Skip to main content

Kako napisati pravilnik o piškotkih: vodnik po korakih

Pravilnik o piškotkih je dober le toliko, kolikor sta točna in jasna. Ta vodnik vas popelje skozi postopek priprave pravilnika o piškotkih, ki izpolnjuje pravne zahteve, koristi vašim uporabnikom in ostane točen skozi čas. Sledite tem devetim korakom, da pripravite pravilnik, ki je celovit, pregleden in enostaven za vzdrževanje.

1. korak: opravite pregled piškotkov

Preden lahko pišete o svojih piškotkih, morate natančno vedeti, katere piškotke nastavlja vaše spletno mesto. To je temelj celotnega pravilnika — in korak, ki ga večina organizacij izvede napačno.

Temeljit pregled piškotkov vključuje:

  1. Pregled vsake strani. Piškotki se lahko med stranmi razlikujejo. Vaša domača stran lahko nastavlja drugačne piškotke kot stran za zaključek nakupa, vaš blog ali strani z uporabniškimi računi. Popoln pregled mora zajeti vse vrste strani.
  2. Zajem lastnih in tujih piškotkov. Lastne piškotke nastavlja vaša domena. Tuje piškotke nastavljajo zunanje storitve — analitične platforme, oglaševalska omrežja, vtičniki družbenih omrežij, vgrajeni videoposnetki, klepetalni vtičniki, plačilni obdelovalci in drugo.
  3. Prepoznavanje shranjevanja brez piškotkov. Sodobna spletna mesta uporabljajo tudi localStorage, sessionStorage, IndexedDB in slikovne značke. Celovit pravilnik zajema vse mehanizme shranjevanja na strani odjemalca, ne le piškotkov HTTP.
  4. Preizkušanje s privolitvijo in brez nje. Nekateri piškotki se nastavijo ne glede na privolitev (nujno potrebni piškotki). Drugi se smejo pojaviti šele po podani privolitvi. Vaš pregled naj preveri, ali so nenujni piškotki resnično blokirani do podane privolitve.

Ročni pregledi so nezanesljivi. Ročno odpiranje razvijalskih orodij brskalnika na peščici strani bo spregledalo piškotke, ki jih nastavljajo asinhrono naloženi skripti tretjih oseb, piškotke, ki se nastavijo šele ob določenih uporabniških dejanjih, in piškotke, ki se pojavijo šele ob naslednjih obiskih. Za popolno sliko uporabite avtomatizirana orodja za skeniranje.

Passirov avtomatizirani skener piškotkov pregleda vaše celotno spletno mesto, prepozna vsak piškotek in mehanizem shranjevanja ter pripravi kategorizirano poročilo — idealno izhodišče za vaš pravilnik.

2. korak: kategorizirajte vsak piškotek

Ko imate popoln seznam piškotkov, jih razvrstite v standardne kategorije. Najbolj razširjena kategorizacija, ki jo uporablja IAB Transparency and Consent Framework in jo priporoča večina organov za varstvo podatkov, je:

Nujno potrebni

Piškotki, brez katerih spletno mesto ne more delovati. Primeri: sejni piškotki za stanje prijave, piškotki za nakupovalni voziček, žetoni za zaščito pred CSRF, piškotki za izravnavo obremenitve, piškotki z nastavitvami privolitve za piškotke. Ti so izvzeti iz zahteve po privolitvi v skladu s členom 5(3) direktive ePrivacy, vendar jih morate v svojem pravilniku še vedno razkriti.

Nastavitve / funkcionalni

Piškotki, ki omogočajo izboljšano funkcionalnost in personalizacijo. Primeri: izbira jezika, nastavitev regije/valute, velikost pisave, nedavno ogledani izdelki. Ti niso nujno potrebni — spletno mesto bi delovalo tudi brez njih — vendar izboljšajo uporabniško izkušnjo. Zahtevajo privolitev.

Analitika / statistika

Piškotki, ki se uporabljajo za zbiranje podatkov o tem, kako obiskovalci uporabljajo spletno mesto. Primeri: piškotki Google Analytics (_ga, _gid), sejni piškotki Hotjar, Plausible Analytics. Ti v večini pravnih redov EU zahtevajo privolitev, čeprav so nekateri organi za varstvo podatkov (zlasti francoski CNIL) uvedli omejene izjeme za orodja za merjenje občinstva, ki izpolnjujejo stroge pogoje.

Trženje / oglaševanje

Piškotki, ki se uporabljajo za ciljano oglaševanje, ponovno trženje in merjenje uspešnosti oglasov. Primeri: Google Ads (_gcl_*), Meta Pixel (_fbp), LinkedIn Insight Tag, piškotki oglaševalskih omrežij. Ti vedno zahtevajo privolitev in so najbolj skrbno pregledovana kategorija.

Vsakemu piškotku dodelite kategorijo in preverite, ali je kategorizacija točna. Pogosta napaka je razvrščanje analitičnih ali trženjskih piškotkov med »funkcionalne«, da bi se izognili zahtevi po privolitvi — to ni skladno in regulatorji to zlahka odkrijejo.

3. korak: napišite uvod

Vaš pravilnik o piškotkih naj se začne s kratkim uvodom, ki zajema:

  • Kdo ste. Pravni subjekt, ki upravlja spletno mesto (ime podjetja, registrirani naslov).
  • Kaj ta dokument zajema. »Ta pravilnik o piškotkih pojasnjuje, kako [ime podjetja] uporablja piškotke in podobne tehnologije na [URL spletnega mesta].«
  • Kdaj je bil nazadnje posodobljen. Vključite izpostavljen datum.
  • Kako vas kontaktirati. Navedite kontaktni e-poštni naslov in po potrebi podatke o svoji pooblaščeni osebi za varstvo podatkov.

Uvod naj obsega dva ali tri stavke. Uporabniki so tukaj zaradi določenih informacij, ne zaradi korporativnega uvoda.

4. korak: pojasnite, kaj so piškotki

Vključite kratko, netehnično razlago, kaj so piškotki. Mnogi vaši obiskovalci tega ne bodo vedeli. Dobra razlaga je:

Piškotki so majhne besedilne datoteke, ki se shranijo na vašo napravo (računalnik, tablico ali telefon), ko obiščete spletno mesto. Široko se uporabljajo za delovanje spletnih mest, za izboljšanje učinkovitosti in za posredovanje informacij lastnikom spletnih mest. Piškotki, ki jih nastavlja spletno mesto, ki ga obiskujete, se imenujejo »lastni piškotki«. Piškotki, ki jih nastavljajo druga podjetja (na primer analitične ali oglaševalske storitve), se imenujejo »tuji piškotki«.

Če vaše spletno mesto uporablja tehnologije, ki presegajo piškotke HTTP — na primer localStorage, slikovne značke ali prstne odtise — omenite tudi te. »V tem pravilniku izraz 'piškotki' uporabljamo za piškotke in podobne tehnologije, razen če je navedeno drugače.«

5. korak: navedite piškotke v obliki tabele

Piškotke predstavite v strukturirani tabeli, razvrščeni po kategorijah. Za vsak piškotek vključite:

Polje Opis Primer
Ime Tehnično ime piškotka _ga
Ponudnik Kdo nastavlja ta piškotek Google Analytics (google.com)
Namen Kaj piškotek počne, v razumljivem jeziku Ustvari edinstven ID za beleženje statističnih podatkov o tem, kako uporabljate spletno mesto
Vrsta Lastni ali tuji; piškotek HTTP, localStorage itd. Tuji piškotek HTTP
Trajanje Kako dolgo piškotek ostane 2 leti

Tukaj je primer dobro strukturirane tabele piškotkov za kategorijo analitike:

Ime piškotka Ponudnik Namen Vrsta Trajanje
_ga Google Analytics Dodeli edinstven ID za razlikovanje obiskovalcev in pripravo statističnih poročil Tuji 2 leti
_gid Google Analytics Dodeli edinstven ID za vsako sejo brskanja za pripravo statističnih poročil Tuji 24 ur
_gat_UA-* Google Analytics Omejuje hitrost zbiranja podatkov na spletnih mestih z veliko prometa Tuji 1 minuta

To tabelo ponovite za vsako kategorijo: nujno potrebni, nastavitve, analitika in trženje.

6. korak: opišite vsako kategorijo

Pred vsako tabelo piškotkov navedite kratek opis kategorije:

  • Kaj počnejo piškotki v tej kategoriji — na splošno.
  • Ali je potrebna privolitev — nujno potrebni piškotki ne zahtevajo privolitve; vsi drugi jo.
  • Kaj se zgodi, če uporabnik zavrne — »Če zavrnete analitične piškotke, ne bomo zbirali podatkov o vaših obiskih. Spletno mesto bo delovalo normalno.«

Te kontekstualne informacije uporabnikom pomagajo pri sprejemanju premišljenih odločitev in izpolnjujejo zahteve GDPR glede preglednosti.

7. korak: pojasnite, kako lahko uporabniki upravljajo piškotke

Ta razdelek mora zajemati dva mehanizma za upravljanje:

Prek vaše pasice za privolitev

Pojasnite, da lahko uporabniki kadar koli upravljajo svoje nastavitve piškotkov s klikom na povezavo ali ikono za nastavitve piškotkov. Opišite, kje jo najdejo (npr. »Kliknite ikono piškotka v spodnjem levem kotu katere koli strani« ali »Kliknite 'Nastavitve piškotkov' v nogi«). Bodite natančni — ne recite le »prek naše pasice za piškotke«.

Prek nastavitev brskalnika

Navedite povezave do navodil za upravljanje piškotkov za glavne brskalnike:

Opozorite na posledico: »Upoštevajte, da lahko onemogočanje piškotkov prek nastavitev brskalnika vpliva na delovanje tega in drugih spletnih mest, ki jih obiščete.«

8. korak: dodajte kontaktne podatke in podatke o pooblaščeni osebi za varstvo podatkov

Navedite jasne kontaktne podatke za poizvedbe v zvezi z zasebnostjo:

  • Identiteta upravljavca podatkov: ime podjetja, registrirani naslov, matična številka.
  • E-poštni naslov za zasebnost: spremljan e-poštni naslov (npr. [email protected]).
  • Pooblaščena oseba za varstvo podatkov: če ste imenovali pooblaščeno osebo za varstvo podatkov (obvezno za nekatere organizacije v skladu s členom 37 GDPR), navedite njeno ime in kontaktne podatke.
  • Nadzorni organ: navedite pristojni organ za varstvo podatkov in povezavo do njegovega mehanizma za pritožbe. Na primer: »Imate pravico vložiti pritožbo pri [ime organa za varstvo podatkov] na [URL].«

9. korak: datirajte pravilnik in načrtujte posodobitve

Vključite jasen datum »Zadnja posodobitev«. Zavežite se, da boste pravilnik pregledovali in posodabljali v rednih intervalih ter vsakič, ko se spremeni vaša uporaba piškotkov.

Razmislite o dodajanju izjave, kot je: »Ta pravilnik o piškotkih redno pregledujemo in ga bomo po potrebi posodobili. O vseh pomembnih spremembah bomo obvestili prek obvestila na našem spletnem mestu.«

V praksi načrtujte vsaj četrtletni pregled. Storitve tretjih oseb pogosto spreminjajo svoje piškotke in celo manjša posodobitev integracije lahko uvede nove piškotke, ki jih je treba razkriti.

Pogoste napake, ki se jim je treba izogniti

Tudi skrbno napisani pravilniki o piškotkih pogosto vsebujejo te napake:

  • Nejasni opisi namena. »Ta piškotek izboljša vašo izkušnjo« uporabniku ne pove ničesar. Bodite natančni: katere podatke piškotek zbira in za kaj se uporablja?
  • Zastareli seznami piškotkov. Če vaš pravilnik navaja piškotke iz orodja, ki ste ga odstranili pred šestimi meseci, ali ne navaja piškotkov iz orodja, ki ste ga dodali prejšnji teden, je netočen. Netočno razkritje spodkopava preglednost.
  • Manjkajoči tuji piškotki. Mnoge organizacije navedejo svoje piškotke, pozabijo pa dokumentirati tuje piškotke, ki jih nastavlja vgrajena vsebina (videoposnetki YouTube, gumbi družbenih omrežij, klepetalni vtičniki itd.). To so pogosto najbolj vsiljivi piškotki na spletnem mestu z vidika zasebnosti.
  • Napake pri kategorizaciji. Razvrščanje trženjskih ali analitičnih piškotkov med »funkcionalne« ali »nujne«, da bi se izognili zahtevi po privolitvi. Organi za varstvo podatkov to posebej iščejo.
  • Ni mehanizma za spremembo nastavitev. Navajanje, da lahko uporabniki upravljajo svoje nastavitve, brez zagotavljanja jasno opisanega, vedno razpoložljivega mehanizma za to.
  • Kopiranje predloge brez prilagoditve. Splošne predloge pravilnikov o piškotkih, ki ne odražajo vaših dejanskih piškotkov, vaših dejanskih storitev ali vaše dejanske obdelave podatkov. Predloga je izhodišče, ne dokončan dokument.
  • Nedostopen jezik. Pravni žargon, tehnično izrazje in nepotrebno zapletene stavčne strukture. GDPR zahteva jasen in preprost jezik. Pišite za nestrokovno občinstvo.

Usklajevanje pravilnika z dejanskimi piškotki

Najtežji del vzdrževanja pravilnika o piškotkih ni njegovo pisanje — temveč ohranjanje njegove točnosti. Spletna mesta so dinamična. Trženjske ekipe dodajajo nova orodja, razvijalci integrirajo nove storitve, sistemi za upravljanje vsebin nameščajo vtičnike z zmogljivostmi sledenja. Vsaka sprememba lahko uvede piškotke, ki jih vaš pravilnik ne omenja.

Rešitev je avtomatizirano, neprekinjeno spremljanje. Namesto zanašanja na ročne preglede (ki so redki, nepopolni in nagnjeni k napakam) uporabite orodje za skeniranje, ki redno pregleduje vaše spletno mesto, prepozna vse aktivne piškotke in jih primerja z vašim razkritim seznamom piškotkov.

Passiro samodejno pregleda vaše spletno mesto, zazna nerazkrite piškotke in vas opozori, kdaj je treba pravilnik posodobiti. Tako vaš pravilnik o piškotkih vedno odraža resničnost — ne posnetka izpred zadnjič, ko se je nekdo spomnil preveriti. Spoznajte Passirovo avtomatizirano skladnost s piškotki.

Je vaše spletno mesto skladno s pravili o piškotkih?

Brezplačno skenirajte svoje spletno mesto in odkrijte vse piškotke v nekaj minutah.

Brezplačno skenirajte piškotke