Clever Geek Handbook

Cookies和GDPR:网站所有者在追求合规性方面犯了什么错误?





Cookies作为个人数据



自《欧洲数据保护条例》(以下简称《 GDPR》)生效以及发布《电子隐私指令》修订草案(最著名的“隐私和电子通信声明”)以来,一直在讨论 严格使用cookie的问题。这些文件正式将cookie定义为个人数据,并承担域外责任,并对非法使用此类文件的网站所有者处以巨额罚款。我们已经进行了概述了违反GDPR基本原则的处罚,但是没有一个涉及与处理Cookie有关的违规行为。通常,在没有法院惯例和实际惩罚的情况下,业务代表会有一种安全感,换句话说:“除非受到雷击,否则该男子将不会跨过自己”。但是,人们一直在听到雷声大雨-对于Cookie违规行为,最大的罚款之一是西班牙数据保护机构Vueling于2019年10月发布了30,000欧元的罚单,原因是该公司无法选择退出第三方Cookie。



由于专业性质,您在访问各个站点时会不由自主地分析它们是否符合个人数据保护领域中已知的法规性法律。作为另一种此类分析的结果,很明显,在追求GDPR要求的实施过程中,许多公司已经开始关注其Web资源上的“按顺序放入东西”的问题。但是,由于缺乏对要求的了解或不希望“破坏”站点的用户界面,因此似乎每个组织都错误地实施了在其资源上使用cookie的策略。



实施使用cookie文件策略的法规



从GDPR和ePrivacy的角度来看,使用cookie的规则与处理所有其他个人数据的规则没有什么不同,如果在站点上使用允许在网络上创建用户配置文件的任何cookie,则应遵循这些规则。但是,这不适用于:



  • 网站正确操作所必需的cookie;
  • 向用户提供在线服务所必需的cookie,例如,当用户填写在线表格,使用购物车或对网站进行身份验证以登录到在线服务时


回到规则,其实质如下:



  1. 设置Cookie只能在用户事先同意的情况下进行。
  2. , , , , /, .
  3. cookie, , , , .
  4. .
  5. – cookie- , , , .


Cookie政策实施中的重大错误或不执行的方式



让我们看一下Cookie策略错误实施的三个示例,这些示例在个人数据的控制器和处理器的站点之间最常见。



示例1.标语警告,如果继续使用该网站,则表示您同意使用cookie。



这种做法在俄罗斯和欧洲的网络资源中都很普遍。例如,考虑一家意大利化妆品商店的网站。根据网站上显示的cookie政策,技术cookie,功能cookie和来自第三方市场营销活动的cookie被设置给用户。

同时,页面底部横幅上警告的字面翻译为:“此站点使用技术,分析和第三方cookie进行概要分析。如果您选择“继续”或在未确定选择的情况下访问我们网站上的任何内容,则表示您同意使用cookie。要了解更多信息并拒绝同意安装cookie,请单击此处。”







在这种情况下,违反了前面提到的所有规则:



  1. 用户打开站点时,将立即安装Cookies。
  2. 继续使用该网站或单击“继续”按钮并不是一项明确的确认操作,因为用户没有选择权,也无法拒绝安装Cookie。
  3. , cookie, cookie.
  4. cookie , cookie .
  5. , , , , .


示例2.标有正确同意书的横幅,该横幅不适用于网站的所有页面。



例如,考虑法语版本的huppe.com。







网站上显示的同意标语符合我们正在考虑的规则,并且本文中引用的数据保护手册充分详细地描述了公司关于cookie的政策。在俄文版本中,同意标语如下所示:







但是,如果您更深入地研究并尝试打开的不是网站的主页,而是打开(例如)魔术。



魔术在于这样一个事实,即横幅广告似乎可以满足所有要求,但实际上不起作用。除非采取必要的措施,否则除非严格必要,否则不会阻止cookie的设置,这意味着该站点绝对不再是“优秀学生”。在这种情况下,从5条规则中,我们可以说只遵守了规则2和3



示例3.使用cookie的透明策略不够充分



碰巧的是,公司关注获得同意的工作机制,但却错过了一个重要的细节-透明地提供了有关特定cookie用途的信息。储存条件。这种情况在castrol.com网站上出现。







该网站带有同意横幅,可以选择管理单个cookie。







而且,重要的是,锁定机制起作用:



在获得同意之前在获得同意







之后







但是,关于cookie使用的信息包含的特异性太少-既没有提供第三方cookie设置站点的人员列表,也没有给出站点上至少某些cookie组的存储期限。在这种情况下,违反了GDPR的主要原则之一-处理透明性,因此未满足规则3;完全透明的Cookie政策的一个示例是在欧盟委员会网站上发布的政策



除了表明在实施欧洲数据保护和隐私要求方面存在常见错误外,所审查的示例还表明,欧洲监管机构的工作迫使许多控制者和处理者关注合规性问题。而且,如果两年前在绝大多数站点上根本没有出现使用cookie的话题,那么现在的情况正在发生巨大变化,这只能引起对数据控制权感兴趣的用户的欢迎,毕竟,根据欧洲数据保护委员会的说法,这就是为什么由GDPR开发。



实践表明,在当前现实中,作为控制者或处理者的网站所有者有两种选择:



  1. ;
  2. - cookie-, , , .








,


More articles:


All Articles