Skip to main content

Piekrišana (opt-in) pret atteikšanos (opt-out): izprotot abus piekrišanas modeļus

Pasaulē pastāv divas fundamentāli atšķirīgas pieejas piekrišanai sīkfailu izmantošanai. Eiropas Savienība pieprasa piekrišanu (opt-in): nekādu sīkfailu, kamēr lietotājs nav teicis “jā”. Amerikas Savienotās Valstis (lielākajā daļā štatu) pieļauj atteikšanos (opt-out): sīkfaili tiek izvietoti pēc noklusējuma, un lietotājs var teikt “nē”. Izprast šos abus modeļus — to juridisko pamatu, sekas un to, kur katrs no tiem ir piemērojams — ir būtiski jebkurai vietnei ar globālu auditoriju.

Piekrišanas (opt-in) modelis

Saskaņā ar piekrišanas modeli neobligātus sīkfailus nedrīkst izvietot, kamēr lietotājs nav sniedzis nepārprotamu, apstiprinošu piekrišanu. Ja lietotājs nerīkojas, sīkfaili netiek izvietoti. Šo modeli pieprasa ES E-privātuma direktīva (5. panta 3. punkts), kā tas tiek interpretēts caur GDPR piekrišanas definīciju (4. panta 11. punkts).

Kā piekrišanas modelis darbojas praksē

  1. Lietotājs pirmo reizi apmeklē vietni.
  2. Aktīvi ir tikai stingri nepieciešamie sīkfaili. Analītikas, mārketinga un preferenču sīkfaili ir bloķēti.
  3. Parādās piekrišanas mehānisms, kas attēlo sīkfailu kategorijas un lūdz lietotāju izdarīt izvēli.
  4. Lietotājs aktīvi izvēlas, kuras kategorijas pieņemt (vai noklikšķina “Pieņemt visu” vai “Noraidīt visu”).
  5. Tiek ielādēti tikai tie skripti, kas atbilst pieņemtajām kategorijām.
  6. Ja lietotājs nerīkojas, neviens neobligātais sīkfails netiek iestatīts. Piekrišanas mehānisms paliek redzams (vai pieejams), līdz lietotājs izdara izvēli.

Juridiskais pamats

Prasība pēc piekrišanas izriet no diviem avotiem:

  • E-privātuma direktīvas 5. panta 3. punkts: pieprasa “piekrišanu”, pirms informācija tiek saglabāta lietotāja ierīcē.
  • GDPR 4. panta 11. punkts: definē piekrišanu kā tādu, kurai nepieciešama “skaidra apstiprinoša darbība” — kas izslēdz bezdarbību, iepriekš atzīmētas rūtiņas un netieši izteiktu piekrišanu.
  • EST Planet49 spriedums (C-673/17): apstiprināja, ka nepieciešama aktīva piekrišana un ka iepriekš atzīmētas rūtiņas nav derīga piekrišana.

Kur piemēro piekrišanas modeli

Visās ES/EEZ dalībvalstīs (27 ES valstīs, kā arī Norvēģijā, Islandē un Lihtenšteinā), kā arī Apvienotajā Karalistē (kas pēc Brexit saglabāja E-privātuma noteikumus, izmantojot Privacy and Electronic Communications Regulations jeb PECR).

Sekas vietņu operatoriem

  • Rēķinieties ar ievērojamu piekrišanas noraidīšanas līmeni. Nozares dati liecina, ka 30–50% Eiropas apmeklētāju noraida neobligātos sīkfailus, ja viņiem tiek dota patiesa izvēle.
  • Analītikas dati būs nepilnīgi. Jums būs dati tikai no lietotājiem, kas snieguši piekrišanu. Tas nav defekts — tas ir regulējuma iecerētais rezultāts.
  • Skriptu ielādei jābūt nosacītai. Jums nepieciešams tehnisks mehānisms, kas bloķē skriptus, līdz tiek reģistrēta piekrišana. To nevar paveikt tikai ar reklāmkarogu vien — tam nepieciešama reāla skriptu pārvaldība.

Atteikšanās (opt-out) modelis

Saskaņā ar atteikšanās modeli sīkfailus var izvietot pēc noklusējuma. Lietotājam ir tiesības atteikties vai izvēlēties atteikšanos, taču, ja vien viņš nerīkojas, izsekošana ir atļauta. Šo modeli izmanto Amerikas Savienotajās Valstīs un vairākās citās jurisdikcijās.

Kā atteikšanās modelis darbojas praksē

  1. Lietotājs apmeklē vietni.
  2. Visi sīkfaili — tostarp analītikas un mārketinga sīkfaili — tiek izvietoti nekavējoties.
  3. Paziņojums informē lietotāju, ka tiek izmantoti sīkfaili, un nodrošina veidu, kā atteikties.
  4. Ja lietotājs nerīkojas, sīkfaili paliek aktīvi.
  5. Ja lietotājs atsakās, viņa preferences tiek respektētas turpmāk (un dažās jurisdikcijās var būt nepieciešams dzēst iepriekš savāktos datus).

Juridiskais pamats

Atteikšanās modelis ir atrodams:

  • CCPA/CPRA (Kalifornija): Kalifornijas patērētājiem ir tiesības atteikties no personas datu “pārdošanas” vai “koplietošanas”. Sīkfaili, ko izmanto starpkonteksta uzvedības reklāmai, saskaņā ar CPRA veido “koplietošanu”. Pienākums ir nodrošināt atteikšanās mehānismu (bieži vien izmantojot saiti “Nepārdodiet un nekopīgojiet manu personisko informāciju”), nevis iegūt iepriekšēju piekrišanu.
  • CAN-SPAM Act un FTC vadlīnijas: ASV federālā pieeja tiešsaistes izsekošanai vēsturiski ir bijusi paziņošana un izvēle, nevis apstiprinoša piekrišana.
  • Dažādi ASV štatu likumi: Virdžīnija (VCDPA), Kolorado (CPA), Konektikuta (CTDPA) un citi ievēro atteikšanās modeļa variācijas attiecībā uz mērķētu reklāmu un datu pārdošanu.

Kur piemēro atteikšanās modeli

Amerikas Savienotajās Valstīs (ar variācijām atkarībā no štata), Kanādā (PIPEDA — lai gan tas var mainīties līdz ar ierosinātajām reformām), Austrālijā (saskaņā ar Privacy Act — arī pārskatīšanas procesā) un vairākās citās jurisdikcijās ārpus ES/EEZ.

Sekas vietņu operatoriem

  • Vairāk datu vākšanas pēc noklusējuma. Tā kā sīkfaili tiek izvietoti, ja vien lietotājs neiebilst, analītikas un reklāmas dati ir pilnīgāki.
  • Jānodrošina skaidrs atteikšanās mehānisms. Saskaņā ar CCPA/CPRA tas nozīmē saiti “Nepārdodiet un nekopīgojiet manu personisko informāciju”, kuru ir viegli atrast un izmantot.
  • Jāievēro Global Privacy Control (GPC). Kalifornijas likums pieprasa uzņēmumiem uzskatīt GPC pārlūkprogrammas signālu par derīgu atteikšanās pieprasījumu.

Detalizēts salīdzinājums

Aspekts Piekrišana (ES/GDPR) Atteikšanās (ASV/CCPA)
Noklusējuma stāvoklis Sīkfaili bloķēti līdz piekrišanai Sīkfaili aktīvi pēc noklusējuma
Nepieciešamā lietotāja darbība Jārīkojas, lai atļautu sīkfailus Jārīkojas, lai apturētu sīkfailus
Klusēšana / bezdarbība Nozīmē piekrišanas neesamību (nav sīkfailu) Nozīmē pieņemtu piekrišanu (sīkfaili aktīvi)
Piekrišanas mehānisms Detalizēta izvēle katrai kategorijai Atteikšanās saite vai slēdzis
Iepriekš atzīmētas rūtiņas Nav atļautas (Planet49 spriedums) Atļautas (atteikšanās modelis)
Ietekme uz analītiku 30–50% datu zudums no piekrišanas neesamības Minimāls datu zudums (nedaudzi atsakās)
Atsaukšana Tikpat viegli kā piekrišanas došana (GDPR 7. panta 3. punkts) Jānodrošina, bez prasības pēc vienlīdz vieglas atsaukšanas
Bērni Vecāku piekrišana par jaunākiem par 13–16 gadiem (atkarībā no valsts) COPPA attiecas uz jaunākiem par 13 gadiem
Galvenais regulējums E-privātuma direktīva + GDPR CCPA/CPRA + štatu likumi
Maksimālie naudas sodi 20 milj. EUR vai 4% no globālā apgrozījuma 7 500 USD par katru tīšu pārkāpumu (CCPA)

Vai var izmantot dažādus modeļus dažādiem reģioniem?

Jā, un daudzas globālas vietnes tā dara. Šo pieeju sauc par ģeogrāfiski mērķētu piekrišanas pārvaldību. Vietne nosaka apmeklētāja atrašanās vietu (parasti izmantojot IP ģeolokāciju) un attēlo atbilstošo piekrišanas modeli:

  • ES/EEZ/AK apmeklētāji: piekrišanas modelis ar detalizētu piekrišanu.
  • Kalifornijas apmeklētāji: atteikšanās modelis ar saiti “Nepārdodiet un nekopīgojiet”.
  • Citi ASV apmeklētāji: tikai paziņojums (atkarībā no štata likumu piemērojamības).
  • Citas jurisdikcijas: pamatojoties uz piemērojamo vietējo likumdošanu.

Ģeogrāfiskās mērķēšanas izaicinājumi

  • IP ģeolokācija nav ideāla. VPN lietotāji var tikt nepareizi lokalizēti. Mobilie lietotāji var pārvietoties starp jurisdikcijām.
  • Uzturēšanas slogs. Jums jāseko regulējuma attīstībai katrā jurisdikcijā, kurā darbojaties, un attiecīgi jāatjaunina piekrišanas plūsmas.
  • Testēšanas sarežģītība. Jums jāpārbauda, vai katrs reģionālais variants darbojas pareizi — dažādi reklāmkarogi, dažādi noklusējuma stāvokļi, dažāda skriptu bloķēšanas uzvedība.
  • GDPR piemēro eksteritoriāli. Ja mērķējat uz ES lietotājiem (3. panta 2. punkts), GDPR ir piemērojams neatkarīgi no tā, kur atrodas jūsu uzņēmums. “Mērķēšana” ietver preču vai pakalpojumu piedāvāšanu ES iedzīvotājiem vai viņu uzvedības uzraudzību.

Labākā prakse: pēc noklusējuma izvēlieties piekrišanas modeli

Ja vairāku piekrišanas modeļu pārvaldība šķiet nepārvarama, ir vienkāršāks ceļš: globāli izmantojiet piekrišanas modeli pēc noklusējuma.

Lūk, kāpēc tas darbojas:

  1. Atbilstība visur. Piekrišanas modelis apmierina visstingrākās prasības. Ja atbilstat GDPR piekrišanas prasībām, jūs automātiski pārsniedzat CCPA, LGPD un vairuma citu regulējumu prasības.
  2. Vienkāršība. Viens piekrišanas mehānisms, viena ieviešana, viens testu kopums. Nekādas ģeolokācijas noteikšanas, nekādu reģionālo variantu, nekādu īpašu gadījumu.
  3. Sagatavotība nākotnei. Globālā tendence virzās uz stingrākām piekrišanas prasībām. Ierosinātās reformas ASV, Kanādā, Austrālijā un Indijā virzās nepārprotamākas piekrišanas virzienā. Būvējot piekrišanas modeli tagad, jums vēlāk nebūs jāpielāgojas.
  4. Lietotāju uzticēšanās. Lietotāji visā pasaulē pozitīvi reaģē uz caurskatāmu, cieņpilnu piekrišanas praksi. Piedāvājot patiesu izvēli — pat tur, kur likums to stingri neprasa — jūs veidojat uzticēšanos un zīmola ticamību.
  5. Datu kvalitāte. Ar piekrišanu iegūti dati ir tīrāki, labāk aizstāvami un vērtīgāki nekā dati, kas savākti juridiskās neskaidrības apstākļos.

Kompromiss ir reāls: jūs globāli savāksiet mazāk datu. Taču dati, ko jūs savācat, būs juridiski pamatoti, ētiski tīri un arvien vērtīgāki, jo trešo pušu dati kļūst arvien grūtāk pieejami.

Jaunākās tendences

Piekrišanas ainava nav nemainīga. Vairākas norises ir vērts uzraudzīt:

  • E-privātuma regula. ES kopš 2017. gada strādā pie E-privātuma direktīvas aizstājēja. Kad tā tiks pieņemta, tā kļūs par tieši piemērojamu regulu (līdzīgi kā GDPR), nevis direktīvu, kurai nepieciešama transponēšana valsts līmenī. Paredzams, ka sīkfailu piekrišanas noteikumi paliks līdzīgi vai stingrāki nekā pašreizējais regulējums.
  • Global Privacy Control (GPC). Šis pārlūkprogrammas līmeņa signāls automātiski paziņo lietotāja privātuma preferences. Kalifornijas likums jau pieprasa GPC ievērošanu. To dara arī Kolorado un Konektikuta. Tas var kļūt par standarta mehānismu atteikšanās preferenču paziņošanai.
  • “Piekrišana vai maksa” modeļi. EDAK 2024. gada atzinums par “piekrišana vai maksa” (jo īpaši Meta pieejas kontekstā) veido to, kā regulatori skata attiecības starp piekrišanu un piekļuvi pakalpojumiem.
  • Pārlūkprogrammas līmeņa piekrišana. Daži priekšlikumi pārceltu piekrišanas pārvaldību no atsevišķām vietnēm uz pašu pārlūkprogrammu, lietotājiem iestatot preferences vienreiz, nevis katrā vietnē. Tas fundamentāli mainītu to, kā piekrišana darbojas praksē.

Passiro palīdz jums ieviest jūsu auditorijai piemērotāko piekrišanas modeli, automātiski nosakot un kategorizējot visus jūsu vietnes sīkfailus — neatkarīgi no tā, vai izvēlaties piekrišanas, atteikšanās vai ģeogrāfiski mērķētu pieeju.

Mūsu pēdējā sadaļā aplūkosim labāko piekrišanas praksi — praktiskas, izpildāmas vadlīnijas piekrišanas ieviešanai, kas ir gan atbilstoša, gan lietotājam draudzīga.

Vai jūsu tīmekļa vietne atbilst sīkdatņu noteikumiem?

Skenējiet savu tīmekļa vietni bezmaksas un atrodiet visas sīkdatnes dažu minūšu laikā.

Skenēt savas sīkdatnes bezmaksas