Notkun vefkökuborða í samræmi við gagnavernd er ein helsta áskorunin fyrir rekstraraðila vefsíðna. Ef hanna á vefkökurborða í samræmi við GDPR verða notendur vefsíðunnar að samþykkja vinnslu persónuupplýsinga eða geta hafnað því með því að nota kökuborðana. En hvað þarftu að hafa í huga ef þú vilt nota vefkökurborða eða vefkökurefnisborða? Hvaða reglur gilda um notkun á vafrakökum? Hvernig þarf kökuborðatextinn að líta út? Hvernig þurfa kökuborðar að vera hannaðir tæknilega og lagalega?
Cookie borði – persónuleg gögn eru vistuð
Vafrakökur eru notaðar til að vinna með persónuupplýsingar. Þetta þýðir að litlar textaupplýsingar eru geymdar á tæki netnotandans . Hægt er að úthluta notandanum eða tækjum hans fyrir sig á þennan hátt. Þetta er til dæmis notað til að fylgjast með. Með mælingar er fylgst með hegðun notandans. Hægt er að nota IP töluna, fingrafar vafrans eða önnur skilyrði fyrir þessa rakningu. Þar sem unnið er með persónuupplýsingar þarf vafrakaka að vera í samræmi við GDPR. Hér gilda persónuverndarlög og þarf vefkökuborðatextinn einnig að vera hannaður í samræmi við það.
Hvað eru kökur eiginlega?
Vafrakökur eru í grundvallaratriðum textaskrár sem eru geymdar af þjónustuveitanda vefsíðu á tölvu notandans eða öðru endatæki. Þegar þú heimsækir vefsíðuna aftur eru þessar textaskrár lesnar upp aftur til að auðvelda flakk á netinu eða viðskipti og til að greina upplýsingar um hegðun vefgesta. Dæmi um hvernig vafrakökur virka eru:
- Gestur vefsíðunnar er auðkenndur, viðurkenndur og fær sérsniðnar auglýsingar.
- Innskráningargögn notanda eru vistuð þannig að ekki þarf að færa þau inn aftur þegar hann heimsækir aftur. Þetta gerir það auðveldara að skrá sig aftur inn á Facebook, til dæmis.
- vörurnar sem settar eru í innkaupakörfuna eru vistaðar.
Vertu uppfærður!
Gerast áskrifandi að fréttabréfiÍ grundvallaratriðum eru til mismunandi gerðir af smákökum. Mikilvægasti munurinn er sá að það eru tæknilega nauðsynlegar og tæknilega ónauðsynlegar textaskrár . Þessi tvö afbrigði fá mismunandi lagalega meðferð. Vafrakökur sem eru nauðsynlegar fyrir starfsemi vefsíðu eru taldar tæknilega nauðsynlegar. Vafrakökur eru taldar tæknilega óþarfar ef þær eru notaðar til að sinna efnahagslegum hagsmunum. Þar á meðal eru til dæmis:
- Vafrakökur frá samfélagsmiðlaviðbótum (Twitter, Facebook, Google+, Instagram, Pinterest, LinkedIn)
- Vafrakökur frá forritum til að fella inn myndband, eins og Youtube
- Vafrakökur tengdar þjónustu
- Vafrakökur frá endurmiðunarþjónustu
- Vafrakökur frá endurmarkaðsþjónustu
- Kortaþjónusta á netinu eins og Google Maps
- Vafrakökur frá SZM (skalanlegar miðlægar mælingar)
Þú getur gert annan greinarmun á vafrakökum og skipt þeim í nauðsynlegar vafrakökur, greiningarkökur og vafrakökur í markaðsskyni.
- Nauðsynlegar vafrakökur eru allar vafrakökur sem eru nauðsynlegar fyrir rekstur vefsíðunnar. Samþykki er ekki skylda fyrir þessa tegund af vafrakökum.
- Greiningarkökur eru vafrakökur fyrir Google Analytics, Matomo eða etracker – þ.e. verkfæri sem greina hegðun gesta. Þetta eru venjulega háð samþykki.
- Markaðskökur eru alltaf notaðar þegar kemur að netauglýsingum. Þessi verkfæri skrá áhuga gesta vefsíðna svo hægt sé að sýna sérsniðnar auglýsingar notendum á mismunandi vefsíðum. Facebook Pixel, Google endurmarkaðssetning og Google Adsense eru meðal þessara verkfæra. Ef þú vilt nota þessi verkfæri þarftu alltaf samþykki gests vefsíðunnar.
Vafrakökur – tæknilega nauðsynlegar og tæknilega ónauðsynlegar vafrakökur
Í langan tíma var hægt að setja tæknilega nauðsynlegar vafrakökur án samþykkis notandans. Hins vegar þurfti alltaf að fá samþykki notanda fyrir stillingu á vafrakökum sem ekki voru tæknilega nauðsynlegar. Lögin kveða nú á um mun strangari reglur . Ef vafrakaka á að vera í samræmi við GDPR þarf notandinn nánast alltaf að gefa samþykki sitt. Þetta þýðir að samþykki þarf að gefa til að næstum allar vafrakökur séu settar. Kökuborði verður því ekki aðeins að vera tiltækt ef vafrakökurnar eru notaðar í auglýsingaskyni heldur einnig ef þægindaaðgerðir eiga að vera uppfylltar.
Ef, til dæmis, tungumálastilling notandans er vistuð ætti kexið að vera hannað í samræmi við GDPR. Lagareglunum er ætlað að tryggja að bæði persónuupplýsingar notandans séu verndaðar og sjálfsákvörðunarréttur hans varðveittur. Þó að enn sé gerður greinarmunur á því að setja tæknilega nauðsynlegar og tæknilega ónauðsynlegar vafrakökur er ekki alltaf hægt að greina á milli þessara tveggja afbrigða. Ef þú vilt bregðast við í samræmi við lög ættir þú að taka íhaldssamt fram og nota kökuborða með gagnsæjum upplýsingum um notkun á vafrakökum . Kökuborði með tilheyrandi kökuborðatexta er einnig gagnlegur fyrir kökur sem eru notaðar til að geyma kjörstillingar.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
Segja má með vissu að ávallt skuli afla samþykkisyfirlýsingar fyrir vafrakökur sem notaðar eru til markaðssetningar, rakningar, tölfræði eða greiningar. Það fer eftir tegund vafraköku, vefkökurborðar eða vefkökuefnisborðar eru mögulegir. Í grundvallaratriðum má segja:
- Ef vafrakökur eru nauðsynlegar út frá tæknilegu sjónarhorni er nóg að upplýsa notandann einfaldlega um stillingar á vafrakökum. Þetta þýðir að hrein kökutilkynning væri möguleg hér.
- Ef samþykki notanda er krafist fyrir vafraköku í samræmi við GDPR dugar vafrakökutilkynning ekki. Notandinn þarf ekki aðeins að vera upplýstur um stillingar á vafrakökum. Samþykki notanda þarf að liggja fyrir. Einfaldir kökuborðar sem aðeins upplýsa notandann þjóna ekki þessum tilgangi. Hér verður að nota samþykkisborða fyrir kökur.
Þar sem hreinar upplýsingar um stillingar vafraköku duga sjaldan, verður þú í flestum tilfellum að grípa til vefkökuefnisborða.
Hvað eru kökuborðar?
Þegar notandi heimsækir vefsíðu í fyrsta skipti birtist venjulega kökuborði. Venjulega má sjá kökuborðann neðst á vefsíðunni. Í sumum tilfellum mun sprettigluggi einnig opnast. Á borðinu er vefkökurborði sem upplýsir notandann um vafrakökur og rekja spor einhvers á vefsíðunni. Með samþykkisborða fyrir kökur hefur notandinn einnig möguleika á að gefa samþykki sitt fyrir notkun á vafrakökum. Hann getur samþykkt eða hafnað vinnslu persónuupplýsinga. Þökk sé kökunum er hægt að þekkja netnotendur þegar þeir heimsækja aftur. Þetta þýðir að ef eitthvað hefur verið vistað í innkaupakörfunni verður það samt tiltækt næst þegar þú heimsækir.
Alltaf þegar notandi hefur gert einstakar stillingar geta vafrakökur tryggt að þessar stillingar þurfi ekki að gera aftur þegar hann heimsækir vefsíðuna aftur. Vafrakökur eru nauðsynlegar fyrir tæknilegan rekstur vefsíðu. Hins vegar eru einnig ónauðsynlegar vafrakökur og hér þarf notandinn að hafa tækifæri til að kynna sér þær og samþykkja vinnslu persónuupplýsinga eða hafna þeim. Það er mikilvægt að vita að GDPR er ekki takmörkuð við notkun á vafrakökum. önnur tækni er einnig innifalin ef hún er notuð til að vinna með persónuupplýsingar á einhvern hátt. Hugtakið „kökuborði“ getur því verið villandi og einfaldur borði fyrir smákökur dugar í mörgum tilfellum ekki ef þú vilt uppfylla kröfur GDPR .
Þarf ég kökuborða fyrir vefsíðuna mína?
Ef þú rekur vefsíðu og hefur gesti frá ESB (eða utan) ættir þú að hafa viðeigandi borða. Kökuborðaframleiðandi getur verið mjög gagnlegt hér. Kökuborðaframleiðandinn ætti að hanna borðana þannig að notandinn sé að fullu upplýstur um kökurnar og hafi möguleika á að velja. Í þessu skyni verður vefkökuborðaframleiðandinn að skanna allar vafrakökur og skrá þær í samræmi við það á borðanum. Kökuborðatextinn upplýsir notendur um stillingar á vafrakökum og samþykki er hægt að fá. Rannsóknir hafa sýnt að margir rekstraraðilar vefsíðna eru ekki einu sinni meðvitaðir um að gögn notenda þeirra séu í vinnslu af þriðja eða fjórða aðila. Til dæmis eru til Tróverji sem vefstjórar vita oft ekki einu sinni um tilvist þeirra. Með afkastamiklu samþykkisstjórnunarkerfi er hins vegar hægt að skanna síður fyrir vafrakökur frá öðrum aðilum. Ef þú vilt vernda gögn notenda þinna og tryggja að fótsporaborðið þitt sé í samræmi við GDPR þarftu tæknilega háþróaða og ítarlega lausn. Þetta er eina leiðin til að tryggja að allar vafrakökur og rekja spor einhvers á vefsíðunni sé í raun hægt að finna og stjórna , eins og krafist er í GDPR. Þegar öllu er á botninn hvolft getur hver sá sem ekki hefur yfirsýn yfir alla vefsíðuna frá tæknilegu og hagnýtu sjónarhorni ábyrgst gagnavernd notenda. Kökuborðaframleiðandi sem getur birt kökuborða sem er í samræmi við ákvæði GDPR er því algjörlega nauðsynleg fyrir rekstraraðila vefsíðna.
Hvað þarftu að hafa í huga þegar þú innleiðir vefkökurefni í reynd?
Vegna lagalegra reglna eru nokkrar reglur sem ætti að virða þegar þú innleiðir vefkökurefnisborða. Ef vefkökurborðar eru notaðir, ætti að hafa eftirfarandi atriði í huga:
- Áður en fótspor sem krefjast samþykkis eru settar verður fyrst að fá samþykki. Það er enn mikið að gera á mörgum vefsíðum. Það er ekki nóg að nota réttan kökuborðatexta ef tæknileg útfærsla virkar ekki rétt.
- Ekki skal gera ráð fyrir samþykki ef notandi vafrar eða flettir um vefsíðuna. Þetta felur ekki í sér samþykki sem samræmist lögum.
- Ef notaður er vafrakökuborðaframleiðandi verður hann að hanna borðann þannig að það sé jafn auðvelt að afturkalla samþykki og að gefa samþykki.
- Allar vafrakökur sem samþykki er fengið fyrir verða að koma fram í borðanum sjálfum eða í vafrakökustefnunni eða persónuverndaryfirlýsingunni. Upplýsa þarf notanda að hve miklu leyti vefkökur eru unnar.
- Sönnun er nauðsynleg fyrir yfirlýsingu um samþykki. Þessi sönnun er veitt með því að setja nauðsynlega vafraköku. Einnig þarf að upplýsa notandann um stillingu þessarar vafraköku.
Hvaða efni ætti kökuborði að innihalda?
Þegar kemur að vefkökuborðatextanum eru ákveðnar reglur. Til þess að uppfylla lagaskilyrði verður fótsporaborði að innihalda eftirfarandi:
- Kökuborðatextinn ætti að gefa fyrstu vísbendingu um í hvaða tilgangi kökurnar eru notaðar.
- Það verður að vera tilvísun í persónuverndarstefnuna. Þetta ætti að innihalda frekari upplýsingar. Persónuverndaryfirlýsingin ætti að vera aðgengileg með einum smelli. Á leiðinni að gagnaverndaryfirlýsingunni má ekki setja vefkökur sem eru ekki tæknilega nauðsynlegar.
- Það þarf að vera hnappur til að veita samþykki og hnappur til að hafna samþykki.
- Notandinn verður að hafa val og vita tilganginn með vafrakökum sem hann ætti að samþykkja. Valreitina má ekki fylla út fyrirfram, notandinn þarf að merkja við þá sjálfur.
Notkun vefkökurborða – hvað hefur GDPR með það að gera?
Það fer eftir notkun þeirra og tilgangi, hægt er að nota vafrakökur til að geyma, greina og vinna frekar úr persónuupplýsingum. Einnig er hægt að senda söfnuð gögn til þriðja aðila. Af þessum sökum er notkun á vafrakökum umdeild. Allir sem reka vefsíðu ættu því að kannast við hugtök eins og „tilkynning um vafrakökur“ og „kökustefna“. GDPR hefur verið í gildi síðan 25. maí 2018. Evrópska almenna persónuverndarreglugerðin kemur alltaf við sögu þegar kemur að vinnslu persónuupplýsinga. Síðan í maí 2018 hafa netsalar og rekstraraðilar vefsíðna þurft að innleiða vafrakökutilkynningu á vefsíðu sinni með möguleika á að mótmæla. Hins vegar segir GDPR lítið um hvernig eigi að meðhöndla vafrakökutilkynningar. Frekar hefur GDPR áhrif á persónuverndarstefnu vefsíðu. Til að tryggja rétta meðhöndlun á vafrakökum ætti að innleiða evrópsku ePrivacy . Þetta ætti í grundvallaratriðum að vera kynnt samhliða GDPR. Hins vegar hefur ePrivacy persónuverndarreglugerðinni ítrekað verið frestað, þannig að hún hefur ekki tekið gildi enn sem komið er (frá og með mars 2021).
Vafrakökuborðar eru áskilin – hvað á við um vefsíðuna mína?
Rekstraraðilar vefsíðna og smásalar á netinu spyrja sig réttilega hvað þetta þýðir fyrir eigin viðveru á netinu. Enn sem komið er virðist réttarstaðan ekki vera alveg ljós. GDPR veitir upplýsingar um gagnaverndaryfirlýsingar, ePrivacy reglugerðin er enn í bið. Hvernig ættu rekstraraðilar vefsíðna og netsala að haga sér? Helst ætti kökuborðið að teljast skyldubundið – þrátt fyrir enn ósamræmi í réttarástandi. Kökuborðinn á að vera þannig hannaður að notandinn þarf að verða virkur og ákveða sjálfur hvaða kökur hann vill samþykkja og hverjar ekki. Andmælalausnin sem er fest í lögum um stafræna þjónustu (DDG) (upphaflega lögum um fjarmiðlun, TMG) gengur ekki nógu langt hér og það getur verið lagalega áhættusamt að reiða sig á hana eingöngu. Ef þú telur vafrakökuborðann vera skyldubundinn og vilt vera á örygginu ættir þú að upplýsa notendur vefsíðunnar um hvaða vafrakökur eru notaðar. Að auki ætti notandi að hafa tækifæri til að taka virkan ákvörðun um vinnslu gagnanna. Allir rekstraraðilar vefsíðna ættu að fylgja þessum reglum, jafnvel þótt þær séu einkasíður eða vefsíða íþróttafélagsins. Allir sem nota vefkökurborðaveitu ættu að tryggja að:
- Samþykki notanda fæst beint þegar farið er á síðuna. Þetta ætti að gera áður en kökur eru settar. Tæknilega nauðsynlegar vafrakökur geta verið undantekning hér.
- Það er ekki nóg ef vefkökuborðatextinn samanstendur af einfaldri tilkynningu og hann hverfur strax eftir að smellt er á síðuna eða getur einfaldlega verið falið.
Ekki má haka við fyrirfram samþykki
Helst ætti að forðast hagkvæma kökuborða . Það þýðir að það ætti ekki að þurfa fleiri smelli til að afþakka vafrakökur en að samþykkja þær. Samþykkishnappurinn ætti heldur ekki að vera sýnilegri en hafnahnappurinn. Þó það sé ekki bannað að hanna kökuborða á þennan hátt er það skoðað með gagnrýnum hætti. Svokallaðir smákökuveggir eru líka skoðaðir með gagnrýnum hætti. Kökuveggur er þannig hannaður að notandi kemst ekki einu sinni inn á vefsíðuna ef hann samþykkir ekki notkun á vafrakökum. Samt sem áður telur Evrópska persónuverndarráðið ( EDPB ) að gestur á vefsíðu verði að hafa tækifæri til að heimsækja vefsíðu jafnvel þótt hann hafni vafrakökum sem eru ekki tæknilega nauðsynlegar.
Hvað á heima í persónuverndaryfirlýsingunni?
Burtséð frá því hvort netsalar og rekstraraðilar vefsíðna nota vafrakökuborða verða þeir að vísa til vinnslu persónuupplýsinga í persónuverndaryfirlýsingunni. Persónuverndaryfirlýsingin ætti meðal annars að upplýsa notendur um gerð og tilgang þeirra vafraköku sem notaðar eru. Notandinn ætti að læra:
- Hvers konar gögnum er safnað með vafrakökum.
- Í hvaða tilgangi eru persónuupplýsingarnar notaðar.
- Hversu lengi gögnin eru geymd.
- Hvort og til hvers gögnin eru send.
- Hvort og hvernig eigi að afturkalla samþykki fyrir vinnslu persónuupplýsinga.
Cookie borðar verkfæri fyrir löglega samhæfða hönnun
Það er ekki alltaf auðvelt að hanna kökuborða í samræmi við GDPR. Til þess að vefkökurborðinn eða vefkökuefnisborðinn sé hannaður á löglegan hátt er ráðlegt að nota viðeigandi vefkökuborðaverkfæri. Samþykkisstjórnunaraðili (CMP) er vafrakökuborðaverkfæri sem tekur við hönnun og útvegun vefkökuefnisborðans. Í grundvallaratriðum ætti sérhver netsali og sérhver vefstjóri að nota viðurkennt fótsporaverkfæri, til dæmis frá veitendum eins og Consentmanager. Það eru bæði ókeypis og greidd kökuborðaverkfæri. Venjulega býður greitt kökuborðartæki upp á meiri virkni . Þessir viðbótareiginleikar geta til dæmis falið í sér að laga vafrakökutilkynningar að tilteknu tungumáli . Ef kökuborðarinn ætti einnig að passa við hönnun vefsíðunnar, þá er gjaldbundið kökuborðar líka gagnlegt. Ef þú vilt sérsníða borðann þinn og nota viðbótarþjónustu er þér vel ráðlagt að nota greiddar lausnir. Ef þú býður líka upp á app til viðbótar við vefsíðuna þína þarftu líka viðeigandi lausn fyrir þetta.
Að nota samþykkisstjórnunarlausn sem skannar vefsíðuna til að finna allar vafrakökur og gerir notendum kleift að veita samþykki sitt fyrir hverri köku er áreiðanleg og örugg aðferð til að láta vefsvæðið þitt uppfylla kröfur GDPR hönnunarinnar.
Hverjir eru kostir samþykkisstjórnunartækis?
GDPR gildir um alla söluaðila á netinu og rekstraraðila vefsíðna. Jafnvel þó að sumir rekstraraðilar vefsíðna hika enn og velti því fyrir sér hvort tilkynning um vafrakökur sem samræmast GDPR sé raunverulega nauðsynleg, þá er í raun engin leið framhjá því þessa dagana. Ef ekki er farið að lagareglum getur það varðað háum sektum fyrir rekstraraðila vefsíðna. Viðfangsefnið upplýsingatækni er vandamál fyrir marga frumkvöðla. Þú veist ekki nóg um efnið, þú fjárfestir miklum tíma og á endanum ertu ekki viss um hvort fótsporatilkynningin sé í samræmi við GDPR. Þetta er þar sem samþykkisstjórnunartæki eins og það frá Consentmanager.de kemur sér vel. Með þessari lausn geta rekstraraðilar vefsíðna verið vissir um að þeir uppfylli almenna persónuverndarreglugerð ESB. Með tóli eins og því sem consentmanager .de býður upp á er hægt að bæta samþykkisborða fyrir kökur á fljótlegan og auðveldan hátt á þína eigin vefsíðu. Borði sem samræmist GDPR verndar gesti á vefsíðum og veitir um leið vernd gegn málsókn . Auk þess geta auglýsingaaðilar fundið fyrir öryggi og eru líklegri til að fjárfesta ef þeir vita að þeir eru öruggir.
Niðurstaða
Ertu með netverslun eða vefsíðu og langar að hanna vefsíðuna þína í samræmi við kröfur GDPR? Viltu vera varin gegn viðvörunum? Þá ætti viðfangsefnið „kökur“ örugglega að vera á verkefnalistanum þínum. Allir sem ekki gefa gestum á vefsíðu sinni tækifæri til að samþykkja vinnslu persónuupplýsinga eiga á hættu að verða varaðir við. Viðvörun getur einnig tengst miklum kostnaði. Ef þú vilt nota vafrakökur á vefsíðunni þinni, notaðu þá samsvarandi samþykkisborða eða samþykkistól fyrir vafrakökur til að tryggja að forskriftirnar séu útfærðar á skilvirkan hátt og á sama tíma í samræmi við lög. Leiðbeiningar um meðhöndlun á vafrakökum og vefkökuborða á vefsíðum eru tiltölulega nýjar og þess vegna skortir reynslu, fordæmi og skýrar reglur. Með samþykkisstjórnunartólinu frá Consentmanager.de spila vefstjórar það öruggt. Samþykkisstjórnunartólið okkar er auðvelt í notkun og auðvelt er að samþætta það inn á vefsíður. Þannig að þú getur verið viss um að notendur séu vel upplýstir um notkun á vafrakökum. Og hins vegar er samþykki fyrir notkuninni aflað í samræmi við lög.