Skip to main content

Sīkdatņu paziņojumi: pilnīga rokasgrāmata

Sīkdatņu paziņojums ir saskarne starp jūsu tīmekļa vietni un apmeklētāju tiesībām uz privātumu. Tas ir mehānisms, ar kura palīdzību jūs iegūstat — vai neiegūstat — juridiski derīgu piekrišanu neobligātajām sīkdatnēm. Tā pareiza ieviešana nav izvēles jautājums: tā ir juridiska prasība visā Eiropas Savienībā un arvien lielākā skaitā jurisdikciju visā pasaulē.

Šajā rokasgrāmatā aplūkots, kas ir sīkdatņu paziņojumi, kāpēc tie pastāv, ko prasa likums un kā ieviest tādu, kas ir gan atbilstīgs, gan lietotājam draudzīgs.

Kas ir sīkdatņu paziņojums?

Sīkdatņu paziņojums ir lietotāja saskarnes elements — parasti tas parādās, kad apmeklētājs pirmoreiz nonāk jūsu tīmekļa vietnē — kas informē lietotāju par vietnes sīkdatņu un līdzīgu izsekošanas tehnoloģiju izmantošanu un nodrošina mehānismu, ar kuru lietotājs var piešķirt vai atteikt piekrišanu.

Termins "sīkdatņu paziņojums" ir zināmā mērā neformāls. Juridiskā izpratnē tā ir piekrišanas pārvaldības saskarne. Tā pastāv divu savstarpēji saistītu ES tiesību aktu dēļ:

  • E-privātuma direktīva (2002/58/EK), 5. panta 3. punkts — pieprasa iepriekšēju piekrišanu, pirms informācija tiek uzglabāta vai piekļūta lietotāja ierīcē (ar šaurām izņēmuma iespējām attiecībā uz obligāti nepieciešamajām sīkdatnēm).
  • Vispārīgā datu aizsardzības regula (GDPR), 4. panta 11. punkts un 7. pants — nosaka, kas ir derīga piekrišana: tai jābūt brīvi sniegtai, konkrētai, informētai un nepārprotamai, kā arī sniegtai ar skaidru apstiprinošu darbību.

Kopā šie tiesību akti nozīmē, ka, pirms iestatāt analītikas sīkdatni, mārketinga pikseli vai jebkuru citu neobligātu izsekošanas rīku, jums ir jājautā lietotājam un jāsaņem skaidrs "jā".

Juridiskās prasības sīkdatņu paziņojumiem

Atbilstīgs sīkdatņu paziņojums nav tikai paziņojums — tas ir piekrišanas mehānisms. Eiropas Datu aizsardzības kolēģija (EDPB) un valstu datu aizsardzības iestādes ir izdevušas plašas vadlīnijas par to, kas paziņojumos jāiekļauj. Šeit ir neapstrīdamās prasības:

Kas ir jāparāda

  1. Skaidrs mērķa apraksts. Lietotājiem jāsaprot, kāpēc sīkdatnes tiek izmantotas, ne tikai tas, ka tās pastāv. "Mēs izmantojam sīkdatnes, lai uzlabotu jūsu pieredzi" ir nepietiekami. Jums ir jāpaskaidro konkrētie mērķi: analītika, reklāma, personalizācija, sociālo mediju integrācija.
  2. Piekrišanas poga. Skaidra, apstiprinoša darbība, lai piekristu neobligātajām sīkdatnēm.
  3. Atteikuma poga (vai līdzvērtīga). Lietotājiem jāspēj atteikt neobligātās sīkdatnes tikpat viegli. CNIL (Francija), Dānijas datu aizsardzības iestāde (Datatilsynet) un EDPB to visi ir apstiprinājuši: sīkdatņu atteikšanai jābūt tikpat vienkāršai kā to pieņemšanai.
  4. Saite uz sīkdatņu iestatījumiem vai preferencēm. Lietotājiem jāspēj izdarīt detalizētu izvēli — pieņemot dažas sīkdatņu kategorijas, bet noraidot citas.
  5. Saite uz jūsu sīkdatņu politiku. Paziņojumam jānodrošina piekļuve detalizētai informācijai par to, kuras sīkdatnes izmantojat, to mērķiem, darbības ilgumu un to, vai tās ir pirmās vai trešās puses sīkdatnes.
  6. Datu pārziņa identitāte. Lietotājiem jāzina, kurš vāc viņu datus.

Kas nedrīkst notikt

  • Neobligātās sīkdatnes nedrīkst tikt iestatītas, pirms lietotājs izdara izvēli.
  • Piekrišanu nedrīkst secināt no ritināšanas, pārlūkošanas turpināšanas vai bezdarbības.
  • Iepriekš atzīmētas izvēles rūtiņas neveido derīgu piekrišanu (to apstiprinājusi EST spriedumā lietā Planet49, lieta C-673/17).
  • Sīkdatņu sienas — piekļuves vietnei bloķēšana, ja lietotājs nepiekrīt — parasti ir aizliegtas, lai gan dažās jurisdikcijās pastāv ierobežoti izņēmumi.

Sīkdatņu paziņojumu veidi

Ne visi sīkdatņu paziņojumi ir vienādi. Jums nepieciešamais veids ir atkarīgs no jūsu jurisdikcijas, izmantotajām sīkdatnēm un atbilstības līmeņa, ko vēlaties sasniegt.

Tikai informatīvie paziņojumi

Tie vienkārši informē lietotāju, ka sīkdatnes tiek izmantotas, bieži ar vienu "Labi" vai "Sapratu" pogu. Tikai informatīvie paziņojumi neatbilst ES tiesību aktiem. Tie bija izplatīti sīkdatņu regulēšanas agrīnajos posmos, taču tie neatbilst GDPR piekrišanas standartam. Ja jūsu tīmekļa vietne ir vērsta uz ES lietotājiem, tikai informatīvs paziņojums ir risks.

Piekrišanas (opt-in) paziņojumi

Zelta standarts ES atbilstībai. Neviena neobligāta sīkdatne netiek iestatīta, kamēr lietotājs nav apstiprinoši piekritis. Paziņojums piedāvā skaidras piekrišanas un atteikuma iespējas, kā arī ideālā gadījumā saiti uz detalizētiem iestatījumiem. Šis ir modelis, ko pieprasa e-privātuma direktīva, kā tā interpretēta caur GDPR.

Daudzslāņu paziņojumi

Daudzslāņu pieeja pirmajā slānī (pašā paziņojumā) piedāvā būtisku informāciju, bet detalizētu informāciju otrajā slānī (preferenču panelī vai iestatījumu lapā). Šī ir pieeja, ko iesaka EDPB un lielākā daļa datu aizsardzības iestāžu. Tā līdzsvaro pārredzamību ar lietojamību: lietotāji jau sākumā saņem galveno informāciju, ar iespēju izpētīt dziļāk.

Labi ieviests daudzslāņu paziņojums parasti parāda:

  • Pirmais slānis: īss mērķa apraksts, piekrišanas poga, atteikuma poga, saite "Pārvaldīt preferences".
  • Otrais slānis: sadalījums pa kategorijām ar pārslēdzējiem, detalizēti apraksti un konkrēto katras kategorijas sīkdatņu saraksts.

Paziņojuma izvietojums

Vieta, kur izvietojat sīkdatņu paziņojumu, ietekmē gan atbilstību, gan lietotāja pieredzi. Izplatīti izvietojumi ietver:

Izvietojums Priekšrocības Trūkumi
Apakšējā josla Neuzbāzīgs, ļauj skatīt saturu, plaši atpazīstams Var palikt nepamanīts, var aizsegt kājenes saturu
Centrālais modālais logs (pārklājums) Neiespējami ignorēt, liek pieņemt lēmumu, augsta iesaiste Pārtrauc pieredzi, var šķist agresīvs
Augšējā josla Redzams, ierasts izvietojums Var pastumt saturu uz leju, var traucēt navigāciju
Stūra logrīks Minimāla vizuāla ietekme, neuzbāzīgs Viegli palaist garām, zema iesaiste, var radīt atbilstības bažas

EDPB nav noteikusi konkrētu izvietojumu, taču paziņojumam jābūt skaidri redzamam un tādam, ko nav viegli palaist garām. Centrālais modālais logs vai izteikta apakšējā josla ir drošākā izvēle no atbilstības viedokļa. Neliels stūra logrīks, ko lietotāji regulāri ignorē, var neatbilst "skaidras un izteiktas" informācijas standartam.

Kas jāiekļauj atbilstīgā paziņojumā

Rezumējot, paziņojumam, kas atbilst pašreizējiem ES standartiem, jāiekļauj šie elementi:

  1. Mērķa apraksts: kodolīgs skaidrojums, kāpēc sīkdatnes tiek izmantotas, sakārtots pa kategorijām (nepieciešamās, analītiskās, mārketinga, preferenču).
  2. Poga "Pieņemt visas": skaidri iezīmēta, piešķirot piekrišanu visām neobligātajām sīkdatņu kategorijām.
  3. Poga "Noraidīt visas": tikpat izteikta kā piekrišanas poga — tāda paša izmēra, tāda paša vizuālā svara, tāda paša pieejamības līmeņa.
  4. Saite "Pārvaldīt preferences" / "Iestatījumi": atver otro slāni, kurā lietotāji var izdarīt izvēli pa kategorijām.
  5. Saite uz sīkdatņu politiku: saite uz detalizētu sīkdatņu politikas dokumentu.
  6. Saite uz privātuma politiku: saite uz vietnes pilnu privātuma politiku (var būt apvienota ar saiti uz sīkdatņu politiku).

Biežākās kļūdas sīkdatņu paziņojumu ieviešanā

Pat labi domātā ieviešanā bieži ir kļūdas, kas apdraud atbilstību:

  • Sīkdatņu iestatīšana pirms piekrišanas. Visbiežākā un vissmagākā kļūda. Ja jūsu analītikas vai reklāmas tagi tiek palaisti lapas ielādes laikā, pirms lietotājs mijiedarbojas ar paziņojumu, jūs pārkāpjat noteikumus. Piekrišana jāiegūst, pirms sīkdatnes tiek iestatītas.
  • Nav atteikuma pogas. Piedāvāt tikai "Pieņemt" un "Iestatījumi" nav pietiekami. Lietotājiem jāspēj noraidīt visas neobligātās sīkdatnes no pirmā slāņa ar vienu darbību.
  • Vizuālā manipulācija. Piekrišanas pogas veidošana lielu un zaļu, bet atteikuma iespēju — mazu teksta saiti, ir "tumšais raksts" (dark pattern). Datu aizsardzības iestādes par šādu praksi ir uzlikušas ievērojamus naudas sodus.
  • Neskaidri mērķa apraksti. "Mēs izmantojam sīkdatnes, lai uzlabotu jūsu pieredzi" lietotājam neko nepasaka. Esiet konkrēti: analītika, mērķtiecīga reklāma, sociālo mediju iegultie objekti, A/B testēšana.
  • Piekrišanas ignorēšana turpmākajās lapās. Piekrišanai (vai atteikumam) jāsaglabājas visas sesijas garumā un starp apmeklējumiem. Ja lietotājs noraida sīkdatnes sākumlapā, šī izvēle jāievēro katrā turpmākajā lapā.
  • Preferenču maiņas iespējas nenodrošināšana. Lietotājiem jāspēj atsaukt piekrišanu jebkurā laikā, tikpat viegli, kā viņi to sniedza (GDPR 7. panta 3. punkts). Vienmēr jābūt pieejamai pastāvīgai iestatījumu saitei — bieži tā ir maza ikona lapas stūrī.
  • Neatjaunināšana, kad sīkdatnes mainās. Ja pievienojat jaunu mārketinga rīku, jāatjaunina jūsu paziņojuma kategorijas un sīkdatņu politika. Novecojusi piekrišana nav derīga piekrišana.

Paziņojuma un lapas veiktspēja

Sīkdatņu paziņojumi atrodas kritiskā pozīcijā: tie ielādējas katrā pirmajā apmeklējumā, katrā lapā. Slikti ieviests paziņojums var būtiski pasliktināt jūsu vietnes veiktspēju, ietekmējot Core Web Vitals un līdz ar to arī jūsu meklēšanas pozīcijas.

Galvenie veiktspējas apsvērumi:

  • Skripta apjoms. Piekrišanas pārvaldības platformas (CMP) skriptam jābūt pēc iespējas vieglākam. Smagi skripti, kas ielādē papildu atkarības, var pievienot simtiem milisekunžu lapas ielādes laikam. Mērķis ir zem 30 KB (gzip komprimēts) paziņojuma skriptam.
  • Renderēšanas bloķēšana. Paziņojuma skriptam jāielādējas asinhroni. Tam nekad nevajadzētu bloķēt jūsu lapas satura renderēšanu. Lietotājiem jāredz jūsu vietnes ielāde, kamēr parādās paziņojums.
  • Izkārtojuma pārbīde. Paziņojums, kas pastumj saturu uz leju vai liek elementiem lēkāt, kaitēs jūsu Cumulative Layout Shift (CLS) rādītājam. Izmantojiet fiksētu vai pārklājuma pozicionēšanu, lai izvairītos no izkārtojuma pārbīdēm.
  • Tagu pārvaldība. Paziņojumam jāintegrējas ar jūsu tagu pārvaldnieku, lai skriptus ielādētu nosacīti atkarībā no piekrišanas. Tagi, kas tiek palaisti pirms piekrišanas pārbaudes, ir gan juridiska, gan veiktspējas problēma — tie ielādē nevajadzīgus resursus.

Labākā pieeja ir paziņojuma risinājums, kas jau no pamatiem ir veidots veiktspējai: minimāls JavaScript, bez ārējām atkarībām, asinhrona ielāde un cieša integrācija ar jūsu tagu pārvaldību.

Passiro pieeja sīkdatņu piekrišanai

Passiro piekrišanas paziņojums ir izstrādāts, lai atbilstu katrai šajā lapā aprakstītajai prasībai — un to izdarītu, neapdraudot jūsu vietnes veiktspēju. Mūsu paziņojuma skripts ir zem 15 KB (gzip komprimēts), ielādējas asinhroni, atbalsta Google Consent Mode v2 un jau uzreiz nodrošina pilnībā pieejamu, WCAG AA prasībām atbilstošu piekrišanas saskarni. Passiro ir reģistrēts IAB Europe ar CMP ID 499, kas nodrošina derīgu TC String ģenerēšanu un pilnu dalību IAB TCF v2.3 sistēmā.

Mēs risinām juridisko sarežģītību, lai jūs varētu koncentrēties uz savu biznesu. Passiro automātiski skenē jūsu vietni, meklējot sīkdatnes, tās kategorizē, ģenerē atbilstīgu paziņojuma konfigurāciju un uztur visu sinhronizētu, jūsu vietnei attīstoties.

Uzziniet, kā Passiro var palīdzēt jums sasniegt sīkdatņu atbilstību.

Vai jūsu tīmekļa vietne atbilst sīkdatņu noteikumiem?

Skenējiet savu tīmekļa vietni bezmaksas un atrodiet visas sīkdatnes dažu minūšu laikā.

Skenēt savas sīkdatnes bezmaksas