التعمق في اللائحة العامة لحماية البيانات (GDPR): ما يجب فعله بشأن ملفات تعريف الارتباط

نشرت: 2018-02-16
التعمق في اللائحة العامة لحماية البيانات (GDPR): ما يجب فعله بشأن ملفات تعريف الارتباط

يبدو أن جميع ملفات تعريف الارتباط تعمل بنفس الطريقة تقريبًا. ملف ويب صغير ، مخزن من قبل مستخدم ، يتتبع النشاط ، إلخ.

لكن بعضها "خاص" أكثر من البعض الآخر.

والآن ، أكثر من أي وقت مضى ، سيحدث هذا فرقًا في مجموعتك التسويقية.

الطريق إلى الامتثال للقانون العام لحماية البيانات (GDPR) والامتثال للخصوصية الإلكترونية مليء بالمطبات. يتطلب من معالجي البيانات الاعتماد على "الخصوصية حسب التصميم" - وطلب الموافقة إذا كانوا يستخدمون أي بيانات شخصية. هذا يعني أي معرفات شخصية. وهذا يعني ملفات تعريف الارتباط أو عناوين IP أو الرموز البريدية.

في التحويل ، أردنا التأكد من عدم تخزين أي بيانات شخصية في أنظمتنا ، وأنه لن يتم التعرف على أي شخص باستخدام ملفات تعريف الارتباط. كانت الطريقة الوحيدة للحفاظ على توازن نمو الأعمال والمعرفة الاستراتيجية والخصوصية الشخصية لزوار الموقع.

لأنه ، هل تساءلت يومًا ما الذي سيحدث عندما تحتاج إلى طلب موافقة صريحة لأداة اختبار A / B الخاصة بك؟

في حالة تشغيل برنامجك - يحتاج كل مستخدم على موقع الويب الخاص بك إلى منح الموافقة على اختبار أ / ب.

كيف تشرح ذلك بوضوح؟ بشكل مقنع؟

وكم عدد المستخدمين الذين تعتقد أنهم سيعطون الموافقة؟

بائعي البرامج: إذا كنت تريد حفظ عملك - فقد حان الوقت لإعادة تصميم تطبيقاتك

قدم لنا الاتحاد الأوروبي إرشادات واضحة حول كيفية التعامل مع ملفات تعريف الارتباط في القانون العام لحماية البيانات (GDPR) - حتى بدون وجود لوائح الخصوصية الإلكترونية الجديدة المعمول بها.

نريد حقًا مشاركة رسالة واضحة مع زوار الويب لدينا: نحن نهتم بخصوصيتك.

وللقيام بذلك ، أتوقع ، سيتعين علينا إلغاء 20٪ من 72 أداة برمجية نستخدمها.

فقط بسبب عدم الوضوح بشأن الخصوصية. أو عدم وجود ميزات معدلة للائحة العامة لحماية البيانات. أو عدم الرغبة في إدارة بيانات عملائنا وآفاقنا وعلاقاتنا الأخرى بشفافية.

تنص اللائحة العامة لحماية البيانات (GDPR) على ما يلي:

قد يرتبط الأشخاص الطبيعيون بالمعرفات عبر الإنترنت التي توفرها أجهزتهم وتطبيقاتهم وأدواتهم وبروتوكولاتهم ، مثل عناوين بروتوكول الإنترنت أو معرفات ملفات تعريف الارتباط أو المعرفات الأخرى مثل علامات تعريف التردد اللاسلكي.

قد يترك هذا آثارًا ، خاصة عند دمجها مع معرفات فريدة ومعلومات أخرى تتلقاها الخوادم ، يمكن استخدامها لإنشاء ملفات تعريف للأشخاص الطبيعيين والتعرف عليهم.

لذا فهم لا يريدون أي معرّفات فريدة . ولا حتى في ملفات تعريف الارتباط - وبالتأكيد ليس البيانات الشخصية.

اختبار A / B المسبق للائحة العامة لحماية البيانات (GDPR) باستخدام توجيه الخصوصية الإلكترونية والإصدارات المترجمة في أوروبا

القانون المعمول به حاليًا ، يساعدنا توجيه الخصوصية الإلكترونية (الذي سيتم استبداله قريبًا بلوائح الخصوصية الإلكترونية الجديدة) في فهم نوع ملفات تعريف الارتباط التي يعتمد عليها برنامج اختبار أ / ب. إنها ملفات تعريف الارتباط الخاصة بالأداء:

اختبار أشكال مختلفة من التصميم ، عادةً باستخدام اختبار A / B أو اختبار متعدد المتغيرات ، لضمان الحفاظ على الشكل والمظهر المتسقين لمستخدم الموقع في الجلسات الحالية واللاحقة. إذا كانت تناسب هذا الوصف فهي ملفات تعريف ارتباط الأداء.

 تجمع ملفات تعريف الارتباط هذه معلومات حول كيفية استخدام الزوار لموقع الويب ، على سبيل المثال الصفحات التي يذهب إليها الزوار في أغلب الأحيان ، وما إذا كانت تتلقى رسائل خطأ من صفحات الويب. لا تجمع ملفات تعريف الارتباط هذه المعلومات التي تحدد هوية الزائر. يتم تجميع جميع المعلومات التي تجمعها ملفات تعريف الارتباط هذه وبالتالي فهي مجهولة المصدر. يتم استخدامه فقط لتحسين كيفية عمل موقع الويب.

لا ينبغي استخدام ملفات تعريف الارتباط هذه لإعادة استهداف الإعلانات ، إذا كانت كذلك ، فيجب وضعها في فئة ملفات تعريف ارتباط الاستهداف وملفات تعريف الارتباط الإعلانية وفقًا لدليل ICC UK Cookie ، الإصدار الثاني لشهر نوفمبر 2012 [PDF] .

تقوم ملفات تعريف الارتباط الموجودة في "مقطع الأداء" بجمع معلومات حول استخدام موقع الويب فقط لصالح مشغل موقع الويب. يعتمدون على البيانات المجمعة. إنهم لا "يحددون الزائر" بشكل مباشر. يمكن الحصول على الموافقة على استخدام هذه الأنواع من ملفات تعريف الارتباط ، على سبيل المثال ، في شروط وأحكام الموقع - أو عندما يغير المستخدم إعدادات الموقع.

تعتمد الطريقة الصحيحة للاستخدام هنا على طبيعة موقع الويب والوظيفة الدقيقة لملفات تعريف الارتباط المعنية. ولكن في معظم الحالات ، يمكننا الحصول على موافقة بالكلمات التالية: "باستخدام [موقع الويب] [الخدمة عبر الإنترنت] ، فإنك توافق على استخدام هذه الأنواع من ملفات تعريف الارتباط على جهازك."

على الرغم من اختلاف القانون الجديد (لوائح الخصوصية الإلكترونية) ، فإن توجيهات الخصوصية الإلكترونية للقانون القديم / الحالي تساعدنا في فهم مكان برنامج اختبار A / B عندما يمكن وضع ملفات تعريف الارتباط دون موافقة المستخدم. يمكننا القيام بعملنا كالمعتاد ، طالما قدمنا ​​معلومات واضحة للمستخدم النهائي.

قد يكون لكل بلد وصف مختلف قليلاً - ولكن بشكل عام ، كانت أوروبا على استعداد لاختبار A / B. لقد ساعد في أداء موقع الويب (إذا لم تستخدمه للاستهداف السلوكي والتخصيص. ولم تشارك المعلومات مع الآخرين ، أو تتبعها عبر موقع الويب).

بعد القانون العام لحماية البيانات (GDPR) ، هل نحتاج إلى الموافقة على اختبار A / B؟

ومن المثير للاهتمام أن PageFair وجدت أن 21٪ فقط من المستهلكين سيشاركون في تتبع تحليلات الطرف الأول.

هذا يعني أن ⅕ من حركة المرور الحالية ستقبل التحليلات إذا كانت تندرج ضمن معايير الموافقة.

هل ستحتاج إذن إلى موافقة لأداة اختبار A / B؟

على الأرجح نعم ، ستحتاج إلى موافقة إذا كان برنامج اختبار A / B الخاص بك يعتمد على عنوان IP أو المعرفات الفريدة مثل معرفات الجهاز أو معرف المستخدم أو معرف المعاملة أو معرف ملف تعريف الارتباط أو بيانات مجهولة (بمعنى: بيانات لا يمكن التعرف عليها + مفتاح مخزن في مكان آخر ، لجعله قابلاً للقراءة تكرارا). هذه ، بموجب القانون العام لحماية البيانات (GDPR) ، هي معرفات فريدة وتتطلب تمكينًا صريحًا.

إذن متى يجب أن تبدأ بموافقة صريحة؟ متى يتحول توجيه الخصوصية الإلكترونية إلى لوائح الخصوصية الإلكترونية؟

تحذير: الكلمات اللاتينية والمصطلحات القانونية.

لوائح الخصوصية الإلكترونية هي "قانون الخصوصية الأساسي الذي يتم تطبيقه على القانون العام" أو باختصار "قانون الخصوصية" في اللائحة العامة لحماية البيانات (GDPR).

يعني هذا بلغة إنجليزية بسيطة: إذا كان هناك خلاف بين القانون العام لحماية البيانات والخصوصية الإلكترونية ، أو إذا كانت اللائحة العامة لحماية البيانات تضع مبادئ توجيهية تحتاج إلى مزيد من المواصفات - القواعد المنصوص عليها في الخصوصية الإلكترونية ، هي القواعد التي يتعين عليك اتباعها.

الآن لدينا فقط مسودة (الأسماء 1533) من لوائح الخصوصية الإلكترونية قيد المناقشة. لا يزال يحتاج إلى رؤية تعليقات مندوبي الاتحاد الأوروبي الأعضاء - لذا فهو لا يعكس بالضبط ما سيصبح قانونًا قريبًا.

توقعات "متفائلة": يقول غابرييلا زانفير-فورتونا ، مستشارة سياسة منتدى الخصوصية في Future of Privacy Forum ، إنه يتوقع موعدًا للموافقة على الخصوصية الإلكترونية في نهاية عام 2018. أما بالنسبة لتاريخ التنفيذ ، فليس لدينا أي فكرة حقًا.

بشكل أقل تفاؤلاً ، اقترح أيضًا أن لائحة الخصوصية الإلكترونية "ستتطلب على الأرجح امتثالًا إضافيًا". وقد قال Alex Propes (مدير مكتب الإعلان التفاعلي (IAB) للسياسة العامة): "لا يمكن للمنظمات استهداف إجمالي الناتج المحلي إلا في الوقت الحالي".

يشارك Daniel Felz Associate في Alston & Bird وجهة نظر أكثر إحباطًا: "تم تأجيل المفاوضات الثلاثية لتنظيم الخصوصية الإلكترونية إلى خريف 2018 ؛ قد لا تكون لائحة الخصوصية الإلكترونية النهائية سارية حتى عام 2020. " في مؤتمر برعاية الجمعية الفيدرالية الألمانية لحماية البيانات ، تم الإبلاغ عن متحدثة باسم وزارة الاقتصاد الألمانية قالت إن المفاوضات الثلاثية لن تبدأ حتى خريف عام 2018.

على ما يبدو ، لا تزال الدول الأعضاء في الاتحاد الأوروبي تناقش عددًا من الأسئلة المفتوحة المتعلقة بقضايا تنظيم الخصوصية الإلكترونية.

في غضون ذلك ، من الواضح أن التوجيه الحالي بشأن الخصوصية الإلكترونية (التوجيه 2002/58 / EC للبرلمان الأوروبي والمجلس الأوروبي بتاريخ 12 يوليو 2002) لا يزال ساريًا ، وهو أمر يتعلق بالتشريع الوطني.

لذلك كان هذا الكثير من القوانين التي ألقيتها في وجهي. ماذا يعني ذلك لعملي؟

القانون العام لحماية البيانات واضح: لا توجد بيانات شخصية دون موافقة. وإذا كنت تنتظر أن تدخل الخصوصية الإلكترونية في ثغرة - فقد تنتظر وقتًا طويلاً.

لذلك إذا كان برنامج اختبار A / B الخاص بك يعتمد على البيانات الشخصية: عنوان IP ، والمعرفات الفريدة مثل معرفات الجهاز ، أو معرف المستخدم ، أو معرف المعاملة ، أو تعريف ملف تعريف الارتباط ، أو بيانات مجهولة (هذه بيانات + مفتاح غير معروف في مكان مختلف لجعله قابلاً للقراءة مرة أخرى) ، فهذا أمر شخصي بيانات.

يظل من الضروري تضمين البيانات والمعرفات عبر الإنترنت ، مثل ملفات تعريف الارتباط وغيرها الكثير ، في إستراتيجية القانون العام لحماية البيانات (GDPR) الخاصة بك. بغض النظر عن مكان وكيفية تكييف النص من خلال مناقشات المندوبين في المستقبل.

منحك التوجيه القديم بشأن الخصوصية الإلكترونية التزامًا بوضع إشعار "جدار ملفات تعريف الارتباط" ، مع التركيز فقط على الشركات الأوروبية.

يسري القانون العام لحماية البيانات (GDPR) الآن على كل شخص يلامس بيانات الاتحاد الأوروبي — في جميع أنحاء العالم. ويتم تعريف البيانات الشخصية لتشمل جميع أنواع المعرفات الجديدة.

لكن التوجيه القديم بشأن الخصوصية الإلكترونية يقول شيئًا آخر. تقول "بالنسبة لهذا النوع من البيانات ، تحتاج فقط إلى إشعار وفرصة لإلغاء الاشتراك".

فمرحبا بكم في الفراغ القانوني.

السؤال الكبير هو: هل سيتم تغريمك داخل تلك المنطقة الرمادية؟

والجواب هل تريد المخاطرة به؟

سيكون لسلطات الخصوصية وقتًا طويلاً في تنفيذ القانون العام لحماية البيانات (GDPR). وقد لا يتم تطبيق قوانين الخصوصية الإلكترونية الجديدة حتى عام 2019 أو حتى عام 2020.

لذلك ، لا أتوقع غرامات ضخمة في 25 مايو ، إذا كان جدار ملفات تعريف الارتباط الأساسي الخاص بك لا يزال ساريًا.

لكن من الواضح أن القوانين تتغير أخيرًا. وسيستمرون في التغيير - مع انتقالنا إلى عالم تكون فيه البيانات ذات قيمة أكبر ، والموضوعات المتعلقة بالبيانات تتطلب المزيد.

لنبدأ الآن.