Skip to main content

Sutikimas iš anksto ir atsisakymas: dviejų sutikimo modelių supratimas

Pasaulyje egzistuoja du iš esmės skirtingi požiūriai į sutikimą dėl slapukų. Europos Sąjunga reikalauja išankstinio sutikimo (angl. opt-in): jokių slapukų, kol vartotojas nepasako „taip". Jungtinės Valstijos (daugumoje valstijų) leidžia atsisakymą (angl. opt-out): slapukai įdiegiami pagal numatytuosius nustatymus, o vartotojas gali pasakyti „ne". Šių dviejų modelių — jų teisinio pagrindo, pasekmių ir taikymo sričių — supratimas yra būtinas kiekvienai svetainei, turinčiai pasaulinę auditoriją.

Išankstinio sutikimo modelis

Pagal išankstinio sutikimo modelį nebūtinieji slapukai negali būti įdiegti tol, kol vartotojas nepateiks aiškaus, patvirtinančio sutikimo. Jei vartotojas nesiima jokių veiksmų, slapukai neįdiegiami. Būtent šį modelį reikalauja taikyti ES ePrivacy direktyva (5 straipsnio 3 dalis), kaip ji aiškinama per GDPR pateiktą sutikimo apibrėžimą (4 straipsnio 11 dalis).

Kaip išankstinis sutikimas veikia praktikoje

  1. Vartotojas pirmą kartą apsilanko svetainėje.
  2. Aktyvūs tik griežtai būtini slapukai. Analitikos, rinkodaros ir nuostatų slapukai blokuojami.
  3. Pasirodo sutikimo mechanizmas, kuriame pateikiamos slapukų kategorijos ir prašoma vartotojo pasirinkti.
  4. Vartotojas aktyviai pasirenka, kurias kategorijas priimti (arba spusteli „Priimti viską" ar „Atmesti viską").
  5. Įkeliami tik tie skriptai, kurie atitinka priimtas kategorijas.
  6. Jei vartotojas nesiima jokių veiksmų, jokie nebūtinieji slapukai neįdiegiami. Sutikimo mechanizmas lieka matomas (arba pasiekiamas), kol vartotojas pasirenka.

Teisinis pagrindas

Išankstinio sutikimo reikalavimas kyla iš dviejų šaltinių:

  • ePrivacy direktyvos 5 straipsnio 3 dalis: reikalauja „sutikimo" prieš saugant informaciją vartotojo įrenginyje.
  • GDPR 4 straipsnio 11 dalis: apibrėžia sutikimą kaip reikalaujantį „aiškaus patvirtinančio veiksmo" — tai neapima neveikimo, iš anksto pažymėtų langelių ir numanomo pritarimo.
  • ESTT Planet49 sprendimas (C-673/17): patvirtino, kad reikalingas aktyvus sutikimas ir kad iš anksto pažymėti langeliai nėra galiojantis sutikimas.

Kur taikomas išankstinis sutikimas

Visose ES/EEE valstybėse narėse (27 ES šalys plius Norvegija, Islandija ir Lichtenšteinas), taip pat Jungtinėje Karalystėje (kuri po Brexit išsaugojo ePrivacy taisykles per Privatumo ir elektroninių ryšių reglamentus, arba PECR).

Pasekmės svetainių operatoriams

  • Būkite pasirengę reikšmingam sutikimo atmetimo lygiui. Pramonės duomenys rodo, kad 30–50 % Europos lankytojų atmeta nebūtinuosius slapukus, kai jiems suteikiamas tikras pasirinkimas.
  • Analitikos duomenys bus nepilni. Turėsite duomenis tik iš vartotojų, kurie davė sutikimą. Tai nėra klaida — tai numatytas reglamento rezultatas.
  • Skriptų įkėlimas turi būti sąlyginis. Jums reikia techninio mechanizmo, kuris blokuoja skriptus, kol neužfiksuojamas sutikimas. To negalima padaryti vien tik su reklamjuoste — reikia tikro skriptų valdymo.

Atsisakymo modelis

Pagal atsisakymo modelį slapukai gali būti įdiegiami pagal numatytuosius nustatymus. Vartotojas turi teisę atsisakyti, tačiau kol jis nesiima veiksmų, sekimas yra leidžiamas. Šis modelis naudojamas Jungtinėse Valstijose ir keliose kitose jurisdikcijose.

Kaip atsisakymas veikia praktikoje

  1. Vartotojas apsilanko svetainėje.
  2. Visi slapukai — įskaitant analitikos ir rinkodaros slapukus — įdiegiami iškart.
  3. Pranešimas informuoja vartotoją, kad naudojami slapukai, ir suteikia galimybę atsisakyti.
  4. Jei vartotojas nesiima jokių veiksmų, slapukai lieka aktyvūs.
  5. Jei vartotojas atsisako, jo nuostatų laikomasi ateityje (o kai kuriose jurisdikcijose anksčiau surinkti duomenys gali būti ištrinami).

Teisinis pagrindas

Atsisakymo modelis įtvirtintas šiuose teisės aktuose:

  • CCPA/CPRA (Kalifornija): Kalifornijos vartotojai turi teisę atsisakyti asmens duomenų „pardavimo" ar „dalijimosi". Slapukai, naudojami kontekstus peržengiančiai elgesio reklamai, pagal CPRA laikomi „dalijimusi". Pareiga yra suteikti atsisakymo mechanizmą (dažnai per nuorodą „Neparduoti ir nesidalyti mano asmens duomenimis"), o ne gauti išankstinį sutikimą.
  • CAN-SPAM Act ir FTC gairės: JAV federalinis požiūris į sekimą internete istoriškai buvo pranešimo ir pasirinkimo, o ne patvirtinančio sutikimo.
  • Įvairūs JAV valstijų įstatymai: Virdžinija (VCDPA), Koloradas (CPA), Konektikutas (CTDPA) ir kiti taiko atsisakymo modelio variacijas tikslinei reklamai ir duomenų pardavimui.

Kur taikomas atsisakymas

Jungtinėse Valstijose (su variacijomis pagal valstiją), Kanadoje (PIPEDA — nors tai gali pasikeisti dėl siūlomų reformų), Australijoje (pagal Privacy Act — taip pat peržiūrimas) ir keliose kitose jurisdikcijose už ES/EEE ribų.

Pasekmės svetainių operatoriams

  • Daugiau duomenų renkama pagal numatytuosius nustatymus. Kadangi slapukai įdiegiami, nebent vartotojas paprieštarauja, analitikos ir reklamos duomenys yra pilnesni.
  • Turi būti suteiktas aiškus atsisakymo mechanizmas. Pagal CCPA/CPRA tai reiškia nuorodą „Neparduoti ir nesidalyti mano asmens duomenimis", kurią lengva rasti ir naudoti.
  • Būtina gerbti Global Privacy Control (GPC). Kalifornijos įstatymai reikalauja, kad įmonės vertintų GPC naršyklės signalą kaip galiojantį atsisakymo prašymą.

Išsamus palyginimas

Aspektas Išankstinis sutikimas (ES/GDPR) Atsisakymas (JAV/CCPA)
Numatytoji būsena Slapukai blokuojami iki sutikimo Slapukai aktyvūs pagal numatytuosius nustatymus
Reikalingas vartotojo veiksmas Turi imtis veiksmų, kad leistų slapukus Turi imtis veiksmų, kad sustabdytų slapukus
Tyla / neveikimas Reiškia sutikimo nebuvimą (jokių slapukų) Reiškia laikomą sutikimą (slapukai aktyvūs)
Sutikimo mechanizmas Detalus pasirinkimas pagal kategorijas Atsisakymo nuoroda arba jungiklis
Iš anksto pažymėti langeliai Neleidžiami (Planet49 sprendimas) Leidžiami (atsisakymo modelis)
Poveikis analitikai 30–50 % duomenų praradimas dėl nesutikimo Minimalus duomenų praradimas (nedaug atsisako)
Atšaukimas Toks pat lengvas kaip sutikimo davimas (GDPR 7 str. 3 d.) Turi būti suteiktas, nėra reikalavimo dėl vienodo paprastumo
Vaikai Tėvų sutikimas iki 13–16 metų (skiriasi) COPPA taikomas jaunesniems nei 13 metų
Pagrindinis reglamentas ePrivacy direktyva + GDPR CCPA/CPRA + valstijų įstatymai
Maksimalios baudos 20 mln. EUR arba 4 % pasaulinės apyvartos 7 500 USD už kiekvieną tyčinį pažeidimą (CCPA)

Ar galima naudoti skirtingus modelius skirtingiems regionams?

Taip, ir daugelis pasaulinių svetainių tai daro. Šis požiūris vadinamas geografiškai orientuotu sutikimo valdymu. Svetainė nustato lankytojo vietą (paprastai pagal IP geografinę vietą) ir pateikia tinkamą sutikimo modelį:

  • ES/EEE/JK lankytojai: išankstinio sutikimo modelis su detaliu sutikimu.
  • Kalifornijos lankytojai: atsisakymo modelis su nuoroda „Neparduoti ir nesidalyti".
  • Kiti JAV lankytojai: tik pranešimas (priklausomai nuo valstijos įstatymo taikytinumo).
  • Kitos jurisdikcijos: pagal taikytiną vietos teisę.

Geografinio orientavimo iššūkiai

  • IP geografinė vieta nėra tobula. VPN vartotojai gali būti neteisingai lokalizuoti. Mobilieji vartotojai gali judėti tarp jurisdikcijų.
  • Priežiūros našta. Turite stebėti reguliavimo pokyčius kiekvienoje jurisdikcijoje, kurioje veikiate, ir atitinkamai atnaujinti savo sutikimo srautus.
  • Testavimo sudėtingumas. Turite patikrinti, ar kiekvienas regioninis variantas veikia teisingai — skirtingos reklamjuostės, skirtingos numatytosios būsenos, skirtingas skriptų blokavimo elgesys.
  • GDPR taikomas ekstrateritoriškai. Jei orientuojatės į ES vartotojus (3 str. 2 d.), GDPR taikomas nepriklausomai nuo to, kur yra jūsų verslas. „Orientavimasis" apima prekių ar paslaugų siūlymą ES gyventojams arba jų elgesio stebėjimą.

Geriausia praktika: numatytasis išankstinis sutikimas

Jei kelių sutikimo modelių valdymas atrodo per sudėtingas, yra paprastesnis kelias: pagal numatytuosius nustatymus taikyti išankstinio sutikimo modelį visame pasaulyje.

Štai kodėl tai veikia:

  1. Atitiktis visur. Išankstinio sutikimo modelis atitinka griežčiausius reikalavimus. Jei laikotės GDPR sutikimo reikalavimų, automatiškai viršijate CCPA, LGPD ir daugumos kitų sistemų reikalavimus.
  2. Paprastumas. Vienas sutikimo mechanizmas, vienas įgyvendinimas, vienas testų rinkinys. Jokio geografinio aptikimo, jokių regioninių variantų, jokių kraštutinių atvejų.
  3. Pasirengimas ateičiai. Pasaulinė tendencija krypsta link griežtesnių sutikimo reikalavimų. Siūlomos reformos JAV, Kanadoje, Australijoje ir Indijoje visos juda aiškesnio sutikimo kryptimi. Kuriant išankstinio sutikimo sistemą dabar, jums nereikės vėliau jos perdaryti.
  4. Vartotojų pasitikėjimas. Vartotojai visame pasaulyje teigiamai reaguoja į skaidrią, pagarbią sutikimo praktiką. Tikro pasirinkimo suteikimas — net ten, kur įstatymas to griežtai nereikalauja — didina pasitikėjimą ir prekės ženklo patikimumą.
  5. Duomenų kokybė. Sutikimu grįsti duomenys yra švaresni, labiau pagrįsti ir vertingesni nei duomenys, surinkti teisiškai neaiškiomis sąlygomis.

Kompromisas yra realus: pasaulinėje erdvėje surinksite mažiau duomenų. Tačiau tie duomenys, kuriuos surinksite, bus teisiškai pagrįsti, etiškai švarūs ir vis vertingesni, nes tretųjų šalių duomenys tampa vis mažiau prieinami.

Naujausios tendencijos

Sutikimo aplinka nėra statiška. Verta stebėti keletą tendencijų:

  • ePrivacy reglamentas. ES nuo 2017 m. rengia ePrivacy direktyvos pakaitalą. Kai jis bus priimtas, taps tiesiogiai taikomu reglamentu (kaip GDPR), o ne direktyva, reikalaujančia perkėlimo į nacionalinę teisę. Tikimasi, kad slapukų sutikimo taisyklės liks panašios arba griežtesnės nei dabartinė sistema.
  • Global Privacy Control (GPC). Šis naršyklės lygmens signalas automatiškai perduoda vartotojo privatumo nuostatas. Kalifornijos įstatymai jau reikalauja gerbti GPC. Koloradas ir Konektikutas taip pat. Tai gali tapti standartiniu atsisakymo nuostatų perdavimo mechanizmu.
  • „Sutikimas arba mokėjimas" modeliai. EDPB 2024 m. nuomonė dėl „sutikimo arba mokėjimo" (ypač Meta požiūrio kontekste) formuoja tai, kaip reguliuotojai vertina sutikimo ir prieigos prie paslaugų santykį.
  • Naršyklės lygmens sutikimas. Kai kurie pasiūlymai perkeltų sutikimo valdymą nuo atskirų svetainių į pačią naršyklę — vartotojai nuostatas nustatytų vieną kartą, o ne kiekvienoje svetainėje. Tai iš esmės pakeistų, kaip sutikimas veikia praktikoje.

Passiro padeda įdiegti tinkamą sutikimo modelį jūsų auditorijai, automatiškai aptinkant ir kategorizuojant visus jūsų svetainės slapukus — nesvarbu, ar pasirinksite išankstinį sutikimą, atsisakymą ar geografiškai orientuotą požiūrį.

Paskutiniame skyriuje apžvelkime sutikimo geriausią praktiką — praktines, įgyvendinamas gaires, kaip įdiegti sutikimą, kuris būtų ir atitinkantis reikalavimus, ir patogus vartotojui.

Ar jūsų svetainė atitinka slapukų taisykles?

Nemokamai nuskenuokite savo svetainę ir raskite visus slapukus per kelias minutes.

Nuskenuokite savo slapukus nemokamai