Списък за проверка на съответствие относно бисквитки: 25 точки до пълно съответствие
Съответствието относно бисквитки включва техническо внедряване, правна документация и текущи оперативни процеси. Пропускането дори на един-единствен елемент може да доведе до несъответствие, дори всичко останало да е в изправност. Този структуриран списък от 25 точки обхваща всеки аспект от съответствието относно бисквитки съгласно GDPR, Директивата за електронна поверителност и основните международни закони за поверителност. Използвайте го както като ръководство за внедряване, така и като редовен инструмент за одит.
Инвентаризация на бисквитките
Не можете да управлявате това, което не сте измерили. Пълната и точна инвентаризация на бисквитките е основата на всяка друга дейност по съответствие.
-
Всички бисквитки са идентифицирани и документирани
Всяка бисквитка, която вашият уебсайт задава, трябва да бъде идентифицирана, включително бисквитки, зададени от скриптове на трети страни, вградено съдържание и динамично зареждани ресурси. Използвайте автоматизирано сканиране, за да осигурите пълно покритие на всички страници, а не само на началната. Вашата инвентаризация трябва да включва HTTP бисквитки, записи в localStorage, записи в sessionStorage и всякакви други механизми за съхранение от страна на клиента, използвани за проследяване.
-
Всяка бисквитка е категоризирана правилно
Всяка бисквитка трябва да бъде отнесена към правилната категория за съответствие: строго необходима, функционална, аналитична/за производителност или маркетингова/рекламна. Категоризацията трябва да бъде честна — бисквитка, която проследява потребители за рекламни цели, не може да бъде категоризирана като „функционална“ само защото предоставя и някаква функционална полза. При съмнение прилагайте по-строгата категория. Органите за защита на данните (DPA) внимателно проверяват категоризацията, а неправилната категоризация е една от най-често срещаните констатации при действия по правоприлагане.
-
Бисквитките на трети страни са идентифицирани заедно с доставчиците
За всяка бисквитка на трета страна на вашия сайт документирайте коя услуга я задава, защо е на сайта ви и какви данни събира или споделя. Често срещани източници на бисквитки от трети страни включват аналитични платформи (Google Analytics, Adobe Analytics), рекламни мрежи (Google Ads, Meta Pixel, LinkedIn Insight Tag), джаджи за социални мрежи, вградени видеа (YouTube, Vimeo), инструменти за чат (Intercom, Drift) и платформи за A/B тестване (Optimizely, VWO). Всеки доставчик от трета страна трябва да има сключено споразумение за обработка на данни.
-
Продължителностите на бисквитките са документирани
Запишете периода на изтичане за всяка бисквитка. Сесийните бисквитки изтичат при затваряне на браузъра. Постоянните бисквитки имат определен срок на живот, който трябва да бъде документиран (напр. 30 дни, 1 година, 2 години). Съгласно принципите на GDPR за свеждане на данните до минимум и ограничаване на съхранението, продължителностите на бисквитките трябва да са пропорционални на тяхната цел. Аналитична бисквитка, която се запазва в продължение на 10 години, би била трудна за обосноваване. CNIL препоръчва максимум 13 месеца за аналитични бисквитки.
-
Целите на бисквитките са документирани на разбираем език
Целта на всяка бисквитка трябва да бъде описана на език, който типичният посетител на уебсайта може да разбере. „Тази бисквитка съхранява уникален идентификатор за проследяване на вашата активност на сърфиране в нашия сайт с цел уеб анализ“ е ясно. „
_ga: Използва се от Google Analytics за разграничаване на потребители“ не е достатъчно за повечето потребители. Описанието на целта трябва да отговаря на въпроса: „Какво прави тази бисквитка и защо да я разреша?“
Механизъм за съгласие
Механизмът за съгласие е мястото, където правните изисквания се срещат с техническото внедряване. Правилното му изпълнение е най-критичният — и най-често провалян — аспект на съответствието относно бисквитки.
-
Съгласието се получава ПРЕДИ да бъдат зададени несъществени бисквитки
Това е единственото най-важно техническо изискване. Никакви аналитични, рекламни или други несъществени бисквитки не могат да бъдат зададени, докато потребителят не даде утвърдително съгласие. Това означава, че скриптовете на трети страни трябва да бъдат блокирани от зареждане, докато не бъде получено съгласие. Простото изтриване на бисквитки след факта не е в съответствие — Директивата за електронна поверителност изисква съгласие преди съхранението, а не ретроактивно премахване. Тествайте това, като посетите сайта си в прозорец „инкогнито“ и проверите кои бисквитки се задават, преди да взаимодействате с банера.
-
Скриптовете са блокирани, докато не бъде дадено съгласие
Блокирането на бисквитки не е достатъчно — скриптовете, които ги задават, трябва да бъдат възпрепятствани да се изпълняват. Скрипт, който се зарежда и изпълнява, но е възпрепятстван да запише бисквитка, все още може да събира и предава данни (чрез пиксели, маяци или API извиквания). Вашето управление на съгласието трябва да предотврати зареждането на самия скрипт, докато не бъде приета съответната категория съгласие. Често срещаните подходи за внедряване включват промяна на атрибута
typeна тагове за скриптове (напр. отtext/javascriptнаtext/plain) и динамично инжектиране на скриптове след даване на съгласие. -
Бутоните за приемане и отхвърляне са еднакво видни
Опцията за отхвърляне на несъществени бисквитки трябва да бъде представена със същата видимост като опцията за приемането им. Това означава едно и също визуално оформление: същия размер, същата наситеност на цвета, същия слой на интерфейса. Голям зелен бутон „Приемане на всички“ до малка сива връзка „Управление на настройките“ не представлява еднаква видимост. CNIL, Garante и множество други органи за защита на данните са наложили глоби специално за този проблем. И двете опции трябва да бъдат на първия слой на банера за бисквитки, без да се изискват допълнителни кликвания.
-
Налично е гранулирано съгласие на ниво категория
Потребителите трябва да могат да дават съгласие за конкретни категории бисквитки независимо. Приемането на аналитични бисквитки не бива да изисква и приемане на рекламни бисквитки. Като минимум предоставете отделни превключватели за: строго необходими (винаги включени, без възможност за превключване), функционални, аналитични/за производителност и маркетингови/рекламни. Ако използвате бисквитки за множество различни цели в рамките на една категория, обмислете предоставянето на още по-гранулирани опции.
-
Няма предварително отбелязани квадратчета
Когато потребител отвори подробните предпочитания за бисквитки, всички незадължителни категории трябва да са неотбелязани по подразбиране. Само строго необходимите бисквитки (които не изискват съгласие) могат да бъдат предварително активирани. СЕС потвърди в решението по делото Planet49 (Дело C-673/17), че предварително отбелязаните квадратчета не представляват валидно съгласие. Това важи, независимо дали потребителят може да ги демаркира — състоянието по подразбиране трябва да бъде отказ, изискващ утвърдително действие за приемане.
-
Оттеглянето на съгласие е също толкова лесно, колкото и даването му
Член 7, параграф 3 от GDPR изисква оттеглянето на съгласие да бъде също толкова лесно, колкото даването му. Ако потребителят може да приеме бисквитки с едно кликване върху банер, той трябва да може да оттегли съгласието си със сравнима лекота. Най-добрата практика е постоянна, винаги видима връзка или икона (напр. във футъра или като плаващ бутон), която отваря центъра за предпочитания за бисквитки, където потребителят може да променя или отменя своя избор. Изискването потребителят да изчисти бисквитките на браузъра си, да навигира до заровена страница с настройки или да се свърже с поддръжката не отговаря на този стандарт.
-
Записите за съгласие се съхраняват с времеви маркери
Трябва да можете да докажете, че съгласието е било дадено. Съхранявайте запис за всяко действие по даване на съгласие, включващ: времеви маркер, направените избори за съгласие (кои категории са приети/отхвърлени), версията на банера за бисквитки и политиката, действащи в момента, и уникален идентификатор за съгласието (не непременно свързан с потребителски акаунт за анонимни посетители). Съгласно принципа за отчетност на GDPR, тежестта на доказване за съгласието се носи от администратора. Ако не можете да предоставите доказателство, че конкретен потребител е дал съгласие, неговото съгласие фактически е недоказано.
Политика за бисквитки
Вашата политика за бисквитки е едновременно правен документ и инструмент за прозрачност. Тя трябва да бъде точна, пълна и разбираема.
-
Съществува политика за бисквитки, която е достъпна
Трябва да съществува специална политика за бисквитки (или ясен раздел за бисквитки във вашата политика за поверителност), която да е лесна за намиране. Най-добрата практика е специална страница, свързана от футъра на уебсайта, от банера за бисквитки и от основната ви политика за поверителност. Политиката трябва да бъде достъпна без приемане на бисквитки — потребителите трябва да могат да я прочетат, преди да вземат решение за съгласие.
-
Всички бисквитки са изброени с имена, цели, типове и продължителности
Вашата политика за бисквитки трябва да включва таблица или структуриран списък на всяка бисквитка, която вашият уебсайт задава, включително: името на бисквитката, кой я задава (първа страна или доставчик от трета страна), какво прави тя (на разбираем език), дали е сесийна или постоянна бисквитка и колко дълго трае. Това не е по избор — то е изрично изискване съгласно разпоредбите за прозрачност на GDPR (членове 12-14) и изискването за информирано съгласие на Директивата за електронна поверителност.
-
Доставчиците от трети страни са идентифицирани
Вашата политика трябва да посочва услугите на трети страни, които задават бисквитки на вашия уебсайт. „Използваме аналитични бисквитки на трети страни“ не е достатъчно. „Използваме Google Analytics (от Google LLC), който задава следните бисквитки:
_ga,_gid,_gat“ е достатъчно. Потребителите имат право да знаят кой събира данни за тях и да вземат информирани решения за всеки доставчик. -
Включени са инструкции за управление на бисквитки
Вашата политика трябва да обясни как потребителите могат да управляват своите предпочитания за бисквитки, включително: как да получат достъп до вашия център за предпочитания за бисквитки, за да променят изборите си за съгласие, как да изтрият съществуващи бисквитки чрез настройките на браузъра и връзки към политиките за поверителност на основните доставчици на бисквитки от трети страни. Макар управлението на бисквитките на ниво браузър да е отговорност на потребителя, предоставянето на ясни инструкции демонстрира добросъвестност и подкрепя принципа за овластяване на потребителя.
-
Политиката е с дата и се актуализира редовно
Вашата политика за бисквитки трябва да включва датата на последната ѝ актуализация. Всеки път, когато добавяте нови бисквитки, премахвате бисквитки, сменяте доставчици от трети страни или променяте целите на бисквитките, политиката трябва да бъде актуализирана, за да отразява промяната. Политика без дата или такава, която не е актуализирана повече от година, е тревожен сигнал за органите за защита на данните. Най-добра практика: интегрирайте резултатите от сканирането на бисквитки с вашата политика, така че политиката да се актуализира автоматично при откриване на нови бисквитки.
Банер за бисквитки
Банерът за бисквитки е видимият интерфейс на вашето управление на съгласието. Той трябва да балансира правното съответствие с използваемостта.
-
Банерът се показва при първо посещение преди задаване на бисквитки
Банерът за бисквитки трябва да се появи при първото посещение на потребител на вашия уебсайт, преди да бъдат зададени каквито и да е несъществени бисквитки. Банерът трябва да е незабавно видим без превъртане, не трябва да може лесно да бъде затворен чрез случайни кликвания и трябва да се запази, докато потребителят не направи активен избор. Банерът не трябва да пречи на възможността на потребителя да навигира извън страницата или да получи достъп до съществено съдържание (макар че ограничаването на достъпа до съдържание зад изискване за съгласие може да е допустимо в някои юрисдикции, по-безопасният подход е да се позволи навигация, докато банерът е показан).
-
Банерът е достъпен (навигируем с клавиатура, съвместим с екранни четци)
Вашият банер за бисквитки трябва сам да бъде достъпен. Това означава: всички интерактивни елементи (бутони, превключватели, връзки) трябва да са достижими и управляеми чрез клавиатура; банерът трябва да бъде правилно обявен на екранните четци с подходящи ARIA атрибути; фокусът трябва да се управлява правилно (фокусът трябва да се премести към банера, когато той се появи, и да се върне към страницата, когато той бъде затворен); контрастът на цветовете трябва да отговаря на стандартите WCAG 2.1 AA (4.5:1 за нормален текст, 3:1 за едър текст); и банерът трябва да бъде използваем при различни нива на увеличение и размери на екрана. Недостъпен банер за бисквитки е едновременно правен риск (неспазване на WCAG съответствие) и репутационен риск за всяка организация, която твърди, че държи на поверителността и приобщаването.
-
Банерът препраща към пълната политика за бисквитки
Банерът за бисквитки трябва да включва връзка към вашата пълна политика за бисквитки, позволяваща на потребителите да прочетат подробна информация за всяка бисквитка, преди да вземат решение за съгласие. Връзката трябва да бъде ясно видима и обозначена (напр. „Прочетете нашата политика за бисквитки“ или „Научете повече“). GDPR изисква съгласието да бъде „информирано“, което означава, че информацията, необходима за вземане на информирано решение, трябва да бъде достъпна в точката на даване на съгласие.
-
Банерът не използва тъмни модели
Тъмните модели в банерите за бисквитки подкопават валидността на съгласието. Избягвайте: да правите бутона за приемане визуално доминиращ (по-голям, по-ярък, по-виден), докато опцията за отхвърляне е незабележима или скрита; да използвате объркващ език („Приемане на препоръчаните настройки“ вместо ясни опции); да изисквате повече кликвания за отхвърляне, отколкото за приемане; да използвате цветово кодиране, което внушава, че отхвърлянето е грешно (червено за отхвърляне, зелено за приемане); да прилагате език за „засрамване при потвърждение“ („Не, не ме е грижа за моето изживяване“); и всякакъв друг дизайн, който подтиква, манипулира или подмамва потребителите към приемане. Насоките на ЕКЗД за тъмните модели (приети февруари 2023 г.) предоставят подробни примери за забранени практики.
Технически и текущи
Съответствието относно бисквитки не е проект с дата на завършване. То е непрекъснат оперативен процес.
-
Внедрен е Google Consent Mode v2 (ако използвате услуги на Google)
Ако използвате някакви услуги на Google (Analytics, Ads, Tag Manager), Google Consent Mode v2 е задължителен от март 2024 г. за показване на реклами в ЕИП. Consent Mode съобщава изборите за съгласие относно бисквитки на вашите потребители на таговете на Google, коригирайки тяхното поведение въз основа на статуса на съгласие. Без Consent Mode таговете на Google може да не функционират правилно с вашата платформа за управление на съгласието, което води или до загуба на данни (напълно блокирани тагове), или до нарушения на съответствието (тагове, задействани без съгласие). Внедрете параметрите за съгласие
ad_storageиanalytics_storageи се уверете, че по подразбиране са зададени на „denied“, докато не бъде дадено съгласие. -
Планирано е редовно сканиране на бисквитки
Настройте автоматизирани сканирания на бисквитки по повтарящ се график. Като минимум сканирайте ежемесечно. В идеалния случай интегрирайте сканирането във вашия конвейер за внедряване, така че всяко издание да бъде сканирано автоматично. Конфигурирайте известия за нови или променени бисквитки, за да може вашият екип да ги оцени и категоризира своевременно. Сканиране, което се изпълнява, но никога не се преглежда, не носи полза за съответствието.
-
Процес за преглед на нови скриптове от трети страни
Установете формален процес, който трябва да бъде спазван, преди към вашия уебсайт да се добави какъвто и да е нов скрипт, плъгин или услуга от трета страна. Процесът трябва да включва: идентифициране на това какви бисквитки задава скриптът, категоризиране на тези бисквитки, актуализиране на конфигурацията за управление на съгласието, за да ги включи, актуализиране на политиката за бисквитки и проверка, че скриптът е правилно блокиран, докато не бъде дадено съответното съгласие. Този процес трябва да включва както технически (разработка), така и свързан със съответствието (правен/за поверителност) преглед. Най-честата причина за провали в съответствието относно бисквитки е добавянето на нови скриптове към уебсайт, без да преминат през преглед на поверителността.
-
Персоналът е обучен относно съответствието относно бисквитки
Всеки, участващ във вашия уебсайт — разработчици, маркетолози, създатели на съдържание и мениджъри — трябва да разбира основите на съответствието относно бисквитки и своята роля в поддържането му. Разработчиците трябва да знаят как да добавят скриптове по начин, който отчита съгласието. Маркетолозите трябва да разбират, че добавянето на нов пиксел за проследяване изисква преглед на съответствието. Създателите на съдържание трябва да знаят, че вграждането на YouTube видео въвежда бисквитки от трети страни. Обучението не е нужно да бъде обширно, но трябва да обхваща ключовия принцип: никакво ново проследяване без преглед. Един-единствен необучен член на екипа, който добавя маркетингов скрипт, без да мине през процеса на преглед, може да заличи месеци работа по съответствието.
Използване на този списък за проверка
Този списък за проверка е предназначен да се използва по три начина:
- Първоначално внедряване: Работете последователно по всичките 25 точки, когато настройвате съответствие относно бисквитки за първи път. Не пропускайте точки и не ги оставяйте за по-късно — частичното съответствие все още е несъответствие.
- Редовен одит: Преглеждайте списъка за проверка на тримесечие, за да проверявате, че всички точки продължават да са изпълнени. Обръщайте особено внимание на текущите елементи (точки 22-25), тъй като те са най-вероятно да се отклонят с течение на времето.
- След промени: Всеки път, когато вашият уебсайт претърпи значителна промяна (нови функции, нови услуги от трети страни, редизайн, миграция на CMS), преминете през съответните раздели на списъка за проверка, за да проверите, че съответствието се поддържа.
Съответствието относно бисквитки е постижимо. То изисква внимание и процес, но нито едно от отделните изисквания не е неразумно трудно. Организациите, които изпитват затруднения, обикновено са тези, които третират съответствието като еднократен проект, а не като текуща оперативна грижа. Вградете го в работния си процес, определете ясна отговорност и използвайте този списък за проверка като своя повтарящ се инструмент за верификация.
Вашият уебсайт съответства ли на правилата за бисквитки?
Сканирайте уебсайта си безплатно и намерете всички бисквитки за минути.
Сканирайте бисквитките си безплатно