Cookie Banner – lagalegur og tæknilegur bakgrunnur

Notkun vefkökuborða í samræmi við gagnavernd er ein helsta áskorunin fyrir rekstraraðila vefsíðna. Ef hanna á vefkökurborða í samræmi við GDPR verða notendur vefsíðu að geta samþykkt vinnslu persónuupplýsinga eða geta hafnað henni með aðstoð vafraborða. En hvað þarftu að hafa í huga ef þú vilt nota vefkökurborða eða vefkökurefnisborða? Hvaða reglur gilda um notkun á vafrakökum? Hvernig þarf kökuborðatextinn að líta út? Hvernig þurfa kökuborðar að vera hannaðir tæknilega og lagalega?

Samþykkislausn fyrir farsímavefsíður og öpp

Cookie borði – persónuleg gögn eru vistuð

Vafrakökur eru notaðar til að vinna með persónuupplýsingar. Þetta þýðir að litlar textaupplýsingar eru geymdar á tæki netnotandans . Hægt er að úthluta notandanum eða tækjum hans fyrir sig á þennan hátt. Þetta er til dæmis notað til að fylgjast með. Með mælingar er fylgst með hegðun notandans. Hægt er að nota IP töluna, fingrafar vafrans eða önnur skilyrði fyrir þessa rakningu. Þar sem unnið er með persónuupplýsingar þarf vafrakaka að vera í samræmi við GDPR. Hér gilda persónuverndarlög og þarf vefkökuborðatextinn einnig að vera hannaður í samræmi við það.

Hvað eru kökur eiginlega?

Vafrakökur eru í grundvallaratriðum textaskrár sem eru geymdar af þjónustuveitanda vefsíðu á tölvu notandans eða öðru endatæki. Þegar þú heimsækir vefsíðuna aftur eru þessar textaskrár lesnar upp aftur til að auðvelda flakk á netinu eða viðskipti og til að greina upplýsingar um hegðun vefgesta. Dæmi um hvernig vafrakökur virka eru:

  • Gestur vefsíðunnar er auðkenndur, viðurkenndur og fær sérsniðnar auglýsingar.
  • Innskráningargögn notanda eru vistuð þannig að ekki þarf að færa þau inn aftur þegar hann heimsækir aftur. Þetta gerir það auðveldara að skrá sig aftur inn á Facebook, til dæmis.
  • vörurnar sem settar eru í innkaupakörfuna eru vistaðar.

Í grundvallaratriðum eru til mismunandi gerðir af smákökum. Mikilvægasti munurinn er sá að það eru tæknilega nauðsynlegar og tæknilega ónauðsynlegar textaskrár . Þessi tvö afbrigði fá mismunandi lagalega meðferð. Vafrakökur sem eru nauðsynlegar fyrir starfsemi vefsíðu eru taldar tæknilega nauðsynlegar. Vafrakökur eru taldar tæknilega óþarfar ef þær eru notaðar til að sinna efnahagslegum hagsmunum. Þar á meðal eru til dæmis:

  • Vafrakökur frá samfélagsmiðlaviðbótum (Twitter, Facebook, Google+, Instagram, Pinterest, LinkedIn)
  • Vafrakökur frá forritum til að fella inn myndband, eins og Youtube
  • Vafrakökur tengdar þjónustu
  • Vafrakökur frá endurmiðunarþjónustu
  • Vafrakökur frá endurmarkaðsþjónustu
  • Kortaþjónusta á netinu eins og Google Maps
  • Vafrakökur frá SZM (skalanlegar miðlægar mælingar)

Þú getur gert annan greinarmun á vafrakökum og skipt þeim í nauðsynlegar vafrakökur, greiningarkökur og vafrakökur í markaðsskyni.

  • Nauðsynlegar vafrakökur eru allar vafrakökur sem eru nauðsynlegar fyrir rekstur vefsíðunnar. Samþykki er ekki skylda fyrir þessa tegund af vafrakökum.
  • Greiningarkökur eru vafrakökur fyrir Google Analytics, Matomo eða etracker – þ.e. verkfæri sem greina hegðun gesta. Þetta eru venjulega háð samþykki.
  • Markaðskökur eru alltaf notaðar þegar kemur að netauglýsingum. Þessi verkfæri skrá áhuga gesta vefsíðna svo hægt sé að sýna sérsniðnar auglýsingar notendum á mismunandi vefsíðum. Facebook Pixel, Google endurmarkaðssetning og Google Adsense eru meðal þessara verkfæra. Ef þú vilt nota þessi verkfæri þarftu alltaf samþykki gests vefsíðunnar.

Vafrakökur – tæknilega nauðsynlegar og tæknilega ónauðsynlegar vafrakökur

Í langan tíma var hægt að setja tæknilega nauðsynlegar vafrakökur án samþykkis notandans. Hins vegar þurfti alltaf að fá samþykki notanda fyrir stillingu á vafrakökum sem ekki voru tæknilega nauðsynlegar. Lögin kveða nú á um mun strangari reglur . Ef vafrakaka á að vera í samræmi við GDPR þarf notandinn nánast alltaf að gefa samþykki sitt. Þetta þýðir að samþykki þarf að gefa til að næstum allar vafrakökur séu settar. Kökuborði verður því ekki aðeins að vera tiltækt ef vafrakökurnar eru notaðar í auglýsingaskyni heldur einnig ef þægindaaðgerðir eiga að vera uppfylltar.

Ef, til dæmis, tungumálastilling notandans er vistuð ætti kexið að vera hannað í samræmi við GDPR. Lagareglunum er ætlað að tryggja að bæði persónuupplýsingar notandans séu verndaðar og sjálfsákvörðunarréttur hans varðveittur. Þó að enn sé gerður greinarmunur á því að setja tæknilega nauðsynlegar og tæknilega ónauðsynlegar vafrakökur er ekki alltaf hægt að greina á milli þessara tveggja afbrigða. Ef þú vilt bregðast við í samræmi við lög ættir þú að taka íhaldssamt fram og nota kökuborða með gagnsæjum upplýsingum um notkun á vafrakökum . Kökuborði með tilheyrandi kökuborðatexta er einnig gagnlegur fyrir kökur sem eru notaðar til að geyma kjörstillingar.

Er vefsíðan þín samhæf? Finndu út með gátlistanum okkar

Sækja gátlista

Segja má með vissu að ávallt skuli afla samþykkisyfirlýsingar fyrir vafrakökur sem notaðar eru til markaðssetningar, rakningar, tölfræði eða greiningar. Það fer eftir tegund vafraköku, vefkökurborðar eða vefkökuefnisborðar eru mögulegir. Í grundvallaratriðum má segja:

  • Ef vafrakökur eru nauðsynlegar út frá tæknilegu sjónarhorni er nóg að upplýsa notandann einfaldlega um stillingar á vafrakökum. Þetta þýðir að hrein kökutilkynning væri möguleg hér.
  • Ef samþykki notanda er krafist fyrir vafraköku samkvæmt GDPR dugar vafrakökutilkynning ekki. Notandinn þarf ekki aðeins að vera upplýstur um stillingar á vafrakökum. Samþykki notanda þarf að liggja fyrir. Einfaldir kökuborðar sem aðeins upplýsa notandann þjóna ekki þessum tilgangi. Hér verður að nota samþykkisborða fyrir kökur.

Þar sem hreinar upplýsingar um stillingar vafraköku duga sjaldan, verður þú í flestum tilfellum að grípa til vefkökuefnisborða.

Hvað eru kökuborðar?

Þegar notandi heimsækir vefsíðu í fyrsta skipti birtist venjulega kökuborði. Venjulega má sjá kökuborðann neðst á vefsíðunni. Í sumum tilfellum mun sprettigluggi einnig opnast. Á borðinu er vefkökurborði sem upplýsir notandann um vafrakökur og rekja spor einhvers á vefsíðunni. Með samþykkisborða fyrir kökur hefur notandinn einnig möguleika á að gefa samþykki sitt fyrir notkun á vafrakökum. Hann getur samþykkt eða hafnað vinnslu persónuupplýsinga. Þökk sé kökunum er hægt að þekkja netnotendur þegar þeir heimsækja aftur. Þetta þýðir að ef eitthvað hefur verið vistað í innkaupakörfunni verður það samt tiltækt næst þegar þú heimsækir.

Samþykkislausn með einstaklingshönnun

Alltaf þegar notandi hefur gert einstakar stillingar geta vafrakökur tryggt að þessar stillingar þurfi ekki að gera aftur þegar hann heimsækir vefsíðuna aftur. Vafrakökur eru nauðsynlegar fyrir tæknilegan rekstur vefsíðu. Hins vegar eru einnig ónauðsynlegar vafrakökur og hér þarf notandinn að hafa tækifæri til að kynna sér þær og samþykkja vinnslu persónuupplýsinga eða hafna þeim. Mikilvægt er að vita að GDPR takmarkast ekki við notkun á vafrakökum, önnur tækni er einnig innifalin ef hún er notuð á einhvern hátt til að vinna með persónuupplýsingar. Hugtakið „kökuborði“ getur því verið villandi og einfaldur borða fyrir smákökur dugar ekki í mörgum tilfellum ef þú vilt uppfylla kröfur GDPR .

Þarf ég kökuborða fyrir vefsíðuna mína?

Ef þú rekur vefsíðu og hefur gesti frá ESB (eða utan) ættir þú að hafa viðeigandi borða. Kökuborðaframleiðandi getur verið mjög gagnlegt hér. Kökuborðaframleiðandinn ætti að hanna borðana þannig að notandinn sé að fullu upplýstur um kökurnar og hafi möguleika á að velja. Í þessu skyni verður vefkökuborðaframleiðandinn að skanna allar vafrakökur og skrá þær í samræmi við það á borðanum. Kökuborðatextinn upplýsir notendur um stillingar á vafrakökum og samþykki er hægt að fá. Rannsóknir hafa sýnt að margir rekstraraðilar vefsíðna eru ekki einu sinni meðvitaðir um að gögn notenda þeirra séu í vinnslu af þriðja eða fjórða aðila. Til dæmis eru til Tróverji sem vefstjórar vita oft ekki einu sinni um tilvist þeirra. Með afkastamiklu samþykkisstjórnunarkerfi er hins vegar hægt að skanna síður fyrir vafrakökur frá öðrum aðilum. Allir sem vilja vernda gögn notenda sinna og tryggja að vafrakökuborði þeirra sé í samræmi við GDPR þarf háþróaða og ítarlega lausn. Þetta er eina leiðin til að tryggja að allar vafrakökur og rekja spor einhvers sé í raun að finna og stjórna á vefsíðunni, eins og krafist er í GDPR. Þegar öllu er á botninn hvolft getur hver sá sem ekki hefur yfirsýn yfir alla vefsíðuna frá tæknilegu og hagnýtu sjónarhorni ábyrgst gagnavernd notenda. Kökuborðaframleiðandi sem getur spilað út kökuborða sem er í samræmi við ákvæði GDPR er því algjörlega nauðsynleg fyrir rekstraraðila vefsíðna.

Hvað þarftu að hafa í huga þegar þú innleiðir vefkökurefni í reynd?

Vegna lagalegra reglna eru nokkrar reglur sem ætti að virða þegar þú innleiðir vefkökurefnisborða. Ef vefkökurborðar eru notaðir, ætti að hafa eftirfarandi atriði í huga:

  • Áður en fótspor sem krefjast samþykkis eru settar verður fyrst að fá samþykki. Það er enn mikið að gera á mörgum vefsíðum. Það er ekki nóg að nota réttan kökuborðatexta ef tæknileg útfærsla virkar ekki rétt.
  • Ekki skal gera ráð fyrir samþykki ef notandi vafrar eða flettir um vefsíðuna. Þetta felur ekki í sér samþykki sem samræmist lögum.
  • Ef notaður er vafrakökuborðaframleiðandi verður hann að hanna borðann þannig að það sé jafn auðvelt að afturkalla samþykki og að gefa samþykki.
  • Allar vafrakökur sem samþykki er fengið fyrir verða að koma fram í borðanum sjálfum eða í vafrakökustefnunni eða persónuverndaryfirlýsingunni. Upplýsa þarf notanda að hve miklu leyti vefkökur eru unnar.
  • Sönnun er nauðsynleg fyrir yfirlýsingu um samþykki. Þessi sönnun er veitt með því að setja nauðsynlega vafraköku. Einnig þarf að upplýsa notandann um stillingu þessarar vafraköku.
Samþykkislausn fyrir vefsíður

Hvaða efni ætti kökuborði að innihalda?

Þegar kemur að vefkökuborðatextanum eru ákveðnar reglur. Til þess að uppfylla lagaskilyrði verður fótsporaborði að innihalda eftirfarandi:

  • Kökuborðatextinn ætti að gefa fyrstu vísbendingu um í hvaða tilgangi kökurnar eru notaðar.
  • Það verður að vera tilvísun í persónuverndarstefnuna. Þetta ætti að innihalda frekari upplýsingar. Persónuverndaryfirlýsingin ætti að vera aðgengileg með einum smelli. Á leiðinni að gagnaverndaryfirlýsingunni má ekki setja vefkökur sem eru ekki tæknilega nauðsynlegar.
  • Það þarf að vera hnappur til að veita samþykki og hnappur til að hafna samþykki.
  • Notandinn verður að hafa val og vita tilganginn með vafrakökum sem hann ætti að samþykkja. Valreitina má ekki fylla út fyrirfram, notandinn þarf að merkja við þá sjálfur.

Notkun vefkökuborða – hvað hefur GDPR með það að gera?

Það fer eftir notkun þeirra og tilgangi, hægt er að nota vafrakökur til að geyma, greina og vinna frekar úr persónuupplýsingum. Einnig er hægt að senda söfnuð gögn til þriðja aðila. Af þessum sökum er notkun á vafrakökum umdeild. Allir sem reka vefsíðu ættu því að kannast við hugtök eins og „tilkynning um vafrakökur“ og „kökustefna“. GDPR hefur verið í gildi síðan 25. maí 2018. Evrópska almenna persónuverndarreglugerðin kemur alltaf við sögu þegar kemur að vinnslu persónuupplýsinga. Síðan í maí 2018 hafa netsalar og rekstraraðilar vefsíðna þurft að innleiða vafrakökutilkynningu á vefsíðu sinni með möguleika á að mótmæla. Hins vegar segir GDPR lítið um hvernig eigi að taka á fótsporatilkynningum. Frekar hefur GDPR áhrif á persónuverndarstefnu vefsíðu. Til að meðhöndla vafrakökur á réttan hátt ætti að setja evrópsku rafræna persónuverndarreglugerðina. Þetta ætti í grundvallaratriðum að vera kynnt samhliða GDPR. Hins vegar hefur reglugerðinni um rafræna persónuvernd verið frestað aftur og aftur, þannig að hún hefur ekki tekið gildi enn sem komið er (frá mars 2021).

Vafrakökuborðar eru áskilin – hvað á við um vefsíðuna mína?

Rekstraraðilar vefsíðna og smásalar á netinu spyrja sig réttilega hvað þetta þýðir fyrir eigin viðveru á netinu. Enn sem komið er virðist réttarstaðan ekki vera alveg ljós. GDPR veitir upplýsingar um gagnaverndaryfirlýsinguna, rafræn persónuverndarreglugerð er enn í bið. Hvernig ættu rekstraraðilar vefsíðna og netsala að haga sér? Helst ætti kökuborðið að teljast skyldubundið – þrátt fyrir enn ósamræmi í réttarástandi. Kökuborðinn á að vera þannig hannaður að notandinn þarf að verða virkur og ákveða sjálfur hvaða kökur hann vill samþykkja og hverjar ekki. Andmælalausnin sem er fest í fjarskiptalögum (TMG) gengur ekki nógu langt hér og það getur verið lagalega áhættusamt að treysta á hana eina. Ef þú telur vafrakökuborðann vera skyldubundinn og vilt vera á örygginu ættir þú að upplýsa notendur vefsíðunnar um hvaða vafrakökur eru notaðar. Að auki ætti notandi að hafa tækifæri til að taka virkan ákvörðun um vinnslu gagnanna. Allir rekstraraðilar vefsíðna ættu að fylgja þessum reglum, jafnvel þótt þær séu einkasíður eða vefsíða íþróttafélagsins. Allir sem nota vefkökurborðaveitu ættu að tryggja að:

  • Samþykki notanda fæst beint þegar farið er á síðuna. Þetta ætti að gera áður en kökur eru settar. Tæknilega nauðsynlegar vafrakökur geta verið undantekning hér.
  • Það er ekki nóg ef vefkökuborðatextinn samanstendur af einfaldri tilkynningu og hann hverfur strax eftir að smellt er á síðuna eða getur einfaldlega verið falið.

Ekki má haka við fyrirfram samþykki

Helst ætti að forðast hagkvæma kökuborða . Það þýðir að það ætti ekki að þurfa fleiri smelli til að afþakka vafrakökur en að samþykkja þær. Samþykkishnappurinn ætti heldur ekki að vera sýnilegri en hafnahnappurinn. Þó það sé ekki bannað að hanna kökuborða á þennan hátt er það skoðað með gagnrýnum hætti. Svokallaðir smákökuveggir eru líka skoðaðir með gagnrýnum hætti. Kökuveggur er þannig hannaður að notandi kemst ekki einu sinni inn á vefsíðuna ef hann samþykkir ekki notkun á vafrakökum. Hins vegar lítur Evrópska persónuverndarráðið (EDPB) á það sem svo að gestur vefsvæðis verði að geta heimsótt vefsíðu jafnvel þótt hann hafni vafrakökum sem eru ekki tæknilega nauðsynlegar.

Hvað á heima í persónuverndaryfirlýsingunni?

Burtséð frá því hvort netsalar og rekstraraðilar vefsíðna nota vafrakökuborða verða þeir að vísa til vinnslu persónuupplýsinga í persónuverndaryfirlýsingunni. Persónuverndaryfirlýsingin ætti meðal annars að upplýsa notendur um gerð og tilgang þeirra vafraköku sem notaðar eru. Notandinn ætti að læra:

  • Hvers konar gögnum er safnað með vafrakökum.
  • Í hvaða tilgangi eru persónuupplýsingarnar notaðar.
  • Hversu lengi gögnin eru geymd.
  • Hvort og til hvers gögnin eru send.
  • Hvort og hvernig eigi að afturkalla samþykki fyrir vinnslu persónuupplýsinga.
Samþykkislausn fyrir GDPR og CCPA

Cookie borðar verkfæri fyrir löglega samhæfða hönnun

Það er ekki alltaf auðvelt að hanna kökuborða í samræmi við GDPR. Til þess að vefkökurborðinn eða vefkökuefnisborðinn sé hannaður á löglegan hátt er ráðlegt að nota viðeigandi vefkökuborðaverkfæri. Samþykkisstjórnunaraðili (CMP) er vafrakökuborðaverkfæri sem tekur við hönnun og útvegun vefkökuefnisborðans. Í grundvallaratriðum ætti sérhver netsali og sérhver vefstjóri að nota viðurkennt fótsporaverkfæri, til dæmis frá veitendum eins og Consentmanager. Það eru bæði ókeypis og greidd kökuborðaverkfæri. Venjulega býður greitt kökuborðartæki upp á meiri virkni . Þessir viðbótareiginleikar geta til dæmis falið í sér að laga vafrakökutilkynningar að tilteknu tungumáli . Ef kökuborðarinn ætti einnig að passa við hönnun vefsíðunnar, þá er gjaldbundið kökuborðar líka gagnlegt. Ef þú vilt sérsníða borðann þinn og nota viðbótarþjónustu er þér vel ráðlagt að nota greiddar lausnir. Ef þú býður líka upp á app til viðbótar við vefsíðuna þína þarftu líka viðeigandi lausn fyrir þetta.

Að nota samþykkisstjórnunarlausn sem skannar vefsíðuna til að finna allar vafrakökur og gerir notendum kleift að veita samþykki sitt fyrir hverri köku er áreiðanleg og örugg leið til að gera vefsíðuna þína í samræmi við GDPR lögunina.

Hverjir eru kostir samþykkisstjórnunartækis?

GDPR gildir um alla netsala og vefstjóra. Jafnvel þó að sumir rekstraraðilar vefsíðna séu enn að hika og velta því fyrir sér hvort vafrakökutilkynning í samræmi við GDPR sé raunverulega nauðsynleg, getur í raun enginn forðast það í dag. Ef ekki er farið að lagareglum getur það varðað háum sektum fyrir rekstraraðila vefsíðna. Viðfangsefnið upplýsingatækni er vandamál fyrir marga frumkvöðla. Þú veist ekki nóg um efnið, þú fjárfestir mikinn tíma og á endanum ertu ekki viss um hvort fótsporatilkynningin sé í samræmi við GDPR. Þetta er þar sem samþykkisstjórnunartæki eins og það frá Consentmanager.de kemur sér vel. Með þessari lausn geta rekstraraðilar vefsíðna verið vissir um að þeir uppfylli almenna persónuverndarreglugerð ESB. Með tóli eins og það sem consentmanager.de býður upp á, er hægt að bæta samþykkisborða fyrir kökur á þína eigin vefsíðu á fljótlegan og auðveldan hátt . Borði sem samrýmist GDPR verndar gesti vefsíðunnar á meðan hann veitir vernd gegn málaferlum . Auk þess geta auglýsingaaðilar fundið fyrir öryggi og eru líklegri til að fjárfesta ef þeir vita að þeir eru öruggir.

Niðurstaða

Ertu með netverslun eða vefsíðu og langar að hanna vefsíðuna þína í samræmi við kröfur GDPR? Viltu vera varin gegn viðvörunum? Þá ætti viðfangsefnið „kökur“ örugglega að vera á verkefnalistanum þínum. Allir sem ekki gefa gestum á vefsíðu sinni tækifæri til að samþykkja vinnslu persónuupplýsinga eiga á hættu að verða varaðir við. Viðvörun getur einnig tengst miklum kostnaði. Ef þú vilt nota vafrakökur á vefsíðunni þinni, notaðu þá samsvarandi samþykkisborða eða samþykkistól fyrir vafrakökur til að tryggja að forskriftirnar séu útfærðar á skilvirkan hátt og á sama tíma í samræmi við lög. Leiðbeiningar um meðhöndlun á vafrakökum eru tiltölulega nýjar og þess vegna skortir reynslu, fordæmi og skýrar reglur. Með samþykkisstjórnunartólinu frá Consentmanager.de spila vefstjórar það öruggt. Samþykkisstjórnunartólið okkar er auðvelt í notkun og auðvelt er að samþætta það inn á vefsíður. Þannig að þú getur verið viss um að notendur séu vel upplýstir um notkun á vafrakökum. Og hins vegar er samþykki fyrir notkuninni aflað í samræmi við lög.