Kodėl slapukai tapo tokia galvos skausmo priežastimi
Prisimenu laikus, kai slapukai buvo tiesiog patogi technologija, leidžianti įsiminti vartotojo prisijungimą ar pirkinių krepšelio turinį. Niekas negalvojo, kad vieną dieną dėl jų teks kurti sudėtingas sistemas ir konsultuotis su teisininkais. Bet štai atėjo 2018-ieji, GDPR įsigaliojo, o kartu su juo atsirado ir nauja realybė – kiekvienas slapukas, kuris nėra būtinai reikalingas svetainės veikimui, dabar reikalauja aiškaus vartotojo sutikimo.
Problema ta, kad dauguma mūsų svetainių naudoja ne vieną ar du slapukus. Google Analytics, Facebook pikselis, reklaminės platformos, chat’ai, A/B testavimo įrankiai – visa tai kuria slapukus kaip iš gausybės rago. O GDPR sako: nori sekti vartotoją? Gauk sutikimą. Nori rodyti personalizuotas reklamas? Gauk sutikimą. Ir ne bet kokį – turi būti aiškus, konkretus, informuotas ir laisvanoriškas.
Dabar kiekvienas IT specialistas, kuriantis ar prižiūrintis svetaines, susiduria su šiuo iššūkiu. Ir čia ne tik apie tai, kad reikia pridėti kokį nors popup’ą – reikia suprasti, kaip visa tai veikia techniškai, kaip įgyvendinti teisingai ir kaip nepakenkti vartotojų patirčiai.
Kas iš tiesų yra tas sutikimas pagal GDPR
GDPR 4 straipsnyje sutikimas apibrėžiamas kaip „bet koks laisvanoriškas, konkretus, informuotas ir nedviprasmiškas duomenų subjekto valios pareiškimas”. Skamba kaip teisininko kalba, bet praktiškai tai reiškia kelis svarbius dalykus.
Pirma, sutikimas turi būti laisvanoriškas. Negalite užblokuoti visos svetainės ir pasakyti „sutinki arba išeini”. Tai vadinama „cookie wall” ir daugumoje atvejų yra nelegalus dalykas. Vartotojas turi turėti realią galimybę atsisakyti nebūtinų slapukų ir vis tiek naudotis svetaine.
Antra, sutikimas turi būti konkretus. Negalite paprašyti bendro sutikimo „visiems slapukams”. Turite leisti vartotojui pasirinkti – galbūt jis sutinka su analitika, bet nesutinka su reklaminiais slapukais. Arba atvirkščiai. Tai jo teisė.
Trečia, sutikimas turi būti informuotas. Vartotojas turi žinoti, kam jis sutinka. Kokius slapukus naudojate, kam jie reikalingi, kas juos stato, kiek laiko jie galioja. Ir visa tai turi būti paaiškinta aiškia, suprantama kalba, o ne teisiniais terminais.
Ketvirta, sutikimas turi būti nedviprasmiškas. Tai reiškia, kad turi būti aktyvus veiksmas – paspaudimas mygtuko, varnelės pažymėjimas. Iš anksto pažymėtos varnelės? Negalima. Tylus sutikimas tęsiant naršymą? Irgi ne. Nors kai kurios įmonės vis dar bando šitaip išsisukti.
Techninė implementacija: kas vyksta už kulisų
Gerai, supratome teoriją. O kaip tai veikia techniškai? Tipinė cookie consent implementacija turi keletą komponentų, ir visi jie turi veikti sklandžiai.
Pirmiausia, jums reikia paties consent management platformos (CMP) arba sprendimo. Tai gali būti trečiųjų šalių įrankis kaip Cookiebot, OneTrust, CookieYes ar panašūs, arba savo sukurtas sprendimas. Aš asmeniškai mačiau įvairių variantų – nuo paprastų custom riešinių iki sudėtingų enterprise sistemų.
Esmė ta, kad šis sprendimas turi atlikti keletą funkcijų. Pirma, jis turi rodyti sutikimo langą su visa reikiama informacija. Antra, jis turi išsaugoti vartotojo pasirinkimą (ironiškai, tam naudojamas slapukas, bet tai yra „būtinasis” slapukas, kuriam sutikimo nereikia). Trečia, ir tai svarbiausia – jis turi blokuoti visus nebūtinius slapukus tol, kol vartotojas neduoda sutikimo.
Štai čia ir prasideda įdomybės. Daugelis developerių tiesiog įklijuoja Google Analytics ar Facebook pikselio kodą į svetainę ir galvoja, kad baigta. Bet pagal GDPR, šie skriptai negali būti vykdomi tol, kol vartotojas neduoda sutikimo. Tai reiškia, kad jūs turite kontroliuoti, kada šie skriptai įkeliami.
Yra keletas būdų tai padaryti. Vienas populiarus metodas – naudoti `type=”text/plain”` arba `type=”text/javascript-blocked”` script tagams, kurie reikalauja sutikimo. Pavyzdžiui:
„`html
„`
Tada jūsų CMP, gavęs sutikimą, pakeičia šių skriptų type į `text/javascript`, ir jie pradeda veikti. Kitas būdas – dinamiškai įkelti skriptus JavaScript’u tik po sutikimo gavimo.
Svarbu suprasti, kad tai turi veikti iš tikrųjų. Aš mačiau svetainių, kurios rodo gražų sutikimo langą, bet visi slapukai jau yra įkrauti prieš tai. Tai ne tik neatitinka GDPR, bet ir gali baigtis baudų.
Būtinieji ir nebūtinieji slapukai: kur brėžti ribą
Viena didžiausių diskusijų temų – kas yra būtinasis slapukas, o kas ne. GDPR sako, kad būtinieji slapukai yra tie, kurie „būtinai reikalingi” svetainės veikimui. Bet kas tai reiškia praktiškai?
Aiškūs atvejai: sesijos slapukas, kuris laiko vartotoją prisijungusį – būtinasis. Slapukas, kuris įsimena pirkinių krepšelio turinį e-parduotuvėje – būtinasis. Slapukas, kuris įsimena vartotojo kalbos pasirinkimą – čia jau diskutuotina, bet dažniausiai laikomas būtinuoju.
O kas su Google Analytics? Ne, tai nėra būtinasis slapukas. Jūsų svetainė veiks puikiai ir be jo. Tai, kad jums reikia statistikos verslo tikslais, nedaro jo būtinu. Tas pats su visais reklaminiais slapukais, social media pikseliais, heat map įrankiais ir panašiai.
Yra pilka zona – pavyzdžiui, CDN slapukai, load balancing slapukai, saugumo slapukai. Čia reikia vertinti kiekvieną atvejį atskirai. Jei slapukas reikalingas svetainės saugumui ar techniniam veikimui, jis gali būti laikomas būtinuoju. Bet jei jis naudojamas sekimui ar analizei, net jei tai „saugumo analizė” – greičiausiai reikia sutikimo.
Praktinis patarimas: jei abejojate, geriau priskirkite prie nebūtinųjų ir prašykite sutikimo. Geriau būti atsargesniems nei vėliau aiškintis su duomenų apsaugos institucijomis.
Google Analytics ir kiti analizės įrankiai po GDPR
Kadangi kalbėjome apie Google Analytics, sustokime prie jo plačiau. Tai vienas populiariausių įrankių, ir daugelis svetainių jo naudoja. Bet po GDPR jo naudojimas tapo sudėtingesnis.
Pirma problema – reikia sutikimo. Kaip jau minėjau, GA nėra būtinasis slapukas, tad turite gauti sutikimą prieš jį įkeldami. Bet yra ir kita problema – duomenų perdavimas į JAV. Europos Sąjungos teismas 2020 metais panaikino Privacy Shield susitarimą, kuris leido perduoti duomenis į JAV. Tai reiškia, kad Google Analytics naudojimas gali būti problematiškas net su sutikimu.
Kai kurios Europos duomenų apsaugos institucijos jau yra išleidusios sprendimus, kad Google Analytics naudojimas pažeidžia GDPR. Austrija, Prancūzija, Italija – sąrašas auga. Tai nereiškia, kad negalite jo naudoti, bet turite būti atsargūs ir imtis papildomų priemonių.
Viena galimybė – naudoti Google Analytics 4 su atitinkamais nustatymais: išjungti duomenų dalijimąsi su Google, naudoti IP anonimizaciją (nors GA4 pagal nutylėjimą nebesaugo pilnų IP adresų), pasirašyti duomenų apdorojimo sutartį su Google.
Kita galimybė – ieškoti alternatyvų. Matomo (buvęs Piwik) – open-source analizės įrankis, kurį galite talpinti savo serveryje. Plausible, Fathom – paprastesnės, privacy-friendly alternatyvos. Simple Analytics – dar vienas populiarus pasirinkimas. Šie įrankiai dažnai reklamuojasi kaip GDPR-compliant ir nereikalaujantys sutikimo, nors čia irgi reikia būti atsargiems – jei jie naudoja slapukus ar seka vartotojus, sutikimas vis tiek gali būti reikalingas.
Aš pats keliuose projektuose perėjau nuo GA prie Plausible, ir patirtis gera. Statistika paprastesnė, bet dažniausiai to ir reikia. O svarbiausia – nėra galvos skausmo dėl GDPR.
Consent management platformos: ką pasirinkti
Grįžtame prie CMP pasirinkimo. Rinkoje yra daugybė sprendimų, ir pasirinkimas gali būti pribloškiantis. Pabandysiu išskaidyti pagrindinius dalykus, į kuriuos reikėtų atsižvelgti.
**Cookiebot** – vienas populiariausių sprendimų. Automatiškai skenuoja jūsų svetainę ir aptinka visus slapukus, sugeneruoja sutikimo langą, blokuoja skriptus. Turi nemokamą versiją iki 100 subdomenų vienam domenui. Veikia gerai, bet kaina gali būti aukšta didesniems projektams.
**OneTrust** – enterprise lygio sprendimas. Labai daug funkcijų, labai daug nustatymų, labai didelė kaina. Jei dirbate su didelėmis korporacijomis, tikriausiai susidursite su šiuo įrankiu. Mažesniems projektams – overkill.
**CookieYes** – pigesnis variantas, panašus į Cookiebot. Geras balansas tarp funkcionalumo ir kainos. Nemokama versija iki 25,000 peržiūrų per mėnesį.
**Osano** – dar vienas populiarus pasirinkimas, ypač JAV rinkoje. Palaiko ne tik GDPR, bet ir kitus privatumo įstatymus (CCPA, LGPD ir t.t.).
**Termly** – paprastesnis, bet funkcionalus sprendimas. Gera nemokama versija.
**Custom sprendimas** – galite sukurti savo. Tai ne taip sudėtinga, kaip gali atrodyti, bet turite būti tikri, kad visa implementacija atitinka GDPR reikalavimus. Turite teisingai blokuoti skriptus, išsaugoti sutikimą, leisti jį atšaukti, saugoti įrašus apie sutikimus.
Jei kuriate custom sprendimą, rekomenduoju naudoti kokį nors esamą open-source projektą kaip bazę. Pavyzdžiui, „vanilla-cookieconsent” – lengvas, be priklausomybių JavaScript library, kurį galite pritaikyti savo poreikiams.
Svarbu suprasti, kad CMP pasirinkimas priklauso nuo jūsų projekto dydžio, biudžeto ir techninių gebėjimų. Mažam blogui gali užtekti paprasto sprendimo ar net custom kodo. Didelei e-parduotuvei su daugybe trečiųjų šalių integracijų – geriau rinktis patikimą mokamą platformą.
Praktiniai patarimai implementacijai
Dabar prie konkrečių dalykų, kurie padės jums įgyvendinti cookie consent teisingai.
**Testuokite be slapukų.** Prieš įdiegdami sprendimą, išvalykite visus slapukus ir pabandykite apsilankyti svetainėje. Ar matote sutikimo langą? Ar jis pasirodo prieš bet kokius nebūtinius slapukus? Jei ne – turite problemą.
**Naudokite developer tools.** Chrome DevTools Application tab rodo visus slapukus. Atverkite jį, išvalykite slapukus, perkraukite puslapį ir stebėkite, kas atsiranda. Jei matote Google Analytics ar Facebook slapukus prieš duodant sutikimą – blogai.
**Testuokite visus scenarijus.** Vartotojas sutinka su visais slapukais – veikia? Vartotojas atsisako visų – veikia? Vartotojas pasirenka tik kai kuriuos – veikia? Vartotojas vėliau pakeičia nuomonę – gali tai padaryti?
**Dokumentuokite slapukus.** Turite turėti sąrašą visų slapukų, kuriuos naudojate. Kas juos stato, kam jie reikalingi, kiek laiko galioja, kokią informaciją saugo. Tai ne tik GDPR reikalavimas – tai ir gera praktika.
**Atnaujinkite privatumo politiką.** Cookie consent langas – ne viskas. Turite turėti detalią privatumo politiką, kuri paaiškina, kaip naudojate slapukus ir asmens duomenis. Ir ji turi būti lengvai pasiekiama.
**Leiskite lengvai atšaukti sutikimą.** Vartotojas turi turėti galimybę bet kada pakeisti savo pasirinkimą. Įprastas būdas – nuoroda puslapio apačioje „Cookie nustatymai” ar panašiai, kuri vėl atidaro sutikimo langą.
**Saugokite įrašus.** GDPR reikalauja, kad galėtumėte įrodyti, jog gavote sutikimą. Tai reiškia, kad turite saugoti informaciją apie tai, kada vartotojas davė sutikimą, kokiems slapukams jis sutiko, kokia buvo sutikimo lango versija tuo metu. Daugelis CMP platformų tai daro automatiškai.
**Atsižvelkite į vartotojo patirtį.** Taip, GDPR reikalavimai svarbūs, bet nepamirškite vartotojo. Sutikimo langas neturėtų būti erzinantis, neturėtų blokuoti viso turinio, neturėtų būti per sudėtingas. Raskite balansą tarp atitikties ir patogaus naudojimo.
Dažniausios klaidos ir kaip jų išvengti
Per kelerius metus, konsultuodamas įvairius projektus, mačiau tas pačias klaidas kartojantis vėl ir vėl. Štai dažniausios iš jų.
**Klaida #1: Cookie wall.** Svetainė rodo pranešimą „Sutinkate su slapukais arba negalite naudotis svetaine”. Tai nelegalu. Vartotojas turi turėti galimybę atsisakyti nebūtinų slapukų ir vis tiek naudotis svetaine. Yra išimčių – jei jūsų verslo modelis tikrai negali veikti be tam tikrų slapukų (pvz., prenumeratos patvirtinimas), bet tai reti atvejai.
**Klaida #2: Iš anksto pažymėtos varnelės.** Sutikimo lange visos kategorijos jau pažymėtos, vartotojas turi jas atžymėti, jei nesutinka. Tai neatitinka GDPR reikalavimo dėl nedviprasmiško sutikimo. Vartotojas turi aktyviai pažymėti, su kuo jis sutinka.
**Klaida #3: Slapukai įkeliami prieš sutikimą.** Gražus sutikimo langas, bet jei pažiūri į developer tools – visi slapukai jau ten. Tai reiškia, kad implementacija neveikia. Slapukai turi būti blokuojami tol, kol nėra sutikimo.
**Klaida #4: „Tęsiant naršymą, sutinkate su slapukais”.** Tai nebeveikia pagal GDPR. Sutikimas turi būti aktyvus veiksmas, ne tylus.
**Klaida #5: Neįmanoma atšaukti sutikimo.** Vartotojas vieną kartą sutiko, ir dabar neturi kaip pakeisti nuomonės. GDPR sako, kad atšaukti sutikimą turi būti taip pat lengva, kaip jį duoti.
**Klaida #6: Neaiški informacija.** Sutikimo lange parašyta „Naudojame slapukus patirčiai gerinti” ir viskas. Tai per nekonkretu. Turite paaiškinti, kokius slapukus naudojate, kam tiksliai, kas juos stato.
**Klaida #7: Ignoruojamas Google Consent Mode.** Jei naudojate Google įrankius (Analytics, Ads), turėtumėte implementuoti Google Consent Mode. Tai leidžia Google įrankiams veikti ribotai be sutikimo (be slapukų) ir pilnai su sutikimu. Tai pagerina duomenų kokybę ir atitinka GDPR.
**Klaida #8: Nesaugomi sutikimo įrašai.** GDPR reikalauja, kad galėtumėte įrodyti, jog gavote sutikimą. Jei nesaugote šios informacijos, esate pažeidžiami situacijoje, kai kas nors paklaus.
Ateitis ir nauji iššūkiai
GDPR jau veikia kelerius metus, bet situacija vis dar evoliucionuoja. Teismai priima naujus sprendimus, duomenų apsaugos institucijos išleidžia naujas gaires, technologijos keičiasi.
Vienas didelis klausimas – trečiųjų šalių slapukų ateitis. Google Chrome planavo juos panaikinti 2024 metais, bet vėl atidėjo. Kai tai įvyks, visa reklamos industrija turės persiorganizuoti. Bet tai nereiškia, kad cookie consent problemos išnyks – atsiras naujos technologijos (FLoC, Topics API, FLEDGE), kurios irgi kels privatumo klausimų.
Kitas dalykas – kiti privatumo įstatymai. GDPR buvo pirmasis, bet dabar turime CCPA Kalifornijoje, LGPD Brazilijoje, PIPEDA Kanadoje, ir daugybę kitų. Jei jūsų svetainė pasiekiama tarptautiniu mastu, gali tekti atitikti kelis skirtingus įstatymus. Laimei, daugelis jų turi panašius principus, tad GDPR-compliant sprendimas dažnai atitinka ir kitus reikalavimus.
Dar viena tendencija – judėjimas link privacy-by-design. Vietoj to, kad bandytume išspręsti privatumo problemas post-factum su sutikimo langais, turėtume kurti sistemas, kurios iš esmės gerbia privatumą. Tai reiškia mažiau sekimo, mažiau duomenų rinkimo, daugiau anoniminių sprendimų.
Matau, kad vis daugiau projektų renkasi privacy-friendly alternatyvas. Vietoj Google Analytics – Plausible ar Fathom. Vietoj Google Fonts iš CDN – self-hosted šriftai. Vietoj Facebook pikselio – serveriniai sprendimai. Tai ne tik dėl GDPR – tai ir dėl to, kad vartotojai tampa vis labiau susirūpinę savo privatumu.
Taip pat matau, kad atsiranda daugiau įrankių, kurie padeda automatizuoti GDPR atitiktį. Automatinis slapukų skenavimas, automatinis sutikimo valdymas, automatinė dokumentacijos generacija. Tai gera žinia developeriams – mažiau rankinio darbo, mažiau klaidų.
Bet svarbiausia pamoka iš viso šito – privatumas nėra kliūtis, kurią reikia apeiti. Tai vertybė, kurią reikia gerbti. GDPR gali atrodyti kaip našta, bet iš tiesų jis skatina mus kurti geresnes, atsakingesnes sistemas. Ir ilgalaikėje perspektyvoje tai naudinga visiems – ir vartotojams, ir verslui, ir mums, IT specialistams.
Taigi, implementuodami cookie consent, galvokime ne tik apie tai, kaip atitikti minimalius reikalavimus, bet ir apie tai, kaip sukurti gerą patirtį vartotojams. Kaip būti skaidriais. Kaip rinkti tik tuos duomenis, kurie tikrai reikalingi. Tai ne tik padės išvengti baudų – tai padės sukurti pasitikėjimą, o tai yra neįkainojama.
