Skip to main content

Slapukų atitikties ištekliai ir žodynėlis

Slapukų atitiktis apima specializuotą žodyną, paimtą iš ES reglamentavimo, duomenų apsaugos teisės ir žiniatinklio technologijų. Šiame žodynėlyje apibrėžiamos pagrindinės sąvokos, su kuriomis susidursite, o po jų pateikiama atrinkta oficialių išteklių ir autoritetingų nuorodų kolekcija tolesniam studijavimui.

Pagrindinių sąvokų žodynėlis

A–C

CMP (sutikimų valdymo platforma): Programinės įrangos įrankis ar paslauga, valdanti naudotojų sutikimo dėl slapukų ir kitų sekimo technologijų rinkimą, saugojimą ir įgyvendinimą. CMP paprastai užtikrina slapukų juostos sąsają, saugo sutikimo įrašus ir kontroliuoja, kuriems scenarijams leidžiama vykdytis remiantis naudotojo pasirinkimais. Pavyzdžiui, Cookiebot, OneTrust, Usercentrics ir atvirojo kodo sprendimai, tokie kaip Klaro.

CNIL (Commission Nationale de l'Informatique et des Libertés): Prancūzijos duomenų apsaugos institucija. CNIL buvo aktyviausia Europos reguliavimo institucija slapukų priežiūros srityje, skyrusi didžiausias su slapukais susijusias baudas ir paskelbusi išsamiausias slapukų atitikties gaires. Jos interpretacijos ir priežiūros veiksmai dažnai nustato standartą, kurio laikosi kitos DAI.

Sutikimas: GDPR kontekste – laisvai duotas, konkretus, informuotas ir nedviprasmiškas duomenų subjekto valios išreiškimas, patvirtintas aiškiu patvirtinamuoju veiksmu. Slapukų atveju tai reiškia, kad naudotojas turi aktyviai pasirinkti leisti nebūtinus slapukus atlikdamas sąmoningą veiksmą, pavyzdžiui, spustelėdamas mygtuką „Sutinku“. Tyla, iš anksto pažymėti langeliai, neveiklumas ir tolesnis naršymas nelaikomi galiojančiu sutikimu.

Slapukas: Nedidelis tekstinis failas, kurį svetainė patalpina naudotojo įrenginyje. Slapukai naudojami įvairiausiais tikslais – nuo prisijungimo sesijų palaikymo (būtinieji) iki naršymo elgsenos sekimo visame žiniatinklyje (reklama). Techniškai slapukas yra pavadinimo ir reikšmės pora su susijusiais metaduomenimis, įskaitant domeną, kelią, galiojimo laiką ir saugumo žymes.

Slapukų juosta: Naudotojo sąsajos elementas (paprastai juosta, modalas arba iškylantysis langas), pasirodantis pirmą kartą naudotojui apsilankius svetainėje, informuojantis apie svetainės slapukų naudojimą ir prašantis jo sutikimo. Atitinkanti reikalavimus slapukų juosta pateikia aiškią informaciją, siūlo tikrus pasirinkimus (sutikti, atmesti, tinkinti) ir nenustato nebūtinų slapukų, kol naudotojas neatsakys.

Slapukų politika: Dokumentas (paprastai atskiras tinklalapis arba privatumo politikos skiltis), pateikiantis išsamią informaciją apie visus svetainėje naudojamus slapukus, įskaitant jų pavadinimus, tikslus, tipus, trukmę ir trečiąsias šalis, kurios juos nustato. Slapukų politika įvykdo GDPR skaidrumo prievoles ir e. privatumo direktyvos reikalavimą pateikti „aiškią ir išsamią informaciją“.

Slapukų siena: Mechanizmas, blokuojantis prieigą prie svetainės turinio, nebent naudotojas sutinka su visais slapukais. Slapukų sienos yra prieštaringos, o jų teisėtumas skiriasi priklausomai nuo jurisdikcijos. EDAV pareiškė, kad slapukų sienos pažeidžia galiojančio sutikimo „laisvai duotas“ reikalavimą, nes naudotojas susiduria su „imk arba palik“ pasirinkimu. Kai kurios nacionalinės DAI (ypač Prancūzijos Conseil d'Etat) leido slapukų sienas ribotomis sąlygomis, kai naudotojas turi tikrą alternatyvią priemonę prieigai prie turinio.

D–E

Klaidinantis dizainas (dark pattern): Naudotojo sąsajos dizaino sprendimas, manipuliuojantis naudotojais priimti sprendimus, kurių kitu atveju jie nepriimtų. Slapukų kontekste klaidinantis dizainas apima: mygtuko „Sutinku“ vizualinį išryškinimą kartu su parinkties „Atmesti“ paslėpimu, painios kalbos naudojimą, daugiau paspaudimų reikalavimą atmetimui nei sutikimui bei gėdinimo taktikos taikymą. EDAV 2023 m. vasarį paskelbė specialias gaires dėl klaidinančio dizaino duomenų apsaugos sąsajose.

Duomenų valdytojas: Subjektas, nustatantis asmens duomenų tvarkymo tikslus ir priemones. Svetainės nustatytų slapukų atveju svetainės operatorius paprastai yra duomenų valdytojas. Trečiųjų šalių slapukų atveju gali būti bendras valdymas tarp svetainės operatoriaus ir trečiosios šalies, priklausomai nuo to, kokiu mastu kiekviena šalis daro įtaką duomenų rinkimo tikslams ir priemonėms.

Duomenų tvarkytojas: Subjektas, tvarkantis asmens duomenis duomenų valdytojo vardu, laikantis valdytojo nurodymų. Prieglobos paslaugų teikėjas arba CMP tiekėjas, veikiantis tik pagal svetainės operatoriaus nurodymus, būtų duomenų tvarkytojas. Skirtumas svarbus, nes valdytojai prisiima pagrindinę atsakomybę už atitiktį, o tvarkytojai turi laikytis valdytojo nurodymų ir duomenų tvarkymo sutarties sąlygų.

Duomenų subjektas: Fizinis asmuo, kurio asmens duomenys yra tvarkomi. Slapukų kontekste duomenų subjektai yra svetainės lankytojai, kurių duomenys renkami per slapukus. Duomenų subjektai turi GDPR numatytas teises, įskaitant teisę susipažinti, ištaisyti, ištrinti, apriboti tvarkymą, perkelti duomenis ir teisę nesutikti.

DAI (duomenų apsaugos institucija): Nepriklausoma viešoji institucija, atsakinga už duomenų apsaugos teisės priežiūrą ir įgyvendinimą kiekvienoje ES valstybėje narėje. DAI turi teisę tirti skundus, atlikti auditus, teikti gaires ir skirti baudas. Kiekviena valstybė narė turi bent vieną DAI (Vokietija turi kelias – po vieną kiekvienoje žemėje plius federalinę BfDI). Pavyzdžiui: CNIL (Prancūzija), Garante (Italija), ICO (Jungtinė Karalystė), Datatilsynet (Danija / Norvegija).

DAP (duomenų apsaugos pareigūnas): Asmuo, kurį duomenų valdytojas ar tvarkytojas paskiria prižiūrėti GDPR atitiktį. GDPR reikalauja, kad tam tikros organizacijos paskirtų DAP, įskaitant viešąsias institucijas ir organizacijas, kurių pagrindinė veikla apima didelio masto duomenų subjektų stebėjimą. Nors tiesiogiai nesusijęs su slapukais, DAP paprastai prižiūri organizacijos slapukų atitikties programą.

EDAV (Europos duomenų apsaugos valdyba): Nepriklausoma ES institucija, užtikrinanti nuoseklų GDPR taikymą ir skatinanti nacionalinių DAI bendradarbiavimą. EDAV (pakeitusi 29 straipsnio darbo grupę) teikia gaires, rekomendacijas ir privalomus sprendimus. Jos gairės dėl sutikimo (Gairės 05/2020) ir dėl klaidinančio dizaino yra pagrindinės nuorodos slapukų atitikčiai.

E. privatumo direktyva (Direktyva 2002/58/EB): ES direktyva, reglamentuojanti privatumą elektroninių ryšių srityje, įskaitant slapukų naudojimą. 5 straipsnio 3 dalis yra pagrindinis teisinis pagrindas slapukų sutikimo reikalavimui. Kaip direktyva, ji turi būti perkelta į nacionalinę teisę kiekvienoje valstybėje narėje, dėl ko atsiranda įgyvendinimo skirtumų. Ją planuojama pakeisti e. privatumo reglamentu, dėl kurio vis dar deramasi.

F–G

Pirmosios šalies slapukas: Slapukas, nustatytas domeno, kuriame naudotojas lankosi. Pavyzdžiui, jei naudotojas apsilanko example.com ir example.com nustato slapuką, tai yra pirmosios šalies slapukas. Pirmosios šalies slapukai paprastai naudojami būtinoms funkcijoms (sesijoms, nustatymams) ir pirmosios šalies analitikai. Jie paprastai laikomi mažiau įkyriais nei trečiųjų šalių slapukai, nes negali sekti naudotojų skirtingose svetainėse.

GDPR (Bendrasis duomenų apsaugos reglamentas): Reglamentas (ES) 2016/679, išsamus ES duomenų apsaugos įstatymas, galiojantis nuo 2018 m. gegužės 25 d. GDPR pateikia teisinį pagrindą, apibrėžiantį, kas sudaro galiojantį sutikimą (taikomą slapukams per e. privatumo direktyvos nuorodą), duomenų subjektų teises, duomenų valdytojų ir tvarkytojų prievoles bei įgyvendinimo režimą, įskaitant baudas iki 4 % pasaulinės metinės apyvartos arba 20 milijonų eurų.

GPC (Global Privacy Control): Naršyklės lygmens signalas, perduodantis naudotojo pageidavimą atsisakyti savo asmeninės informacijos pardavimo ar dalijimosi ja. Skirtingai nei senesnis „Do Not Track“ (DNT) signalas, GPC turi teisinį pagrindą pagal CCPA/CPRA ir kelis kitus JAV valstijų privatumo įstatymus. Kai naudotojas įjungia GPC savo naršyklėje, šiems įstatymams pavaldžios svetainės turi jį traktuoti kaip galiojantį atsisakymo prašymą. GPC vis labiau pripažįstamas ir Europoje, nors kol kas nėra teisiškai privalomas pagal ES teisę.

Google Consent Mode: Google žymų infrastruktūros funkcija, koreguojanti Google žymų (Analytics, Ads ir kt.) veikimą remiantis svetainės CMP perduota sutikimo būsena. Consent Mode v2, būtinas EEE reklamos personalizavimui nuo 2024 m. kovo, įveda ad_user_data ir ad_personalization parametrus greta esamų ad_storage ir analytics_storage. Kai sutikimas atmetamas, Google žymos koreguoja savo veikimą, kad nenustatytų slapukų, nors, priklausomai nuo konfigūracijos, jos vis tiek gali siųsti ribotus, be slapukų veikiančius signalus.

I–L

IAB TCF (Interactive Advertising Bureau Transparency and Consent Framework): Pramonės sukurta sistema sutikimui skaitmeninės reklamos ekosistemoje valdyti. TCF suteikia standartizuotą būdą CMP, reklamuotojams ir leidėjams perduoti sutikimo signalus per reklamos technologijų tiekimo grandinę. Versija 2.2 yra dabartinis standartas. TCF susidūrė su teisiniais iššūkiais, ypač Belgijos DAI 2022 m. sprendimu, kad IAB Europe atliekamas TC eilutės tvarkymas laikomas asmens duomenų tvarkymu. Sistema tebėra plačiai naudojama, tačiau jos teisinis statusas toliau kinta.

Teisėtas interesas: Vienas iš šešių teisėtų asmens duomenų tvarkymo pagrindų pagal GDPR 6 straipsnio 1 dalies f punktą. Teisėtas interesas reikalauja pusiausvyros vertinimo tarp valdytojo interesų ir duomenų subjekto teisių bei laisvių. Slapukų atveju teisėto intereso, kaip teisėto pagrindo, naudojimas yra labai ginčytinas. Vyraujanti Europos reguliavimo pozicija yra ta, kad sutikimas (o ne teisėtas interesas) yra tinkamas pagrindas nebūtiniems slapukams, nes e. privatumo direktyva konkrečiai reikalauja sutikimo saugoti duomenis naudotojo įrenginyje.

O–P

Sutikimo modelis (opt-in): Sutikimo modelis, kai asmens duomenų tvarkymas (arba slapukų nustatymas) neįvyksta, nebent naudotojas atlieka patvirtinamąjį veiksmą jį leisti. ES slapukų modelis yra „opt-in“: jokių nebūtinų slapukų, kol naudotojas nesutinka. „Opt-in“ suteikia stipresnę privatumo apsaugą, tačiau reikalauja sutikimo mechanizmo prieš pradedant bet kokį sekimą.

Atsisakymo modelis (opt-out): Sutikimo modelis, kai asmens duomenų tvarkymas (arba slapukų nustatymas) vyksta pagal numatymą, o naudotojas turi imtis veiksmų jį sustabdyti. JAV slapukų modelis (pagal CCPA ir panašius valstijų įstatymus) paprastai yra „opt-out“: sekimas vyksta, nebent naudotojas prieštarauja. „Opt-out“ perkelia veiksmų naštą naudotojui, o ne svetainės operatoriui.

Nuolatinis slapukas: Slapukas, likantis naudotojo įrenginyje nustatytą laikotarpį po naršyklės uždarymo. Nuolatiniai slapukai naudojami nustatymams įsiminti, prisijungimo sesijoms palaikyti tarp apsilankymų ir elgsenai sekti laikui bėgant. Jie turi nustatytą galiojimo datą ir liks, kol ta data praeis arba naudotojas juos ištrins. Nuolatinių slapukų trukmė turėtų būti proporcinga jų tikslui.

Asmens duomenys: Pagal GDPR – bet kokia informacija, susijusi su nustatytu ar galimu nustatyti fiziniu asmeniu. Tai apima akivaizdžius identifikatorius (vardas, el. paštas) ir mažiau akivaizdžius (IP adresai, slapukų identifikatoriai, įrenginių pirštų atspaudai). GDPR 30 konstatuojamojoje dalyje aiškiai nurodyta, kad tinkliniai identifikatoriai, tokie kaip slapukų identifikatoriai, gali būti asmens duomenys. Praktikoje beveik visi slapukai, unikaliai identifikuojantys naršyklę ar naudotoją, laikomi asmens duomenimis.

Išankstinis sutikimas: Sutikimas, gautas prieš įvyksta jo leidžiamas veiksmas. Slapukų atveju išankstinis sutikimas reiškia naudotojo sutikimo gavimą prieš nustatant bet kokius nebūtinus slapukus jo įrenginyje. Tai pagrindinis e. privatumo direktyvos 5 straipsnio 3 dalies reikalavimas. Slapukų nustatymas iš pradžių ir sutikimo prašymas vėliau, arba slapukų ištrynimas atgaline data, jei sutikimas atmetamas, neatitinka išankstinio sutikimo reikalavimo.

S–T

Sesijos slapukas: Slapukas, egzistuojantis tik naudotojo naršyklės sesijos metu ir ištrinamas uždarius naršyklę. Sesijos slapukai dažniausiai naudojami prisijungimo būsenai palaikyti, pirkinių krepšelio turiniui ir kitiems laikiniems duomenims. Daugelis sesijos slapukų laikomi būtinaisiais ir todėl atleidžiami nuo sutikimo reikalavimo, nors tai priklauso nuo jų konkretaus tikslo.

Būtinasis slapukas: Slapukas, būtinas svetainės veikimui ir naudotojo aiškiai prašomai paslaugai teikti. Būtinieji slapukai atleidžiami nuo sutikimo reikalavimo pagal e. privatumo direktyvos 5 straipsnio 3 dalį. Pavyzdžiui, autentifikavimo slapukai, saugumo slapukai (CSRF žetonai), apkrovos balansavimo slapukai ir naudotojo sąsajos nustatymų slapukai, kurie yra būtini paslaugai. Analitikos slapukai, reklamos slapukai ir socialinių tinklų slapukai nėra būtinieji, nesvarbu, kokie naudingi juos laiko svetainės operatorius.

Trečiosios šalies slapukas: Slapukas, nustatytas kito domeno nei tas, kuriame naudotojas lankosi. Pavyzdžiui, jei naudotojas apsilanko example.com ir slapuką nustato facebook.com (per example.com įterptą „Facebook Pixel“), „Facebook“ slapukas yra trečiosios šalies slapukas. Trečiųjų šalių slapukai daugiausia naudojami sekimui tarp svetainių ir tikslinei reklamai. Pagrindinės naršyklės riboja arba pašalina trečiųjų šalių slapukus: „Safari“ ir „Firefox“ jau blokuoja juos pagal numatymą, o „Chrome“ paskelbė planus juos panaikinti (nors terminas keitėsi ne kartą).

Sekimo pikselis: Mažytis, nematomas paveikslėlis (paprastai 1x1 pikselio dydžio), įterptas į tinklalapį ar el. laišką, kuris įkeltas praneša serveriui. Nors techniškai tai nėra slapukas, sekimo pikseliai yra susijusi sekimo technologija, dažnai veikianti kartu su slapukais naudotojo elgsenai sekti. Jiems pagal e. privatumo direktyvą taikomi tie patys sutikimo reikalavimai kaip ir slapukams, nes jie susiję su prieiga prie informacijos naudotojo įrenginyje (HTTP užklausa perduoda naudotojo IP adresą, naršyklės informaciją ir bet kokius susijusius slapukus).

Oficialūs ištekliai

ES teisės aktai ir gairės

Nacionalinių DAI slapukų gairės

Google Consent Mode

IAB Transparency and Consent Framework

JAV privatumo įstatymai

ESTT teismų praktika

Papildoma literatūra

Slapukų atitikties įrankiai

Slapukų atitikties užtikrinimui reikia tinkamų įrankių. Passiro teikia automatizuotą slapukų nuskaitymą, kuris apeina visą jūsų svetainę naudodamas tikrą naršyklės variklį, identifikuoja visus slapukus ir sekimo technologijas, kategorizuoja juos naudodamas nuolat atnaujinamą duomenų bazę bei stebi pokyčius atlikdamas suplanuotus nuskaitymus su įspėjimais. Kartu su Passiro sutikimų valdymo platforma tai suteikia jums išsamų, visada aktualų jūsų svetainės slapukų atitikties vaizdą.

Sužinokite daugiau apie Passiro nuskaitymo galimybes arba atlikite nemokamą savo svetainės nuskaitymą, kad pamatytumėte, kokius slapukus jūsų svetainė nustato šiandien.

Ar jūsų svetainė atitinka slapukų taisykles?

Nemokamai nuskenuokite savo svetainę ir raskite visus slapukus per kelias minutes.

Nuskenuokite savo slapukus nemokamai