trečiosios šalies) ir galiojimo laikas. Šis sąrašas turi būti nuolat atnaujinamas.
  • Įvardykite trečiąsias šalis. Jei bendrinate duomenis su reklamos tinklais, juos įvardykite. „Bendriname duomenis su savo reklamos partneriais“ yra nepakankama. „Bendriname duomenis su „Google Ads“, „Meta“ (Facebook) ir „LinkedIn“ – tai skaidru.
  • Paaiškinkite pasekmes. Kas nutinka, jei naudotojas priima analitikos slapukus? Kas nutinka, jei jis atsisako? Naudotojai turėtų suprasti praktinį savo pasirinkimo poveikį.

4. Suteikite išsamią kontrolę

GDPR reikalauja, kad sutikimas būtų „konkretus“ – duotas atskirai kiekvienam tikslui. Jūsų sutikimo mechanizmas turėtų siūlyti:

  • Jungiklius kiekvienai kategorijai. Naudotojai turėtų galėti priimti analitikos slapukus ir atmesti rinkodaros slapukus. Keturios standartinės kategorijos (būtini, analitikos, rinkodaros, nuostatų) yra minimumas.
  • „Priimti viską“ ir „Atmesti viską“ nuorodas. Nors išsami kontrolė yra būtina, siūlyti masinio pasirinkimo parinktis kaip greitąsias nuorodas yra ir teisėta, ir patogu naudotojams – jei tik išsamaus pasirinkimo parinktis yra vienodai prieinama.
  • Kontrolę kiekvienam tiekėjui (rekomenduojama, bet ne visada privaloma). Kad pasiektumėte maksimalų skaidrumą, apsvarstykite galimybę leisti naudotojams matyti ir valdyti slapukus pagal tiekėją – pavyzdžiui, priimti „Google Analytics“ ir atmesti „Hotjar“ arba priimti „LinkedIn“ sekimą ir atmesti „Facebook“. Kai kurios sutikimo valdymo platformos tai vadina „IAB TCF 2 lygio“ išsamumu.

5. Padarykite sutikimo atšaukimą tokį pat paprastą, kaip jo davimas

GDPR 7 straipsnio 3 dalis aiškiai nurodo: „Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. [...] Atšaukti sutikimą turi būti taip pat paprasta, kaip jį duoti.“

Šis reikalavimas dažnai pažeidžiamas. Dažniausiai pasitaikantys trūkumai:

  • Nėra matomo būdo pakeisti slapukų nuostatas, kai juosta uždaroma.
  • „Slapukų nustatymų“ nuoroda, paslėpta privatumo politikoje, kuri pati paslėpta poraštėje.
  • Reikalavimas, kad naudotojas ištrintų naršyklės slapukus, norėdamas atkurti nuostatas (tai nėra atšaukimo mechanizmas – tai apėjimo būdas).

Geriausios praktikos įgyvendinimo pavyzdžiai:

  • Nuolatinė „Slapukų nustatymų“ nuoroda svetainės poraštėje.
  • Maža slankioji piktograma (dažnai slapuko ar skydo piktograma), kuri iš naujo atidaro sutikimo valdiklį.
  • Skiltis naudotojo paskyros nustatymuose (prisijungusiems naudotojams), kurioje galima tvarkyti slapukų nuostatas.

Kai naudotojas atšaukia sutikimą, turite nedelsdami nustoti naudoti atitinkamus slapukus. Ištrinkite slapukus iš naršyklės ir sustabdykite susijusius scenarijus. Atšaukimas turi būti veiksmingas, o ne tik užregistruotas.

6. Saugokite sutikimo įrašus

GDPR 7 straipsnio 1 dalis: „Kai duomenų tvarkymas grindžiamas sutikimu, duomenų valdytojas turi galėti įrodyti, kad duomenų subjektas davė sutikimą tvarkyti savo asmens duomenis.“

Jūsų sutikimo įrašuose turėtų būti:

  • Laiko žyma, nurodanti, kada sutikimas buvo duotas arba atsisakyta.
  • Kategorijos, kurios buvo priimtos ir atmestos.
  • Sutikimo mechanizmo versija, kuri buvo parodyta (kaip atrodė juosta, koks tekstas buvo pateiktas). Jei keičiate sutikimo juostą, turite žinoti, su kuria versija sąveikavo kiekvienas naudotojas.
  • Sutikimo būdas (koks mygtukas buvo paspaustas, kokios parinktys buvo pasirinktos).
  • Anonimizuotas identifikatorius, susiejantis įrašą su įrenginiu arba sesija (ne naudotojo vardas ar el. paštas – pats sutikimo įrašas neturėtų tapti privatumo problema).

Saugokite šiuos įrašus serverio pusėje. Vien kliento pusės slapukas nėra pakankamas įrodymas – naudotojas gali jį ištrinti, ir jūs neturėsite nepriklausomo įrašo. Geriausia praktika – registruoti sutikimo įvykius savo serveryje ir saugoti juos tiek laiko, kiek rekomenduoja jūsų duomenų apsaugos institucija (paprastai tiek pat, kiek galioja jūsų slapukai, plius pagrįstas rezervinis laikotarpis).

7. Pakartotinai paprašykite sutikimo po pakeitimų

Sutikimas galioja tik tiems tikslams ir slapukams, kuriems jis buvo duotas. Jei pridedate naujų slapukų, naujų kategorijų, naujų trečiųjų šalių tiekėjų arba iš esmės pakeičiate, kaip naudojate esamus slapukus, anksčiau surinktas sutikimas gali nebeapimti naujo duomenų tvarkymo.

Pakartotinai paprašykite naudotojų sutikimo, kai:

  • Pridedate naują slapukų kategoriją, kuri anksčiau nebuvo įtraukta.
  • Įdiegiate naują trečiosios šalies sekimo paslaugą.
  • Keičiate esamų slapukų paskirtį (pvz., naudojate analitikos duomenis reklamos tikslais).
  • Nuo paskutinio sutikimo praėjo daug laiko (CNIL rekomenduoja ne daugiau kaip 13 mėnesių).
  • Reguliavimo reikalavimai pasikeičia taip, kad tai turi įtakos esamo sutikimo galiojimui.

Įdiekite sutikimo versijų sistemą. Priskirkite savo sutikimo konfigūracijai versijos numerį. Kai versija pasikeičia (nes pridėjote arba pakeitėte slapukus), pakartotinai paprašykite sutikimo naudotojų, kurie sutiko pagal ankstesnę versiją.

8. Atlikite A/B testavimą etiškai

Optimizuoti sutikimo patirtį yra teisėta – testuoti skirtingus išdėstymus, formuluotes ir dizainą, siekiant rasti, kas veikia geriausiai. Tačiau „veikia geriausiai“ turi reikšti „duoda tikrai informuotą sutikimą pagrįstu dažniu“, o ne „maksimaliai padidina paspaudimų „Priimti viską“ skaičių per manipuliaciją“.

Etiško A/B testavimo gairės:

  • Visi variantai turi atitikti reikalavimus. Kiekviena testuojama versija turi atitikti teisinius galiojančio sutikimo reikalavimus. Negalite testuoti reikalavimus atitinkančios versijos prieš reikalavimų neatitinkančią versiją, kad išsiaiškintumėte, kuri gauna daugiau sutikimų.
  • Testuokite aiškumą, o ne manipuliaciją. Ar paaiškinimo performulavimas padidina supratimą ir tuo pačiu sutikimą? Ar juostos padėties pakeitimas pagerina įsitraukimą? Tai teisėti testai.
  • Neoptimizuokite dėl „Priimti viską“ dažnio. Aukštas sutikimų dažnis, pasiektas per painų dizainą, nėra sėkmė – tai reikalavimų atitikties rizika. Optimizuokite dėl naudotojų, kurie priima bet kokį aktyvų, informuotą pasirinkimą, dažnio.
  • Stebėkite atsisakymų dažnį. Jei dizaino pakeitimas smarkiai sumažina atsisakymų skaičių, paklauskite savęs, ar tai įvyko dėl aiškumo, ar dėl kliūčių.

9. Geriausia techninio įgyvendinimo praktika

Sutikimo mechanizmas – tai ne tik UI komponentas. Kad jis tikrai veiktų, reikia tinkamo techninio įgyvendinimo.

Blokuokite scenarijus, kol nėra sutikimo

Svarbiausias techninis reikalavimas: nebūtini scenarijai neturi būti vykdomi, kol naudotojas neduoda sutikimo atitinkamai kategorijai. Yra keli būdai:

  • Scenarijaus tipo keitimas. Pakeiskite type="text/javascript" į type="text/plain" ir pridėkite duomenų atributą, nurodantį kategoriją. Kai duodamas sutikimas, sutikimo valdiklio scenarijus grąžina pradinį tipą ir paleidžia vykdymą.
  • Žymų valdymo integracija. Naudokite žymų valdiklį (Google Tag Manager, Tealium ir kt.), kuris palaiko sutikimo režimus. Žymos sukonfigūruojamos taip, kad įsijungtų tik esant sutikimui atitinkamai kategorijai.
  • Atvaizdavimas serverio pusėje. Įtraukite scenarijų žymas į puslapio HTML tik tuomet, jei sutikimas jau užregistruotas (patikrinus sutikimo slapuką serverio pusėje). Tai patikimiausias būdas, tačiau reikalauja serverio pusės logikos.

Tinkamai tvarkykite sutikimo būseną

  • Pirmas apsilankymas (sutikimas neužregistruotas): Įkelkite tik griežtai būtinus scenarijus. Parodykite sutikimo mechanizmą.
  • Pakartotinis apsilankymas (sutikimas užregistruotas): Nuskaitykite sutikimo slapuką. Įkelkite scenarijus, atitinkančius priimtas kategorijas. Nerodykite sutikimo mechanizmo pakartotinai, nebent atėjo laikas jį atnaujinti.
  • Sutikimas atšauktas: Sustabdykite visus atšauktos kategorijos scenarijus. Ištrinkite atitinkamus slapukus. Atnaujinkite sutikimo įrašą.
  • Sutikimas atnaujintas: Bet kokias naujas kategorijas traktuokite kaip pirmąjį apsilankymą. Anksčiau priimtas kategorijas įkelkite nedelsdami.

Kruopščiai testuokite

  • Patikrinkite, kad prieš duodant sutikimą nebūtų nustatomi jokie nebūtini slapukai. Tam naudokite naršyklės kūrėjų įrankius (skirtukas Application > Cookies).
  • Patikrinkite, kad scenarijai iš tikrųjų sustotų, kai sutikimas atšaukiamas – ne tik kad slapukas būtų ištrintas, bet ir kad scenarijai nebeveiktų.
  • Testuokite išjungę JavaScript. Sutikimo mechanizmas turėtų sklandžiai prisitaikyti, ir jokie sekimo scenarijai neturėtų būti įkeliami.
  • Testuokite mobiliuosiuose įrenginiuose. Sutikimo mechanizmas turi būti visiškai funkcionalus ir patogus naudoti mažuose ekranuose.

10. Naudokite sutikimo valdymo platformą (CMP)

Sukurti visiškai reikalavimus atitinkantį sutikimo mechanizmą nuo nulio įmanoma, tačiau tai susiję su didele nuolatine priežiūra. Sutikimo valdymo platforma sudėtingumą tvarko už jus: sutikimo rinkimą, įrašų saugojimą, scenarijų blokavimą, geografinį nukreipimą ir reguliavimo naujinius.

Vertindami CMP, atsižvelkite į:

  • Automatinį slapukų nuskaitymą. Ar CMP aptinka visus jūsų svetainės slapukus, ar juos turite išvardyti rankiniu būdu?
  • Scenarijų blokavimą. Ar CMP iš tikrųjų blokuoja scenarijus prieš sutikimą, ar tik rodo juostą?
  • Sutikimo įrašus. Ar CMP saugo sutikimo įrodymus serverio pusėje?
  • IAB TCF palaikymą. Jei naudojate programinę reklamą, gali prireikti TCF 2.2 palaikymo.
  • Poveikį našumui. CMP scenarijus įkeliamas kiekviename puslapyje. Koks jo dydis? Ar jis blokuoja atvaizdavimą?
  • Pritaikymo galimybes. Ar galite pritaikyti sutikimo juostą prie savo prekės ženklo dizaino?
  • Prieinamumą. Ar pats sutikimo mechanizmas yra prieinamas? Ar juo galima naršyti klaviatūra? Ar jis veikia su ekrano skaitytuvais? Neprieinama sutikimo juosta svetainėje, kuri teigia rūpinanti prieinamumu, atrodo prastai.

Passiro nuskaito jūsų svetainę, kad nustatytų visus slapukus ir sekimo technologijas, automatiškai juos suskirsto į kategorijas ir pateikia praktinių rekomendacijų jūsų sutikimo įgyvendinimui – nesvarbu, ar jį kuriate patys, ar naudojate CMP.

Santrauka: sutikimo kontrolinis sąrašas

Greita pagalbinė nuoroda, skirta įvertinti jūsų dabartinį sutikimo įgyvendinimą:

  1. Prieš duodant sutikimą nenustatomi jokie nebūtini slapukai.
  2. Sutikimo mechanizmas siūlo „Priimti viską“ ir „Atmesti viską“ su vienodu matomumu.
  3. Naudotojai gali pasirinkti pagal kategorijas (mažiausiai: būtini, analitikos, rinkodaros, nuostatų).
  4. Pateikta informacija yra aiški, konkreti ir paprasta kalba.
  5. Iš anksto pažymėti langeliai ir jungikliai nenaudojami nebūtinoms kategorijoms.
  6. Egzistuoja nuolatinis, lengvai prieinamas būdas atšaukti arba pakeisti sutikimą.
  7. Sutikimo įrašai saugomi serverio pusėje su laiko žymomis ir kategorijų informacija.
  8. Sutikimas atnaujinamas ne rečiau kaip kas 13 mėnesių (arba anksčiau, jei keičiasi slapukų naudojimas).
  9. Sutikimo mechanizmas yra prieinamas (galima naršyti klaviatūra, suderinamas su ekrano skaitytuvais).
  10. Įgyvendinimas reguliariai testuojamas dėl reikalavimų atitikties (nauji slapukai, pakeisti scenarijai).

Gerai atliktas slapukų sutikimo valdymas nėra kliūtis jūsų verslui. Tai pasitikėjimo tarp jūsų ir jūsų naudotojų pagrindas – ir vis dažniau būtent tai skiria reikalavimus atitinkančias įmones nuo tų, kurioms gresia reguliavimo institucijų veiksmai.

Ar jūsų svetainė atitinka slapukų taisykles?

Nemokamai nuskenuokite savo svetainę ir raskite visus slapukus per kelias minutes.

Nuskenuokite savo slapukus nemokamai