Skip to main content

Kā uzrakstīt sīkdatņu politiku: soli pa solim

Sīkdatņu politika ir tik laba, cik precīza un skaidra tā ir. Šī rokasgrāmata palīdzēs jums izveidot sīkdatņu politiku, kas atbilst juridiskajām prasībām, kalpo jūsu lietotājiem un ar laiku saglabā precizitāti. Sekojiet šiem deviņiem soļiem, lai izveidotu politiku, kas ir visaptveroša, caurskatāma un viegli uzturama.

1. solis: veiciet sīkdatņu auditu

Pirms varat rakstīt par savām sīkdatnēm, jums precīzi jāzina, kuras sīkdatnes iestata jūsu vietne. Tas ir visas politikas pamats — un solis, kurā vairums organizāciju kļūdās.

Rūpīgs sīkdatņu audits ietver:

  1. Katras lapas skenēšanu. Sīkdatnes dažādās lapās var atšķirties. Jūsu sākumlapa var iestatīt citas sīkdatnes nekā norēķinu lapa, emuārs vai konta lapas. Pilnīgam auditam jāaptver visi lapu veidi.
  2. Pirmās un trešās puses sīkdatņu tveršanu. Pirmās puses sīkdatnes iestata jūsu pašu domēns. Trešās puses sīkdatnes iestata ārējie pakalpojumi — analītikas platformas, reklāmas tīkli, sociālo mediju logrīki, iegultie video, tērzēšanas logrīki, maksājumu apstrādātāji un citi.
  3. Ne-sīkdatņu krātuves identificēšanu. Mūsdienu vietnes izmanto arī localStorage, sessionStorage, IndexedDB un pikseļu marķierus. Visaptveroša politika aptver visus klientpuses krātuves mehānismus, ne tikai HTTP sīkdatnes.
  4. Testēšanu ar piekrišanu un bez tās. Dažas sīkdatnes tiek iestatītas neatkarīgi no piekrišanas (obligāti nepieciešamās sīkdatnes). Citām vajadzētu parādīties tikai pēc piekrišanas saņemšanas. Auditā jāpārbauda, vai neobligātās sīkdatnes tiešām tiek bloķētas, līdz tiek dota piekrišana.

Manuāli auditi ir neuzticami. Manuāli atverot pārlūka izstrādātāju rīkus dažās lapās, tiks palaistas garām sīkdatnes, ko iestata asinhroni ielādēti trešās puses skripti, sīkdatnes, kas tiek iestatītas tikai konkrētu lietotāja darbību rezultātā, un sīkdatnes, kas parādās tikai atkārtotos apmeklējumos. Izmantojiet automatizētus skenēšanas rīkus, lai iegūtu pilnīgu ainu.

Passiro automatizētais sīkdatņu skeneris pārlūko visu jūsu vietni, identificē katru sīkdatni un krātuves mehānismu un sniedz kategorizētu pārskatu — ideāls sākumpunkts jūsu politikai.

2. solis: kategorizējiet katru sīkdatni

Kad ir izveidots pilnīgs sīkdatņu saraksts, sadaliet tās standarta kategorijās. Visplašāk atzītā kategorizācija, ko izmanto IAB Transparency and Consent Framework un iesaka lielākā daļa datu aizsardzības iestāžu, ir:

Obligāti nepieciešamās

Sīkdatnes, bez kurām vietne nevar darboties. Piemēri: sesijas sīkdatnes pieteikšanās stāvoklim, iepirkumu groza sīkdatnes, CSRF aizsardzības marķieri, slodzes balansētāja sīkdatnes, sīkdatņu piekrišanas iestatījumu sīkdatnes. Tās ir atbrīvotas no piekrišanas prasības saskaņā ar ePrivacy direktīvas 5. panta 3. punktu, taču jums tās joprojām jāatklāj savā politikā.

Preferences / funkcionālās

Sīkdatnes, kas nodrošina uzlabotu funkcionalitāti un personalizāciju. Piemēri: valodas izvēle, reģiona/valūtas preferences, fonta izmēra iestatījumi, nesen skatītie vienumi. Tās nav obligāti nepieciešamas — vietne darbotos arī bez tām —, taču tās uzlabo lietotāja pieredzi. Tām nepieciešama piekrišana.

Analītikas / statistikas

Sīkdatnes, ko izmanto datu vākšanai par to, kā apmeklētāji mijiedarbojas ar vietni. Piemēri: Google Analytics sīkdatnes (_ga, _gid), Hotjar sesijas sīkdatnes, Plausible Analytics. Vairumā ES jurisdikciju tām nepieciešama piekrišana, lai gan dažas datu aizsardzības iestādes (īpaši Francijas CNIL) ir izveidojušas ierobežotus atbrīvojumus auditorijas mērīšanas rīkiem, kas atbilst stingriem nosacījumiem.

Mārketinga / reklāmas

Sīkdatnes, ko izmanto mērķētai reklāmai, atkārtotai mērķēšanai un reklāmu efektivitātes mērīšanai. Piemēri: Google Ads (_gcl_*), Meta Pixel (_fbp), LinkedIn Insight Tag, reklāmas tīklu sīkdatnes. Tām vienmēr nepieciešama piekrišana, un tā ir visrūpīgāk pārbaudītā kategorija.

Katrai sīkdatnei piešķiriet kategoriju un pārliecinieties, ka kategorizācija ir precīza. Bieža kļūda ir analītikas vai mārketinga sīkdatņu klasificēšana kā "funkcionālas", lai izvairītos no piekrišanas prasības — tas neatbilst noteikumiem, un regulatori to viegli konstatē.

3. solis: uzrakstiet ievadu

Sīkdatņu politikai jāsākas ar īsu ievadu, kas aptver:

  • Kas jūs esat. Juridiskā persona, kas pārvalda vietni (uzņēmuma nosaukums, reģistrētā adrese).
  • Ko šis dokuments aptver. "Šī sīkdatņu politika izskaidro, kā [uzņēmuma nosaukums] izmanto sīkdatnes un līdzīgas tehnoloģijas vietnē [vietnes URL]."
  • Kad tā pēdējoreiz atjaunināta. Norādiet redzamu datumu.
  • Kā ar jums sazināties. Norādiet kontaktinformācijas e-pastu un, ja piemērojams, sava datu aizsardzības speciālista datus.

Ievadu ierobežojiet līdz diviem vai trim teikumiem. Lietotāji ir ieradušies pēc konkrētas informācijas, nevis korporatīva ievadvārda.

4. solis: paskaidrojiet, kas ir sīkdatnes

Iekļaujiet īsu, netehnisku skaidrojumu par to, kas ir sīkdatnes. Daudzi jūsu apmeklētāji to nezinās. Labs skaidrojums ir:

Sīkdatnes ir mazi teksta faili, kas tiek saglabāti jūsu ierīcē (datorā, planšetdatorā vai tālrunī), kad apmeklējat vietni. Tās plaši izmanto, lai nodrošinātu vietņu darbību, uzlabotu efektivitāti un sniegtu informāciju vietņu īpašniekiem. Sīkdatnes, ko iestata apmeklētā vietne, sauc par "pirmās puses sīkdatnēm". Sīkdatnes, ko iestata citi uzņēmumi (piemēram, analītikas vai reklāmas pakalpojumi), sauc par "trešās puses sīkdatnēm".

Ja jūsu vietne izmanto tehnoloģijas, kas nav HTTP sīkdatnes — piemēram, localStorage, pikseļu marķierus vai pirkstu nospiedumu noteikšanu —, pieminiet arī tās. "Šajā politikā mēs izmantojam terminu 'sīkdatnes', lai apzīmētu sīkdatnes un līdzīgas tehnoloģijas, ja vien nav norādīts citādi."

5. solis: uzskaitiet sīkdatnes tabulas formātā

Attēlojiet savas sīkdatnes strukturētā tabulā, kas sakārtota pēc kategorijām. Katrai sīkdatnei iekļaujiet:

Lauks Apraksts Piemērs
Nosaukums Sīkdatnes tehniskais nosaukums _ga
Nodrošinātājs Kas iestata šo sīkdatni Google Analytics (google.com)
Mērķis Ko sīkdatne dara, vienkāršā valodā Ģenerē unikālu ID, lai reģistrētu statistikas datus par to, kā izmantojat vietni
Veids Pirmās vai trešās puses; HTTP sīkdatne, localStorage utt. Trešās puses HTTP sīkdatne
Ilgums Cik ilgi sīkdatne saglabājas 2 gadi

Šeit ir labi strukturētas analītikas kategorijas sīkdatņu tabulas piemērs:

Sīkdatnes nosaukums Nodrošinātājs Mērķis Veids Ilgums
_ga Google Analytics Piešķir unikālu ID, lai atšķirtu apmeklētājus un apkopotu statistikas pārskatus Trešās puses 2 gadi
_gid Google Analytics Piešķir unikālu ID katrai pārlūkošanas sesijai, lai apkopotu statistikas pārskatus Trešās puses 24 stundas
_gat_UA-* Google Analytics Ierobežo datu vākšanas ātrumu augstas noslodzes vietnēs Trešās puses 1 minūte

Atkārtojiet šo tabulu katrai kategorijai: obligāti nepieciešamās, preferences, analītikas un mārketinga.

6. solis: aprakstiet katru kategoriju

Pirms katras sīkdatņu tabulas sniedziet īsu kategorijas aprakstu:

  • Ko dara šīs kategorijas sīkdatnes — vispārīgi.
  • Vai nepieciešama piekrišana — obligāti nepieciešamajām sīkdatnēm piekrišana nav vajadzīga; visām pārējām ir.
  • Kas notiek, ja lietotājs atsakās — "Ja atsakāties no analītikas sīkdatnēm, mēs nevāksim datus par jūsu apmeklējumiem. Vietne darbosies kā ierasts."

Šī kontekstuālā informācija palīdz lietotājiem pieņemt informētus lēmumus un atbilst GDPR caurskatāmības prasībām.

7. solis: paskaidrojiet, kā lietotāji var kontrolēt sīkdatnes

Šai sadaļai jāaptver divi kontroles mehānismi:

Ar jūsu piekrišanas paziņojumu

Paskaidrojiet, ka lietotāji jebkurā laikā var pārvaldīt savas sīkdatņu preferences, noklikšķinot uz jūsu sīkdatņu iestatījumu saites vai ikonas. Aprakstiet, kur to atrast (piemēram, "Noklikšķiniet uz sīkdatņu ikonas jebkuras lapas apakšējā kreisajā stūrī" vai "Noklikšķiniet uz 'Sīkdatņu iestatījumi' kājenē"). Esiet konkrēti — nesakiet vienkārši "ar mūsu sīkdatņu paziņojumu".

Ar pārlūka iestatījumiem

Norādiet saites uz sīkdatņu pārvaldības instrukcijām galvenajiem pārlūkiem:

Norādiet sekas: "Lūdzu, ņemiet vērā, ka sīkdatņu atspējošana pārlūka iestatījumos var ietekmēt šīs un citu jūsu apmeklēto vietņu funkcionalitāti."

8. solis: pievienojiet kontaktinformāciju un DPO datus

Sniedziet skaidru kontaktinformāciju ar privātumu saistītiem jautājumiem:

  • Datu pārziņa identitāte: uzņēmuma nosaukums, reģistrētā adrese, reģistrācijas numurs.
  • Privātuma kontakta e-pasts: uzraudzīta e-pasta adrese (piemēram, [email protected]).
  • Datu aizsardzības speciālists: ja esat iecēluši DPO (obligāti noteiktām organizācijām saskaņā ar GDPR 37. pantu), norādiet viņa vārdu un kontaktinformāciju.
  • Uzraudzības iestāde: norādiet attiecīgo datu aizsardzības iestādi un saiti uz tās sūdzību mehānismu. Piemēram: "Jums ir tiesības iesniegt sūdzību [DPA nosaukums] iestādē [URL]."

9. solis: datējiet politiku un plānojiet atjauninājumus

Iekļaujiet skaidru "Pēdējoreiz atjaunināts" datumu. Apņemieties regulāri pārskatīt un atjaunināt politiku, kā arī vienmēr, kad mainās jūsu sīkdatņu izmantošana.

Apsveriet iespēju pievienot paziņojumu, piemēram: "Mēs regulāri pārskatām šo sīkdatņu politiku un atjaunināsim to, kad nepieciešams. Par visām būtiskajām izmaiņām informēsim ar paziņojumu mūsu vietnē."

Praktiski plānojiet vismaz reizi ceturksnī veikt pārskatu. Trešās puses pakalpojumi bieži maina savas sīkdatnes, un pat neliels integrācijas atjauninājums var ieviest jaunas sīkdatnes, kas jādeklarē.

Biežākās kļūdas, no kurām izvairīties

Pat rūpīgi uzrakstītas sīkdatņu politikas bieži satur šīs kļūdas:

  • Neskaidri mērķu apraksti. "Šī sīkdatne uzlabo jūsu pieredzi" lietotājam neko nepasaka. Esiet konkrēti: kādus datus sīkdatne vāc un kam tie tiek izmantoti?
  • Novecojuši sīkdatņu saraksti. Ja jūsu politikā ir uzskaitītas sīkdatnes no rīka, kuru noņēmāt pirms sešiem mēnešiem, vai tajā nav uzskaitītas sīkdatnes no rīka, kuru pievienojāt pagājušajā nedēļā, tā ir neprecīza. Neprecīza atklāšana grauj caurskatāmību.
  • Trūkstošas trešās puses sīkdatnes. Daudzas organizācijas uzskaita savas sīkdatnes, bet aizmirst dokumentēt trešās puses sīkdatnes, ko iestata iegultais saturs (YouTube video, sociālo mediju pogas, tērzēšanas logrīki utt.). Tās bieži ir privātumu visvairāk aizskarošās sīkdatnes vietnē.
  • Kategorizācijas kļūdas. Mārketinga vai analītikas sīkdatņu klasificēšana kā "funkcionālas" vai "nepieciešamas", lai izvairītos no piekrišanas prasības. Datu aizsardzības iestādes tieši to meklē.
  • Nav mehānisma preferenču maiņai. Norādot, ka lietotāji var pārvaldīt savas preferences, bet nenodrošinot skaidri aprakstītu, vienmēr pieejamu mehānismu, kā to izdarīt.
  • Veidnes kopēšana bez pielāgošanas. Vispārīgas sīkdatņu politikas veidnes, kas neatspoguļo jūsu faktiskās sīkdatnes, jūsu faktiskos pakalpojumus vai jūsu faktisko datu apstrādi. Veidne ir sākumpunkts, nevis gatavs dokuments.
  • Nepieejama valoda. Juridiskais žargons, tehniskā terminoloģija un nevajadzīgi sarežģītas teikumu struktūras. GDPR prasa skaidru un vienkāršu valodu. Rakstiet nespeciālistu auditorijai.

Kā saskaņot politiku ar faktiskajām sīkdatnēm

Grūtākā daļa sīkdatņu politikas uzturēšanā nav tās uzrakstīšana — tā ir precizitātes saglabāšana. Vietnes ir dinamiskas. Mārketinga komandas pievieno jaunus rīkus, izstrādātāji integrē jaunus pakalpojumus, satura pārvaldības sistēmas instalē spraudņus ar izsekošanas iespējām. Katra izmaiņa var ieviest sīkdatnes, kuras jūsu politikā nav minētas.

Risinājums ir automatizēta, nepārtraukta uzraudzība. Tā vietā, lai paļautos uz manuāliem auditiem (kas ir reti, nepilnīgi un kļūdaini), izmantojiet skenēšanas rīku, kas regulāri pārlūko jūsu vietni, identificē visas aktīvās sīkdatnes un salīdzina tās ar jūsu deklarēto sīkdatņu sarakstu.

Passiro automātiski skenē jūsu vietni, atklāj nedeklarētas sīkdatnes un brīdina, kad jūsu politika ir jāatjaunina. Tas nodrošina, ka jūsu sīkdatņu politika vienmēr atspoguļo realitāti — nevis momentuzņēmumu no pēdējās reizes, kad kāds atcerējās to pārbaudīt. Uzziniet vairāk par Passiro automatizēto sīkdatņu atbilstību.

Vai jūsu tīmekļa vietne atbilst sīkdatņu noteikumiem?

Skenējiet savu tīmekļa vietni bezmaksas un atrodiet visas sīkdatnes dažu minūšu laikā.

Skenēt savas sīkdatnes bezmaksas