GDPRディープダイブ:Cookieについてどうするか

公開: 2018-02-16
GDPRディープダイブ:Cookieについてどうするか

すべてのCookieはほぼ同じように機能するようです。 ユーザーによって保存され、アクティビティなどを追跡する小さなWebファイル。

しかし、他のものより「プライベート」なものもあります。

そして今、これまで以上に、それはあなたのマーケティングスタックに違いをもたらすでしょう。

GDPRとeプライバシーコンプライアンスへの道はでこぼこ道です。 データ処理者は「プライバシーバイデザイン」に依存し、個人データを使用しているかどうかについて同意を求める必要があります。 これは、個人識別子を意味します。 これは、Cookie、IPアドレス、または郵便番号を意味します。

Convertでは、個人データがシステムに保存されないようにし、Cookieを使用して個人が特定されないようにしたいと考えていました。 これは、ビジネスの成長、戦略的知識、およびWebサイト訪問者の個人のプライバシーのバランスを保つ唯一の方法でした。

なぜなら、A / Bテストツールに明示的な同意を求める必要がある場合、どうなるのか疑問に思ったことはありませんか?

ソフトウェアを実行する場合、WebサイトのすべてのユーザーがA/Bテストに同意する必要があります。

それをどのように明確に説明しますか? 説得力がありますか?

そして、何人のユーザーが大丈夫だと思いますか?

ソフトウェアベンダー:ビジネスを節約したい場合—アプリを再設計する時が来ました

EUは、新しいeプライバシー規制が実施されていなくても、GDPRでCookieをどのように処理するかについて明確なガイドラインを提供してくれました。

私たちは本当に私たちのウェブ訪問者と明確なメッセージを共有したいと思っています:私たちはあなたのプライバシーを気にかけています。

そのためには、使用している72のソフトウェアツールの20%をキャンセルする必要があると思います。

プライバシーが明確になっていないからです。 または、GDPRで調整された機能の欠如。 または、顧客、見込み客、およびその他の関係のデータを透過的に管理する意欲の欠如。

GDPRリサイタル30の状態:

自然人は、インターネットプロトコルアドレス、Cookie識別子、または無線周波数識別タグなどの他の識別子など、デバイス、アプリケーション、ツール、およびプロトコルによって提供されるオンライン識別子に関連付けることができます。

これにより、特にサーバーが受信した一意の識別子やその他の情報と組み合わせた場合に、自然人のプロファイルを作成して識別するために使用できる痕跡が残る可能性があります。

したがって、一意の識別子は必要ありません。 クッキーでもありません—そして確かに個人データではありません。

ePrivacyDirectiveとヨーロッパのローカライズ版を使用したGDPR前のA/Bテスト

現在施行されている法律であるeプライバシー指令(まもなく新しいeプライバシー規制に置き換えられる)は、A/Bテストソフトウェアがどのような種類のCookieに依存しているかを理解するのに役立ちます。 それらはパフォーマンスCookieです:

デザインのバリエーションをテストします。通常はA/Bまたは多変量テストを使用して、現在および後続のセッションでサイトのユーザーの一貫したルックアンドフィールが維持されるようにします。 これらがこの説明に当てはまる場合、それらはパフォーマンスCookieです。

 これらのCookieは、訪問者がWebサイトをどのように使用しているか、たとえば、訪問者が最も頻繁にアクセスするページや、Webページからエラーメッセージを受け取ったかどうかに関する情報を収集します。 これらのCookieは、訪問者を識別する情報を収集しません。 これらのCookieが収集するすべての情報は集約されているため、匿名です。 これは、Webサイトの動作を改善するためにのみ使用されます。

これらのCookieは、広告の再ターゲティングに使用しないでください。再ターゲティングする場合は、 ICC UK Cookieガイド第2版2012年11月[PDF]に従って、ターゲティングCookieおよび広告Cookieのカテゴリに分類する必要があります

「パフォーマンスセグメント」のCookieは、Webサイト運営者の利益のためにWebサイトの使用に関する情報のみを収集します。 それらは集合体データに依存しています。 彼らは直接「訪問者を特定する」ことはしません。 これらの種類のCookieの使用に関する同意は、たとえば、サイトの利用規約で、またはユーザーがサイトの設定を変更したときに取得される場合があります。

ここで使用する正しい方法は、Webサイトの性質、および関連するCookieの正確な機能によって異なります。 ただし、ほとんどの場合、「[ウェブサイト] [オンラインサービス]を使用することにより、デバイスでこれらの種類のCookieを使用することに同意したことになります」という言葉で同意を得ることができます。

新しい法律(eプライバシー規制)は異なりますが、古い/現在の法律のeプライバシー指令は、ユーザーの同意なしにCookieを配置できる場合にA/Bテストソフトウェアがどこにあるかを理解するのに役立ちます。 エンドユーザーに明確な情報を提供する限り、通常どおりに作業を行うことができます。

国ごとに説明が少し異なる場合がありますが、一般的に、ヨーロッパはA/Bテストに参加していました。 これは、Webサイトのパフォーマンスに役立ちました(行動ターゲティングやパーソナライズに使用しなかった場合。また、他のユーザーと情報を共有したり、Webサイト全体を追跡したりしなかった場合)。

GDPR後、A / Bテストの同意が必要ですか?

興味深いことに、PageFairは、消費者の21%のみが自社の分析追跡をオプトインすることを発見しました。

これは、現在のトラフィックの1/5が同意パラメータの範囲内にある場合、分析を受け入れることを意味します。

では、A / Bテストツールの同意が必要ですか?

A / BテストソフトウェアがIPアドレス、デバイスID、UserID、TransactionID、CookieID、偽名データ(つまり、認識できないデータ+他の場所に保存されているキー)に依存している場合は、同意が必要です。また)。 GDPRの下では、これらは一意の識別子であり、明示的なオプトインが必要です。

では、いつ明示的な同意から始める必要がありますか? eプライバシー指令はいつeプライバシー規制に切り替わりますか?

警告:ラテン語と法的用語。

eプライバシー規制は、GDPRに対する「principelex specialisderogatlegigenerali」または略して「lexspecialis」です。

平易な英語では、これは次のことを意味します。GDPRとePrivacyが対立している場合、またはGDPRがさらなる仕様を必要とするガイドラインを提示している場合、ePrivacyに規定されているルールが従う必要があります。

現在、eプライバシー規制の草案(名前1533)が議論されています。 それでも、EU加盟国の代表者からのフィードバックを確認する必要があります。そのため、まもなく法制化される内容を正確に反映しているわけではありません。

「楽観的な」予測:プライバシーフォーラムのポリシーカウンセルであるGabriela Zanfir-Fortunaの将来は、eプライバシーの承認日が2018年末になると予想していると述べています。実装日については、私たちにはまったくわかりません。

楽観的ではありませんが、彼はまた、eプライバシー規制は「追加のコンプライアンスを必要とする可能性が高い」と示唆しています。 また、Alex Propes(PublicPolicyのInteractiveAdvertising Bureau(IAB)のディレクター)は、「組織は現時点ではGDPRのみをターゲットにできる」と述べています。

Alston&BirdのDaniel Felzアソシエイトは、さらに憂鬱な見方を共有しています。 最終的なeプライバシー規制は2020年まで実施されない可能性があります。」 ドイツ連邦データ保護協会が主催する会議で、ドイツ経済省のスポークスウーマンは、三者対話の交渉は2018年の秋まで開始されないと述べたと報告されました。

どうやら、EU加盟国はまだeプライバシー規制の問題に関して多くの未解決の質問を議論しています。

その間、明らかに、現在のePrivacy指令(2002年7月12日の欧州議会および理事会の指令2002/58 / EC)は引き続き有効であり、これは国内法の問題です。

だからそれはあなたが私に投げたたくさんの法則でした。 それは私のビジネスにとってどういう意味ですか?

GDPRは明確です。同意なしに個人データを取得することはできません。 また、eプライバシーが抜け穴で急降下するのを待っている場合は、長い待ち時間を見ている可能性があります。

したがって、A / Bテストソフトウェアが個人データに依存している場合:IPアドレス、デバイスID、UserID、TransactionID、CookieID、疑似匿名データなどの一意の識別子(認識できないデータ+別の場所にあるキーで再度読み取れるようにする)それは個人的なものですデータ。

GDPR戦略に、オンラインデータとCookieやその他の多くの識別子を含めることが重要です。 どこで、どのように、テキストは将来の代表者の議論によって適応されるでしょう。

古いePrivacy指令では、「Cookieウォール」通知を設定する義務があり、ヨーロッパの企業にのみ焦点が当てられていました。

現在、GDPRは、世界中のEUデータに触れるすべての人に適用されます。 また、個人データは、あらゆる種類の新しい識別子を含むように定義されています。

しかし、古いePrivacyディレクティブは別のことを言っています。 「このタイプのデータの場合、通知とオプトアウトの機会が必要です」と書かれています。

だから、法的な空白へようこそ。

大きな問題は、その灰色の領域内で罰金を科されるかどうかです。

そして答えは:あなたはそれを危険にさらしたいですか?

プライバシー当局は、GDPRの実装にかなりの時間を費やす予定です。 また、新しいeプライバシー法は2019年、さらには2020年まで施行されない可能性があります。

したがって、基本的なCookieの壁がまだ有効である場合、5月25日に多額の罰金が科せられることはないと思います。

しかし、ついに法律が変化していることは明らかです。 そして、データの価値が高まり、データ主体がより多くを要求する世界に移行するにつれて、それらは変化し続けるでしょう。

それでは、今から始めましょう。