Viri in slovar pojmov za skladnost s piškotki
Skladnost s piškotki vključuje specializiran besednjak, ki izhaja iz zakonodaje EU, prava o varstvu podatkov in spletnih tehnologij. Ta slovar opredeljuje ključne pojme, na katere boste naleteli, ki jim sledi izbrana zbirka uradnih virov in verodostojnih referenc za nadaljnji študij.
Slovar ključnih pojmov
A–C
CMP (platforma za upravljanje soglasij): Programsko orodje ali storitev, ki upravlja zbiranje, shranjevanje in uveljavljanje uporabniškega soglasja za piškotke in druge tehnologije sledenja. CMP običajno zagotavlja vmesnik pasice za piškotke, shranjuje zapise o soglasjih in nadzoruje, katere skripte se lahko izvajajo glede na odločitve uporabnika. Primeri vključujejo Cookiebot, OneTrust, Usercentrics in odprtokodne rešitve, kot je Klaro.
CNIL (Commission Nationale de l'Informatique et des Libertés): Francoski organ za varstvo podatkov. CNIL je najbolj dejaven evropski regulator na področju uveljavljanja pravil o piškotkih, saj je izdal najvišje globe, povezane s piškotki, in objavil najpodrobnejše smernice za skladnost s piškotki. Njegove interpretacije in ukrepi izvrševanja pogosto postavljajo standard, ki mu sledijo drugi organi za varstvo podatkov.
Soglasje: V kontekstu GDPR prostovoljna, specifična, informirana in nedvoumna izjava volje posameznika, na katerega se nanašajo osebni podatki, izražena z jasnim pritrdilnim dejanjem. Za piškotke to pomeni, da mora uporabnik aktivno izbrati dovolitev nebistvenih piškotkov z namernim dejanjem, kot je klik na gumb »Sprejmi«. Molk, vnaprej označena polja, nedejavnost in nadaljevanje brskanja ne predstavljajo veljavnega soglasja.
Piškotek: Majhna besedilna datoteka, ki jo spletno mesto namesti na uporabnikovo napravo. Piškotki se uporabljajo za širok nabor namenov, od ohranjanja prijavnih sej (nujno potrebni) do sledenja vedenju pri brskanju po spletu (oglaševanje). Tehnično je piškotek par ime-vrednost s pripadajočimi metapodatki, vključno z domeno, potjo, potekom in varnostnimi zastavicami.
Pasica za piškotke: Element uporabniškega vmesnika (običajno vrstica, modalno okno ali pojavno okno), ki se prikaže ob prvem obisku spletnega mesta, uporabnika obvesti o uporabi piškotkov na spletnem mestu in zahteva njegovo soglasje. Skladna pasica za piškotke zagotavlja jasne informacije, ponuja resnične izbire (sprejmi, zavrni, prilagodi) in ne nastavi nebistvenih piškotkov, dokler se uporabnik ne odzove.
Pravilnik o piškotkih: Dokument (običajno namenska spletna stran ali del pravilnika o zasebnosti), ki zagotavlja podrobne informacije o vseh piškotkih, uporabljenih na spletnem mestu, vključno z njihovimi imeni, nameni, vrstami, trajanji in tretjimi ponudniki, ki jih nastavijo. Pravilnik o piškotkih izpolnjuje obveznosti glede preglednosti iz GDPR in zahtevo direktive ePrivacy po »jasnih in razumljivih informacijah«.
Zid piškotkov: Mehanizem, ki blokira dostop do vsebine spletnega mesta, dokler uporabnik ne soglaša z vsemi piškotki. Zidovi piškotkov so sporni in njihova zakonitost se razlikuje glede na jurisdikcijo. EDPB je izjavil, da zidovi piškotkov spodkopavajo zahtevo po »prostovoljnosti« veljavnega soglasja, saj se uporabnik sooča z izbiro po načelu »vzemi ali pusti«. Nekateri nacionalni organi za varstvo podatkov (predvsem francoski Conseil d'Etat) so dovolili zidove piškotkov pod omejenimi pogoji, kadar ima uporabnik resnično alternativno sredstvo za dostop do vsebine.
D–E
Temni vzorec (dark pattern): Odločitev pri oblikovanju uporabniškega vmesnika, ki manipulira uporabnike, da sprejmejo odločitve, ki jih sicer ne bi sprejeli. V kontekstu piškotkov temni vzorci vključujejo: vizualno poudarjanje gumba »Sprejmi«, medtem ko je možnost »Zavrni« skrita, uporabo zavajajočega jezika, zahtevo po več klikih za zavrnitev kot za sprejem in uporabo taktik zbujanja slabe vesti (confirm-shaming). EDPB je februarja 2023 objavil posebne smernice o temnih vzorcih v vmesnikih za varstvo podatkov.
Upravljavec podatkov: Subjekt, ki določa namene in sredstva obdelave osebnih podatkov. Za piškotke, ki jih nastavi spletno mesto, je upravljavec podatkov običajno upravljavec spletnega mesta. Za piškotke tretjih oseb lahko obstaja skupno upravljanje med upravljavcem spletnega mesta in tretjo osebo, odvisno od stopnje, do katere vsaka stran vpliva na namene in sredstva zbiranja podatkov.
Obdelovalec podatkov: Subjekt, ki obdeluje osebne podatke v imenu upravljavca podatkov po navodilih upravljavca. Ponudnik gostovanja ali dobavitelj CMP, ki deluje izključno po navodilih upravljavca spletnega mesta, bi bil obdelovalec podatkov. Razlikovanje je pomembno, ker upravljavci nosijo primarno odgovornost za skladnost, medtem ko morajo obdelovalci upoštevati navodila upravljavca in pogoje pogodbe o obdelavi podatkov.
Posameznik, na katerega se nanašajo osebni podatki: Fizična oseba, katere osebni podatki se obdelujejo. V kontekstu piškotkov so posamezniki, na katere se nanašajo osebni podatki, obiskovalci spletnega mesta, katerih podatki se zbirajo prek piškotkov. Ti posamezniki imajo po GDPR pravice, vključno s pravico do dostopa, popravka, izbrisa, omejitve obdelave, prenosljivosti podatkov in pravico do ugovora.
DPA (organ za varstvo podatkov): Neodvisni javni organ, odgovoren za nadzor in izvrševanje prava o varstvu podatkov v vsaki državi članici EU. Organi za varstvo podatkov imajo pooblastila za preiskovanje pritožb, izvajanje presoj, izdajanje smernic in nalaganje glob. Vsaka država članica ima vsaj en tovrsten organ (Nemčija jih ima več, po enega za vsako deželo, poleg zveznega BfDI). Primeri: CNIL (Francija), Garante (Italija), ICO (Združeno kraljestvo), Datatilsynet (Danska/Norveška).
DPO (pooblaščena oseba za varstvo podatkov): Oseba, ki jo upravljavec ali obdelovalec podatkov imenuje za nadzor nad skladnostjo z GDPR. GDPR od nekaterih organizacij zahteva imenovanje DPO, vključno z javnimi organi in organizacijami, katerih glavne dejavnosti vključujejo obsežno spremljanje posameznikov. Čeprav ni neposredno povezan s piškotki, DPO običajno nadzoruje program skladnosti organizacije s piškotki.
EDPB (Evropski odbor za varstvo podatkov): Neodvisni organ EU, ki zagotavlja dosledno uporabo GDPR in spodbuja sodelovanje med nacionalnimi organi za varstvo podatkov. EDPB (ki je nadomestil delovno skupino iz člena 29) izdaja smernice, priporočila in zavezujoče odločitve. Njegove smernice o soglasju (Smernice 05/2020) in o temnih vzorcih so ključne reference za skladnost s piškotki.
Direktiva ePrivacy (Direktiva 2002/58/ES): Direktiva EU, ki ureja zasebnost v elektronskih komunikacijah, vključno z uporabo piškotkov. Člen 5(3) je glavna pravna podlaga za zahtevo po soglasju za piškotke. Kot direktiva jo mora vsaka država članica prenesti v nacionalno zakonodajo, kar vodi do razlik pri izvajanju. Nadomestiti naj bi jo Uredba ePrivacy, ki je še vedno v pogajanjih.
F–G
Lastni piškotek (first-party): Piškotek, ki ga nastavi domena, ki jo uporabnik obiskuje. Če na primer uporabnik obišče example.com in example.com nastavi piškotek, je to lastni piškotek. Lastni piškotki se običajno uporabljajo za bistvene funkcije (seje, nastavitve) in lastno analitiko. Na splošno veljajo za manj vsiljive kot piškotki tretjih oseb, saj ne morejo slediti uporabnikom po različnih spletnih mestih.
GDPR (Splošna uredba o varstvu podatkov): Uredba (EU) 2016/679, celovita zakonodaja EU o varstvu podatkov, ki velja od 25. maja 2018. GDPR določa pravni okvir za to, kaj predstavlja veljavno soglasje (za piškotke se uporablja prek sklica direktive ePrivacy), pravice posameznikov, na katere se nanašajo osebni podatki, obveznosti upravljavcev in obdelovalcev podatkov ter ureditev izvrševanja, vključno z globami do 4 % svetovnega letnega prometa ali 20 milijonov evrov.
GPC (Global Privacy Control): Signal na ravni brskalnika, ki sporoča uporabnikovo željo po zavrnitvi prodaje ali deljenja svojih osebnih podatkov. Za razliko od starejšega signala Do Not Track (DNT) ima GPC pravno podlago v okviru CCPA/CPRA in več drugih zakonov ameriških zveznih držav o zasebnosti. Ko uporabnik omogoči GPC v svojem brskalniku, ga morajo spletna mesta, za katera veljajo ti zakoni, obravnavati kot veljavno zahtevo za zavrnitev. GPC je vse bolj priznan tudi v Evropi, čeprav po pravu EU še ni pravno obvezen.
Google Consent Mode: Funkcija Googlove infrastrukture za oznake, ki prilagaja delovanje Googlovih oznak (Analytics, Ads itd.) glede na status soglasja, ki ga sporoča CMP spletnega mesta. Consent Mode v2, ki je od marca 2024 obvezen za personalizacijo oglasov v EGP, uvaja parametra ad_user_data in ad_personalization poleg obstoječih ad_storage in analytics_storage. Kadar je soglasje zavrnjeno, Googlove oznake prilagodijo svoje delovanje, da se izognejo nastavljanju piškotkov, čeprav lahko odvisno od konfiguracije še vedno pošiljajo omejene, brezpiškotkove signale (pings).
I–L
IAB TCF (Interactive Advertising Bureau Transparency and Consent Framework): Okvir, ki ga je razvila panoga za upravljanje soglasij v digitalnem oglaševalskem ekosistemu. TCF zagotavlja standardiziran način, kako platforme CMP, oglaševalci in izdajatelji sporočajo signale o soglasju v celotni oskrbovalni verigi oglaševalske tehnologije. Trenutni standard je različica 2.2. TCF se je soočil s pravnimi izzivi, zlasti z odločitvijo belgijskega organa za varstvo podatkov iz leta 2022, da obdelava niza TC s strani IAB Europe predstavlja obdelavo osebnih podatkov. Okvir se še naprej široko uporablja, vendar se njegov pravni status še razvija.
Legitimni interes: Ena od šestih zakonitih podlag za obdelavo osebnih podatkov v skladu s členom 6(1)(f) GDPR. Legitimni interes zahteva test tehtanja med interesi upravljavca ter pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki. Za piškotke je uporaba legitimnega interesa kot zakonite podlage močno sporna. Prevladujoče evropsko regulativno stališče je, da je soglasje (ne pa legitimni interes) ustrezna podlaga za nebistvene piškotke, ker direktiva ePrivacy izrecno zahteva soglasje za shranjevanje na uporabnikovi napravi.
O–P
Opt-in (privolitev): Model soglasja, pri katerem obdelava osebnih podatkov (ali nastavljanje piškotkov) ne poteka, dokler uporabnik ne sprejme pritrdilnega dejanja za dovolitev. Model EU za piškotke je opt-in: brez nebistvenih piškotkov, dokler uporabnik ne poda soglasja. Opt-in zagotavlja močnejšo zaščito zasebnosti, vendar zahteva mehanizem soglasja, preden se začne kakršno koli sledenje.
Opt-out (zavrnitev): Model soglasja, pri katerem obdelava osebnih podatkov (ali nastavljanje piškotkov) privzeto poteka, uporabnik pa mora ukrepati, da jo ustavi. Ameriški model za piškotke (v okviru CCPA in podobnih zakonov zveznih držav) je na splošno opt-out: sledenje poteka, dokler uporabnik ne ugovarja. Opt-out breme ukrepanja prenaša na uporabnika namesto na upravljavca spletnega mesta.
Trajni piškotek: Piškotek, ki ostane na uporabnikovi napravi določeno obdobje po zaprtju brskalnika. Trajni piškotki se uporabljajo za pomnjenje nastavitev, ohranjanje prijavnih sej med obiski in sledenje vedenju skozi čas. Imajo nastavljen datum poteka in ostanejo, dokler ta datum ne mine ali dokler jih uporabnik ne izbriše. Trajanje trajnih piškotkov mora biti sorazmerno z njihovim namenom.
Osebni podatki: V skladu z GDPR vse informacije, ki se nanašajo na določeno ali določljivo fizično osebo. To vključuje očitne identifikatorje (ime, e-poštni naslov) in manj očitne (naslove IP, identifikatorje piškotkov, prstne odtise naprav). Uvodna izjava 30 GDPR izrecno navaja, da lahko spletni identifikatorji, kot so identifikatorji piškotkov, predstavljajo osebne podatke. V praksi skoraj vsi piškotki, ki enolično identificirajo brskalnik ali uporabnika, štejejo za osebne podatke.
Predhodno soglasje: Soglasje, pridobljeno pred izvedbo dejanja, ki ga odobrava. Za piškotke predhodno soglasje pomeni pridobitev uporabnikovega privoljenja, preden se na njegovo napravo nastavijo kakršni koli nebistveni piškotki. To je temeljna zahteva člena 5(3) direktive ePrivacy. Nastavljanje piškotkov najprej in naknadno spraševanje po soglasju ali retroaktivno brisanje piškotkov, če je soglasje zavrnjeno, ne izpolnjuje zahteve po predhodnem soglasju.
S–T
Sejni piškotek: Piškotek, ki obstaja le za čas trajanja uporabnikove seje brskalnika in se izbriše ob zaprtju brskalnika. Sejni piškotki se pogosto uporabljajo za ohranjanje stanja prijave, vsebine nakupovalne košarice in drugih začasnih podatkov. Mnogi sejni piškotki štejejo za nujno potrebne in so zato izvzeti iz zahteve po soglasju, čeprav je to odvisno od njihovega specifičnega namena.
Nujno potreben piškotek: Piškotek, ki je bistven za delovanje spletnega mesta in za zagotavljanje storitve, ki jo uporabnik izrecno zahteva. Nujno potrebni piškotki so izvzeti iz zahteve po soglasju v skladu s členom 5(3) direktive ePrivacy. Primeri vključujejo piškotke za avtentikacijo, varnostne piškotke (žetoni CSRF), piškotke za uravnoteženje obremenitve in piškotke za nastavitve uporabniškega vmesnika, ki so bistveni za storitev. Analitični piškotki, oglaševalski piškotki in piškotki družbenih omrežij niso nujno potrebni, ne glede na to, kako koristne se zdijo upravljavcu spletnega mesta.
Piškotek tretje osebe (third-party): Piškotek, ki ga nastavi domena, ki ni tista, ki jo uporabnik obiskuje. Če na primer uporabnik obišče example.com in piškotek nastavi facebook.com (prek Facebook Pixel, vgrajenega v example.com), je Facebookov piškotek piškotek tretje osebe. Piškotki tretjih oseb se uporabljajo predvsem za sledenje med spletnimi mesti in ciljano oglaševanje. Glavni brskalniki omejujejo ali odpravljajo piškotke tretjih oseb: Safari in Firefox jih privzeto že blokirata, Chrome pa je napovedal načrte za njihovo opuščanje (čeprav se je časovnica že večkrat spremenila).
Sledilni piksel: Drobna, nevidna slika (običajno 1x1 piksel), vgrajena v spletno stran ali e-poštno sporočilo, ki ob nalaganju poroča strežniku. Čeprav tehnično ni piškotek, so sledilni piksli sorodna tehnologija sledenja, ki pogosto deluje v povezavi s piškotki za sledenje uporabnikovemu vedenju. Zanje veljajo iste zahteve po soglasju kot za piškotke v skladu z direktivo ePrivacy, ker vključujejo dostop do informacij na uporabnikovi napravi (zahteva HTTP prenaša uporabnikov naslov IP, informacije o brskalniku in vse povezane piškotke).
Uradni viri
Zakonodaja in smernice EU
- Celotno besedilo GDPR — Uredba (EU) 2016/679 na EUR-Lex
- Celotno besedilo direktive ePrivacy — Direktiva 2002/58/ES na EUR-Lex
- Sprememba direktive ePrivacy (2009) — Direktiva 2009/136/ES
- Smernice EDPB — Vse smernice, vključno s Smernicami 05/2020 o soglasju
- Javna posvetovanja EDPB — Vključno s smernicami o temnih vzorcih
Smernice nacionalnih organov za varstvo podatkov o piškotkih
- Smernice CNIL o piškotkih (Francija) — Najpodrobnejše nacionalne smernice o piškotkih, vključno z merili za izvzetje merjenja občinstva
- Smernice Garante o piškotkih (Italija) — Celovite smernice iz leta 2021 s posebnimi zahtevami za pasice
- Smernice ICO o piškotkih (Združeno kraljestvo) — Podrobne praktične smernice, kljub brexitu še vedno zelo relevantne za skladnost z EU
- Datatilsynet (Danska) — Smernice in odločitve danskega organa za varstvo podatkov
- BfDI (Nemčija) — Zvezni pooblaščenec za varstvo podatkov
Google Consent Mode
- Dokumentacija Google Consent Mode — Uradni vodnik za implementacijo
- Zahteve Google Consent Mode v2 — Zahteve EGP za Google Ads
- Nastavitev naprednega Consent Mode — Podrobnosti o tehnični implementaciji
IAB Transparency and Consent Framework
- Pregled IAB Europe TCF — Dokumentacija okvira in seznam dobaviteljev
- Specifikacije TCF 2.2 — Tehnična specifikacija za implementatorje CMP
Ameriški zakoni o zasebnosti
- Stran državnega tožilca Kalifornije o CCPA — Uradni viri CCPA/CPRA
- California Privacy Protection Agency — Predpisi in izvrševanje CPRA
- Global Privacy Control (GPC) — Specifikacija in podpora brskalnikov
Sodna praksa Sodišča EU
- Planet49 (zadeva C-673/17) — Vnaprej označena polja ne predstavljajo veljavnega soglasja
- IAB Europe TCF (zadeva C-604/22) — Niz TC predstavlja osebne podatke
Za nadaljnje branje
- W3C Tracking Preference Expression (DNT) — Ozadje Do Not Track in njegovih naslednikov
- RFC 6265: HTTP State Management Mechanism — Tehnična specifikacija za piškotke
- MDN: Uporaba piškotkov HTTP — Celovita razvijalska referenca
- Razlaga piškotkov SameSite — Razumevanje atributa SameSite in njegovega vpliva na piškotke tretjih oseb
- Google Privacy Sandbox — Googlova pobuda za nadomestitev piškotkov tretjih oseb z alternativami, ki ohranjajo zasebnost
Orodja za skladnost s piškotki
Vzdrževanje skladnosti s piškotki zahteva prava orodja. Passiro zagotavlja samodejno pregledovanje piškotkov, ki z uporabo pravega pogona brskalnika prečeše celotno vaše spletno mesto, prepozna vse piškotke in tehnologije sledenja, jih kategorizira z uporabo nenehno posodabljane zbirke podatkov ter spremlja spremembe z načrtovanimi pregledi in opozorili. V kombinaciji s platformo za upravljanje soglasij Passiro vam to omogoča celovit in vedno posodobljen pregled stanja skladnosti vašega spletnega mesta s piškotki.
Preberite več o zmogljivostih pregledovanja Passiro ali izvedite brezplačen pregled svojega spletnega mesta in preverite, katere piškotke vaše spletno mesto danes nastavlja.
Je vaše spletno mesto skladno s pravili o piškotkih?
Brezplačno skenirajte svoje spletno mesto in odkrijte vse piškotke v nekaj minutah.
Brezplačno skenirajte piškotke