Skip to main content

Sīkdatņu atbilstības resursi un vārdnīca

Sīkdatņu atbilstība ietver specializētu terminoloģiju, kas nāk no ES regulējuma, datu aizsardzības tiesībām un tīmekļa tehnoloģijām. Šajā vārdnīcā ir izskaidroti galvenie termini, ar kuriem jūs saskarsieties, kā arī rūpīgi atlasīta oficiālo resursu un autoritatīvu atsauču kolekcija turpmākai izpētei.

Galveno terminu vārdnīca

A–C

CMP (piekrišanas pārvaldības platforma): Programmatūras rīks vai pakalpojums, kas pārvalda lietotāju piekrišanas apkopošanu, glabāšanu un ieviešanu attiecībā uz sīkdatnēm un citām izsekošanas tehnoloģijām. CMP parasti nodrošina sīkdatņu paziņojuma saskarni, glabā piekrišanas ierakstus un kontrolē, kuriem skriptiem atļauts izpildīties atkarībā no lietotāja izvēles. Piemēri ir Cookiebot, OneTrust, Usercentrics un atvērtā koda risinājumi, piemēram, Klaro.

CNIL (Commission Nationale de l'Informatique et des Libertés): Francijas datu aizsardzības iestāde. CNIL ir bijusi visaktīvākā Eiropas regulatoriskā iestāde sīkdatņu ieviešanā, uzliekot lielākos ar sīkdatnēm saistītos naudas sodus un publicējot detalizētākās sīkdatņu atbilstības vadlīnijas. Tās interpretācijas un ieviešanas darbības bieži nosaka standartu, kam seko citas datu aizsardzības iestādes.

Piekrišana: GDPR kontekstā datu subjekta vēlmju brīvi sniegta, konkrēta, apzināta un nepārprotama norāde, ko apliecina skaidra apstiprinoša darbība. Attiecībā uz sīkdatnēm tas nozīmē, ka lietotājam aktīvi jāizvēlas atļaut nebūtiskas sīkdatnes, veicot apzinātu darbību, piemēram, noklikšķinot uz pogas "Piekrītu". Klusēšana, iepriekš atzīmētas izvēles rūtiņas, neaktivitāte un tīmekļa pārlūkošanas turpināšana neveido derīgu piekrišanu.

Sīkdatne: Neliels teksta fails, ko vietne novieto lietotāja ierīcē. Sīkdatnes izmanto plašam mērķu klāstam — no pieteikšanās sesiju uzturēšanas (obligāti nepieciešamas) līdz pārlūkošanas uzvedības izsekošanai visā tīmeklī (reklāma). Tehniski sīkdatne ir nosaukuma-vērtības pāris ar saistītiem metadatiem, tostarp domēnu, ceļu, derīguma termiņu un drošības karodziņiem.

Sīkdatņu paziņojums: Lietotāja saskarnes elements (parasti josla, modālais logs vai uznirstošais logs), kas parādās, kad lietotājs pirmo reizi apmeklē vietni, informējot par vietnes sīkdatņu izmantošanu un pieprasot viņa piekrišanu. Atbilstošs sīkdatņu paziņojums sniedz skaidru informāciju, piedāvā patiesu izvēli (piekrist, noraidīt, pielāgot) un neiestata nebūtiskas sīkdatnes, kamēr lietotājs nav atbildējis.

Sīkdatņu politika: Dokuments (parasti īpaša tīmekļa lapa vai privātuma politikas sadaļa), kas sniedz detalizētu informāciju par visām vietnē izmantotajām sīkdatnēm, tostarp to nosaukumiem, mērķiem, veidiem, ilgumu un trešo pušu nodrošinātājiem, kas tās iestata. Sīkdatņu politika izpilda GDPR pārredzamības pienākumus un ePrivacy direktīvas prasību par "skaidru un visaptverošu informāciju".

Sīkdatņu siena: Mehānisms, kas bloķē piekļuvi vietnes saturam, ja vien lietotājs nepiekrīt visām sīkdatnēm. Sīkdatņu sienas ir pretrunīgas, un to likumība atšķiras atkarībā no jurisdikcijas. EDPB ir norādījusi, ka sīkdatņu sienas grauj derīgas piekrišanas prasību par "brīvi sniegtu", jo lietotājs saskaras ar izvēli "ņem vai atstāj". Dažas valstu datu aizsardzības iestādes (jo īpaši Francijas Conseil d'Etat) ir atļāvušas sīkdatņu sienas ierobežotos apstākļos, kad lietotājam ir patiesa alternatīva satura piekļuves iespēja.

D–E

Tumšais raksts (dark pattern): Lietotāja saskarnes dizaina izvēle, kas manipulē lietotājus pieņemt lēmumus, kurus viņi citādi nepieņemtu. Sīkdatņu kontekstā tumšie raksti ietver: pogas "Piekrītu" vizuālu dominēšanu, vienlaikus paslēpjot iespēju "Noraidīt", mulsinošas valodas izmantošanu, vairāk klikšķu prasīšanu noraidīšanai nekā piekrišanai un apkaunojošas apstiprināšanas taktikas izmantošanu. EDPB 2023. gada februārī publicēja īpašas vadlīnijas par tumšajiem rakstiem datu aizsardzības saskarnēs.

Datu pārzinis: Subjekts, kas nosaka personas datu apstrādes mērķus un līdzekļus. Attiecībā uz sīkdatnēm, ko iestata vietne, datu pārzinis parasti ir vietnes operators. Attiecībā uz trešo pušu sīkdatnēm var pastāvēt kopīga pārziņa statuss starp vietnes operatoru un trešo pusi atkarībā no tā, cik lielā mērā katra puse ietekmē datu apkopošanas mērķus un līdzekļus.

Datu apstrādātājs: Subjekts, kas apstrādā personas datus datu pārziņa vārdā, ievērojot pārziņa norādījumus. Mitināšanas pakalpojumu sniedzējs vai CMP pārdevējs, kas darbojas vienīgi saskaņā ar vietnes operatora norādījumiem, būtu datu apstrādātājs. Šī atšķirība ir svarīga, jo pārziņi uzņemas galveno atbildību par atbilstību, savukārt apstrādātājiem jāievēro pārziņa norādījumi un datu apstrādes līguma noteikumi.

Datu subjekts: Fiziska persona, kuras personas datus apstrādā. Sīkdatņu kontekstā datu subjekti ir vietnes apmeklētāji, kuru datus apkopo, izmantojot sīkdatnes. Datu subjektiem saskaņā ar GDPR ir tiesības, tostarp tiesības piekļūt, labot, dzēst, ierobežot apstrādi, uz datu pārnesamību un tiesības iebilst.

DPA (datu aizsardzības iestāde): Neatkarīga valsts iestāde, kas atbild par datu aizsardzības tiesību uzraudzību un ieviešanu katrā ES dalībvalstī. Datu aizsardzības iestādēm ir pilnvaras izmeklēt sūdzības, veikt auditus, izdot vadlīnijas un uzlikt naudas sodus. Katrā dalībvalstī ir vismaz viena datu aizsardzības iestāde (Vācijā ir vairākas — pa vienai katrā federālajā zemē, kā arī federālais BfDI). Piemēri: CNIL (Francija), Garante (Itālija), ICO (Apvienotā Karaliste), Datatilsynet (Dānija/Norvēģija).

DPO (datu aizsardzības speciālists): Persona, ko datu pārzinis vai apstrādātājs iecēlis GDPR atbilstības pārraudzībai. GDPR pieprasa noteiktām organizācijām iecelt DPO, tostarp publiskajām iestādēm un organizācijām, kuru pamatdarbība ietver liela mēroga datu subjektu uzraudzību. Lai gan tas nav tieši saistīts ar sīkdatnēm, DPO parasti pārrauga organizācijas sīkdatņu atbilstības programmu.

EDPB (Eiropas Datu aizsardzības kolēģija): Neatkarīga ES iestāde, kas nodrošina konsekventu GDPR piemērošanu un veicina sadarbību starp valstu datu aizsardzības iestādēm. EDPB (kas aizstāja 29. panta darba grupu) izdod vadlīnijas, ieteikumus un saistošus lēmumus. Tās vadlīnijas par piekrišanu (Vadlīnijas 05/2020) un par tumšajiem rakstiem ir galvenās atsauces sīkdatņu atbilstībai.

ePrivacy direktīva (Direktīva 2002/58/EK): ES direktīva, kas regulē privātumu elektroniskajās komunikācijās, tostarp sīkdatņu izmantošanu. 5. panta 3. punkts ir galvenais juridiskais pamats sīkdatņu piekrišanas prasībai. Kā direktīva tā katrai dalībvalstij jātransponē valsts tiesību aktos, kas rada atšķirības ieviešanā. To paredzēts aizstāt ar ePrivacy regulu, kas joprojām tiek apspriesta.

F–G

Pirmās puses sīkdatne: Sīkdatne, ko iestata domēns, kuru lietotājs apmeklē. Piemēram, ja lietotājs apmeklē example.com un example.com iestata sīkdatni, tā ir pirmās puses sīkdatne. Pirmās puses sīkdatnes parasti izmanto būtiskām funkcijām (sesijas, preferences) un pirmās puses analītikai. Tās kopumā tiek uzskatītas par mazāk invazīvām nekā trešo pušu sīkdatnes, jo tās nevar izsekot lietotājus dažādās vietnēs.

GDPR (Vispārīgā datu aizsardzības regula): Regula (ES) 2016/679, ES visaptverošais datu aizsardzības tiesību akts, kas stājies spēkā kopš 2018. gada 25. maija. GDPR nodrošina tiesisko ietvaru tam, kas veido derīgu piekrišanu (attiecināta uz sīkdatnēm ar ePrivacy direktīvas atsauci), datu subjektu tiesībām, datu pārziņu un apstrādātāju pienākumiem, kā arī ieviešanas režīmam, tostarp naudas sodiem līdz 4% no gada globālā apgrozījuma vai 20 miljoniem eiro.

GPC (Global Privacy Control): Pārlūkprogrammas līmeņa signāls, kas paziņo lietotāja vēlmi atteikties no viņa personas informācijas pārdošanas vai koplietošanas. Atšķirībā no vecākā Do Not Track (DNT) signāla GPC ir juridisks pamats saskaņā ar CCPA/CPRA un vairākiem citiem ASV štatu privātuma likumiem. Kad lietotājs iespējo GPC savā pārlūkprogrammā, vietnēm, uz kurām attiecas šie likumi, tas jāuzskata par derīgu atteikšanās pieprasījumu. GPC arvien vairāk tiek atzīts arī Eiropā, lai gan tas vēl nav juridiski noteikts saskaņā ar ES tiesību aktiem.

Google Consent Mode: Google tagu infrastruktūras funkcija, kas pielāgo Google tagu (Analytics, Ads u.c.) uzvedību atkarībā no vietnes CMP paziņotā piekrišanas statusa. Consent Mode v2, kas nepieciešams EEZ reklāmas personalizācijai kopš 2024. gada marta, ievieš parametrus ad_user_data un ad_personalization līdzās esošajiem ad_storage un analytics_storage. Kad piekrišana ir liegta, Google tagi pielāgo savu uzvedību, lai izvairītos no sīkdatņu iestatīšanas, lai gan tie joprojām var sūtīt ierobežotus, sīkdatnēm neatkarīgus signālus atkarībā no konfigurācijas.

I–L

IAB TCF (Interactive Advertising Bureau Transparency and Consent Framework): Nozares izstrādāts ietvars piekrišanas pārvaldīšanai digitālās reklāmas ekosistēmā. TCF nodrošina standartizētu veidu, kā CMP, reklāmdevēji un izdevēji paziņo piekrišanas signālus visā reklāmas tehnoloģiju piegādes ķēdē. Versija 2.2 ir pašreizējais standarts. TCF ir saskāries ar juridiskiem izaicinājumiem, jo īpaši Beļģijas datu aizsardzības iestādes 2022. gada spriedumu, ka IAB Europe veiktā TC virknes apstrāde uzskatāma par personas datu apstrādi. Ietvars joprojām tiek plaši izmantots, taču tā juridiskais statuss turpina attīstīties.

Leģitīmās intereses: Viens no sešiem likumīgajiem pamatiem personas datu apstrādei saskaņā ar GDPR 6. panta 1. punkta f) apakšpunktu. Leģitīmās intereses prasa līdzsvara testu starp pārziņa interesēm un datu subjekta tiesībām un brīvībām. Attiecībā uz sīkdatnēm leģitīmo interešu izmantošana kā likumīgs pamats ir ļoti apstrīdēta. Dominējošais Eiropas regulatoriskais viedoklis ir, ka piekrišana (nevis leģitīmās intereses) ir piemērots pamats nebūtiskām sīkdatnēm, jo ePrivacy direktīva īpaši pieprasa piekrišanu glabāšanai lietotāja ierīcē.

O–P

Opt-in (piekrišanas modelis): Piekrišanas modelis, kurā personas datu apstrāde (vai sīkdatņu iestatīšana) nenotiek, ja vien lietotājs neveic apstiprinošu darbību, lai to atļautu. ES sīkdatņu modelis ir opt-in: nekādas nebūtiskas sīkdatnes, kamēr lietotājs nepiekrīt. Opt-in nodrošina spēcīgāku privātuma aizsardzību, bet prasa piekrišanas mehānismu, pirms sākas jebkāda izsekošana.

Opt-out (atteikšanās modelis): Piekrišanas modelis, kurā personas datu apstrāde (vai sīkdatņu iestatīšana) notiek pēc noklusējuma, un lietotājam jāveic darbība, lai to apturētu. ASV sīkdatņu modelis (saskaņā ar CCPA un līdzīgiem štatu likumiem) parasti ir opt-out: izsekošana notiek, ja vien lietotājs neiebilst. Opt-out uzliek rīcības slogu lietotājam, nevis vietnes operatoram.

Pastāvīgā sīkdatne: Sīkdatne, kas paliek lietotāja ierīcē uz noteiktu laiku pēc pārlūkprogrammas aizvēršanas. Pastāvīgās sīkdatnes izmanto, lai atcerētos preferences, uzturētu pieteikšanās sesijas starp apmeklējumiem un izsekotu uzvedību laika gaitā. Tām ir noteikts derīguma termiņš, un tās paliks, līdz šis datums paies vai lietotājs tās dzēsīs. Pastāvīgo sīkdatņu ilgumam jābūt proporcionālam to mērķim.

Personas dati: Saskaņā ar GDPR jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu. Tas ietver acīmredzamus identifikatorus (vārds, e-pasts) un mazāk acīmredzamus (IP adreses, sīkdatņu identifikatorus, ierīču pirkstu nospiedumus). GDPR 30. apsvērums skaidri norāda, ka tiešsaistes identifikatori, piemēram, sīkdatņu identifikatori, var veidot personas datus. Praksē gandrīz visas sīkdatnes, kas unikāli identificē pārlūkprogrammu vai lietotāju, kvalificējas kā personas dati.

Iepriekšēja piekrišana: Piekrišana, kas iegūta pirms tam, kad notiek tās atļautā darbība. Attiecībā uz sīkdatnēm iepriekšēja piekrišana nozīmē lietotāja piekrišanas iegūšanu, pirms viņa ierīcē tiek iestatītas jebkādas nebūtiskas sīkdatnes. Tā ir ePrivacy direktīvas 5. panta 3. punkta pamatprasība. Sīkdatņu iestatīšana vispirms un piekrišanas prasīšana pēc tam, vai sīkdatņu dzēšana ar atpakaļejošu spēku, ja piekrišana ir liegta, neapmierina iepriekšējas piekrišanas prasību.

S–T

Sesijas sīkdatne: Sīkdatne, kas pastāv tikai lietotāja pārlūkprogrammas sesijas laikā un tiek dzēsta, kad pārlūkprogramma tiek aizvērta. Sesijas sīkdatnes parasti izmanto pieteikšanās stāvokļa, iepirkumu groza satura un citu īslaicīgu datu uzturēšanai. Daudzas sesijas sīkdatnes kvalificējas kā obligāti nepieciešamas un tāpēc ir atbrīvotas no piekrišanas prasības, lai gan tas ir atkarīgs no to konkrētā mērķa.

Obligāti nepieciešamā sīkdatne: Sīkdatne, kas ir būtiska vietnes darbībai un lietotāja skaidri pieprasīta pakalpojuma nodrošināšanai. Obligāti nepieciešamās sīkdatnes ir atbrīvotas no piekrišanas prasības saskaņā ar ePrivacy direktīvas 5. panta 3. punktu. Piemēri ietver autentifikācijas sīkdatnes, drošības sīkdatnes (CSRF marķierus), slodzes līdzsvarošanas sīkdatnes un lietotāja saskarnes preferenču sīkdatnes, kas ir būtiskas pakalpojumam. Analītikas sīkdatnes, reklāmas sīkdatnes un sociālo mediju sīkdatnes nav obligāti nepieciešamas neatkarīgi no tā, cik noderīgas tās uzskata vietnes operators.

Trešās puses sīkdatne: Sīkdatne, ko iestata cits domēns, nevis tas, kuru lietotājs apmeklē. Piemēram, ja lietotājs apmeklē example.com un sīkdatni iestata facebook.com (izmantojot Facebook Pixel, kas iegults example.com), Facebook sīkdatne ir trešās puses sīkdatne. Trešo pušu sīkdatnes galvenokārt izmanto starpvietņu izsekošanai un mērķtiecīgai reklāmai. Lielākās pārlūkprogrammas ierobežo vai likvidē trešo pušu sīkdatnes: Safari un Firefox tās jau bloķē pēc noklusējuma, un Chrome ir paziņojis par plāniem tās pakāpeniski atcelt (lai gan grafiks ir mainījies vairākas reizes).

Izsekošanas pikselis: Sīks, neredzams attēls (parasti 1x1 pikselis), kas iegults tīmekļa lapā vai e-pastā un ziņo serverim, kad tiek ielādēts. Lai gan tehniski tā nav sīkdatne, izsekošanas pikseļi ir saistīta izsekošanas tehnoloģija, kas bieži darbojas kopā ar sīkdatnēm, lai izsekotu lietotāja uzvedību. Uz tiem attiecas tādas pašas piekrišanas prasības kā uz sīkdatnēm saskaņā ar ePrivacy direktīvu, jo tie ietver piekļuvi informācijai lietotāja ierīcē (HTTP pieprasījums pārraida lietotāja IP adresi, pārlūkprogrammas informāciju un jebkādas saistītās sīkdatnes).

Oficiālie resursi

ES tiesību akti un vadlīnijas

Valstu datu aizsardzības iestāžu sīkdatņu vadlīnijas

Google Consent Mode

IAB Transparency and Consent Framework

ASV privātuma likumi

CJEU judikatūra

Papildu literatūra

Sīkdatņu atbilstības rīki

Sīkdatņu atbilstības uzturēšanai nepieciešami pareizie rīki. Passiro nodrošina automatizētu sīkdatņu skenēšanu, kas pārmeklē visu jūsu vietni, izmantojot reālu pārlūkprogrammas dzinēju, identificē visas sīkdatnes un izsekošanas tehnoloģijas, kategorizē tās, izmantojot pastāvīgi atjauninātu datubāzi, un uzrauga izmaiņas ar plānotām skenēšanām un brīdinājumiem. Apvienojumā ar Passiro piekrišanas pārvaldības platformu tas sniedz jums pilnīgu, vienmēr aktuālu pārskatu par jūsu vietnes sīkdatņu atbilstības stāvokli.

Uzziniet vairāk par Passiro skenēšanas iespējām vai veiciet bezmaksas jūsu vietnes skenēšanu, lai redzētu, kādas sīkdatnes jūsu vietne iestata šodien.

Vai jūsu tīmekļa vietne atbilst sīkdatņu noteikumiem?

Skenējiet savu tīmekļa vietni bezmaksas un atrodiet visas sīkdatnes dažu minūšu laikā.

Skenēt savas sīkdatnes bezmaksas