• Beranda
  • Artikel
  • SEO
  • Penyelaman Mendalam GDPR: Apa yang Harus Dilakukan Tentang Cookie

Penyelaman Mendalam GDPR: Apa yang Harus Dilakukan Tentang Cookie

Diterbitkan: 2018-02-16
Penyelaman Mendalam GDPR: Apa yang Harus Dilakukan Tentang Cookie

Semua cookie tampaknya bekerja kurang lebih sama. File web kecil, disimpan oleh pengguna, melacak aktivitas, dll. dll.

Tetapi beberapa lebih "pribadi" daripada yang lain.

Dan sekarang, lebih dari sebelumnya, itu akan membuat perbedaan untuk tumpukan pemasaran Anda.

Jalan menuju kepatuhan GDPR dan ePrivacy adalah jalan yang bergelombang. Hal ini mengharuskan pemroses data Anda untuk mengandalkan "privasi berdasarkan desain"—dan meminta persetujuan jika mereka menggunakan data pribadi APA PUN. Itu berarti pengenal pribadi apa pun. Itu berarti cookie, atau alamat IP, atau kode pos.

Di Convert, kami ingin memastikan tidak ada data pribadi yang akan disimpan di sistem kami, dan tidak ada orang yang teridentifikasi menggunakan cookie. Itu adalah satu-satunya cara untuk menjaga keseimbangan pertumbuhan bisnis, pengetahuan strategis, dan privasi pribadi pengunjung situs web.

Karena, pernahkah Anda bertanya-tanya apa yang akan terjadi ketika Anda perlu meminta persetujuan eksplisit untuk alat pengujian A/B Anda?

Jika agar perangkat lunak Anda dapat berjalan—setiap pengguna di situs web Anda perlu memberikan persetujuan untuk pengujian A/B.

Bagaimana Anda menjelaskannya dengan jelas? Secara persuasif?

Dan berapa banyak pengguna Anda yang menurut Anda akan setuju?

Vendor Perangkat Lunak: Jika Anda Ingin Menyelamatkan Bisnis Anda—Saatnya Mendesain Ulang Aplikasi Anda

UE memberi kami panduan yang jelas tentang bagaimana cookie harus ditangani di GDPR —bahkan tanpa Peraturan ePrivasi yang baru.

Kami benar-benar ingin berbagi pesan yang jelas dengan pengunjung web kami: kami peduli dengan privasi Anda.

Dan untuk melakukan itu, saya berharap, kita harus membatalkan 20% dari 72 perangkat lunak yang kita gunakan.

HANYA karena kurangnya kejelasan tentang privasi. Atau kurangnya fitur yang disesuaikan dengan GDPR. Atau kurangnya kemauan untuk mengelola data pelanggan, prospek, dan relasi lainnya secara transparan.

Resital GDPR 30 menyatakan:

Orang perseorangan dapat dikaitkan dengan pengidentifikasi online yang disediakan oleh perangkat, aplikasi, alat, dan protokol mereka, seperti alamat protokol internet, pengidentifikasi cookie, atau pengidentifikasi lain seperti tag identifikasi frekuensi radio.

Ini dapat meninggalkan jejak yang, khususnya ketika digabungkan dengan pengidentifikasi unik dan informasi lain yang diterima oleh server, dapat digunakan untuk membuat profil orang-orang alami dan mengidentifikasi mereka.

Jadi mereka tidak menginginkan pengenal unik apa pun . Bahkan dalam cookie—dan tentunya bukan data pribadi.

Pengujian A/B Pra-GDPR dengan ePrivacy Directive dan versi yang dilokalkan di Eropa

Undang-undang yang berlaku saat ini, Petunjuk ePrivasi (yang akan segera diganti dengan Peraturan ePrivasi baru) membantu kami memahami jenis cookie yang diandalkan oleh perangkat lunak pengujian A/B. Itu adalah cookie kinerja:

Menguji variasi desain, biasanya menggunakan pengujian A/B atau multivarian, untuk memastikan tampilan dan nuansa yang konsisten dipertahankan bagi pengguna situs dalam sesi saat ini dan selanjutnya. Jika cocok dengan deskripsi ini, mereka adalah cookie kinerja.

 Cookie ini mengumpulkan informasi tentang bagaimana pengunjung menggunakan situs web, misalnya halaman mana yang paling sering dikunjungi pengunjung, dan jika mereka mendapatkan pesan kesalahan dari halaman web. Cookie ini tidak mengumpulkan informasi yang mengidentifikasi pengunjung. Semua informasi yang dikumpulkan cookie ini dikumpulkan dan karenanya anonim. Ini hanya digunakan untuk meningkatkan cara kerja situs web.

Cookie ini tidak boleh digunakan untuk menargetkan ulang iklan, jika ya, cookie ini harus ditempatkan dalam kategori cookie penargetan dan cookie iklan menurut panduan Cookie ICC UK Edisi kedua November 2012 [PDF] .

Cookie di "segmen kinerja" hanya mengumpulkan informasi tentang penggunaan situs web untuk kepentingan operator situs web. Mereka mengandalkan data agregat. Mereka tidak secara langsung “mengidentifikasi pengunjung”. Persetujuan untuk penggunaan jenis cookie ini dapat diperoleh, misalnya, dalam syarat dan ketentuan situs—atau saat pengguna mengubah pengaturan situs.

Metode yang benar untuk digunakan di sini akan bergantung pada sifat situs web, dan fungsi tepat dari cookie yang terlibat. Namun dalam kebanyakan kasus, kami dapat memperoleh persetujuan dengan kata-kata: “Dengan menggunakan [situs web][layanan online] kami, Anda menyetujui penggunaan jenis cookie ini di perangkat Anda.”

Meskipun undang-undang baru (Peraturan ePrivasi) berbeda, Pedoman ePrivasi undang-undang lama/saat ini membantu kami memahami di mana posisi perangkat lunak pengujian A/B ketika cookie dapat ditempatkan tanpa persetujuan pengguna. Kami dapat melakukan pekerjaan kami seperti biasa, selama kami memberikan informasi yang jelas kepada pengguna akhir.

Setiap negara mungkin memiliki deskripsi yang sedikit berbeda—tetapi secara umum, Eropa ikut serta dengan pengujian A/B. Ini membantu kinerja situs web (jika Anda tidak menggunakannya untuk penargetan perilaku dan personalisasi. Dan Anda tidak berbagi informasi dengan orang lain, atau melacak di seluruh situs web).

Setelah GDPR, apakah kami memerlukan persetujuan untuk pengujian A/B?

Menariknya, PageFair menemukan bahwa hanya 21% konsumen yang akan ikut serta dalam pelacakan analitik pihak pertama.

Ini berarti dari lalu lintas saat ini akan menerima analitik jika itu termasuk dalam parameter persetujuan.

Jadi, apakah Anda memerlukan persetujuan untuk alat pengujian A/B Anda?

Kemungkinan besar ya, Anda memerlukan persetujuan jika perangkat lunak pengujian A/B Anda bergantung pada alamat IP, pengidentifikasi unik seperti ID Perangkat, ID Pengguna, ID Transaksi, ID Cookie, atau data Pseudonymous (artinya: data yang tidak dapat dikenali + kunci yang disimpan di tempat lain, agar dapat dibaca lagi). Ini, di bawah GDPR, adalah pengidentifikasi unik, dan memerlukan keikutsertaan eksplisit.

Jadi kapan Anda harus mulai dengan persetujuan eksplisit? Kapan ePrivacy Directive beralih ke ePrivacy Regulations?

Peringatan: Kata-kata Latin dan istilah hukum.

Peraturan ePrivasi adalah 'principe lex specialis derogat legi generali' atau singkatnya 'lex specialis' untuk GDPR.

Dalam bahasa Inggris sederhana ini berarti: jika GDPR dan ePrivacy bertentangan, atau GDPR memberikan pedoman yang memerlukan spesifikasi lebih lanjut—aturan yang ditetapkan dalam ePrivacy, adalah yang harus Anda ikuti.

Saat ini kami hanya memiliki draf (nama 1533) dari Peraturan ePrivasi yang sedang diperdebatkan. Itu masih perlu melihat umpan balik dari delegasi anggota UE—jadi itu tidak mencerminkan secara tepat apa yang akan segera menjadi undang-undang.

Perkiraan “optimis”: Penasihat Kebijakan Forum Privasi Masa Depan, Gabriela Zanfir-Fortuna, mengatakan bahwa dia mengharapkan tanggal persetujuan ePrivacy menjelang akhir 2018. Mengenai tanggal implementasi, kami benar-benar tidak tahu.

Kurang optimis, dia juga menyarankan bahwa Peraturan ePrivasi "kemungkinan akan membutuhkan kepatuhan tambahan." Dan, Alex Propes (Direktur Biro Iklan Interaktif (IAB) Kebijakan Publik) mengatakan “bahwa organisasi hanya dapat menargetkan GDPR saat ini.”

Daniel Felz Associate di Alston & Bird berbagi pandangan yang lebih menyedihkan lagi: “Negosiasi Trilog Regulasi ePrivacy Diundur ke Musim Gugur 2018; Regulasi ePrivacy final mungkin tidak berlaku hingga 2020.” Pada konferensi yang disponsori oleh Masyarakat Federal Jerman untuk Perlindungan Data, seorang juru bicara dari Kementerian Ekonomi Jerman dilaporkan menyatakan bahwa negosiasi trilog tidak akan dimulai sampai musim gugur 2018.

Rupanya, Negara-negara Anggota UE masih membahas sejumlah pertanyaan terbuka terkait masalah Peraturan ePrivasi.

Sementara itu, jelas, Pedoman ePrivasi saat ini (Petunjuk 2002/58/EC Parlemen Eropa dan Dewan 12 Juli 2002) tetap berlaku, yang merupakan masalah undang-undang nasional.

Jadi itu banyak hukum yang Anda berikan kepada saya. Apa artinya bagi bisnis saya?

GDPR jelas: tidak ada data pribadi tanpa persetujuan. Dan jika Anda sedang menunggu ePrivacy masuk dengan celah—Anda mungkin sedang menunggu lama.

Jadi jika perangkat lunak pengujian A/B Anda bergantung pada data pribadi: alamat IP, pengidentifikasi unik seperti ID Perangkat, ID Pengguna, ID Transaksi, ID Cookie, atau data Pseudonymous (itu data yang tidak dapat dikenali + kunci di tempat yang berbeda untuk membuatnya dapat dibaca lagi) maka itu bersifat pribadi data.

Tetap menjadi kunci untuk menyertakan data dan pengidentifikasi online, seperti cookie dan banyak lainnya, dalam strategi GDPR Anda. Terlepas dari di mana, dan bagaimana, teks akan diadaptasi oleh diskusi delegasi di masa mendatang.

Pedoman ePrivasi lama memberi Anda kewajiban untuk memasang pemberitahuan “dinding cookie”, dan hanya berfokus pada perusahaan Eropa.

Sekarang GDPR berlaku untuk semua orang yang menyentuh data UE—di seluruh dunia. Dan data pribadi didefinisikan untuk memasukkan semua jenis pengenal baru.

Tetapi arahan ePrivacy lama mengatakan sesuatu yang lain. Dikatakan "untuk jenis data ini, Anda hanya perlu pemberitahuan, dan kesempatan untuk memilih keluar."

Jadi selamat datang di kekosongan hukum.

Pertanyaan besarnya adalah: apakah Anda akan didenda dalam wilayah abu-abu itu?

Dan jawabannya adalah: apakah Anda ingin mengambil risiko?

Otoritas privasi akan kesulitan menerapkan GDPR. Dan undang-undang ePrivasi yang baru mungkin tidak akan diterapkan hingga 2019, atau bahkan 2020.

Jadi, saya tidak mengharapkan denda besar pada 25 Mei, jika dinding cookie dasar Anda masih hidup.

Tapi jelas bahwa akhirnya, hukum berubah. Dan mereka akan terus berubah—saat kita memasuki dunia di mana data lebih berharga, dan subjek data menuntut lebih banyak.

Jadi mari kita mulai sekarang.