Cum să redactezi o politică de cookie-uri: ghid pas cu pas
O politică de cookie-uri valorează exact cât acuratețea și claritatea sa. Acest ghid te conduce prin procesul de creare a unei politici de cookie-uri care respectă cerințele legale, servește utilizatorilor tăi și rămâne exactă în timp. Urmează acești nouă pași pentru a obține o politică cuprinzătoare, transparentă și ușor de întreținut.
Pasul 1: Auditează-ți cookie-urile
Înainte de a putea scrie despre cookie-urile tale, trebuie să știi exact ce cookie-uri instalează site-ul tău. Aceasta este baza întregii politici — și pasul pe care majoritatea organizațiilor îl greșesc.
Un audit riguros al cookie-urilor presupune:
- Scanarea fiecărei pagini. Cookie-urile pot varia de la o pagină la alta. Pagina ta principală poate instala alte cookie-uri decât pagina de finalizare a comenzii, blogul sau paginile de cont. Un audit complet trebuie să acopere toate tipurile de pagini.
- Identificarea cookie-urilor first-party și third-party. Cookie-urile first-party sunt instalate de propriul tău domeniu. Cookie-urile third-party sunt instalate de servicii externe — platforme de analiză, rețele de publicitate, widgeturi de social media, videoclipuri încorporate, widgeturi de chat, procesatori de plăți și altele.
- Identificarea stocării non-cookie. Site-urile moderne folosesc și localStorage, sessionStorage, IndexedDB și taguri pixel. O politică cuprinzătoare acoperă toate mecanismele de stocare pe partea clientului, nu doar cookie-urile HTTP.
- Testarea cu și fără consimțământ. Unele cookie-uri sunt instalate indiferent de consimțământ (cookie-uri strict necesare). Altele ar trebui să apară doar după acordarea consimțământului. Auditul tău trebuie să verifice că cookie-urile neesențiale sunt cu adevărat blocate până la acordarea consimțământului.
Auditurile manuale sunt nesigure. Deschiderea manuală a instrumentelor pentru dezvoltatori din browser pe câteva pagini va rata cookie-urile instalate de scripturi terțe care se încarcă asincron, cookie-urile instalate doar la anumite acțiuni ale utilizatorului și cookie-urile care apar doar la vizitele ulterioare. Folosește instrumente automate de scanare pentru o imagine completă.
Scanerul automat de cookie-uri de la Passiro parcurge întregul tău site, identifică fiecare cookie și mecanism de stocare și oferă un raport categorizat — punctul de plecare ideal pentru politica ta.
Pasul 2: Categorizează fiecare cookie
Odată ce ai o listă completă a cookie-urilor, organizează-le pe categorii standard. Cea mai larg acceptată categorizare, folosită de IAB Transparency and Consent Framework și recomandată de majoritatea autorităților de protecție a datelor, este:
Strict necesare
Cookie-uri fără de care site-ul nu poate funcționa. Exemple: cookie-uri de sesiune pentru starea de autentificare, cookie-uri pentru coșul de cumpărături, tokenuri de protecție CSRF, cookie-uri de load balancer, cookie-uri pentru preferințele de consimțământ. Acestea sunt exceptate de la cerința consimțământului conform Articolului 5(3) din Directiva ePrivacy, dar trebuie totuși să le declari în politica ta.
Preferințe / Funcționale
Cookie-uri care activează funcționalități îmbunătățite și personalizare. Exemple: selectarea limbii, preferința de regiune/monedă, setările de dimensiune a fontului, articolele vizualizate recent. Acestea nu sunt strict necesare — site-ul ar funcționa și fără ele — dar îmbunătățesc experiența utilizatorului. Necesită consimțământ.
Analiză / Statistici
Cookie-uri folosite pentru colectarea de date despre modul în care vizitatorii interacționează cu site-ul. Exemple: cookie-uri Google Analytics (_ga, _gid), cookie-uri de sesiune Hotjar, Plausible Analytics. Acestea necesită consimțământ în majoritatea jurisdicțiilor UE, deși unele autorități (în special CNIL din Franța) au creat excepții limitate pentru instrumentele de măsurare a audienței care îndeplinesc condiții stricte.
Marketing / Publicitate
Cookie-uri folosite pentru publicitate direcționată, retargeting și măsurarea performanței anunțurilor. Exemple: Google Ads (_gcl_*), Meta Pixel (_fbp), LinkedIn Insight Tag, cookie-uri ale rețelelor de publicitate. Acestea necesită întotdeauna consimțământ și reprezintă categoria cea mai atent examinată.
Pentru fiecare cookie, atribuie o categorie și verifică dacă aceasta este corectă. O eroare frecventă este categorizarea cookie-urilor de analiză sau marketing drept „funcționale”, pentru a evita cerința consimțământului — este o practică neconformă și ușor de detectat de către autorități.
Pasul 3: Redactează introducerea
Politica ta de cookie-uri ar trebui să înceapă cu o scurtă introducere care acoperă:
- Cine ești. Entitatea juridică ce operează site-ul (numele companiei, adresa înregistrată).
- Ce acoperă acest document. „Această politică de cookie-uri explică modul în care [Numele companiei] utilizează cookie-uri și tehnologii similare pe [adresa site-ului].”
- Când a fost actualizată ultima dată. Include o dată vizibilă.
- Cum poți fi contactat. Oferă o adresă de e-mail de contact și, dacă este cazul, datele Responsabilului cu protecția datelor.
Menține introducerea la două sau trei propoziții. Utilizatorii sunt aici pentru informații specifice, nu pentru un preambul corporativ.
Pasul 4: Explică ce sunt cookie-urile
Include o explicație scurtă, non-tehnică, despre ce sunt cookie-urile. Mulți dintre vizitatorii tăi nu vor ști. O explicație bună sună astfel:
Cookie-urile sunt fișiere text de mici dimensiuni care se stochează pe dispozitivul tău (computer, tabletă sau telefon) atunci când vizitezi un site web. Sunt utilizate pe scară largă pentru ca site-urile să funcționeze, pentru a le îmbunătăți eficiența și pentru a furniza informații proprietarilor de site-uri. Cookie-urile instalate de site-ul pe care îl vizitezi se numesc „cookie-uri first-party”. Cookie-urile instalate de alte companii (de exemplu, servicii de analiză sau publicitate) se numesc „cookie-uri third-party”.
Dacă site-ul tău folosește tehnologii dincolo de cookie-urile HTTP — precum localStorage, taguri pixel sau fingerprinting — menționează-le și pe acestea. „În această politică, folosim termenul «cookie-uri» pentru a ne referi la cookie-uri și tehnologii similare, cu excepția cazului în care se specifică altfel.”
Pasul 5: Enumeră cookie-urile într-un format tabelar
Prezintă cookie-urile într-un tabel structurat, organizat pe categorii. Pentru fiecare cookie, include:
| Câmp | Descriere | Exemplu |
|---|---|---|
| Nume | Numele tehnic al cookie-ului | _ga |
| Furnizor | Cine instalează acest cookie | Google Analytics (google.com) |
| Scop | Ce face cookie-ul, în limbaj simplu | Generează un ID unic pentru a înregistra date statistice despre modul în care folosești site-ul |
| Tip | First-party sau third-party; cookie HTTP, localStorage etc. | Cookie HTTP third-party |
| Durată | Cât timp persistă cookie-ul | 2 ani |
Iată un exemplu de tabel bine structurat pentru categoria de analiză:
| Nume cookie | Furnizor | Scop | Tip | Durată |
|---|---|---|---|---|
_ga |
Google Analytics | Atribuie un ID unic pentru a distinge vizitatorii și a compila rapoarte statistice | Third-party | 2 ani |
_gid |
Google Analytics | Atribuie un ID unic pentru fiecare sesiune de navigare pentru a compila rapoarte statistice | Third-party | 24 de ore |
_gat_UA-* |
Google Analytics | Limitează rata de colectare a datelor pe site-urile cu trafic ridicat | Third-party | 1 minut |
Repetă acest tabel pentru fiecare categorie: Strict necesare, Preferințe, Analiză și Marketing.
Pasul 6: Descrie fiecare categorie
Înaintea fiecărui tabel de cookie-uri, oferă o scurtă descriere a categoriei:
- Ce fac cookie-urile din această categorie — la modul general.
- Dacă este necesar consimțământul — cookie-urile strict necesare nu necesită consimțământ; toate celelalte necesită.
- Ce se întâmplă dacă utilizatorul refuză — „Dacă refuzi cookie-urile de analiză, nu vom colecta date despre vizitele tale. Site-ul va funcționa normal.”
Aceste informații contextuale ajută utilizatorii să ia decizii în cunoștință de cauză și îndeplinesc cerințele de transparență ale GDPR.
Pasul 7: Explică modul în care utilizatorii pot controla cookie-urile
Această secțiune trebuie să acopere două mecanisme de control:
Prin bannerul tău de consimțământ
Explică faptul că utilizatorii își pot gestiona oricând preferințele pentru cookie-uri făcând clic pe linkul sau pictograma de setări. Descrie unde le pot găsi (de ex. „Fă clic pe pictograma cookie din colțul din stânga jos al oricărei pagini” sau „Fă clic pe «Setări cookie» în subsol”). Fii specific — nu spune doar „prin bannerul nostru de cookie-uri”.
Prin setările browserului
Oferă linkuri către instrucțiunile de gestionare a cookie-urilor pentru browserele principale:
Menționează consecința: „Te rugăm să reții că dezactivarea cookie-urilor prin setările browserului poate afecta funcționalitatea acestui site și a altor site-uri pe care le vizitezi.”
Pasul 8: Adaugă informații de contact și datele DPO
Oferă informații de contact clare pentru întrebările legate de confidențialitate:
- Identitatea operatorului de date: numele companiei, adresa înregistrată, numărul de înregistrare.
- E-mail de contact pentru confidențialitate: o adresă de e-mail monitorizată (de ex. [email protected]).
- Responsabilul cu protecția datelor: dacă ai desemnat un DPO (obligatoriu pentru anumite organizații conform Articolului 37 din GDPR), oferă numele și datele de contact ale acestuia.
- Autoritatea de supraveghere: identifică autoritatea de protecție a datelor relevantă și oferă un link către mecanismul său de depunere a plângerilor. De exemplu: „Ai dreptul de a depune o plângere la [Numele autorității] la adresa [URL].”
Pasul 9: Datează politica și planifică actualizările
Include o dată clară de tipul „Ultima actualizare”. Asumă-ți să revizuiești și să actualizezi politica la intervale regulate și ori de câte ori se schimbă modul în care folosești cookie-urile.
Ia în calcul adăugarea unei declarații precum: „Revizuim periodic această politică de cookie-uri și o vom actualiza ori de câte ori este necesar. Orice modificări semnificative vor fi comunicate printr-un anunț pe site-ul nostru.”
În practică, planifică cel puțin o revizuire trimestrială. Serviciile terțe își schimbă frecvent cookie-urile, iar chiar și o actualizare minoră a unei integrări poate introduce cookie-uri noi care trebuie declarate.
Greșeli frecvente de evitat
Chiar și politicile de cookie-uri redactate cu atenție conțin adesea aceste erori:
- Descrieri vagi ale scopului. „Acest cookie îți îmbunătățește experiența” nu îi spune nimic utilizatorului. Fii specific: ce date colectează cookie-ul și pentru ce sunt folosite?
- Liste de cookie-uri neactualizate. Dacă politica ta enumeră cookie-uri de la un instrument pe care l-ai eliminat acum șase luni sau omite cookie-uri de la un instrument pe care l-ai adăugat săptămâna trecută, este inexactă. O declarație inexactă subminează transparența.
- Cookie-uri third-party lipsă. Multe organizații își enumeră propriile cookie-uri, dar uită să documenteze cookie-urile third-party instalate de conținutul încorporat (videoclipuri YouTube, butoane de social media, widgeturi de chat etc.). Acestea sunt adesea cookie-urile cele mai invazive pentru confidențialitate de pe site.
- Erori de categorizare. Clasificarea cookie-urilor de marketing sau analiză drept „funcționale” sau „necesare” pentru a evita cerința consimțământului. Autoritățile de protecție a datelor caută în mod specific acest lucru.
- Lipsa unui mecanism de modificare a preferințelor. A afirma că utilizatorii își pot gestiona preferințele, dar a nu oferi un mecanism clar descris și mereu disponibil pentru a face acest lucru.
- Copierea unui șablon fără personalizare. Șabloane generice de politici de cookie-uri care nu reflectă cookie-urile tale reale, serviciile tale reale sau prelucrarea reală a datelor. Un șablon este un punct de plecare, nu un document finalizat.
- Limbaj inaccesibil. Jargon juridic, terminologie tehnică și structuri de propoziții inutil de complexe. GDPR impune un limbaj clar și simplu. Scrie pentru un public nespecializat.
Menținerea politicii sincronizate cu cookie-urile reale
Cea mai grea parte în întreținerea unei politici de cookie-uri nu este redactarea ei — ci menținerea ei exactă. Site-urile web sunt dinamice. Echipele de marketing adaugă instrumente noi, dezvoltatorii integrează servicii noi, sistemele de management al conținutului instalează pluginuri cu capabilități de urmărire. Fiecare schimbare poate introduce cookie-uri pe care politica ta nu le menționează.
Soluția este monitorizarea automată și continuă. În loc să te bazezi pe audituri manuale (care sunt rare, incomplete și predispuse la erori), folosește un instrument de scanare care parcurge periodic site-ul, identifică toate cookie-urile active și le compară cu lista de cookie-uri declarate.
Passiro îți scanează automat site-ul, detectează cookie-urile nedeclarate și te avertizează când politica ta trebuie actualizată. Astfel, politica ta de cookie-uri reflectă întotdeauna realitatea — nu o imagine de moment de la ultima dată când cineva și-a amintit să verifice. Află mai multe despre conformitatea automată privind cookie-urile oferită de Passiro.
Site-ul tău respectă regulile privind cookie-urile?
Scanează-ți site-ul gratuit și găsește toate cookie-urile în câteva minute.
Scanează-ți cookie-urile gratuit