GDPR 심층 분석: 쿠키에 대해 해야 할 일

게시 됨: 2018-02-16
GDPR 심층 분석: 쿠키에 대해 해야 할 일

모든 쿠키는 거의 동일하게 작동하는 것 같습니다. 사용자가 저장한 작은 웹 파일, 활동 등을 추적합니다.

그러나 일부는 다른 것보다 더 "비공개"입니다.

그리고 이제 그 어느 때보다 마케팅 스택에 변화를 가져올 것입니다.

GDPR 및 ePrivacy 준수로 가는 길은 험난합니다. 데이터 처리자는 "개인 정보 보호 설계"에 의존하고 개인 데이터를 사용하는 경우 동의를 구해야 합니다. 이는 모든 개인 식별자를 의미합니다. 쿠키, IP 주소 또는 우편 번호를 의미합니다.

Convert에서는 개인 데이터가 시스템에 저장되지 않고 쿠키를 사용하여 식별되는 사람이 없는지 확인하고 싶었습니다. 웹 사이트 방문자의 비즈니스 성장, 전략적 지식 및 개인 정보 보호의 균형을 유지하는 유일한 방법이었습니다.

A/B 테스트 도구에 대한 명시적 동의가 필요할 때 어떤 일이 벌어질지 생각해 본 적이 있습니까?

소프트웨어를 실행하려면 웹사이트의 모든 사용자가 A/B 테스트에 동의해야 합니다.

그것을 어떻게 명확하게 설명하겠습니까? 설득력 있게?

얼마나 많은 사용자가 승인할 것이라고 생각합니까?

소프트웨어 공급업체: 비즈니스를 저장하려면 앱을 다시 디자인해야 할 때입니다.

EU는 새로운 ePrivacy 규정이 없는 경우에도 GDPR에서 쿠키를 처리하는 방법에 대한 명확한 지침을 제공했습니다.

우리는 웹 방문자와 분명한 메시지를 공유하고 싶습니다. 우리는 귀하의 개인 정보를 중요하게 생각합니다.

그리고 그렇게 하려면 우리가 사용하는 72개의 소프트웨어 도구 중 20%를 취소해야 합니다.

프라이버시에 대한 명확성이 부족하기 때문입니다. 또는 GDPR 조정 기능이 부족합니다. 또는 고객, 잠재 고객 및 기타 관계의 데이터를 투명하게 관리하려는 의지가 부족합니다.

GDPR 리사이틀 30에서는 다음을 명시합니다.

자연인은 인터넷 프로토콜 주소, 쿠키 식별자 또는 무선 주파수 식별 태그와 같은 기타 식별자와 같은 장치, 애플리케이션, 도구 및 프로토콜에서 제공하는 온라인 식별자와 연관될 수 있습니다.

이것은 특히 서버가 수신한 고유 식별자 및 기타 정보와 결합하여 자연인의 프로필을 생성하고 식별하는 데 사용할 수 있는 흔적을 남길 수 있습니다.

따라서 그들은 고유한 식별자를 원하지 않습니다 . 쿠키에도 없고 개인 데이터에도 없습니다.

ePrivacy Directive 및 유럽의 현지화된 버전을 사용한 사전 GDPR A/B 테스트

현재 시행 중인 법률인 ePrivacy Directive(곧 새로운 ePrivacy 규정으로 대체됨)는 A/B 테스트 소프트웨어가 어떤 종류의 쿠키에 의존하는지 이해하는 데 도움이 됩니다. 성능 쿠키입니다.

현재 및 후속 세션에서 사이트 사용자에게 일관된 모양과 느낌이 유지되도록 하기 위해 일반적으로 A/B 또는 다변수 테스트를 사용하여 디자인 변형을 테스트합니다. 이 설명에 맞는 경우 성능 쿠키입니다.

 이 쿠키는 방문자가 가장 자주 방문하는 페이지 및 웹 페이지에서 오류 메시지를 받는 경우와 같이 방문자가 웹사이트를 사용하는 방법에 대한 정보를 수집합니다. 이 쿠키는 방문자를 식별하는 정보를 수집하지 않습니다. 이러한 쿠키가 수집하는 모든 정보는 집계되므로 익명입니다. 웹 사이트 작동 방식을 개선하는 데만 사용됩니다.

이러한 쿠키는 광고를 재타겟팅하는 데 사용되어서는 안 되며, 그렇다면 ICC UK 쿠키 가이드 2판 2012년 11월 [PDF] 에 따라 타겟팅 쿠키 및 광고 쿠키 범주에 배치되어야 합니다 .

"성능 세그먼트"의 쿠키는 웹사이트 운영자의 이익을 위해 웹사이트 사용에 대한 정보 수집합니다. 그들은 집계 데이터에 의존합니다. 그들은 직접 "방문자를 식별"하지 않습니다. 이러한 유형의 쿠키 사용에 대한 동의는 예를 들어 사이트의 이용 약관에서 또는 사용자가 사이트 설정을 변경할 때 얻을 수 있습니다.

여기에서 사용하는 올바른 방법은 웹사이트의 특성과 관련된 쿠키의 정확한 기능에 따라 다릅니다. 그러나 대부분의 경우 "[웹사이트][온라인 서비스]를 사용함으로써 귀하는 장치에서 이러한 유형의 쿠키를 사용하는 데 동의합니다."라는 문구로 동의를 얻을 수 있습니다.

새로운 법률(ePrivacy Regulations)은 다르지만 구/현행 법률 ePrivacy Directive는 사용자 동의 없이 쿠키를 배치할 수 있는 경우 A/B 테스트 소프트웨어의 위치를 ​​이해하는 데 도움이 됩니다. 최종 사용자에게 명확한 정보를 제공하기만 하면 정상적으로 작업을 수행할 수 있습니다.

국가마다 설명이 약간 다를 수 있지만 일반적으로 유럽은 A/B 테스트에 참여했습니다. 웹사이트의 성능에 도움이 되었습니다(행동 타겟팅 및 개인화에 사용하지 않은 경우. 그리고 정보를 다른 사람과 공유하거나 웹사이트 전체에서 추적하지 않은 경우).

GDPR 이후 A/B 테스트에 동의가 필요합니까?

흥미롭게도 PageFair 는 소비자의 21%만이 자사 분석 추적을 선택한다는 사실을 발견했습니다.

이는 현재 트래픽의 ⅕가 동의 매개변수에 속하는 경우 분석을 수락함을 의미합니다.

그렇다면 A/B 테스트 도구에 대한 동의가 필요합니까?

A/B 테스트 소프트웨어가 IP 주소, Device ID, UserID, TransactionID, CookieID 또는 Pseudonymous 데이터와 같은 고유 식별자(즉, 인식할 수 없는 데이터 + 다른 곳에 저장된 키를 읽을 수 있도록 하는 것과 같은 고유 식별자)에 의존하는 경우 동의가 필요합니다. 다시). GDPR에 따라 이러한 식별자는 고유 식별자이며 명시적 옵트인이 필요합니다.

그렇다면 명시적 동의는 언제부터 시작해야 할까요? ePrivacy 지침은 언제 ePrivacy 규정으로 전환됩니까?

경고: 라틴어 단어 및 법률 용어.

ePrivacy Regulation은 GDPR의 'principe lex specialis derogat legi generali' 또는 줄여서 'lex specialis'입니다.

일반 영어로 이것은 다음을 의미합니다. GDPR과 ePrivacy가 상충하거나 GDPR이 추가 사양이 필요한 지침을 제시하는 경우 ePrivacy에 명시된 규칙을 따라야 합니다.

지금 우리는 토론 중인 ePrivacy Regulations의 초안(이름 1533)을 가지고 있습니다. 아직 EU 회원국 대표들의 피드백이 필요하기 때문에 곧 법으로 제정될 내용을 정확히 반영하지는 않습니다.

"낙관적인" 예측: 개인 정보 보호 포럼의 미래 정책 고문 Gabriela Zanfir-Fortuna는 ePrivacy 승인 날짜가 2018년 말일 것으로 예상한다고 말했습니다. 구현 날짜에 관해서는 우리가 전혀 모릅니다.

덜 낙관적으로, 그는 또한 ePrivacy Regulation이 "추가적인 준수를 요구할 것"이라고 제안했습니다. 그리고 Alex Propes(IAB(Interactive Advertising Bureau of Public Policy) 이사)는 "조직은 현재로서는 GDPR만 타겟팅할 수 있다"고 말했습니다.

Alston & Bird의 Daniel Felz Associate는 훨씬 더 우울한 견해를 공유합니다. 최종 전자 개인 정보 보호 규정은 2020년까지 시행되지 않을 수 있습니다.” 독일 연방 데이터 보호 협회(German Federal Society for Data Protection)가 후원하는 회의에서 독일 경제부 대변인은 3자 협상이 2018년 가을까지 시작되지 않을 것이라고 밝혔습니다.

분명히 EU 회원국은 여전히 ​​ePrivacy Regulation 문제와 관련하여 많은 미해결 질문에 대해 논의하고 있습니다.

한편, 현재의 ePrivacy Directive(2002년 7월 12일자 유럽 의회 및 이사회 지침 2002/58/EC)는 여전히 유효하며 이는 국가 입법 문제입니다.

그것은 당신이 나에게 던진 많은 법이었습니다. 내 비즈니스에 어떤 의미가 있습니까?

GDPR은 명확합니다. 동의 없이는 개인 데이터가 없습니다. 그리고 ePrivacy가 허점으로 급습하기를 기다리고 있다면, longggg 기다림을 보고 있을 수 있습니다.

따라서 A/B 테스트 소프트웨어가 개인 데이터(IP 주소, Device ID, UserID, TransactionID, CookieID 또는 Pseudonymous 데이터와 같은 고유 식별자)(인식할 수 없는 데이터 + 다시 읽을 수 있도록 다른 지점의 키)에 의존하는 경우 이는 개인 데이터입니다. 데이터.

GDPR 전략에 쿠키 및 기타 여러 항목과 같은 온라인 데이터 및 식별자를 포함하는 것이 여전히 중요합니다. 장소와 방법에 관계없이 텍스트는 향후 대의원 토론에서 조정될 것입니다.

이전 ePrivacy Directive는 "쿠키 벽" 고지를 설치해야 하는 의무를 부여했으며 유럽 회사에만 초점을 맞췄습니다.

이제 GDPR은 전 세계적으로 EU 데이터를 다루는 모든 사람에게 적용됩니다. 그리고 개인 데이터는 모든 종류의 새로운 식별자를 포함하도록 정의됩니다.

그러나 이전 ePrivacy 지침은 다른 것을 말합니다. "이러한 유형의 데이터에 대해서는 통지와 옵트아웃 기회만 있으면 됩니다."라고 말합니다.

법적 공백에 오신 것을 환영합니다.

큰 문제는 회색 영역 내에서 벌금을 물게 될까요?

그리고 대답은: 위험을 감수하시겠습니까?

개인 정보 보호 당국은 GDPR을 구현하는 데 상당한 시간을 할애할 것입니다. 그리고 새로운 ePrivacy 법률은 2019년 또는 2020년까지 시행되지 않을 수 있습니다.

따라서 기본 쿠키 벽이 아직 살아 있다면 5월 25일에 엄청난 벌금이 부과될 것으로 예상하지 않습니다.

그러나 마침내 법이 바뀌고 있다는 것은 분명합니다. 데이터가 더 가치 있고 데이터 주체가 더 많은 것을 요구하는 세상으로 이동함에 따라 데이터는 계속 변경될 것입니다.

이제 시작하겠습니다.