Kaip parašyti slapukų politiką: nuoseklus vadovas
Slapukų politika verta tiek, kiek ji tiksli ir aiški. Šis vadovas žingsnis po žingsnio padės sukurti slapukų politiką, kuri atitiktų teisinius reikalavimus, būtų naudinga jūsų vartotojams ir liktų tiksli ilgą laiką. Vadovaukitės šiais devyniais žingsniais, kad parengtumėte išsamią, skaidrią ir lengvai atnaujinamą politiką.
1 žingsnis: Atlikite slapukų auditą
Prieš rašydami apie savo slapukus, turite tiksliai žinoti, kokius slapukus nustato jūsų svetainė. Tai yra visos politikos pamatas — ir žingsnis, kurį daugelis organizacijų atlieka neteisingai.
Kruopštus slapukų auditas apima:
- Kiekvieno puslapio nuskaitymą. Slapukai skirtinguose puslapiuose gali skirtis. Jūsų pradinis puslapis gali nustatyti kitokius slapukus nei atsiskaitymo puslapis, tinklaraštis ar paskyros puslapiai. Išsamus auditas turi apimti visus puslapių tipus.
- Pirmosios ir trečiosios šalies slapukų fiksavimą. Pirmosios šalies slapukus nustato jūsų pačių domenas. Trečiosios šalies slapukus nustato išorinės paslaugos — analitikos platformos, reklamos tinklai, socialinių tinklų valdikliai, įterpti vaizdo įrašai, pokalbių valdikliai, mokėjimų tvarkytojai ir kt.
- Ne slapukais grįstos saugyklos identifikavimą. Šiuolaikinės svetainės taip pat naudoja localStorage, sessionStorage, IndexedDB ir pikselių žymas. Išsami politika apima visus kliento pusėje veikiančius saugojimo mechanizmus, o ne tik HTTP slapukus.
- Testavimą su sutikimu ir be jo. Kai kurie slapukai nustatomi nepriklausomai nuo sutikimo (griežtai būtini slapukai). Kiti turėtų atsirasti tik gavus sutikimą. Auditas turėtų patvirtinti, kad nebūtini slapukai iš tikrųjų blokuojami, kol negaunamas sutikimas.
Rankiniai auditai nepatikimi. Rankiniu būdu atidarant naršyklės kūrėjų įrankius keliuose puslapiuose bus praleisti slapukai, kuriuos nustato asinchroniškai įkeliami trečiųjų šalių scenarijai, slapukai, nustatomi tik atlikus tam tikrus vartotojo veiksmus, ir slapukai, atsirandantys tik vėlesnių apsilankymų metu. Norėdami gauti pilną vaizdą, naudokite automatizuotus nuskaitymo įrankius.
Automatizuotas Passiro slapukų skeneris peržiūri visą jūsų svetainę, identifikuoja kiekvieną slapuką ir saugojimo mechanizmą bei pateikia suklasifikuotą ataskaitą — idealų atskaitos tašką jūsų politikai.
2 žingsnis: Suklasifikuokite kiekvieną slapuką
Kai turėsite pilną slapukų sąrašą, suskirstykite juos į standartines kategorijas. Plačiausiai priimta klasifikacija, kurią naudoja IAB Transparency and Consent Framework ir rekomenduoja dauguma duomenų apsaugos institucijų, yra tokia:
Griežtai būtini
Slapukai, be kurių svetainė negali veikti. Pavyzdžiai: seanso slapukai prisijungimo būsenai, pirkinių krepšelio slapukai, CSRF apsaugos žymenys, apkrovos balansavimo slapukai, slapukų sutikimo nuostatų slapukai. Jiems netaikomas sutikimo reikalavimas pagal ePrivacy Directive 5(3) straipsnį, tačiau vis tiek turite juos atskleisti savo politikoje.
Nuostatų / funkciniai
Slapukai, suteikiantys papildomas funkcijas ir personalizavimą. Pavyzdžiai: kalbos pasirinkimas, regiono / valiutos nuostata, šrifto dydžio nustatymai, neseniai peržiūrėti elementai. Jie nėra griežtai būtini — svetainė veiktų ir be jų — tačiau jie pagerina naudotojo patirtį. Jiems reikalingas sutikimas.
Analitikos / statistikos
Slapukai, naudojami duomenims apie tai, kaip lankytojai sąveikauja su svetaine, rinkti. Pavyzdžiai: Google Analytics slapukai (_ga, _gid), Hotjar seanso slapukai, Plausible Analytics. Daugumoje ES jurisdikcijų jiems reikalingas sutikimas, nors kai kurios duomenų apsaugos institucijos (visų pirma Prancūzijos CNIL) sukūrė ribotas išimtis auditorijos matavimo įrankiams, atitinkantiems griežtas sąlygas.
Rinkodaros / reklamos
Slapukai, naudojami tikslinei reklamai, pakartotinei rinkodarai ir reklamos efektyvumo matavimui. Pavyzdžiai: Google Ads (_gcl_*), Meta Pixel (_fbp), LinkedIn Insight Tag, reklamos tinklų slapukai. Jiems visada reikalingas sutikimas ir tai yra atidžiausiai vertinama kategorija.
Kiekvienam slapukui priskirkite kategoriją ir įsitikinkite, kad klasifikacija yra tiksli. Dažna klaida — analitikos ar rinkodaros slapukus priskirti „funkciniams“, siekiant išvengti sutikimo reikalavimo. Tai neatitinka reikalavimų ir reguliuotojai tai lengvai aptinka.
3 žingsnis: Parašykite įvadą
Jūsų slapukų politika turėtų prasidėti trumpu įvadu, kuriame būtų nurodyta:
- Kas jūs esate. Juridinis asmuo, valdantis svetainę (įmonės pavadinimas, registruotas adresas).
- Ką apima šis dokumentas. „Ši slapukų politika paaiškina, kaip [Įmonės pavadinimas] naudoja slapukus ir panašias technologijas svetainėje [svetainės URL].“
- Kada ji paskutinį kartą atnaujinta. Aiškiai nurodykite datą.
- Kaip su jumis susisiekti. Nurodykite kontaktinį el. paštą ir, jei taikoma, savo duomenų apsaugos pareigūno duomenis.
Įvadą apribokite dviem ar trimis sakiniais. Vartotojai čia atėjo dėl konkrečios informacijos, o ne dėl korporatyvinės preambulės.
4 žingsnis: Paaiškinkite, kas yra slapukai
Įtraukite trumpą, netechninį paaiškinimą, kas yra slapukai. Daugelis jūsų lankytojų to nežinos. Geras paaiškinimas skamba taip:
Slapukai yra maži tekstiniai failai, kurie įrašomi jūsų įrenginyje (kompiuteryje, planšetėje ar telefone), kai apsilankote svetainėje. Jie plačiai naudojami tam, kad svetainės veiktų, kad būtų padidintas efektyvumas ir kad svetainių savininkams būtų teikiama informacija. Slapukai, kuriuos nustato jūsų lankoma svetainė, vadinami „pirmosios šalies slapukais“. Slapukai, kuriuos nustato kitos įmonės (pavyzdžiui, analitikos ar reklamos paslaugos), vadinami „trečiosios šalies slapukais“.
Jei jūsų svetainė naudoja technologijas, viršijančias HTTP slapukus — tokias kaip localStorage, pikselių žymas ar pirštų atspaudų nustatymą — paminėkite ir jas. „Šioje politikoje terminą „slapukai“ vartojame kalbėdami apie slapukus ir panašias technologijas, nebent nurodyta kitaip.“
5 žingsnis: Išvardykite slapukus lentelės formatu
Pateikite savo slapukus struktūrizuotoje lentelėje, suskirstytoje pagal kategorijas. Kiekvienam slapukui nurodykite:
| Laukas | Aprašymas | Pavyzdys |
|---|---|---|
| Pavadinimas | Techninis slapuko pavadinimas | _ga |
| Teikėjas | Kas nustato šį slapuką | Google Analytics (google.com) |
| Paskirtis | Ką slapukas daro, paprasta kalba | Sukuria unikalų ID, kad būtų fiksuojami statistiniai duomenys apie tai, kaip naudojatės svetaine |
| Tipas | Pirmosios ar trečiosios šalies; HTTP slapukas, localStorage ir kt. | Trečiosios šalies HTTP slapukas |
| Trukmė | Kiek laiko slapukas išlieka | 2 metai |
Štai gerai struktūrizuotos analitikos kategorijos slapukų lentelės pavyzdys:
| Slapuko pavadinimas | Teikėjas | Paskirtis | Tipas | Trukmė |
|---|---|---|---|---|
_ga |
Google Analytics | Priskiria unikalų ID lankytojams atskirti ir statistinėms ataskaitoms rengti | Trečiosios šalies | 2 metai |
_gid |
Google Analytics | Priskiria unikalų ID kiekvienam naršymo seansui statistinėms ataskaitoms rengti | Trečiosios šalies | 24 valandos |
_gat_UA-* |
Google Analytics | Riboja duomenų rinkimo dažnį didelio srauto svetainėse | Trečiosios šalies | 1 minutė |
Pakartokite šią lentelę kiekvienai kategorijai: griežtai būtini, nuostatų, analitikos ir rinkodaros.
6 žingsnis: Aprašykite kiekvieną kategoriją
Prieš kiekvieną slapukų lentelę pateikite trumpą kategorijos aprašymą:
- Ką daro šios kategorijos slapukai — bendrais bruožais.
- Ar reikalingas sutikimas — griežtai būtiniems slapukams sutikimo nereikia; visiems kitiems reikia.
- Kas nutinka, jei vartotojas atsisako — „Jei atsisakysite analitikos slapukų, nerinksime duomenų apie jūsų apsilankymus. Svetainė veiks įprastai.“
Ši kontekstinė informacija padeda vartotojams priimti pagrįstus sprendimus ir atitinka GDPR skaidrumo reikalavimus.
7 žingsnis: Paaiškinkite, kaip vartotojai gali valdyti slapukus
Šiame skyriuje turi būti aptarti du valdymo mechanizmai:
Per jūsų sutikimo juostą
Paaiškinkite, kad vartotojai gali bet kada valdyti savo slapukų nuostatas paspausdami jūsų slapukų nustatymų nuorodą ar piktogramą. Aprašykite, kur ją rasti (pvz., „Spustelėkite slapukų piktogramą apatiniame kairiajame bet kurio puslapio kampe“ arba „Spustelėkite „Slapukų nustatymai“ apačioje“). Būkite konkretūs — nesakykite tiesiog „per mūsų slapukų juostą“.
Per naršyklės nustatymus
Pateikite nuorodas į slapukų valdymo instrukcijas populiariausioms naršyklėms:
Nurodykite pasekmes: „Atkreipkite dėmesį, kad slapukų išjungimas naršyklės nustatymuose gali paveikti šios ir kitų jūsų lankomų svetainių veikimą.“
8 žingsnis: Pridėkite kontaktinę informaciją ir DPO duomenis
Pateikite aiškią kontaktinę informaciją su privatumu susijusioms užklausoms:
- Duomenų valdytojo tapatybė: įmonės pavadinimas, registruotas adresas, registracijos numeris.
- Privatumo kontaktinis el. paštas: stebimas el. pašto adresas (pvz., [email protected]).
- Duomenų apsaugos pareigūnas: jei paskyrėte DPO (privaloma tam tikroms organizacijoms pagal GDPR 37 straipsnį), nurodykite jo vardą, pavardę ir kontaktinius duomenis.
- Priežiūros institucija: nurodykite atitinkamą duomenų apsaugos instituciją ir pateikite nuorodą į jos skundų teikimo mechanizmą. Pavyzdžiui: „Jūs turite teisę pateikti skundą [DPO pavadinimas] adresu [URL].“
9 žingsnis: Nurodykite politikos datą ir suplanuokite atnaujinimus
Įtraukite aiškią „Paskutinį kartą atnaujinta“ datą. Įsipareigokite reguliariai peržiūrėti ir atnaujinti politiką bei kaskart, kai keičiasi jūsų slapukų naudojimas.
Apsvarstykite galimybę pridėti tokį teiginį: „Šią slapukų politiką reguliariai peržiūrime ir prireikus atnaujinsime. Apie bet kokius reikšmingus pakeitimus bus pranešta pranešimu mūsų svetainėje.“
Praktiniu požiūriu, planuokite bent ketvirtinę peržiūrą. Trečiųjų šalių paslaugos dažnai keičia savo slapukus, o net nedidelis integracijos atnaujinimas gali įvesti naujų slapukų, kuriuos privaloma nurodyti.
Dažniausiai daromos klaidos, kurių reikia vengti
Net kruopščiai parašytose slapukų politikose dažnai pasitaiko šių klaidų:
- Neaiškūs paskirties aprašymai. „Šis slapukas pagerina jūsų patirtį“ vartotojui nieko nesako. Būkite konkretūs: kokius duomenis slapukas renka ir kam jie naudojami?
- Pasenę slapukų sąrašai. Jei jūsų politikoje išvardyti slapukai iš įrankio, kurį pašalinote prieš šešis mėnesius, arba nenurodyti slapukai iš įrankio, kurį pridėjote praėjusią savaitę, ji yra netiksli. Netikslus atskleidimas kenkia skaidrumui.
- Trūkstantys trečiosios šalies slapukai. Daugelis organizacijų išvardija savo slapukus, bet pamiršta dokumentuoti trečiosios šalies slapukus, nustatomus įterpto turinio (YouTube vaizdo įrašų, socialinių tinklų mygtukų, pokalbių valdiklių ir kt.). Jie dažnai yra labiausiai privatumą pažeidžiantys svetainės slapukai.
- Klasifikavimo klaidos. Rinkodaros ar analitikos slapukų priskyrimas „funkciniams“ arba „būtiniems“, siekiant išvengti sutikimo reikalavimo. Duomenų apsaugos institucijos konkrečiai to ieško.
- Nėra mechanizmo nuostatoms keisti. Teigiama, kad vartotojai gali valdyti savo nuostatas, tačiau nepateikiamas aiškiai aprašytas, visada prieinamas mechanizmas tai atlikti.
- Šablono kopijavimas be pritaikymo. Bendriniai slapukų politikos šablonai, neatspindintys jūsų faktinių slapukų, jūsų faktinių paslaugų ar jūsų faktinio duomenų tvarkymo. Šablonas yra atskaitos taškas, o ne baigtas dokumentas.
- Sunkiai suprantama kalba. Teisinis žargonas, techninė terminologija ir be reikalo sudėtingos sakinių struktūros. GDPR reikalauja aiškios ir paprastos kalbos. Rašykite ne specialistams skirtai auditorijai.
Politikos suderinimas su faktiniais slapukais
Sunkiausia slapukų politikos priežiūros dalis yra ne jos rašymas, o jos tikslumo išlaikymas. Svetainės yra dinamiškos. Rinkodaros komandos prideda naujų įrankių, kūrėjai integruoja naujas paslaugas, turinio valdymo sistemos įdiegia įskiepius su sekimo galimybėmis. Kiekvienas pakeitimas gali įvesti slapukų, kurių jūsų politika nemini.
Sprendimas — automatizuotas, nuolatinis stebėjimas. Užuot pasikliovę rankiniais auditais (kurie yra reti, neišsamūs ir linkę į klaidas), naudokite nuskaitymo įrankį, kuris reguliariai peržiūri jūsų svetainę, identifikuoja visus aktyvius slapukus ir palygina juos su jūsų deklaruotu slapukų sąrašu.
Passiro automatiškai nuskaito jūsų svetainę, aptinka nedeklaruotus slapukus ir įspėja, kai reikia atnaujinti politiką. Taip užtikrinama, kad jūsų slapukų politika visada atspindėtų tikrovę, o ne momentinę nuotrauką iš to laiko, kai kažkas paskutinį kartą prisiminė patikrinti. Sužinokite apie automatizuotą Passiro slapukų atitiktį.
Ar jūsų svetainė atitinka slapukų taisykles?
Nemokamai nuskenuokite savo svetainę ir raskite visus slapukus per kelias minutes.
Nuskenuokite savo slapukus nemokamai