Skip to main content

Sīkdatņu piekrišanas paraugprakse

Likuma zināšana ir nepieciešama. Taču īstais darbs sākas tur, kur to prasmīgi ievieš. Šajā sadaļā aplūkota praktiskā sīkdatņu piekrišanas paraugprakse — kā izveidot tādu piekrišanas pieredzi, kas ir juridiski atbilstoša, tehniski pareiza un cieņpilna pret jūsu lietotājiem.

1. Padariet piekrišanu patiesi brīvprātīgu

GDPR 7. panta 4. punktā noteikts, ka, vērtējot, vai piekrišana ir sniegta brīvprātīgi, "īpaši ņem vērā, vai cita starpā līguma izpilde, tostarp pakalpojuma sniegšana, ir atkarīga no piekrišanas tādu personas datu apstrādei, kas nav nepieciešami līguma izpildei."

Praksē tas nozīmē:

  • Neizmantojiet sīkdatņu barjeras (cookie walls), kas bloķē saturu, ja vien lietotājs nepieņem visas sīkdatnes. EDPB ir norādījusi, ka sīkdatņu barjeras parasti liedz piekrišanu sniegt brīvprātīgi. Ja lietotājs nevar piekļūt jūsu vietnei, nepieņemot izsekošanu, viņa "piekrišana" ir piespiedu, nevis brīvprātīga.
  • Nepasliktiniet pieredzi lietotājiem, kuri atsakās. Pastāvīga pārklājuma rādīšana, lapas funkcionalitātes ierobežošana vai pasīvi agresīvu ziņojumu ("Pamanījām, ka neesat pieņēmis sīkdatnes — jūsu pieredze var pasliktināties") rādīšana grauj piekrišanas brīvprātīgo raksturu.
  • Piedāvājiet patiesas alternatīvas. Ja izmantojat modeli "piekrīti vai maksā", maksas alternatīvai jābūt patiesi saprātīgai — nevis cenā, kas paredzēta, lai sodītu par atteikumu.

2. Novērsiet tumšos modeļus (dark patterns)

Tumšie modeļi sīkdatņu piekrišanā ir īpaši regulatoru uzmanības lokā. EDPB ir izdevusi vadlīnijas par maldinošiem dizaina modeļiem, un CNIL, Garante un citas datu aizsardzības iestādes ir uzlikušas naudas sodus organizācijām tieši par manipulatīvām piekrišanas saskarnēm.

Izvairieties no šiem modeļiem:

  • Asimetriskas pogas. "Pieņemt visu" kā liela, krāsaina poga, bet "Pārvaldīt iestatījumus" kā maza teksta saite. Abām iespējām jābūt vienlīdz uzskatāmām. Vairākas datu aizsardzības iestādes ir īpaši pieprasījušas, lai "Noraidīt visu" būtu pieejama pirmajā slānī ar tādu pašu vizuālo nozīmi kā "Pieņemt visu".
  • Mulsinoša valoda. "Turpināt bez piekrišanas" pret "Pieņemt un turpināt" — kad abas pogas izskatās līdzīgi, lietotāji nevar tās ātri atšķirt. Izmantojiet skaidrus, nepārprotamus apzīmējumus: "Pieņemt visu", "Noraidīt visu", "Pielāgot".
  • Slēptas atteikšanās iespējas. Lietotājiem tiek prasīts noklikšķināt cauri otrajam vai trešajam slānim, lai atteiktos no sīkdatnēm, kamēr "Pieņemt visu" ir viena klikšķa attālumā. CNIL uzlika Google naudas sodu 150 miljonu EUR apmērā daļēji tieši par šo praksi.
  • Iepriekš atzīmēti slēdži. Kategoriju slēdži, kas pēc noklusējuma ir "ieslēgti" analītikai un mārketingam. CJEU spriedums Planet49 lietā to skaidri aizliedz.
  • Maldinošas krāsas. Zaļš "Pieņemt" un sarkans vai pelēks "Noraidīt" liek domāt, ka pieņemšana ir pareizā izvēle, bet atteikšanās — kļūda. Izmantojiet neitrālu, konsekventu noformējumu.
  • Kaunināšana (confirm-shaming). Tāda valoda kā "Nē, paldies, man ir vienalga par savu pieredzi" atteikuma iespējai ir manipulatīva un grauj piekrišanas brīvprātīgo raksturu.
  • Atkārtota vaicāšana. Piekrišanas joslas atkārtota rādīšana katrā lapas apmeklējumā pēc tam, kad lietotājs ir atteicies, cerot viņu nogurdināt. Kad lietotājs ir izdarījis izvēli, ievērojiet to.

3. Esiet caurskatāmi

Informēta piekrišana prasa, lai lietotāji saprastu, kam viņi piekrīt. Caurskatāmība nav par informācijas daudzumu — tā ir par skaidrību.

  • Izmantojiet vienkāršu valodu. "Mēs izmantojam sīkdatnes, lai reklāmas nolūkos izsekotu jūsu pārlūkošanas paradumus visā tīmeklī" ir skaidri. "Mēs izmantojam progresīvas datu analīzes tehnoloģijas, lai uzlabotu jūsu personalizēto digitālo pieredzi" — nav.
  • Uzskaitiet visas sīkdatnes. Jūsu sīkdatņu politikā jāiekļauj pilns saraksts: sīkdatnes nosaukums, nodrošinātājs, mērķis, veids (sesijas/pastāvīgā, pirmās/trešās puses) un derīguma termiņš. Šim sarakstam jābūt aktuālam.
  • Nosauciet trešās puses. Ja koplietojat datus ar reklāmas tīkliem, nosauciet tos. "Mēs koplietojam datus ar saviem reklāmas partneriem" nav pietiekami. "Mēs koplietojam datus ar Google Ads, Meta (Facebook) un LinkedIn" ir caurskatāmi.
  • Izskaidrojiet sekas. Kas notiek, ja lietotājs pieņem analītikas sīkdatnes? Kas notiek, ja atsakās? Lietotājiem jāsaprot savas izvēles praktiskā ietekme.

4. Piedāvājiet detalizētu kontroli

GDPR prasa, lai piekrišana būtu "konkrēta" — sniegta atsevišķi katram nolūkam. Jūsu piekrišanas mehānismam jāpiedāvā:

  • Slēdži katrai kategorijai. Lietotājiem jāvar pieņemt analītikas sīkdatnes, vienlaikus noraidot mārketinga sīkdatnes. Četras standarta kategorijas (nepieciešamās, analītikas, mārketinga, preferenču) ir minimums.
  • Īsceļi "Pieņemt visu" un "Noraidīt visu". Lai gan detalizēta kontrole ir obligāta, kopēju iespēju piedāvāšana kā īsceļu ir gan likumīga, gan lietotājam draudzīga — kamēr detalizētā iespēja ir vienlīdz pieejama.
  • Kontrole katram pakalpojuma sniedzējam (ieteicams, bet ne vienmēr obligāts). Lai nodrošinātu maksimālu caurskatāmību, apsveriet iespēju ļaut lietotājiem redzēt un kontrolēt sīkdatnes pēc pakalpojuma sniedzēja — piemēram, pieņemt Google Analytics, bet noraidīt Hotjar, vai pieņemt LinkedIn izsekošanu, bet noraidīt Facebook. Dažas piekrišanas pārvaldības platformas to sauc par "IAB TCF Level 2" detalizācijas pakāpi.

5. Padariet piekrišanas atsaukšanu tikpat vienkāršu kā tās sniegšanu

GDPR 7. panta 3. punkts ir skaidrs: "Datu subjektam ir tiesības jebkurā laikā atsaukt savu piekrišanu. [...] Atsaukt piekrišanu ir tikpat viegli kā to dot."

Šī prasība tiek bieži pārkāpta. Izplatītas kļūmes ietver:

  • Nav redzama veida, kā mainīt sīkdatņu preferences pēc joslas aizvēršanas.
  • Saite "Sīkdatņu iestatījumi" ir noslēpta privātuma politikā, kas savukārt ir noslēpta kājenē.
  • Lietotājam tiek prasīts notīrīt pārlūka sīkdatnes, lai atiestatītu preferences (tas nav atsaukšanas mehānisms — tas ir apvedceļš).

Paraugprakses ieviešana ietver:

  • Pastāvīgu saiti "Sīkdatņu iestatījumi" vietnes kājenē.
  • Nelielu peldošu ikonu (bieži sīkdatnes vai vairoga ikonu), kas atkārtoti atver piekrišanas pārvaldnieku.
  • Sadaļu lietotāja konta iestatījumos (autorizētiem lietotājiem), kur var pārvaldīt sīkdatņu preferences.

Kad lietotājs atsauc piekrišanu, jums nekavējoties jāpārtrauc izmantot attiecīgās sīkdatnes. Dzēsiet sīkdatnes no pārlūka un apturiet saistītos skriptus. Atsaukšanai jābūt efektīvai, ne tikai reģistrētai.

6. Glabājiet piekrišanas ierakstus

GDPR 7. panta 1. punkts: "Ja apstrāde pamatojas uz piekrišanu, pārzinis spēj uzskatāmi parādīt, ka datu subjekts ir piekritis savu personas datu apstrādei."

Jūsu piekrišanas ierakstos jāiekļauj:

  • Laika zīmogs par to, kad piekrišana tika sniegta vai atteikta.
  • Kategorijas, kas tika pieņemtas un noraidītas.
  • Versija parādītajam piekrišanas mehānismam (kā izskatījās josla, kāds teksts tika rādīts). Ja maināt savu piekrišanas joslu, jums jāzina, ar kuru versiju katrs lietotājs mijiedarbojās.
  • Piekrišanas metode (kura poga tika noklikšķināta, kādas iespējas tika izvēlētas).
  • Anonimizēts identifikators, kas saista ierakstu ar ierīci vai sesiju (nevis lietotāja vārdu vai e-pastu — pašam piekrišanas ierakstam nevajadzētu kļūt par privātuma problēmu).

Glabājiet šos ierakstus servera pusē. Klienta puses sīkdatne vien nav pietiekams pierādījums — lietotājs to var izdzēst, un jums nav neatkarīga ieraksta. Paraugprakse ir reģistrēt piekrišanas notikumus savā serverī un saglabāt tos tik ilgi, cik iesaka jūsu datu aizsardzības iestāde (parasti tikpat ilgi, cik sīkdatnes derīguma termiņš, plus saprātīga rezerve).

7. Vaicājiet piekrišanu no jauna pēc izmaiņām

Piekrišana ir konkrēta attiecībā uz nolūkiem un sīkdatnēm, kurām tā tika sniegta. Ja pievienojat jaunas sīkdatnes, jaunas kategorijas, jaunus trešo pušu pakalpojumu sniedzējus vai būtiski maināt to, kā izmantojat esošās sīkdatnes, iepriekš savāktā piekrišana vairs var neaptvert jauno apstrādi.

Vaicājiet piekrišanu no jauna, kad:

  • Pievienojat jaunu sīkdatņu kategoriju, kas iepriekš netika aptverta.
  • Ieviešat jaunu trešās puses izsekošanas pakalpojumu.
  • Maināt esošo sīkdatņu mērķi (piemēram, izmantojot analītikas datus reklāmas nolūkos).
  • Kopš pēdējās piekrišanas ir pagājis ievērojams laiks (CNIL iesaka ne vairāk kā 13 mēnešus).
  • Regulatīvās prasības mainās tā, ka tas ietekmē esošās piekrišanas derīgumu.

Ieviesiet piekrišanas versiju sistēmu. Piešķiriet versijas numuru savai piekrišanas konfigurācijai. Kad versija mainās (jo pievienojāt vai modificējāt sīkdatnes), vaicājiet piekrišanu no jauna lietotājiem, kuri piekrita saskaņā ar iepriekšējo versiju.

8. Ētiski testējiet piekrišanas rādītājus ar A/B testiem

Ir leģitīmi optimizēt piekrišanas pieredzi — testējot dažādus izkārtojumus, formulējumus un dizainu, lai atrastu, kas darbojas vislabāk. Taču "darbojas vislabāk" jānozīmē "rada patiesi informētu piekrišanu saprātīgā apmērā", nevis "ar manipulācijām maksimizē pieņemšanas klikšķus".

Ētiska A/B testēšanas vadlīnijas:

  • Visiem variantiem jābūt atbilstošiem. Katrai testētajai versijai jāatbilst likumā noteiktajām derīgas piekrišanas prasībām. Jūs nevarat testēt atbilstošu versiju pret neatbilstošu versiju, lai redzētu, kura saņem vairāk piekrišanu.
  • Testējiet skaidrību, nevis manipulāciju. Vai skaidrojuma pārformulēšana palielina izpratni un līdz ar to piekrišanu? Vai joslas pārvietošana uzlabo iesaisti? Šie ir leģitīmi testi.
  • Neoptimizējiet uz "Pieņemt visu" rādītāju. Augsts pieņemšanas rādītājs, kas panākts ar mulsinošu dizainu, nav panākums — tas ir atbilstības risks. Optimizējiet uz to lietotāju rādītāju, kuri izdara aktīvu, informētu jebkāda veida izvēli.
  • Uzraugiet atteikumu rādītājus. Ja dizaina izmaiņas krasi samazina atteikumus, jautājiet, vai tas panākts ar skaidrību vai ar traucēkļiem.

9. Tehniskās ieviešanas paraugprakse

Piekrišanas mehānisms nav tikai lietotāja saskarnes komponents — lai tas patiešām darbotos, ir nepieciešama pareiza tehniskā ieviešana.

Bloķējiet skriptus līdz piekrišanas saņemšanai

Vissvarīgākā tehniskā prasība: nebūtiskie skripti nedrīkst tikt izpildīti, kamēr lietotājs nav piekritis attiecīgajai kategorijai. Ir vairākas pieejas:

  • Skripta veida maiņa. Nomainiet type="text/javascript" uz type="text/plain" un pievienojiet datu atribūtu, kas norāda kategoriju. Kad piekrišana tiek sniegta, piekrišanas pārvaldnieka skripts atmaina veidu un aktivizē izpildi.
  • Tagu pārvaldnieka integrācija. Izmantojiet tagu pārvaldnieku (Google Tag Manager, Tealium u.c.), kas atbalsta piekrišanas režīmus. Tagi tiek konfigurēti aktivizēties tikai tad, ja ir piekrišana to kategorijai.
  • Servera puses renderēšana. Iekļaujiet skripta tagus lapas HTML tikai tad, ja piekrišana jau ir reģistrēta (izmantojot piekrišanas sīkdatnes pārbaudi servera pusē). Šī ir visdrošākā pieeja, taču tā prasa servera puses loģiku.

Pareizi apstrādājiet piekrišanas stāvokli

  • Pirmais apmeklējums (piekrišana nav reģistrēta): Ielādējiet tikai stingri nepieciešamos skriptus. Rādiet piekrišanas mehānismu.
  • Atkārtots apmeklējums (piekrišana reģistrēta): Nolasiet piekrišanas sīkdatni. Ielādējiet skriptus atbilstoši pieņemtajām kategorijām. Nerādiet piekrišanas mehānismu atkārtoti, ja vien nav pienācis laiks atjaunošanai.
  • Piekrišana atsaukta: Apturiet visus skriptus atsauktajā kategorijā. Dzēsiet attiecīgās sīkdatnes. Atjauniniet piekrišanas ierakstu.
  • Piekrišana atjaunota: Attieksmi pret jebkurām jaunām kategorijām kā pret pirmo apmeklējumu. Iepriekš pieņemtās kategorijas ielādējiet nekavējoties.

Rūpīgi testējiet

  • Pārliecinieties, ka pirms piekrišanas saņemšanas netiek iestatītas nekādas nebūtiskas sīkdatnes. Pārbaudei izmantojiet pārlūka izstrādātāju rīkus (cilne Application > Cookies).
  • Pārliecinieties, ka skripti patiešām apstājas, kad piekrišana tiek atsaukta — ne tikai to, ka sīkdatne ir dzēsta, bet to, ka skripti vairs nedarbojas.
  • Testējiet ar atspējotu JavaScript. Piekrišanas mehānismam jādarbojas kontrolēti, un izsekošanas skriptiem nevajadzētu ielādēties.
  • Testējiet mobilajās ierīcēs. Piekrišanas mehānismam jābūt pilnībā funkcionālam un lietojamam mazos ekrānos.

10. Izmantojiet piekrišanas pārvaldības platformu (CMP)

Pilnīgi atbilstoša piekrišanas mehānisma izveide no nulles ir iespējama, taču ietver ievērojamu pastāvīgu uzturēšanu. Piekrišanas pārvaldības platforma jūsu vietā apstrādā sarežģītību: piekrišanas savākšanu, ierakstu uzturēšanu, skriptu bloķēšanu, ģeogrāfisko mērķorientāciju un regulatīvos atjauninājumus.

Izvērtējot CMP, apsveriet:

  • Automātisku sīkdatņu skenēšanu. Vai CMP atklāj visas sīkdatnes jūsu vietnē, vai arī jums tās jāuzskaita manuāli?
  • Skriptu bloķēšanu. Vai CMP patiešām bloķē skriptus pirms piekrišanas, vai tikai parāda joslu?
  • Piekrišanas ierakstus. Vai CMP glabā piekrišanas pierādījumus servera pusē?
  • IAB TCF atbalstu. Ja izmantojat programmatisko reklāmu, var būt nepieciešams TCF 2.2 atbalsts.
  • Ietekmi uz veiktspēju. CMP skripts ielādējas katrā lapā. Cik liels tas ir? Vai tas bloķē renderēšanu?
  • Pielāgošanu. Vai varat pielāgot piekrišanas joslu sava zīmola dizainam?
  • Piekļūstamību. Vai pats piekrišanas mehānisms ir piekļūstams? Vai to var pārvietoties ar tastatūru? Vai tas darbojas ar ekrāna lasītājiem? Nepiekļūstama piekrišanas josla vietnē, kas apgalvo, ka rūpējas par piekļūstamību, izskatās slikti.

Passiro skenē jūsu vietni, lai identificētu visas sīkdatnes un izsekošanas tehnoloģijas, automātiski tās kategorizē un sniedz praktiski izmantojamus ieteikumus jūsu piekrišanas ieviešanai — neatkarīgi no tā, vai to veidojat pats vai izmantojat CMP.

Kopsavilkums: piekrišanas kontrolsaraksts

Ātra atsauce jūsu pašreizējās piekrišanas ieviešanas izvērtēšanai:

  1. Pirms piekrišanas saņemšanas netiek iestatītas nekādas nebūtiskas sīkdatnes.
  2. Piekrišanas mehānisms piedāvā "Pieņemt visu" un "Noraidīt visu" ar vienlīdzīgu uzskatāmību.
  3. Lietotāji var izdarīt izvēles pa kategorijām (vismaz: nepieciešamās, analītikas, mārketinga, preferences).
  4. Sniegtā informācija ir skaidra, konkrēta un vienkāršā valodā.
  5. Iepriekš atzīmētas izvēles rūtiņas un slēdži netiek izmantoti nebūtiskām kategorijām.
  6. Pastāv pastāvīgs, viegli pieejams veids, kā atsaukt vai mainīt piekrišanu.
  7. Piekrišanas ieraksti tiek glabāti servera pusē ar laika zīmogiem un kategoriju detaļām.
  8. Piekrišana tiek atjaunota vismaz ik pēc 13 mēnešiem (vai agrāk, ja mainās sīkdatņu lietojums).
  9. Piekrišanas mehānisms ir piekļūstams (pārvietojams ar tastatūru, saderīgs ar ekrāna lasītājiem).
  10. Ieviešana tiek regulāri testēta atbilstībai (jaunas sīkdatnes, izmainīti skripti).

Prasmīgi ieviesta sīkdatņu piekrišana nav šķērslis jūsu uzņēmējdarbībai. Tā ir uzticēšanās pamats starp jums un jūsu lietotājiem — un arvien vairāk tā ir tas, kas atšķir atbilstošus uzņēmumus no tiem, kuriem draud regulatoru rīcība.

Vai jūsu tīmekļa vietne atbilst sīkdatņu noteikumiem?

Skenējiet savu tīmekļa vietni bezmaksas un atrodiet visas sīkdatnes dažu minūšu laikā.

Skenēt savas sīkdatnes bezmaksas