Политика за бисквитки (cookies) – GDPR изисквания за всеки уебсайт

Ако имам уебсайт – независимо дали е блог, онлайн магазин или корпоративен сайт – то вероятно сайтът ми използва бисквитки (cookies). За много собственици на уебсайтове темата за политиката за бисквитки звучи като сложна техническа и правна материя. В тази статия ще обясня ясно и достъпно какво всъщност са бисквитките, защо ми е нужна политика за тях, какви са изискванията по GDPR и ePrivacy директивата и как правилно да получа съгласие от посетителите на сайта си.

Какво са бисквитките (cookies)?

Бисквитките са малки текстови файлове, които уебсайтът записва на устройството на посетителя (компютър, телефон, таблет) при зареждане на страницата. Те съхраняват информация за поведението на потребителя – кои страници е посетил, какво е сложил в количката си, дали е влязъл в профила си и т.н.

Бисквитките сами по себе си не са нещо лошо – напротив, много от тях правят сайта по-удобен. Проблемът настъпва, когато чрез тях се събират лични данни без знанието и съгласието на потребителя. В такъв случай влизат в сила изискванията на GDPR и ePrivacy директивата.

За повече информация относно законосъобразното използване на бисквитки в уебсайт препоръчвам да прочетете специализираната статия по темата.

Видове бисквитки

Не всички бисквитки са еднакви. Важно е да знам какви типове бисквитки използва моят сайт, защото от това зависи дали трябва да искам съгласие за тях.

Строго необходими бисквитки (Strictly necessary)

Тези бисквитки са абсолютно необходими за функционирането на сайта. Без тях сайтът не може да работи правилно. Примери: бисквитки за потребителска сесия (login), бисквитки за количка в онлайн магазин, бисквитки за сигурност (CSRF tokens). За тези бисквитки не е нужно съгласие – мога да ги поставям автоматично.

Функционални бисквитки (Functional/Preference)

Тези бисквитки запомнят предпочитанията на потребителя – избрания език, регион, размер на шрифта и т.н. Те подобряват потребителското изживяване, но не са строго необходими. За тях е нужно съгласие, освен ако не мога да аргументирам легитимен интерес.

Аналитични бисквитки (Analytics/Performance)

Тези бисквитки събират анонимна информация за начина, по който посетителите използват сайта – кои страници посещават, колко дълго остават, откъде идват. Типичен пример е Google Analytics. Изискват съгласие, ако събраните данни могат да идентифицират конкретни потребители.

Маркетингови бисквитки (Marketing/Targeting)

Маркетинговите бисквитки проследяват поведението на потребителя в интернет с цел показване на персонализирани реклами. Такива са бисквитките на Facebook Pixel, Google Ads, LinkedIn Insight Tag и др. Тези бисквитки изискват изрично съгласие преди поставянето им – не след, не мълчаливо.

Защо ми е нужна политика за бисквитки?

Политиката за бисквитки е правен документ, в който обяснявам на посетителите на сайта ми:

• Какви бисквитки използвам и за какво.
• Кой поставя тези бисквитки (моята организация или трети страни).
• Колко дълго се съхраняват.
• Как посетителят може да управлява или изтрие бисквитките.

Причините тя да е задължителна са правни – изискват я едновременно GDPR и ePrivacy директивата (транспонирана в България чрез Закона за електронните съобщения). Без такава политика рискувам глоби и може да наруша правата на потребителите на сайта ми.

GDPR и ePrivacy изисквания

Двата основни правни инструмента, регулиращи бисквитките в Европейския съюз, са:

GDPR (Общ регламент за защита на данните)

GDPR се прилага, когато бисквитките обработват лични данни. Регламентът изисква:

• Законно основание за обработване (най-често – съгласие).
• Информация за обработването (чрез политиката за бисквитки и/или политиката за поверителност).
• Правото на оттегляне на съгласието да е толкова лесно, колкото даването му.

ePrivacy директива (Директива за поверителност и електронни комуникации)

ePrivacy директивата, известна още като „Cookie Law", е по-специфична и изисква предварително съгласие преди поставянето на немаркетингови бисквитки, освен ако те са строго необходими. В България тя е транспонирана в Закона за електронните съобщения (ЗЕС).

Съчетанието на двата акта означава: за повечето бисквитки трябва да имам изрично съгласие, дадено преди поставянето им.

Ако имам онлайн магазин, трябва да знам и за другите ми задължения. Вижте как да отворите онлайн магазин законосъобразно и какви документи са необходими.

Как да получа съгласие – cookie банер

Cookie банерът (известен още като consent banner или лента за съгласие) е изскачащото съобщение, което се появява при първото посещение на сайта и иска разрешение за поставяне на бисквитки.

За да бъде правно валидно, съгласието трябва да отговаря на следните условия:

1. Свободно дадено – потребителят не трябва да е принуден да приема всички бисквитки, за да ползва сайта.
2. Конкретно – трябва да е ясно за кои категории бисквитки се дава съгласие.
3. Информирано – потребителят трябва да знае какво приема.
4. Недвусмислено – изисква активно действие (кликване на бутон „Приемам" или отметка). Просто продължаването на разглеждането не е достатъчно.
5. Лесно оттегляемо – трябва да мога да оттегля съгласието си по всяко време толкова лесно, колкото съм го дал.

Добрият cookie банер предлага поне два бутона: „Приемам всички" и „Настройки" (или „Откажи незадължителните"). Банер само с бутон „Приемам" не отговаря на изискванията.

Кога мълчаливото съгласие не е достатъчно?

Мълчаливото съгласие (т.е. потребителят просто продължава да разглежда сайта без да прави нищо) никога не е достатъчно за немаркетингови или аналитични бисквитки. Трябва активно, изрично действие.

Следните практики са незаконни:

• Банер, в който „Приемам" е голям цветен бутон, а „Откажи" е малък сив текст.
• Предварително отметнати полета за маркетингови бисквитки.
• Текст „Продължавайки да разглеждате сайта, вие приемате бисквитките" – това не е съгласие.
• Невъзможност да се ползва сайтът без да се приемат всички бисквитки (т.нар. cookie wall), освен в много ограничени случаи.

Проблемите, свързани с обработването на лични данни в интернет, засягат и отговорността на администраторите на уебсайтове, затова е важно да съм добре запознат с тях.

Какво трябва да съдържа политиката за бисквитки?

Политиката за бисквитки трябва да е отделен документ (или раздел от политиката за поверителност) и да включва:

1. Какво са бисквитките – кратко обяснение за нетехническа аудитория.
2. Списък на бисквитките – таблица или изброен списък с всяка бисквитка, нейното наименование, тип, цел, доставчик и срок на съхранение.
3. Категории бисквитки – строго необходими, функционални, аналитични, маркетингови.
4. Правно основание – съгласие или легитимен интерес, с пояснение за всяка категория.
5. Трети страни – кои външни доставчици поставят бисквитки чрез моя сайт и линкове към техните политики.
6. Срокове за съхранение – колко дълго остава всяка бисквитка на устройството.
7. Как да управлявам бисквитките – инструкции за настройка на браузъра и линк към настройките за съгласие в сайта.
8. Контактна информация – как да се свържете с мен при въпроси.

Google Analytics, Facebook Pixel и изисквания на трети страни

Двете най-разпространени системи за аналитика и реклама – Google Analytics и Facebook (Meta) Pixel – поставят собствени бисквитки, за които аз като собственик на сайта нося отговорност.

Google изисква от мен да информирам потребителите за Google Analytics бисквитките и да осигуря механизъм за отказ. Повече информация в официалните Google условия за бисквитки.

Facebook/Meta изисква изрично съгласие преди активиране на Pixel в ЕС, съгласно изискванията на тяхната страница за GDPR съответствие на Meta. Ако използвам Facebook Pixel без съгласие, нося отговорност не само пред КЗЛД, но потенциално и пред самия Meta.

Ако имам акаунт в социалните мрежи или ви интересуват правата ви там, прочетете за правата ви във Facebook.

Как да изготвя политиката за бисквитки?

Ето практическите стъпки, които трябва да предприема:

1. Одит на бисквитките – Използвам инструмент (напр. CookieBot scanner или браузърни инструменти за разработчици), за да открия всички бисквитки, поставяни от моя сайт.
2. Категоризирам ги – Разпределям бисквитките по четирите категории.
3. Изготвям политиката – Съставям документ с всички задължителни елементи, описани по-горе.
4. Внедрявам consent management platform (CMP) – Избирам платформа за управление на съгласие (напр. Cookiebot, OneTrust, Klaro), която осигурява законосъобразен банер.
5. Публикувам политиката – Поставям линк към нея в подвала (footer) на сайта и в самия банер.
6. Актуализирам редовно – При добавяне на нови функции или трети страни актуализирам политиката.

За професионално изготвяне на политики и общи условия за уебсайта мога да потърся правна помощ, за да съм сигурен, че всичко е в съответствие с изискванията. Повече за задълженията ми като администратор на лични данни мога да прочета в GDPR наръчника за бизнеса. За да въведа GDPR изискванията стъпка по стъпка, мога да се възползвам от цялостното въвеждане на GDPR, предлагано от специалисти. Препоръчвам също да разгледам и професионалните общи условия и политики, с които ще покрия всички правни изисквания за сайта си.

Кратко обобщение

Политиката за бисквитки не е просто формалност – тя е правно задължение за всеки уебсайт, използващ немаркетингови или аналитични бисквитки. Трябва да съдържа ясен списък на всички бисквитки, техните цели и срокове на съхранение. Cookie банерът трябва да предлага реален избор – не само „Приемам", но и лесна опция за отказ. Мълчаливото съгласие не е достатъчно за нито една категория бисквитки, освен строго необходимите.

Ако имам съмнения дали сайтът ми отговаря на изискванията, препоръчвам да направя одит и да се консултирам с юрист, специализиран в GDPR. Последствията от неспазване – глоби, загуба на доверие от потребителите и репутационни щети – са много по-скъпи от навременното изграждане на правилна документация.