Pliki cookie do analizy i testowania A/B — dopiero po wyrażeniu zgody w Europie?

Zaktualizowano 19 lutego 2020 r.: nowa aktualizacja CNIL stwierdza, że ​​testy A/B i pomiary odbiorców są teraz wyłączone z obowiązku wyrażenia zgody .

Można by pomyśleć, że RODO spowodowało zakłócenia dopiero, gdy weszło w życie w maju 2018 r.

Prawda jest taka, że ​​przez cały 2019 rok w Europie panował zamęt i nie jest to dobra wiadomość.

Francuskie i brytyjskie organy ochrony danych (CNIL i ICO) zaktualizowały swoje wytyczne wydane w lipcu 2019 r., podkreślając, że analityczne pliki cookie (w tym testy A/B i personalizacja) wymagają wyraźnej zgody przed umieszczeniem ich na urządzeniu odwiedzającego. Odnoszą się one konkretnie do RODO, kiedy wspominają o zgodzie (np. opt-in). Musi opierać się na aktywnej akcji użytkownika, a nie na ustawieniach domyślnych.

W lutym 2020 r. CNIL zmienił swoje stanowisko w tej sprawie (dziękuję Paulowi Schmittowi za zwrócenie mi na to uwagi). Chociaż ICO i CNIL wcześniej stwierdziły, że pliki cookie do testów A/B i analiz wymagają zgody, najnowsze wytyczne (w języku francuskim) mówią inaczej:

„Korzystając ze zwolnienia od zgody, pod pewnymi warunkami, pliki cookie wykorzystywane do pomiaru odbiorców są zwolnione z wyrażenia zgody. Warunki te, określone w wytycznych dotyczących plików cookie i innych narzędzi śledzących, mają na celu (1) informowanie użytkowników o ich użyciu; (2) dać im moc sprzeciwu; (3) ograniczenie systemu wyłącznie do następujących celów: pomiar widowni i testy A/B.”

Oznacza to, że narzędzia analityczne, które są skonfigurowane tylko do zbierania danych przez organizację (i nie są w żaden sposób udostępniane stronom trzecim), mogą być instalowane bez zgody. Ta zmiana może być trudna dla Google Analytics. Ta specjalna umowa z Mozillą zmusiła Google Analytics do nieudostępniania swoich danych innym usługom. Obecnie nie ma pewności, czy to ustawienie jest dostępne dla wszystkich użytkowników. Mimo to, jeśli Europa otwiera drzwi do analityki bez zgody, zakładam, że Google będzie musiał podążać kursem i udostępnić tę funkcję swojej europejskiej bazie klientów.

Chociaż żadne inne europejskie krajowe organy ds. prywatności nie wprowadziły takich uzupełnień do przepisów dyrektywy o prywatności i łączności elektronicznej (które obowiązywały przed RODO), mogło to stworzyć próżnię prawną między lipcem 2020 r. a momentem, gdy nowe przepisy dotyczące prywatności i łączności elektronicznej zastąpią obecną dyrektywę.

Co się stało? Co się zmieniło?

Aby zapoznać się z podsumowaniem głównych zmian w przepisach dotyczących prywatności w Europie, obejrzyj poniższy film ( zastrzeżenie : w filmie błędnie wspomniałem, że zmiany zostały wprowadzone w 2018 r., podczas gdy w rzeczywistości zostały przeprowadzone w 2019 r.).

Europejska dyrektywa o prywatności i łączności elektronicznej „prawo dotyczące plików cookie” z 2011 r. oraz brytyjska wersja przepisów dotyczących prywatności i łączności elektronicznej (dyrektywa WE) z 2003 r. („PECR”) zostały niedawno zinterpretowane przez ICO. Ta zmiana oznacza prośbę o „zgodę” na usunięcie wszelkich „nieistotnych” plików cookie, niezależnie od tego, czy gromadzone są dane osobowe.

W 2012 roku ICO stwierdziła, że ​​dorozumiana zgoda (tj. opt-out zamiast opt-in) jest dozwolona:

Dorozumiana zgoda zawsze była rozsądną propozycją w kontekście prawa o ochronie danych i regulacji prywatności i tak pozostaje w kontekście przechowywania informacji lub dostępu do informacji za pomocą plików cookie i podobnych urządzeń.

18 lipca 2019 r. francuski urząd ds. prywatności (CNIL) opublikował nowe wytyczne dotyczące korzystania z plików cookie. Zasady dotyczące plików cookie HTTP dotyczą również wielu innych technologii śledzenia („trackerów”), w tym lokalnych obiektów udostępnionych, odcisków palców urządzeń końcowych, identyfikatorów sprzętowych oraz identyfikatorów generowanych przez systemy operacyjne. Podobnie jak wytyczne ICO i RODO, tutaj również nie ma oddzielnej decyzji o używaniu plików cookie, ale pobieranie odcisków palców podlega teraz zgodzie.

Ale potem CNIL sprawia, że ​​wszystko jest trochę zagmatwane, aktualizując swoją stronę Github. Najnowsze wytyczne CNIL stwierdzają, że pomiary oglądalności i testy A/B są wyłączone z obowiązku wyrażenia zgody i można je umieścić od razu (rezygnacja).

Europejska Rada Ochrony Danych (EROD) wydała w marcu 2019 r. pisemną opinię dotyczącą wzajemnych powiązań między dyrektywą o prywatności i łączności elektronicznej a RODO, ponieważ RODO nie wspomina o plikach cookie i istnieje luka między tymi dwoma przepisami.

Niektórzy interpretowali opinię EROD w ten sposób, że wszelkie odniesienia do „zgody” w dyrektywie o prywatności i łączności elektronicznej oznaczają zgodę w rozumieniu RODO. W przypadku plików cookie oznacza to, że nie można umieszczać plików cookie bez aktywnej zgody innych osób.

Dlaczego więc ICO i CNIL zmieniły swoje wytyczne rok po wejściu w życie RODO? Dlaczego informacja o „rezygnacji” z plików cookie zmieniła się na zgodę na wyrażenie zgody w ciągu 13 miesięcy?

Mamy za to Planet49 podziękować.

30 listopada 2017 r. niemiecka strona internetowa i firma Planet49 została postawiona przed sądem w związku z wieloma wątpliwymi praktykami dotyczącymi RODO i dyrektywy o prywatności i łączności elektronicznej.

Mimo że musieliśmy czekać na wyniki (załączone w całości na końcu artykułu), orzeczenie nadało ton, że potrzebne są jaśniejsze wytyczne dla każdego kraju.

Z powodu tego orzeczenia CNIL i ICO zaczęły aktualizować swoje wytyczne, aby odzwierciedlić, w jaki sposób obecne przepisy dotyczące prywatności obejmują zgodę, udostępnianie informacji i (analityczne i śledzące) pliki cookie. Będziemy musieli poczekać i sprawdzić, czy CNIL wpłynie na inne kraje europejskie, aby umożliwić pomiary odbiorców i pliki cookie do testowania A/B.

Bitwa o „ściśle niezbędne” zwolnienie z plików cookie

Gdy my, firmy testujące A/B, dostosowały praktyki RODO, analityczne i testujące A/B pliki cookie mogą być przedstawiane klientom jako niezbędne dla firmy. Zamiast tego skupiono się bardziej na narzędziach do śledzenia reklam.

W dzisiejszych czasach można ukryć się za absolutnie niezbędnym wyłączeniem plików cookie. Słyszałem nawet, jak ktoś powiedział „ale nasz zespół prawny powiedział, że możemy umieścić plik cookie Google Analytics bez zgody”. Byłem również w tym obozie, dopóki nie przeczytałem nowych wytycznych ICO. Ich witryna podaje kilka dobrych przykładów tego, jakie pliki cookie są niezbędne do funkcjonowania witryny i prawidłowej interakcji użytkownika. Ponieważ cały czas pojawiają się nowe wytyczne, ścisłe przestrzeganie jednej lub drugiej strony może być mylące. Niektóre firmy stosują się teraz do najnowszych zaleceń CNIL.

W poniższych przykładach plik cookie jest „ściśle niezbędny” do świadczenia usługi użytkownikom. W każdym przypadku obowiązują zwolnienia i nie jest wymagana zgoda:

• Plik cookie używany do zapamiętywania produktów, które użytkownik chce kupić , przechodząc do kasy lub dodając towary do koszyka,
• Pliki cookie, które są niezbędne do zachowania zgodności z zasadą bezpieczeństwa RODO w przypadku żądanej przez użytkownika aktywności — na przykład w związku z usługami bankowości internetowej,
• Pliki cookie, które pomagają zapewnić szybkie i skuteczne ładowanie zawartości strony poprzez rozłożenie obciążenia na wiele komputerów (często określa się to mianem „równoważenia obciążenia” lub „odwrotnego proxy”).

Należy pamiętać, że to, co jest „ściśle konieczne”, należy oceniać z punktu widzenia użytkownika lub subskrybenta, a nie własnego. Na przykład, chociaż możesz uważać pliki cookie związane z reklamami za „bezwzględnie konieczne”, ponieważ przynoszą one dochody, które finansują Twoją usługę, nie są one „bezwzględnie konieczne” z punktu widzenia użytkownika.

Pliki cookie, na które państwa ICO potrzebują zgody użytkownika (proaktywne wyrażanie zgody przez działanie użytkownika), to na przykład:

• Pliki cookie służące do analityki , np. do zliczania unikalnych wizyt na stronie (obejmujące personalizację i testy A/B),
• Reklamowe pliki cookie własne i osób trzecich (w tym te wykorzystywane do celów operacyjnych związanych z reklamą osób trzecich, takich jak wykrywanie oszustw związanych z kliknięciami, badania, ulepszanie produktów itp.),
• Pliki cookie używane do rozpoznawania użytkownika po powrocie na stronę internetową , aby można było dostosować otrzymane powitanie (personalizacja jest wyraźnie wspomniana przez ICO).

Wyrok ETS „Planet49” z 1 października 2019 r.

W październiku 2019 r. Trybunał Sprawiedliwości Unii Europejskiej („TSUE”) orzekł w wyroku „Planet49”, że zgoda standardu RODO dotyczy również umieszczania plików cookie na podstawie dyrektywy o prywatności i łączności elektronicznej , zgodnie z interpretacją, że CNIL i ICO zostało wdrożone od lipca 2019 r.

W związku z tym do umieszczania plików cookie i technologii profilowania (takich jak pobieranie odcisków palców), w tym reklamowych plików cookie (ale nie bezwzględnie koniecznych plików cookie) wymagana jest aktywna i świadoma zgoda.

Wstępnie zaznaczone pola, takie jak te, z którymi Planet49 próbował uciec, nie są ważnym sposobem uzyskania zgody.

Jako firma przebudowaliśmy całą naszą infrastrukturę, aby upewnić się, że przestrzegamy RODO i nie przechowujemy żadnych danych osobowych w plikach cookie.

W orzeczeniu TSUE nie ma znaczenia, czy dane osobowe są zbierane za pomocą plików cookies. Zgodę należy uzyskać nawet wtedy, gdy umieszczanie plików cookie nie wiąże się z przetwarzaniem danych osobowych. Administrator powinien informować użytkowników o okresie życia każdego pliku cookie oraz o dostępie stron trzecich do informacji gromadzonych za pośrednictwem takich plików cookie przed uzyskaniem ich zgody.

Jakakolwiek nadzieja na brak zgody na pliki cookie do analizy i testowania A/B?

ICO nie rozróżnia plików cookie używanych do analizy i tych używanych do innych celów, ale CNIL tak.

Analityczne pliki cookie nie są objęte „ściśle niezbędnym” wyłączeniem ICO. Oznacza to, że firmy muszą informować użytkowników o analitycznych plikach cookie i uzyskiwać zgodę na ich wykorzystanie w Wielkiej Brytanii, podczas gdy we Francji CNIL umożliwia analitykę (z ograniczeniami) i testy A/B bez zgody.

ICO (Wielka Brytania) opisuje pliki cookie wykorzystywane do reklamy internetowej lub analityki internetowej jako nieistotne, dlatego wymagają uprzedniej zgody. Obejmuje to własne pliki cookie i własne pliki cookie ustawione przez zewnętrznych dostawców (przeczytaj Convert lub Google Analytics). Convert jest również zgodny z przepisami CNIL i nie udostępnia zestawów danych klientom, a instalacje są dokonywane tylko na klienta, więc dozwolone jest testowanie A/B i personalizacja z wstrzymaniem do testowania.

Wytyczne ICO jasno stwierdzają:

Zgoda jest konieczna w przypadku własnych analitycznych plików cookie, nawet jeśli nie wydają się one tak inwazyjne jak inne, które mogą śledzić użytkownika w wielu witrynach lub urządzeniach.

Zgoda jest konieczna w przypadku własnych analitycznych plików cookie, nawet jeśli nie wydają się one tak inwazyjne jak inne, które mogą śledzić użytkownika w wielu witrynach lub urządzeniach.

Chociaż ICO nie może wykluczyć możliwości podjęcia formalnych działań w jakimkolwiek obszarze, nie zawsze ma to miejsce w przypadku, gdy ustawienie własnego analitycznego pliku cookie skutkuje niskim poziomem inwazyjności i niskim ryzykiem wyrządzenia szkody osobom fizycznym. Należy jednak pamiętać, że w przypadku korzystania z własnych analitycznych plików cookie dostarczanych przez stronę trzecią niekoniecznie tak będzie.

Powinieneś wiedzieć, że istnieje okres karencji na przestrzeganie wytycznych ICO PECR do lipca 2020 r.

Jeśli zebrane informacje na temat korzystania ze strony internetowej są przekazywane stronie trzeciej, należy to jasno powiedzieć użytkownikom. Powinno być również jasne, co ta osoba trzecia robi z informacjami .

W zależności od usługi możesz również oferować użytkownikom możliwość zmiany ustawień konta w celu ograniczenia udostępniania informacji stronom trzecim, w tym dostawcom analiz. (Usługa analityczna może również oferować tę funkcjonalność, rozważ jej włączenie w stosownych przypadkach.) Kontrole udostępnione użytkownikowi powinny być widoczne, a nie ukryte.

Docelowo dostarczaj użytkownikom jasne informacje na temat analitycznych plików cookie i proś ich o zgodę lub udostępniaj informacje (stare banery plików cookie). Może to obejmować pokazanie użytkownikom, dlaczego te pliki cookie są dla nich przydatne — ale musisz upewnić się, że nie nakłaniasz użytkownika do wyboru jednej opcji zamiast innej.

W niektórych aspektach takie wytyczne idą dalej niż obecny projekt nowego rozporządzenia o prywatności i łączności elektronicznej (dnia 4 października 2019 r.), które zastąpi istniejącą dyrektywę o prywatności i łączności elektronicznej (oraz obecne przepisy PECR i francuskie). W obecnym projekcie umożliwia operatorom umieszczanie na urządzeniach użytkowników własnych lub zewnętrznych plików cookie bez zgody na „pomiar oglądalności” (tj. analizowanie ruchu przechodzącego przez ich strony internetowe w celu optymalizacji usługi).

Jeśli nadal masz wątpliwości, oto diagram z ICO, który bardzo dobrze wyjaśnia użycie plików cookie.

Daj mi to prosto

Problemem, który może się tu pojawić, jest to, że firmy umieszczające pliki cookie będą próbowały interpretować prawo na swój własny sposób. Ale nawet jeśli tworzymy oprogramowanie analityczne, testujące A/B i personalizujące, od razu Ci je udostępnimy.

1. Organy ochrony prywatności w Wielkiej Brytanii (ICO) i Francji (CNIL) zmieniły swoje wytyczne w lipcu 2019 r., stwierdzając, że oprogramowanie do analizy, testowania A/B i personalizacji, takie jak Convert Experiences, Optimizely, AB Tasty, VWO, Adobe Target, PageSense, OmniConvert, Google Optimize a reszta musi wyrazić zgodę na umieszczanie własnych i zewnętrznych plików cookie dla swoich obywateli.
2. Francja (CNIL) zmieniła swoją stronę Github, wprowadzając wytyczne wyłączające testy A/B i podstawowe analizy ze zgody na pliki cookie.
3. Niemcy i Hiszpania podążają za Wielką Brytanią (ICO) lub Francją (CNIL) i wkrótce można spodziewać się aktualizacji ich wytycznych.
4. Trybunał Sprawiedliwości Unii Europejskiej („TSUE”) orzekł w wyroku „Planet49” z października 2019 r., że zgoda w standardzie RODO ma zastosowanie również do umieszczania plików cookie na podstawie dyrektywy o prywatności i łączności elektronicznej. Orzeczenie potwierdza, że ​​brytyjskie i francuskie wytyczne muszą zostać przyjęte przez wszystkie krajowe organy ds. prywatności.
5. Nowa ustawa w projekcie o nazwie ePrivacy Regulations, która zastąpi dyrektywę ePrivacy, zawiera wyjątek dotyczący plików cookie na potrzeby testów A/B, personalizacji i analiz.
6. Jest mało prawdopodobne, że ICO lub CNIL będą aktywnie ścigać firmy, które obecnie korzystają z analityki, testów A/B i personalizacji. Przepisy dotyczące e-prywatności prawdopodobnie wejdą w życie w połowie 2021 r., a okres karencji obowiązuje do lipca 2020 r. Zakres prac tych organizacji jest bardzo szeroki.
7. Wyciągnij własne wnioski na podstawie tego, co uważamy za uczciwe przedstawienie tego, co wydarzyło się od lipca 2019 r. w Europie. Porozmawiaj ze swoim doradcą prawnym. Nie opieraj swoich porad na narzędziu, które sprzedaje platformy do zarządzania zgodami (chcą wszystkich zgód), ale nie od dostawców narzędzi analitycznych, testów A/B i narzędzi do personalizacji… my i oni.

Mam nadzieję, że ten artykuł pomógł rzucić nieco światła na zmiany zachodzące obecnie w Europie.

Chociaż szkodzi to naszemu modelowi biznesowemu, zawsze staramy się dzielić prawdę.

Chcemy, aby nasze narzędzia optymalizacyjne były wykorzystywane w celu zapewnienia jak najlepszych wrażeń użytkowników, tak aby użytkownicy otrzymywali najlepszą stronę produktu, najmniej mylące menu, formularz, który zaoszczędzi im czasu na jego wypełnienie.

Postrzegamy optymalizację witryny jako szlachetne rzemiosło, w najlepszym interesie zarówno odwiedzających witrynę, jak i właścicieli (naszych płacących klientów). Chcemy, aby nasi klienci poważnie traktowali prywatność i umieszczali ostrzeżenia i prywatność w każdej warstwie naszych narzędzi. W naszych narzędziach przechowujemy tylko dane zagregowane — bez danych osobowych — ze względu na zgodność i prywatność.

Naprawdę nam zależy. Chociaż możemy być w trudnej sytuacji ze względu na obecne ICO i ciągle zmieniające się wytyczne CNIL oraz regulacje dotyczące ePrivacy, wiemy, że przy pełnej przejrzystości będziemy firmą wybieraną przez marki, które dbają o prywatność i którym konsumenci mogą zaufać .

W tym celu uruchomiliśmy małe okienko pop-up, które pokazuje odwiedzającym witrynę, jakich personalizacji i testów A/B są częścią.

Jest to opcjonalny kod, który klienci mogą dodać do swojego globalnego kodu JavaScript w narzędziu do testowania i personalizacji Convert Experiences A/B (zobacz poniższy obrazek, jak to działa).

Jeśli chcesz porozmawiać o prywatności, rozwiązaniach CNAME, nad którymi pracujemy, lub nowych rozwiązaniach prawnych, skontaktuj się ze mną na LinkedIn.