Skip to main content

Sīkdatņu kategorijas: kā klasificēt sīkdatnes piekrišanai

Piekrišana sīkdatnēm nav lēmums pēc principa "viss vai nekas". Privātuma noteikumi paredz, ka lietotāji var izdarīt precīzu izvēli par to, kāda veida sīkdatnes viņi pieņem. Lai to būtu iespējams īstenot, sīkdatnes tiek sagrupētas kategorijās — grupās, kas balstītas to mērķī, katrai no tām nosakot savas piekrišanas prasības.

Pareiza kategorizācija ir izšķiroši svarīga. Mārketinga sīkdatnes nepareiza klasificēšana par "obligāti nepieciešamu" nav tikai tehniska kļūda — tas ir atbilstības pārkāpums, ko regulatori aktīvi meklē un par ko soda.

Kāpēc kategorizācija ir svarīga

GDPR nosaka, ka piekrišanai jābūt "konkrētai" (4. panta 11. punkts). 29. panta darba grupa (tagad EDPB) ir precizējusi, ka tas nozīmē, ka piekrišana jādod atsevišķi katram atšķirīgam mērķim. Visu sīkdatņu apvienošana vienā "pieņemt visu" bez izvēles pa kategorijām neatbilst šim standartam.

Praksē tas nozīmē, ka jūsu sīkdatņu piekrišanas mehānismam sīkdatnes jāpiedāvā sagrupētas pēc mērķa un jāļauj lietotājiem pieņemt vai noraidīt katru kategoriju atsevišķi. Standarts, kas ir izveidojies visā nozarē — un ko regulatori sagaida — izmanto četras kategorijas.

Četras standarta sīkdatņu kategorijas

1. Obligāti nepieciešamās sīkdatnes

Šīs sīkdatnes ir būtiskas vietnes pamatdarbībai. Bez tām nevar nodrošināt pakalpojumu, ko lietotājs ir tieši pieprasījis.

Nepieciešama piekrišana: Nē. Obligāti nepieciešamās sīkdatnes ir atbrīvotas no piekrišanas prasības saskaņā ar ePrivacy direktīvas 5. panta 3. punktu, kas nosaka, ka piekrišana nav nepieciešama sīkdatnēm, kuras ir "absolūti nepieciešamas, lai informācijas sabiedrības pakalpojuma sniedzējs, ko abonents vai lietotājs ir tieši pieprasījis, varētu sniegt pakalpojumu".

Obligāti nepieciešamo sīkdatņu piemēri:

  • Sesijas sīkdatnes, kas uztur pieteikšanās stāvokli
  • Iepirkumu groza sīkdatnes e-komercijas vietnē
  • CSRF (starpvietņu pieprasījumu viltošanas) aizsardzības marķieri
  • Slodzes līdzsvarošanas sīkdatnes, kas sadala datu plūsmu starp serveriem
  • Sīkdatņu piekrišanas iestatījumu sīkdatnes (sīkdatne, kas iegaumē jūsu piekrišanas izvēli)
  • Drošības sīkdatnes, kas atklāj autentifikācijas ļaunprātīgu izmantošanu

Kas NAV obligāti nepieciešams:

  • Analītikas sīkdatnes — pat pirmās puses sīkdatnes. Datu plūsmas mērīšana ir noderīga vietnes operatoram, taču tā nav nepieciešama, lai sniegtu lietotāja pieprasīto pakalpojumu.
  • Sociālo mediju spraudņi — kopīgošanas pogas un iegultas ziņu plūsmas kalpo vietnes īpašnieka interesēm, nevis funkcijai, ko lietotājs tieši pieprasīja.
  • Reklāmas sīkdatnes — pēc definīcijas tās kalpo mērķim, kas pārsniedz pakalpojumu, kuram lietotājs piekļūst.
  • A/B testēšanas sīkdatnes — tās kalpo vietnes operatora optimizācijas mērķiem, nevis lietotāja tiešajam pieprasījumam.

Galvenais pārbaudes kritērijs ir perspektīva: nepieciešams kam? Ja sīkdatne kalpo vietnes operatora interesēm, nevis funkcijai, ko lietotājs tieši pieprasīja, tā nav obligāti nepieciešama — neatkarīgi no tā, cik svarīga tā varētu būt uzņēmumam.

2. Analītikas / statistikas sīkdatnes

Šīs sīkdatnes vāc informāciju par to, kā apmeklētāji izmanto vietni: kuras lapas tiek apmeklētas, cik ilgi lietotāji uzturas, no kurienes viņi nāk un kur pamet vietni. Dati parasti tiek apkopoti un izmantoti vietnes uzlabošanai.

Nepieciešama piekrišana: Jā, vairumā jurisdikciju. Tomēr dažas datu aizsardzības iestādes (jo īpaši Francijas CNIL un Nīderlandes AP) ir norādījušas, ka noteiktiem pirmās puses analītikas rīkiem var piemērot ierobežotu atbrīvojumu, ja ir izpildīti konkrēti nosacījumi (skatiet mūsu sadaļu par to, kad piekrišana ir nepieciešama).

Izplatītas analītikas sīkdatnes:

Sīkdatne Pakalpojums Mērķis Noklusējuma darbības laiks
_ga Google Analytics Atšķir unikālus lietotājus 2 gadi
_ga_* Google Analytics 4 Uztur sesijas stāvokli 2 gadi
_gid Google Analytics Atšķir lietotājus (24 h) 24 stundas
_pk_id.* Matomo Apmeklētāja ID 13 mēneši
_pk_ses.* Matomo Sesijas izsekošana 30 minūtes
_hjSessionUser_* Hotjar Lietotāja identifikators 1 gads

Ņemiet vērā, ka Google Analytics sīkdatnes pēc būtības ir trešās puses sīkdatnes, lai gan tās var parādīties kā pirmās puses sīkdatnes — jo Google apstrādā datus savos serveros un var tos izmantot saviem mērķiem. Šī atšķirība ir bijusi būtiska vairākās Eiropas izpildes darbībās.

3. Mārketinga / reklāmas sīkdatnes

Šīs sīkdatnes izseko apmeklētājus dažādās vietnēs, lai izveidotu viņu pārlūkošanas uzvedības profilu. Šis profils tiek izmantots mērķtiecīgas reklāmas piegādei, reklāmas kampaņu efektivitātes mērīšanai un tam, lai ierobežotu, cik reižu lietotājs redz konkrētu reklāmu.

Nepieciešama piekrišana: Vienmēr. Reklāmas sīkdatnēm nav neviena izņēmuma nevienā ePrivacy direktīvas vai GDPR interpretācijā.

Izplatītas mārketinga sīkdatnes:

Sīkdatne Pakalpojums Mērķis Noklusējuma darbības laiks
_fbp Meta (Facebook) Izseko apmeklējumus reklāmas mērķauditorijai 3 mēneši
_gcl_au Google Ads Konversiju izsekošana 3 mēneši
IDE Google DoubleClick Atkārtota mērķauditorija un reklāmas piegāde 13 mēneši
_uetsid Microsoft Advertising Konversiju izsekošana 1 diena
li_fat_id LinkedIn Netiešs dalībnieka identifikators 30 dienas

Mārketinga sīkdatnes gandrīz vienmēr ir trešās puses sīkdatnes. Tās rada vislielāko privātuma risku un ir visstingrāk regulētā kategorija. Jebkurš piekrišanas mehānisms, kas padara mārketinga sīkdatņu pieņemšanu vieglāku par to noraidīšanu, riskē ar regulatora rīcību.

4. Iestatījumu / funkcionalitātes sīkdatnes

Šīs sīkdatnes nodrošina uzlabotu funkcionalitāti un personalizāciju, kas pārsniedz obligāti nepieciešamo. Tās iegaumē lietotāja izdarītās izvēles, taču nav nepieciešamas pamatpakalpojuma darbībai.

Nepieciešama piekrišana: Jā, lai gan riska līmenis ir zemāks nekā analītikas vai mārketinga sīkdatnēm. Daži regulatori pret iestatījumu sīkdatnēm izturas iecietīgāk, taču juridiskā nostāja ir tāda, ka piekrišana joprojām ir nepieciešama.

Piemēri:

  • Valodas izvēle (kad vietne darbojas arī bez tās, vienkārši izmantojot noklusējuma valodu)
  • Reģiona vai valūtas izvēle
  • Lietotājvārda automātiska aizpildīšana pieteikšanās formās
  • Video atskaņotāja iestatījumi (skaļums, kvalitāte)
  • Tērzēšanas logrīka stāvoklis (atvērts/aizvērts, sarunu vēsture)
  • Fonta lieluma vai pieejamības iestatījumi

Atšķirība starp "obligāti nepieciešamu" un "iestatījumu" var būt smalka. Valodas sīkdatne vienas valodas vietnē ir bezjēdzīga. Valodas sīkdatne daudzvalodu vietnē, kas bez tās izmanto funkcionējošu noklusējuma valodu, ir iestatījums. Valodas sīkdatni vietnē, kas bez tās nemaz nevar darboties — jo saturs neielādējas bez valodas izvēles — varētu uzskatīt par obligāti nepieciešamu. Konteksts ir svarīgs.

Kā pareizi kategorizēt savas sīkdatnes

Katrai jūsu vietnes sīkdatnei ievērojiet šo procesu:

  1. Identificējiet sīkdatni. Kāds ir tās nosaukums, kurš to iestata (pirmā puse vai trešā puse) un cik ilgi tā pastāv?
  2. Nosakiet tās mērķi. Kāpēc šī sīkdatne pastāv? Kas notiek, ja tā tiek noņemta?
  3. Piemērojiet obligāti nepieciešamā kritēriju. Vai šī sīkdatne ir būtiska funkcijai, ko lietotājs tieši pieprasīja? Ja lietotājs lūdza pieteikties, sesijas sīkdatne ir nepieciešama. Ja jūs vēlaties izsekot viņa uzvedību, tā ir jūsu, nevis viņa vajadzība.
  4. Piešķiriet kategoriju. Ja tā nav obligāti nepieciešama, klasificējiet to pēc tās galvenā mērķa: analītika, mārketings vai iestatījumi.
  5. Dokumentējiet savu argumentāciju. Katrai sīkdatnei pierakstiet, kāpēc jūs to kategorizējāt tieši tā. Šī dokumentācija ir vērtīga, ja regulators kādreiz to pieprasīs.

Izplatītas kategorizācijas kļūdas

Balstoties uz regulatoru izpildes darbībām un auditu atzinumiem, šīs ir visizplatītākās kļūdas:

  • Google Analytics klasificēšana par obligāti nepieciešamu. Šī ir absolūti visizplatītākā kļūda. GA ir analītikas rīks. Tas nekad nav obligāti nepieciešams pakalpojuma sniegšanai lietotājam. Vairākas datu aizsardzības iestādes uz to ir īpaši norādījušas.
  • Visu trešo pušu sīkdatņu ievietošana kategorijā "funkcionalitāte". Iegulti YouTube video, sociālās kopīgošanas pogas un tērzēšanas logrīki nav obligāti nepieciešami, un to sīkdatnes parasti kalpo analītikas vai mārketinga mērķiem, kas pārsniedz redzamo funkcionalitāti.
  • Spraudņu un integrāciju iestatīto sīkdatņu ignorēšana. WordPress vietne ar 20 spraudņiem var iestatīt desmitiem sīkdatņu, par kurām vietnes operators pat nezina. Jūs joprojām esat atbildīgs par tām visām.
  • Mārketinga sīkdatņu uzskatīšana par analītikas sīkdatnēm. Facebook Pixel un Google Ads konversiju izsekošana ir mārketinga, nevis analītikas sīkdatnes — to galvenais mērķis ir reklāma, pat ja datus izmantojat analītiski.
  • A/B testēšanas sīkdatņu nepareiza kategorizēšana. Tādi rīki kā Optimizely un VWO iestata sīkdatnes, lai lietotājus iedalītu testa grupās. Tās nav obligāti nepieciešamas, un tās jākategorizē kā analītikas vai iestatījumu sīkdatnes.

Automatizējiet procesu

Manuāli sīkdatņu auditi ir laikietilpīgi un pakļauti kļūdām. Vietnes nepārtraukti mainās — jauns spraudnis, atjaunināts skripts, mārketinga komanda, kas pievieno izsekošanas pikseli — un katras izmaiņas var ieviest jaunas sīkdatnes, kas jākategorizē.

Passiro automātiski skenē un kategorizē visas jūsu vietnes sīkdatnes, atklāj jaunas sīkdatnes, kad tās parādās, un atzīmē iespējamu nepareizu kategorizāciju. Tas nodrošina, ka jūsu sīkdatņu piekrišanas mehānisms vienmēr atspoguļo faktiskās sīkdatnes, ko izmanto jūsu vietne — nevis tikai tās, par kurām zinājāt, pēdējoreiz pārbaudot.

Tagad, kad izprotam kategorijas, apskatīsim, ko piekrišana sīkdatnēm patiesībā nozīmē juridiski — prasības ir konkrētākas, nekā vairums cilvēku apzinās.

Vai jūsu tīmekļa vietne atbilst sīkdatņu noteikumiem?

Skenējiet savu tīmekļa vietni bezmaksas un atrodiet visas sīkdatnes dažu minūšu laikā.

Skenēt savas sīkdatnes bezmaksas