RODO Deep Dive: co zrobić z plikami cookie

Wszystkie pliki cookie działają mniej więcej tak samo. Mały plik sieciowy, przechowywany przez użytkownika, śledzi aktywność itp. itp.

Ale niektóre są bardziej „prywatne” niż inne.

A teraz, bardziej niż kiedykolwiek, zmieni to Twój stos marketingowy.

Droga do zgodności z RODO i ePrivacy jest wyboista. Wymaga to od przetwarzających dane polegania na „prywatności w fazie projektowania” — i do proszenia o zgodę, jeśli wykorzystują JAKIEKOLWIEK dane osobowe. Oznacza to wszelkie osobiste identyfikatory. Oznacza to pliki cookie, adresy IP lub kody pocztowe.

W Convert chcieliśmy mieć pewność, że żadne dane osobowe nie będą przechowywane w naszych systemach i żadna osoba nie zostanie zidentyfikowana za pomocą plików cookie. Był to jedyny sposób na zachowanie równowagi między rozwojem biznesu, wiedzą strategiczną i osobistą prywatnością odwiedzających witrynę.

Bo czy kiedykolwiek zastanawiałeś się, co się stanie, gdy będziesz musiał poprosić o wyraźną zgodę na swoje narzędzie do testowania A/B?

Jeśli Twoje oprogramowanie działa — każdy użytkownik Twojej witryny musiał wyrazić zgodę na testy A/B.

Jak byś to jasno wytłumaczył? Przekonująco?

A jak myślisz, ilu Twoich użytkowników zgodziłoby się?

Dostawcy oprogramowania: jeśli chcesz uratować swoją firmę — czas na przeprojektowanie aplikacji

UE dała nam jasne wytyczne dotyczące sposobu postępowania z plikami cookie w RODO — nawet bez nowych przepisów dotyczących e-prywatności.

Naprawdę chcemy przekazać naszym odwiedzającym jasny komunikat: dbamy o Twoją prywatność.

Aby to zrobić, spodziewam się, że będziemy musieli anulować 20% z 72 używanych przez nas narzędzi programowych.

TYLKO z powodu braku jasności co do prywatności. Lub brak funkcji dostosowanych do RODO. Albo brak chęci do przejrzystego zarządzania danymi naszych klientów, potencjalnych klientów i innych relacji.

Motyw 30 RODO stanowi:

Osoby fizyczne mogą być powiązane z identyfikatorami internetowymi dostarczanymi przez ich urządzenia, aplikacje, narzędzia i protokoły, takimi jak adresy protokołów internetowych, identyfikatory plików cookie lub inne identyfikatory, takie jak znaczniki identyfikacji radiowej.

Może to pozostawić ślady, które w szczególności w połączeniu z unikalnymi identyfikatorami i innymi informacjami otrzymywanymi przez serwery mogą posłużyć do tworzenia profili osób fizycznych i ich identyfikacji.

Nie chcą więc żadnych unikalnych identyfikatorów . Nawet w plikach cookie — a już na pewno nie w danych osobowych.

Testy A/B przed RODO z dyrektywą ePrivacy i wersjami zlokalizowanymi w Europie

Obowiązujące obecnie prawo, dyrektywa o prywatności i łączności elektronicznej (która wkrótce zostanie zastąpiona nowymi przepisami o prywatności i łączności elektronicznej) pomaga nam zrozumieć, na jakich plikach cookie opiera się oprogramowanie do testowania A/B. Są to pliki cookie wydajności:

Testowanie wariantów projektu, zwykle przy użyciu testów A/B lub testów na wielu odmianach, aby zapewnić zachowanie spójnego wyglądu i stylu dla użytkownika witryny w bieżącej i kolejnych sesjach. Jeśli pasują do tego opisu, są to pliki cookie wydajności.

Te pliki cookie zbierają informacje o tym, w jaki sposób odwiedzający korzystają ze strony internetowej, na przykład, które strony odwiedzający odwiedzają najczęściej i czy otrzymują komunikaty o błędach ze stron internetowych. Te pliki cookie nie zbierają informacji identyfikujących odwiedzającego. Wszystkie informacje gromadzone przez te pliki cookie są agregowane, a zatem anonimowe. Służy wyłącznie do ulepszania działania strony internetowej.

Te pliki cookie nie powinny być używane do ponownego kierowania reklam, jeśli tak, powinny być umieszczone w kategorii plików cookie targetowania i plików cookie reklamowych zgodnie z przewodnikiem ICC UK dotyczącym plików cookie Wydanie drugie z listopada 2012 r. [PDF] .

Pliki cookie w „segmencie wydajności” zbierają wyłącznie informacje o korzystaniu z witryny na rzecz operatora witryny. Opierają się na danych zagregowanych. Nie identyfikują bezpośrednio gościa. Zgodę na korzystanie z tego rodzaju plików cookies można uzyskać np. w regulaminie serwisu – lub gdy użytkownik zmieni ustawienia serwisu.

Właściwa metoda użycia będzie zależeć od charakteru strony internetowej i dokładnej funkcji związanych z nią plików cookie. Jednak w większości przypadków możemy uzyskać zgodę słowami: „Korzystając z naszej [strony internetowej][usługi online], wyrażasz zgodę na używanie tego rodzaju plików cookie na swoim urządzeniu”.

Chociaż nowe prawo (rozporządzenia o e-prywatności) jest inne, stara/obecna dyrektywa w sprawie e-prywatności pomaga nam zrozumieć , na jakim etapie znajdowało się oprogramowanie do testów A/B, kiedy pliki cookie mogły być umieszczane bez zgody użytkownika. Moglibyśmy wykonywać naszą pracę normalnie, pod warunkiem, że przekażemy jasne informacje użytkownikowi końcowemu.

Każdy kraj może mieć nieco inny opis, ale ogólnie Europa była na pokładzie z testami A/B. Pomogło to w wydajności witryny (jeśli nie używałeś jej do targetowania behawioralnego i personalizacji. I nie dzieliłeś się informacjami z innymi ani nie śledziłeś w całej witrynie).

Czy po RODO potrzebujemy zgody na testy A/B?

Co ciekawe, firma PageFair odkryła, że ​​tylko 21% konsumentów zgodziłoby się na śledzenie przez własne analizy.

Oznaczałoby to, że ⅕ bieżącego ruchu zaakceptowałoby analizy, gdyby mieściło się w parametrach zgody.

Czy będziesz potrzebować zgody na swoje narzędzie do testowania A/B?

Najprawdopodobniej tak, będziesz potrzebować zgody, jeśli Twoje oprogramowanie do testowania A/B zależy od adresu IP, unikalnych identyfikatorów, takich jak identyfikatory urządzenia, identyfikator użytkownika, identyfikator transakcji, identyfikator pliku cookie lub dane pseudonimowe (co oznacza: nierozpoznawalne dane + klucz przechowywany w innym miejscu, aby można było je odczytać ponownie). Zgodnie z RODO są to unikalne identyfikatory i wymagają wyraźnej zgody.

Kiedy więc musisz zacząć od wyraźnej zgody? Kiedy dyrektywa o prywatności i łączności elektronicznej przechodzi na regulacje dotyczące prywatności i łączności elektronicznej?

Ostrzeżenie: łacińskie słowa i terminy prawne.

Rozporządzenie o prywatności i łączności elektronicznej to „principe lex specialis derogat legi generali” lub w skrócie „lex specialis” do RODO.

W prostym języku oznacza to: jeśli RODO i ePrivacy są ze sobą sprzeczne lub RODO określa wytyczne, które wymagają dalszej specyfikacji – zasady określone w ePrivacy są tymi, których musisz przestrzegać.

W tej chwili właśnie mamy do czynienia z projektem (o nazwie 1533) Rozporządzenia o e-prywatności. Nadal potrzebuje informacji zwrotnych od delegatów państw członkowskich UE, więc nie odzwierciedla dokładnie tego, co wkrótce stanie się prawem.

„Optymistyczna” prognoza: Future of Privacy Forum Policy Radca, Gabriela Zanfir-Fortuna, mówi, że spodziewa się daty zatwierdzenia ePrivacy pod koniec 2018 roku. Co do daty wdrożenia, tak naprawdę nie mamy pojęcia.

Mniej optymistycznie zasugerował również, że rozporządzenie o prywatności elektronicznej „prawdopodobnie będzie wymagało dodatkowej zgodności”. A Alex Propes (dyrektor Interactive Advertising Bureau (IAB) ds. polityki publicznej) powiedział, że „w tej chwili organizacje mogą kierować się tylko RODO”.

Daniel Felz Associate w Alston & Bird podziela jeszcze bardziej przygnębiający pogląd: „Negocjacje trójstronne dotyczące regulacji e-prywatności zostały przesunięte na jesień 2018 r.; Ostateczne rozporządzenie o prywatności i łączności elektronicznej może nie obowiązywać do 2020 r.” Na konferencji sponsorowanej przez Niemieckie Federalne Towarzystwo Ochrony Danych rzeczniczka niemieckiego Ministerstwa Gospodarki poinformowała, że ​​negocjacje trójstronne rozpoczną się dopiero jesienią 2018 roku.

Najwyraźniej państwa członkowskie UE nadal omawiają szereg otwartych pytań dotyczących kwestii rozporządzenia o prywatności i łączności elektronicznej.

Tymczasem oczywiście nadal obowiązuje obowiązująca dyrektywa o prywatności i łączności elektronicznej (dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r.), co jest kwestią ustawodawstwa krajowego.

Więc narzuciłaś mi dużo prawa. Co to oznacza dla mojej firmy?

RODO jest jasne: brak danych osobowych bez zgody. A jeśli czekasz, aż ePrivacy wpadnie w lukę – być może czeka Cię oczekiwanie longggg.

Więc jeśli twoje oprogramowanie do testowania A/B zależy od danych osobowych: adresu IP, unikalnych identyfikatorów, takich jak identyfikatory urządzeń, identyfikator użytkownika, identyfikator transakcji, identyfikator pliku cookie lub dane pseudonimowe (to nierozpoznawalne dane + klucz w innym miejscu, aby ponownie je odczytać), to jest to osobiste dane.

Kluczem pozostaje uwzględnienie danych i identyfikatorów online, takich jak pliki cookie i wiele innych, w strategii RODO. Niezależnie od tego, gdzie i jak, tekst zostanie dostosowany w przyszłych dyskusjach delegatów.

Stara dyrektywa o prywatności i łączności elektronicznej nakładała na użytkownika obowiązek umieszczenia „ściany z plikami cookie” i skupiała się tylko na firmach europejskich.

Teraz RODO dotyczy każdego, kto ma kontakt z danymi UE — na całym świecie. A dane osobowe są zdefiniowane tak, aby obejmowały wszelkiego rodzaju nowe identyfikatory.

Ale stara dyrektywa o prywatności i łączności elektronicznej mówi coś innego. Mówi „w przypadku tego typu danych wystarczy powiadomienie i możliwość rezygnacji”.

Więc witaj w prawnej próżni.

Najważniejsze pytanie brzmi: czy zostaniesz ukarany grzywną w tej szarej strefie?

A odpowiedź brzmi: czy chcesz zaryzykować?

Organy ds. prywatności będą miały mnóstwo czasu na wdrożenie RODO. A nowe przepisy dotyczące e-prywatności mogą nie zostać wdrożone do 2019 r., a nawet 2020 r.

Tak więc nie oczekuję 25 maja ogromnych grzywien, jeśli twoja podstawowa ściana ciasteczek jest nadal aktywna.

Ale jasne jest, że wreszcie prawa się zmieniają. I będą się zmieniać — w miarę jak wkraczamy w świat, w którym dane są warte więcej, a osoby, których dane dotyczą, żądają więcej.

Więc zacznijmy teraz.