Kontrolna lista za usklađenost s propisima o kolačićima: 25 točaka do potpune usklađenosti
Usklađenost s propisima o kolačićima obuhvaća tehničku implementaciju, pravnu dokumentaciju i kontinuirane operativne procese. Ako izostane bilo koji pojedinačni element, rezultat može biti neusklađenost, čak i ako je sve ostalo u redu. Ova strukturirana kontrolna lista od 25 točaka pokriva svaki aspekt usklađenosti s propisima o kolačićima u skladu s GDPR-om, ePrivacy Direktivom i glavnim međunarodnim zakonima o privatnosti. Koristite je i kao vodič za implementaciju i kao redoviti alat za reviziju.
Popis kolačića
Ne možete upravljati onim što niste izmjerili. Potpun i točan popis kolačića temelj je svake druge aktivnosti usklađivanja.
-
Svi kolačići identificirani i dokumentirani
Svaki kolačić koji vaše web-mjesto postavlja mora biti identificiran, uključujući kolačiće koje postavljaju skripte trećih strana, ugrađeni sadržaj i dinamički učitani resursi. Koristite automatizirano skeniranje kako biste osigurali potpuni obuhvat svih stranica, a ne samo početne. Vaš popis treba uključivati HTTP kolačiće, unose u localStorage, unose u sessionStorage i sve druge mehanizme pohrane na strani klijenta koji se koriste za praćenje.
-
Svaki kolačić ispravno kategoriziran
Svaki kolačić mora biti dodijeljen ispravnoj kategoriji usklađenosti: nužni, funkcionalni, analitički/za performanse ili marketinški/za oglašavanje. Kategorizacija mora biti poštena — kolačić koji prati korisnike u svrhu oglašavanja ne može se kategorizirati kao "funkcionalni" samo zato što pruža i neku funkcionalnu korist. Kad ste u nedoumici, primijenite strožu kategoriju. Nadzorna tijela za zaštitu podataka (DPA) pomno provjeravaju kategorizaciju, a pogrešna kategorizacija jedan je od najčešćih nalaza u postupcima izvršenja.
-
Kolačići trećih strana identificirani zajedno s pružateljima
Za svaki kolačić treće strane na vašem web-mjestu dokumentirajte koja ga usluga postavlja, zašto se nalazi na vašem web-mjestu te koje podatke prikuplja ili dijeli. Uobičajeni izvori kolačića trećih strana uključuju analitičke platforme (Google Analytics, Adobe Analytics), oglašivačke mreže (Google Ads, Meta Pixel, LinkedIn Insight Tag), widgete društvenih mreža, ugrađene videozapise (YouTube, Vimeo), alate za chat (Intercom, Drift) i platforme za A/B testiranje (Optimizely, VWO). Svaki pružatelj treće strane treba imati sklopljen ugovor o obradi podataka.
-
Trajanje kolačića dokumentirano
Zabilježite razdoblje isteka za svaki kolačić. Kolačići sesije istječu kad se preglednik zatvori. Trajni kolačići imaju definirano vrijeme trajanja koje mora biti dokumentirano (npr. 30 dana, 1 godina, 2 godine). U skladu s načelima GDPR-a o smanjenju količine podataka i ograničenju pohrane, trajanje kolačića treba biti razmjerno njihovoj svrsi. Analitički kolačić koji traje 10 godina teško bi bilo opravdati. CNIL preporučuje najviše 13 mjeseci za analitičke kolačiće.
-
Svrhe kolačića dokumentirane jednostavnim jezikom
Svrha svakog kolačića mora biti opisana jezikom koji tipičan posjetitelj web-mjesta može razumjeti. "Ovaj kolačić pohranjuje jedinstveni identifikator radi praćenja vaše aktivnosti pregledavanja na našem web-mjestu u svrhu web-analitike" jasno je. "
_ga: Koristi ga Google Analytics za razlikovanje korisnika" nije dovoljno za većinu korisnika. Opis svrhe trebao bi odgovoriti na pitanje: "Što ovaj kolačić radi i zašto bih ga trebao dopustiti?"
Mehanizam privole
Mehanizam privole mjesto je gdje se pravni zahtjevi susreću s tehničkom implementacijom. Pravilna izvedba ovoga najkritičniji je — i najčešće propušteni — aspekt usklađenosti s propisima o kolačićima.
-
Privola pribavljena PRIJE postavljanja nenužnih kolačića
Ovo je pojedinačno najvažniji tehnički zahtjev. Nijedan analitički, oglašivački ili drugi nenužni kolačić ne smije se postaviti dok korisnik nije dao izričitu privolu. To znači da skripte trećih strana moraju biti blokirane u učitavanju dok se privola ne primi. Jednostavno brisanje kolačića naknadno nije usklađeno — ePrivacy Direktiva zahtijeva privolu prije pohrane, a ne retroaktivno uklanjanje. Testirajte to posjetom svom web-mjestu u anonimnom prozoru i provjerom koji se kolačići postavljaju prije interakcije s bannerom.
-
Skripte blokirane dok se ne da privola
Blokiranje kolačića nije dovoljno — skripte koje ih postavljaju moraju biti spriječene u izvršavanju. Skripta koja se učita i izvrši, ali je spriječena u zapisivanju kolačića, i dalje može prikupljati i prenositi podatke (putem piksela, signalizatora ili API poziva). Vaše upravljanje privolama mora spriječiti učitavanje same skripte dok se ne prihvati odgovarajuća kategorija privole. Uobičajeni pristupi implementaciji uključuju promjenu atributa
typeoznaka skripti (npr. iztext/javascriptutext/plain) i dinamičko ubacivanje skripti nakon privole. -
Gumbi za prihvaćanje i odbijanje jednako istaknuti
Mogućnost odbijanja nenužnih kolačića mora biti prikazana jednako istaknuto kao i mogućnost njihova prihvaćanja. To znači isti vizualni tretman: istu veličinu, istu težinu boje, isti sloj sučelja. Veliki zeleni gumb "Prihvati sve" pored malene sive poveznice "Upravljaj postavkama" ne predstavlja jednaku istaknutost. CNIL, Garante i brojna druga nadzorna tijela izrekla su kazne upravo zbog ovog problema. Obje mogućnosti trebale bi biti na prvom sloju bannera za kolačiće bez potrebe za dodatnim klikovima.
-
Dostupna granularna privola na razini kategorije
Korisnici moraju moći dati privolu za specifične kategorije kolačića neovisno. Prihvaćanje analitičkih kolačića ne bi trebalo zahtijevati i prihvaćanje oglašivačkih kolačića. Osigurajte barem zasebne prekidače za: nužne (uvijek uključeno, bez mogućnosti isključivanja), funkcionalne, analitičke/za performanse te marketinške/za oglašavanje. Ako koristite kolačiće za više različitih svrha unutar jedne kategorije, razmislite o još granularnijim opcijama.
-
Bez unaprijed označenih potvrdnih okvira
Kad korisnik otvori detaljne postavke kolačića, sve neobavezne kategorije moraju biti neoznačene prema zadanim postavkama. Samo nužni kolačići (koji ne zahtijevaju privolu) mogu biti unaprijed omogućeni. Sud EU-a potvrdio je u presudi Planet49 (predmet C-673/17) da unaprijed označeni potvrdni okviri ne predstavljaju valjanu privolu. To vrijedi bez obzira na to može li ih korisnik odznačiti — zadano stanje mora biti odjava (opt-out), uz potrebu za izričitom radnjom za prijavu (opt-in).
-
Povlačenje privole jednako jednostavno kao i njezino davanje
Članak 7. stavak 3. GDPR-a zahtijeva da povlačenje privole mora biti jednako jednostavno kao i njezino davanje. Ako korisnik može prihvatiti kolačiće jednim klikom na banner, mora moći povući privolu jednako jednostavno. Najbolja je praksa trajna, uvijek vidljiva poveznica ili ikona (npr. u podnožju ili kao plutajući gumb) koja otvara centar za upravljanje postavkama kolačića gdje korisnik može izmijeniti ili opozvati svoje odabire. Zahtijevanje od korisnika da izbriše kolačiće preglednika, dođe do skrivene stranice s postavkama ili kontaktira podršku ne zadovoljava ovaj standard.
-
Evidencije privola pohranjene s vremenskim oznakama
Morate moći dokazati da je privola dana. Pohranite zapis o svakoj radnji davanja privole uključujući: vremensku oznaku, dane odabire privole (koje su kategorije prihvaćene/odbijene), verziju bannera i pravila o kolačićima koja su bila na snazi u to vrijeme te jedinstveni identifikator privole (koji za anonimne posjetitelje nije nužno povezan s korisničkim računom). U skladu s načelom pouzdanosti (accountability) GDPR-a, teret dokazivanja privole leži na voditelju obrade. Ako ne možete predočiti dokaz da je određeni korisnik dao privolu, njegova je privola zapravo nedokazana.
Pravila o kolačićima
Vaša pravila o kolačićima ujedno su pravni dokument i alat za transparentnost. Moraju biti točna, potpuna i razumljiva.
-
Pravila o kolačićima postoje i dostupna su
Namjenska pravila o kolačićima (ili jasan odjeljak o kolačićima unutar vaše politike privatnosti) moraju postojati i biti lako pronalaziva. Najbolja je praksa namjenska stranica povezana iz podnožja web-mjesta, bannera za kolačiće i glavne politike privatnosti. Pravila moraju biti dostupna bez prihvaćanja kolačića — korisnici bi trebali moći pročitati ih prije donošenja odluke o privoli.
-
Svi kolačići navedeni s nazivima, svrhama, vrstama i trajanjem
Vaša pravila o kolačićima moraju uključivati tablicu ili strukturirani popis svakog kolačića koji vaše web-mjesto postavlja, uključujući: naziv kolačića, tko ga postavlja (prva strana ili pružatelj treće strane), što radi (jednostavnim jezikom), radi li se o kolačiću sesije ili trajnom kolačiću te koliko dugo traje. To nije neobavezno — riječ je o izričitom zahtjevu prema odredbama o transparentnosti GDPR-a (članci 12.-14.) i zahtjevu za informiranom privolom iz ePrivacy Direktive.
-
Pružatelji trećih strana identificirani
Vaša pravila moraju navesti usluge trećih strana koje postavljaju kolačiće na vašem web-mjestu. "Koristimo analitičke kolačiće trećih strana" nije dovoljno. "Koristimo Google Analytics (Google LLC), koji postavlja sljedeće kolačiće:
_ga,_gid,_gat" jest. Korisnici imaju pravo znati tko prikuplja podatke o njima i donositi informirane odluke o svakom pružatelju. -
Uključene upute za upravljanje kolačićima
Vaša pravila trebaju objasniti kako korisnici mogu upravljati svojim postavkama kolačića, uključujući: kako pristupiti vašem centru za upravljanje postavkama kolačića radi promjene odabira privole, kako izbrisati postojeće kolačiće putem postavki preglednika te poveznice na politike privatnosti glavnih pružatelja kolačića trećih strana. Iako je upravljanje kolačićima na razini preglednika odgovornost korisnika, pružanje jasnih uputa pokazuje dobru vjeru i podupire načelo osnaživanja korisnika.
-
Pravila datirana i redovito ažurirana
Vaša pravila o kolačićima moraju uključivati datum posljednjeg ažuriranja. Kad god dodate nove kolačiće, uklonite kolačiće, promijenite pružatelje trećih strana ili izmijenite svrhe kolačića, pravila se moraju ažurirati kako bi odražavala tu promjenu. Nedatirana pravila ili ona koja nisu ažurirana više od godinu dana upozoravajući su znak za nadzorna tijela. Najbolja praksa: integrirajte rezultate skeniranja kolačića sa svojim pravilima, tako da se pravila automatski ažuriraju kad se otkriju novi kolačići.
Banner za kolačiće
Banner za kolačiće vidljivo je sučelje vašeg upravljanja privolama. Mora uravnotežiti pravnu usklađenost s upotrebljivošću.
-
Banner se prikazuje pri prvom posjetu prije postavljanja kolačića
Banner za kolačiće mora se pojaviti prvi put kad korisnik posjeti vaše web-mjesto, prije postavljanja bilo kojeg nenužnog kolačića. Banner treba biti odmah vidljiv bez pomicanja stranice, ne bi ga trebalo biti moguće lako odbaciti slučajnim klikovima te bi trebao ostati prikazan dok korisnik ne napravi aktivan odabir. Banner ne smije ometati korisnikovu sposobnost napuštanja stranice ili pristupa nužnom sadržaju (iako ograničavanje pristupa sadržaju uvjetovanom privolom može biti dopušteno u nekim jurisdikcijama, sigurniji je pristup dopustiti navigaciju dok je banner prikazan).
-
Banner je pristupačan (upravljiv tipkovnicom, kompatibilan s čitačima zaslona)
Vaš banner za kolačiće mora i sam biti pristupačan. To znači: svi interaktivni elementi (gumbi, prekidači, poveznice) moraju biti dostupni i upravljivi tipkovnicom; banner mora biti pravilno najavljen čitačima zaslona s odgovarajućim ARIA atributima; fokus mora biti ispravno upravljan (fokus se treba pomaknuti na banner kad se pojavi i vratiti na stranicu kad se odbaci); kontrast boja mora zadovoljavati standarde WCAG 2.1 AA (4,5:1 za normalan tekst, 3:1 za velik tekst); a banner mora biti upotrebljiv pri različitim razinama zumiranja i veličinama zaslona. Nepristupačan banner za kolačiće ujedno je pravni rizik (neuspjeh u usklađenosti s WCAG-om) i reputacijski rizik za svaku organizaciju koja tvrdi da joj je stalo do privatnosti i uključivosti.
-
Banner sadrži poveznicu na potpuna pravila o kolačićima
Banner za kolačiće mora sadržavati poveznicu na vaša potpuna pravila o kolačićima, omogućujući korisnicima da pročitaju detaljne informacije o svakom kolačiću prije donošenja odluke o privoli. Poveznica treba biti jasno vidljiva i označena (npr. "Pročitajte naša pravila o kolačićima" ili "Saznajte više"). GDPR zahtijeva da privola bude "informirana", što znači da informacije potrebne za donošenje informirane odluke moraju biti dostupne u trenutku davanja privole.
-
Banner ne koristi obmanjujuće obrasce (dark patterns)
Obmanjujući obrasci u bannerima za kolačiće narušavaju valjanost privole. Izbjegavajte: vizualno isticanje gumba za prihvaćanje (veći, svjetliji, istaknutiji) uz istovremeno prikrivanje ili skrivanje mogućnosti odbijanja; korištenje zbunjujućeg jezika ("Prihvati preporučene postavke" umjesto jasnih opcija); zahtijevanje više klikova za odbijanje nego za prihvaćanje; korištenje kodiranja bojama koje sugerira da je odbijanje pogrešno (crvena za odbijanje, zelena za prihvaćanje); primjenu jezika "postiđivanja pri potvrdi" ("Ne, nije me briga za moje iskustvo"); i bilo kakav drugi dizajn koji navodi, manipulira ili zavarava korisnike prema prihvaćanju. Smjernice EDPB-a o obmanjujućim obrascima (usvojene u veljači 2023.) pružaju detaljne primjere zabranjenih praksi.
Tehnički i kontinuirani aspekti
Usklađenost s propisima o kolačićima nije projekt s datumom dovršetka. Riječ je o kontinuiranom operativnom procesu.
-
Implementiran Google Consent Mode v2 (ako koristite Google usluge)
Ako koristite bilo koje Google usluge (Analytics, Ads, Tag Manager), Google Consent Mode v2 obavezan je od ožujka 2024. za prikazivanje oglasa u EGP-u. Consent Mode prenosi Googleovim oznakama odabire privole vaših korisnika za kolačiće, prilagođavajući njihovo ponašanje na temelju statusa privole. Bez Consent Modea, Googleove oznake možda neće ispravno funkcionirati s vašom platformom za upravljanje privolama, što dovodi ili do gubitka podataka (potpuno blokirane oznake) ili do kršenja usklađenosti (oznake koje se aktiviraju bez privole). Implementirajte parametre privole
ad_storageianalytics_storagete osigurajte da su prema zadanim postavkama postavljeni na "odbijeno" (denied) dok se ne da privola. -
Zakazano redovito skeniranje kolačića
Postavite automatizirano skeniranje kolačića prema ponavljajućem rasporedu. Skenirajte barem mjesečno. U idealnom slučaju integrirajte skeniranje u svoj procjenu implementacije (deployment pipeline) kako bi se svako izdanje automatski skeniralo. Konfigurirajte upozorenja za nove ili promijenjene kolačiće kako bi ih vaš tim mogao brzo procijeniti i kategorizirati. Skeniranje koje se izvršava, ali nikad ne pregledava, ne donosi nikakvu korist za usklađenost.
-
Proces za pregled novih skripti trećih strana
Uspostavite formalni proces koji se mora slijediti prije nego što se bilo koja nova skripta, dodatak ili usluga treće strane doda na vaše web-mjesto. Proces treba uključivati: identificiranje kolačića koje skripta postavlja, kategorizaciju tih kolačića, ažuriranje konfiguracije upravljanja privolama kako bi ih uključila, ažuriranje pravila o kolačićima te provjeru da je skripta ispravno blokirana dok se ne da odgovarajuća privola. Ovaj proces treba uključivati i tehnički (razvojni) i pregled usklađenosti (pravni/privatnost). Najčešći uzrok neuspjeha u usklađenosti s propisima o kolačićima jesu nove skripte dodane na web-mjesto bez prolaska kroz pregled privatnosti.
-
Osoblje obučeno o usklađenosti s propisima o kolačićima
Svi uključeni u vaše web-mjesto — programeri, marketinški stručnjaci, kreatori sadržaja i menadžeri — trebali bi razumjeti osnove usklađenosti s propisima o kolačićima i svoju ulogu u njezinu održavanju. Programeri trebaju znati kako dodavati skripte na način svjestan privole. Marketinški stručnjaci trebaju razumjeti da dodavanje novog piksela za praćenje zahtijeva pregled usklađenosti. Kreatori sadržaja trebaju znati da ugradnja YouTube videozapisa uvodi kolačiće trećih strana. Obuka ne mora biti opsežna, ali mora obuhvatiti ključno načelo: nema novog praćenja bez pregleda. Jedan neobučeni član tima koji doda marketinšku skriptu bez prolaska kroz proces pregleda može poništiti mjesece rada na usklađenosti.
Korištenje ove kontrolne liste
Ova je kontrolna lista osmišljena za korištenje na tri načina:
- Početna implementacija: Prođite kroz svih 25 točaka redom kada prvi put postavljate usklađenost s propisima o kolačićima. Nemojte preskakati točke ili ih ostavljati za kasnije — djelomična usklađenost i dalje je neusklađenost.
- Redovita revizija: Pregledajte kontrolnu listu tromjesečno kako biste provjerili jesu li sve točke i dalje ispunjene. Posebnu pozornost obratite na kontinuirane stavke (točke 22.-25.), jer je najvjerojatnije da će one s vremenom odstupiti.
- Nakon promjena: Kad god vaše web-mjesto prođe kroz značajnu promjenu (nove značajke, nove usluge trećih strana, redizajn, migracija CMS-a), prođite kroz relevantne odjeljke kontrolne liste kako biste provjerili da se usklađenost održava.
Usklađenost s propisima o kolačićima je ostvariva. Zahtijeva pažnju i proces, ali nijedan pojedinačni zahtjev nije nerazumno težak. Organizacije koje se muče obično su one koje usklađenost tretiraju kao jednokratni projekt, a ne kao kontinuirano operativno pitanje. Ugradite je u svoj radni tijek, dodijelite jasno vlasništvo i koristite ovu kontrolnu listu kao svoj ponavljajući alat za provjeru.
Je li vaša web stranica usklađena s propisima o kolačićima?
Besplatno skenirajte svoju web stranicu i pronađite sve kolačiće u nekoliko minuta.
Besplatno skenirajte svoje kolačiće