Politica privind cookie-urile: ce este și ce trebuie să conțină
O politică privind cookie-urile este un document care le explică vizitatorilor site-ului dumneavoastră ce cookie-uri și tehnologii de urmărire similare folosește site-ul, de ce le folosește și cum le pot controla utilizatorii. Este o cerință legală prevăzută atât de Directiva ePrivacy, cât și de GDPR, și reprezintă un pilon al prelucrării transparente a datelor.
Acest ghid explică ce este o politică privind cookie-urile, prin ce se deosebește de o politică de confidențialitate, ce trebuie să conțină conform reglementărilor actuale și cum să o mențineți exactă în timp.
Ce este o politică privind cookie-urile?
O politică privind cookie-urile este un document dedicat — fie o pagină de sine stătătoare, fie o secțiune clar identificabilă din cadrul politicii de confidențialitate — care oferă informații detaliate despre utilizarea cookie-urilor și a tehnologiilor similare (local storage, session storage, pixeli de urmărire, web beacons, fingerprinting și altele asemenea) pe site-ul dumneavoastră.
Temeiul legal care impune o politică privind cookie-urile provine din două reglementări care se întrepătrund:
- Directiva ePrivacy (2002/58/CE), Articolul 5(3) — impune ca utilizatorii să primească „informații clare și complete” despre scopurile cookie-urilor înainte de obținerea consimțământului.
- GDPR, Articolele 12-14 — impun transparență în ceea ce privește prelucrarea datelor, inclusiv ce date sunt colectate, în ce scopuri, cu cine sunt partajate și pentru cât timp sunt păstrate.
Împreună, aceste reglementări vă obligă să le comunicați utilizatorilor exact ce tehnologii de urmărire folosiți și să le oferiți un control real asupra acestor tehnologii.
Politica privind cookie-urile vs. politica de confidențialitate
O politică privind cookie-urile și o politică de confidențialitate sunt documente complementare, dar distincte. Este important să înțelegeți diferența dintre ele:
| Aspect | Politica privind cookie-urile | Politica de confidențialitate |
|---|---|---|
| Domeniu de aplicare | Specific cookie-urilor și tehnologiilor de urmărire | Toate prelucrările de date cu caracter personal (formulare, conturi, achiziții etc.) |
| Temei legal | Directiva ePrivacy + cerințele de transparență din GDPR | GDPR, Articolele 12-14 |
| Conținut principal | Denumirile cookie-urilor, scopuri, durate, tipuri, categorii, mecanisme de control | Categorii de date, temeiuri legale, drepturi, transferuri, DPO, retenție |
| Format | Pagină de sine stătătoare sau secțiune în politica de confidențialitate | Pagină de sine stătătoare (obligatorie) |
| Frecvența actualizării | Ori de câte ori se modifică cookie-urile (adăugare/eliminare de instrumente, furnizori) | Ori de câte ori se modifică practicile de prelucrare a datelor |
Puteți include politica privind cookie-urile ca secțiune în cadrul politicii de confidențialitate, dar aceasta trebuie să fie clar identificabilă și ușor accesibilă. Multe organizații mențin o pagină separată pentru politica privind cookie-urile, atât din motive de claritate, cât și pentru că informațiile despre cookie-uri pot fi destul de detaliate.
Bannerul de cookie-uri ar trebui să conțină un link către politica privind cookie-urile. Dacă informațiile despre cookie-uri sunt o secțiune din politica de confidențialitate, linkul ar trebui să ducă direct la acea secțiune — nu îi forțați pe utilizatori să parcurgă pagini întregi de informații de confidențialitate fără legătură pentru a găsi detaliile despre cookie-uri.
Cerința legală privind politica de cookie-uri
Directiva ePrivacy impune „informații clare și complete” drept precondiție pentru un consimțământ valabil. Principiul transparenței din GDPR (Articolul 5(1)(a)) și cerințele de informare (Articolele 13-14) impun în plus ca aceste informații să fie:
- Concise, transparente și inteligibile (Articolul 12(1))
- Furnizate într-un limbaj clar și simplu (Articolul 12(1))
- Ușor accesibile (Articolul 12(1))
- Furnizate gratuit (Articolul 12(5))
În termeni practici: politica privind cookie-urile trebuie redactată într-un limbaj pe care o persoană fără cunoștințe tehnice îl poate înțelege, trebuie să fie accesibilă prin link din bannerul de cookie-uri și din subsolul site-ului și trebuie să conțină informații specifice despre fiecare cookie folosit de site.
Ce trebuie să conțină o politică privind cookie-urile
Pe baza cerințelor combinate ale Directivei ePrivacy, GDPR și a orientărilor autorităților de protecție a datelor, inclusiv ICO (Regatul Unit), CNIL (Franța) și Grupul de Lucru Articolul 29, politica privind cookie-urile trebuie să includă următoarele informații:
1. Ce cookie-uri folosiți
Furnizați o listă completă a tuturor cookie-urilor și tehnologiilor similare active pe site-ul dumneavoastră. Aceasta include cookie-urile setate de propriul cod (first-party), precum și cookie-urile setate de serviciile terțe pe care le folosiți (platforme de analiză, rețele de publicitate, widgeturi de social media, conținut încorporat, chatboți etc.).
Fiecare cookie trebuie identificat prin denumire. „Folosim cookie-uri de analiză” nu este suficient — trebuie să enumerați cookie-urile specifice: _ga, _gid, _gat pentru Google Analytics, de exemplu.
2. Scopul fiecărui cookie
Pentru fiecare cookie sau grup de cookie-uri asociate, explicați într-un limbaj simplu ce face acesta. Evitați jargonul tehnic. Descrieri eficiente ale scopurilor:
- „Stochează preferințele dumneavoastră privind consimțământul pentru cookie-uri, astfel încât să nu vă întrebăm din nou la fiecare vizită.”
- „Ne ajută să numărăm câți oameni vizitează site-ul nostru și care pagini sunt cele mai populare.”
- „Ne permite să vă afișăm reclame relevante pentru interesele dumneavoastră pe alte site-uri.”
3. First-party vs. third-party
Indicați dacă fiecare cookie este setat direct de site-ul dumneavoastră (first-party) sau de un serviciu extern (third-party). Pentru cookie-urile terțe, identificați furnizorul și adăugați un link către politica sa de confidențialitate. Utilizatorii au dreptul să știe nu doar că datele lor sunt colectate, ci și de către cine.
4. Durata / expirarea
Precizați cât timp persistă fiecare cookie. Există două tipuri:
- Cookie-uri de sesiune — șterse când utilizatorul închide browserul. Precizați clar acest lucru: „Sesiune (șters când închideți browserul).”
- Cookie-uri persistente — rămân pe dispozitivul utilizatorului o perioadă determinată. Precizați durata exactă: „2 ani”, „30 de zile”, „13 luni”. Nu folosiți termeni vagi precum „pe termen lung”.
Autoritățile de protecție a datelor au analizat cu atenție duratele cookie-urilor. CNIL, de exemplu, recomandă ca cookie-urile de consimțământ (cele care stochează alegerea utilizatorului) să nu depășească 13 luni.
5. Cum să gestionați și să ștergeți cookie-urile
Explicați cum pot utilizatorii să controleze cookie-urile prin două mecanisme:
- Bannerul de consimțământ. Explicați că utilizatorii își pot modifica oricând preferințele privind cookie-urile prin setările de cookie-uri (indicați locația linkului/pictogramei de setări).
- Setările browserului. Oferiți instrucțiuni generale pentru gestionarea cookie-urilor în browserele obișnuite (Chrome, Firefox, Safari, Edge). Nu este nevoie să oferiți instrucțiuni pas cu pas, dar ar trebui să explicați că există setări de browser și să adăugați linkuri către paginile de asistență relevante pentru fiecare browser.
6. Cum să retrageți consimțământul
Articolul 7(3) din GDPR impune ca retragerea consimțământului să fie la fel de ușoară ca acordarea acestuia și ca utilizatorii să fie informați despre acest drept înainte de a-și da consimțământul. Politica privind cookie-urile trebuie să explice:
- Că utilizatorul are dreptul de a-și retrage consimțământul în orice moment.
- Cum poate face acest lucru (de obicei: apăsând pe pictograma/linkul de setări pentru cookie-uri vizibil pe fiecare pagină sau ștergând cookie-urile din setările browserului).
- Că retragerea consimțământului nu afectează legalitatea prelucrării bazate pe consimțământ înainte de retragerea acestuia.
7. Categoriile de cookie-uri
Organizați cookie-urile în categoriile standard folosite de bannerul de consimțământ. Cea mai răspândită categorizare este:
- Strict necesare — cookie-uri necesare pentru funcționarea site-ului (sesiuni de autentificare, coșuri de cumpărături, token-uri de securitate). Acestea nu necesită consimțământ conform Directivei ePrivacy.
- Preferințe / funcționale — cookie-uri care rețin alegerile utilizatorului (limbă, regiune, setări de afișare). Acestea îmbunătățesc experiența, dar nu sunt esențiale.
- Analiză / statistici — cookie-uri folosite pentru colectarea de date anonime de utilizare (vizualizări de pagini, surse de trafic, tipare de comportament al utilizatorilor).
- Marketing / publicitate — cookie-uri folosite pentru publicitate targetată, retargeting și măsurarea eficienței reclamelor.
Categoriile din politica privind cookie-urile trebuie să corespundă categoriilor din bannerul de consimțământ. Inconsecvența dintre cele două documente subminează transparența.
8. Informații de contact
Furnizați date de contact pentru întrebări legate de practicile privind cookie-urile. De obicei, acestea includ:
- Identitatea operatorului de date (denumirea firmei și sediul social)
- Adresa de e-mail pentru solicitări privind confidențialitatea
- Datele de contact ale Responsabilului cu protecția datelor (DPO), dacă ați desemnat unul
- Autoritatea de supraveghere (autoritatea de protecție a datelor competentă)
Unde să afișați politica privind cookie-urile
Politica privind cookie-urile trebuie să fie ușor accesibilă din mai multe locuri:
- Subsolul site-ului. Un link „Politica privind cookie-urile” în subsol, vizibil pe fiecare pagină. Este locația standard pe care o așteaptă utilizatorii.
- Bannerul de cookie-uri. Un link direct din bannerul de cookie-uri către politica completă. Aceasta este o cerință legală — utilizatorii trebuie să poată accesa informații detaliate din interfața de consimțământ.
- Panoul de setări/preferințe pentru cookie-uri. Al doilea nivel al interfeței de consimțământ ar trebui să conțină un link către politica privind cookie-urile pentru utilizatorii care doresc mai multe informații.
- Politica de confidențialitate. Dacă politica privind cookie-urile este un document separat, faceți trimitere la ea din politica de confidențialitate și viceversa.
Prezentarea informațiilor despre cookie-uri
Cel mai eficient și transparent format pentru prezentarea cookie-urilor individuale este un tabel. Autoritățile de protecție a datelor, inclusiv ICO, recomandă acest format:
| Denumirea cookie-ului | Furnizor | Scop | Tip | Durată |
|---|---|---|---|---|
_ga |
Google Analytics | Distinge vizitatorii unici prin atribuirea unui număr generat aleatoriu | Third-party, analiză | 2 ani |
_gid |
Google Analytics | Distinge vizitatorii unici pentru ziua curentă | Third-party, analiză | 24 de ore |
cookie_consent |
Acest site | Stochează preferințele dumneavoastră privind consimțământul pentru cookie-uri | First-party, necesar | 12 luni |
Acest format este clar, ușor de parcurs și oferă toate informațiile necesare dintr-o privire.
Cât de des trebuie actualizată
Politica privind cookie-urile trebuie să fie exactă în orice moment. Actualizați-o ori de câte ori:
- Adăugați un nou serviciu terț care setează cookie-uri (un nou instrument de analiză, o nouă platformă de marketing, un nou chatbot).
- Eliminați un serviciu care seta anterior cookie-uri.
- Un serviciu terț își modifică cookie-urile (denumiri noi, durate noi, scopuri noi).
- Modificați categoriile din bannerul de consimțământ.
- Se schimbă orientările de reglementare (cerințe noi, noi bune practici).
Includeți o dată „Ultima actualizare” la începutul sau la sfârșitul politicii privind cookie-urile. Aceasta demonstrează că politica este întreținută activ și îi ajută pe utilizatori să evalueze cât de actuală este.
Provocarea, desigur, constă în a ști când se modifică cookie-urile. Serviciile terțe își actualizează frecvent mecanismele de urmărire, iar un cookie care exista acum trei luni poate fi între timp înlocuit sau redenumit. Auditurile manuale sunt nesigure, deoarece depind de faptul că cineva își amintește să verifice.
Menținerea exactității politicii prin scanare automată
Cea mai frecventă neconformitate în politicile privind cookie-urile nu este absența informațiilor — ci informațiile inexacte. O politică ce enumeră cookie-uri pe care nu le mai folosiți sau care omite cookie-uri adăugate de o integrare recentă a unui instrument de marketing nu este conformă.
Scanarea automată a cookie-urilor rezolvă această problemă. Un scanner vizitează site-ul dumneavoastră la intervale regulate, identifică toate cookie-urile setate, le compară cu cookie-urile declarate și vă alertează cu privire la discrepanțe.
Passiro scanează automat site-ul dumneavoastră pentru cookie-uri, le clasifică și evidențiază orice cookie nedeclarat care nu este încă reflectat în politica dumneavoastră. Astfel, politica privind cookie-urile rămâne exactă fără audituri manuale. Aflați mai multe despre scanarea automată a cookie-urilor oferită de Passiro.
În această secțiune
Site-ul tău respectă regulile privind cookie-urile?
Scanează-ți site-ul gratuit și găsește toate cookie-urile în câteva minute.
Scanează-ți cookie-urile gratuit