Файлы cookie для аналитики и A/B-тестирования — только после получения согласия в Европе?

Обновлено 19 февраля 2020 г. В новом обновлении CNIL говорится, что A/B-тестирование и измерение аудитории теперь не требуют согласия .

Вы можете подумать, что GDPR вызвал сбои только тогда, когда он вступил в силу в мае 2018 года.

Правда в том, что весь 2019 год Европа была в смятении, и это не очень хорошие новости.

Органы по защите данных Франции и Великобритании (CNIL и ICO) обновили свои инструкции, выпущенные в июле 2019 года, подчеркнув, что аналитические файлы cookie (включая A/B-тестирование и персонализацию) требуют явного согласия перед размещением на устройстве посетителя. Они специально ссылаются на GDPR при упоминании согласия (например, согласия). Он должен основываться на активном действии пользователя, а не на настройках по умолчанию.

В феврале 2020 года CNIL изменил свою позицию по этому вопросу (спасибо Полу Шмитту за указание на это). Несмотря на то, что ICO и CNIL ранее заявляли, что файлы cookie для A/B-тестирования и аналитики требуют согласия, последние рекомендации (на французском языке) говорят об обратном:

«Преимущество освобождения от согласия, при соблюдении определенного ряда условий, файлы cookie, используемые для измерения аудитории, освобождаются от согласия. Эти условия, как указано в руководстве по файлам cookie и другим средствам отслеживания, включают (1) информирование пользователей об их использовании; (2) дать им возможность противостоять этому; (3) ограничить систему только следующими целями: измерение аудитории и A/B-тестирование».

Это означает, что инструменты аналитики, которые настроены только для сбора данных организацией (и никоим образом не передаются третьим лицам), могут быть установлены без согласия. Это изменение может быть трудным для Google Analytics. Это специальное соглашение с Mozilla заставило Google Analytics не делиться своими данными с другими службами. В настоящее время нет уверенности, что этот параметр доступен для всех пользователей. Тем не менее, если Европа откроет двери для аналитики без согласия, я предполагаю, что Google придется следовать курсу и предоставить эту функцию своей европейской клиентской базе.

Хотя никакие другие европейские национальные органы по обеспечению конфиденциальности не вносили таких дополнений в законы о Директиве о конфиденциальности (которые действовали до GDPR), это могло создать правовой вакуум в период с июля 2020 года до того момента, когда новые Правила о конфиденциальности заменят действующую Директиву.

Что случилось? Что изменилось?

Для краткого изложения основных изменений в законах о конфиденциальности в Европе посмотрите видео ниже ( отказ от ответственности : в видео я ошибочно упомянул, что изменения были внесены в 2018 году, хотя на самом деле они были внесены в 2019 году).

Европейская директива электронной конфиденциальности «закон о файлах cookie» от 2011 года и версия для Великобритании, Положение о конфиденциальности и электронных коммуникациях (Директива ЕС) от 2003 года («PECR»), были недавно переосмыслены ICO. Это изменение означает запрос «согласия» на удаление любых «необязательных» файлов cookie, независимо от того, собираются ли личные данные.

В 2012 году ICO заявило, что подразумеваемое согласие (то есть отказ, а не согласие) разрешено:

Подразумеваемое согласие всегда было разумным предложением в контексте закона о защите данных и регулирования конфиденциальности, и оно остается таковым в контексте хранения информации или доступа к информации с использованием файлов cookie и аналогичных устройств.

18 июля 2019 г. французский орган по защите конфиденциальности (CNIL) выпустил новые правила использования файлов cookie. Правила, применимые к файлам cookie HTTP, также применяются ко многим другим технологиям отслеживания («трекерам»), включая локальные общие объекты, отпечатки пальцев терминального оборудования, идентификаторы оборудования и идентификаторы, генерируемые операционными системами. Как и в руководствах ICO и GDPR, здесь также нет отдельного решения об использовании файлов cookie, но снятие отпечатков пальцев теперь подпадает под действие согласия.

Но затем CNIL немного сбивает с толку, обновляя свою страницу на Github. В последних рекомендациях CNIL говорится, что измерение аудитории и A/B-тестирование не требуют согласия и могут быть размещены сразу (отказ от участия).

В марте 2019 года Европейский совет по защите данных (EDPB) выпустил письменное заключение, касающееся взаимодействия между Директивой о конфиденциальности электронных данных и GDPR, поскольку в GDPR не упоминаются файлы cookie, а между двумя законами существует разрыв.

Некоторые истолковали мнение EDPB как означающее, что все ссылки на «согласие» в Директиве ePrivacy означают согласие в соответствии с определением GDPR. Для файлов cookie это означает, что вы не можете размещать файлы cookie без активного согласия людей.

Так почему же ICO, а также CNIL изменили свои рекомендации через год после вступления в силу GDPR? Почему через 13 месяцев информация об отказе от использования файлов cookie изменилась на согласие?

Мы должны поблагодарить Planet49 за это.

30 ноября 2017 года немецкий веб-сайт и компания Planet49 предстали перед судом в связи с многочисленными сомнительными действиями с учетом GDPR и Директивы о конфиденциальности.

Несмотря на то, что нам пришлось дождаться результатов (полностью они приложены внизу статьи), постановление задало тон, что для каждой страны необходимы более четкие рекомендации.

Из-за этого постановления CNIL и ICO начали обновлять свои рекомендации, чтобы отразить, как действующие законы о конфиденциальности регулируют согласие, обмен информацией и (аналитику и отслеживание) файлы cookie. Нам придется подождать и посмотреть, повлияет ли CNIL на другие европейские страны, чтобы разрешить измерения аудитории и файлы cookie для A/B-тестирования.

Битва за исключение «строго необходимых» файлов cookie

Когда наши компании, занимающиеся A/B-тестированием, адаптировали методы GDPR, файлы cookie для аналитики и A/B-тестирования могли быть представлены клиентам как необходимые для бизнеса. Вместо этого основное внимание было уделено рекламным трекерам.

В настоящее время можно спрятаться за строго необходимым исключением файлов cookie. Я даже слышал, как кто-то сказал: «Но наша юридическая команда сказала, что мы можем размещать файлы cookie Google Analytics без согласия». Я тоже был в этом лагере, пока не прочитал новые правила ICO. Их сайт дает несколько хороших примеров того, какие файлы cookie необходимы для функционирования веб-сайта и правильного взаимодействия с пользователем. Из-за того, что постоянно появляются новые рекомендации, строгое следование той или иной стороне может сбивать с толку. Некоторые компании в настоящее время следуют последним рекомендациям CNIL.

В приведенных ниже примерах файл cookie «строго необходим» для предоставления услуги пользователям. В каждом случае применяются исключения, и согласие не требуется:

• Файл cookie, используемый для запоминания продуктов, которые пользователь хочет купить, когда он идет к кассе или добавляет товары в свою корзину покупок,
• Файлы cookie, которые необходимы для соблюдения принципа безопасности GDPR для действий, запрошенных пользователем, например, в связи с услугами онлайн-банкинга,
• Файлы cookie, которые помогают обеспечить быструю и эффективную загрузку содержимого страницы путем распределения рабочей нагрузки между несколькими компьютерами (это часто называют «балансировкой нагрузки» или «обратным прокси-сервером»).

Важно помнить, что то, что является «строго необходимым», следует оценивать с точки зрения пользователя или подписчика, а не с вашей собственной. Так, например, хотя вы можете считать рекламные файлы cookie «строго необходимыми», поскольку они приносят доход, который финансирует вашу службу, они не являются «строго необходимыми» с точки зрения пользователя.

Файлы cookie, для которых, по утверждению ICO, требуется согласие пользователя (упреждающее согласие на действие пользователя), например:

• Файлы cookie, используемые для аналитики , например, для подсчета количества уникальных посещений веб-сайта (включая персонализацию и A/B-тестирование),
• Основные и сторонние рекламные файлы cookie (включая те, которые используются в операционных целях, связанных со сторонней рекламой, например, для обнаружения мошеннических кликов, исследований, улучшения продуктов и т. д.),
• Файлы cookie, используемые для распознавания пользователя, когда он возвращается на веб-сайт , чтобы приветствие, которое он получает, можно было адаптировать (персонализация особо упоминается в ICO).

Решение СЕС «Planet49» от 1 октября 2019 г.

В октябре 2019 года Суд Европейского Союза («СЕС») постановил в своем решении «Planet49», что стандартное согласие GDPR также применяется к настройке файлов cookie в соответствии с Директивой о конфиденциальности электронной информации , после интерпретации, что CNIL и ICO реализуется с июля 2019 года.

Поэтому для размещения файлов cookie и технологий профилирования (таких как снятие отпечатков пальцев), включая рекламные файлы cookie (но не строго необходимые файлы cookie), требуется активное и информированное согласие.

Предварительно отмеченные галочки, подобные тем, которые Planet49 пытались избежать, не являются действительным средством для получения согласия.

Мы как компания перестроили всю нашу инфраструктуру, чтобы убедиться, что мы соблюдаем GDPR и не храним личные данные в файлах cookie.

В постановлении СЕС говорится, что не имеет значения, собираются ли личные данные с помощью файлов cookie. Согласие должно быть получено, даже если размещение файлов cookie не связано с обработкой персональных данных. Контролер должен информировать пользователей о сроке действия каждого файла cookie и о доступе любых третьих лиц к информации, собранной с помощью таких файлов cookie, до получения их согласия.

Любая надежда на несогласие с файлами cookie для аналитики и A/B-тестирования?

ICO не делает различий между файлами cookie, используемыми для аналитики, и файлами, используемыми для других целей, в отличие от CNIL.

Аналитические файлы cookie не подпадают под «строго необходимое» исключение для ICO. Это означает, что предприятия должны информировать пользователей об аналитических файлах cookie и получать согласие на их использование в Великобритании, в то время как во Франции CNIL разрешает аналитику (с ограничениями) и A/B-тестирование без согласия.

ICO (Великобритания) описывает файлы cookie, используемые для онлайн-рекламы или веб-аналитики, как необязательные, поэтому для их использования требуется предварительное согласие. Сюда входят основные файлы cookie и основные файлы cookie, установленные сторонними поставщиками (читайте Convert или Google Analytics). Convert также соответствует правилам CNIL и не передает наборы данных клиентам, а установки выполняются только для каждого клиента, поэтому A/B-тестирование и персонализация с отсрочкой тестирования разрешены.

В руководстве ICO четко сказано:

Согласие необходимо для основных аналитических файлов cookie, даже если они могут показаться не такими навязчивыми, как другие, которые могут отслеживать пользователя на нескольких сайтах или устройствах.

Согласие необходимо для основных аналитических файлов cookie, даже если они могут показаться не такими навязчивыми, как другие, которые могут отслеживать пользователя на нескольких сайтах или устройствах.

Хотя ICO не может исключить возможность официальных действий в какой-либо области, это не всегда может иметь место, когда установка стороннего аналитического файла cookie приводит к низкому уровню навязчивости и низкому риску причинения вреда отдельным лицам. Тем не менее, вы также должны отметить, что если вы используете собственные аналитические файлы cookie, предоставленные третьей стороной, это не обязательно так.

Вы должны знать, что существует льготный период для соблюдения рекомендаций ICO PECR до июля 2020 года.

Если информация, собранная об использовании веб-сайта, передается третьей стороне, это должно быть понятно пользователям. Также должно быть ясно, что эта третья сторона делает с информацией .

В зависимости от вашего сервиса вы также можете предложить пользователям возможность изменять настройки учетной записи, чтобы ограничить обмен информацией с третьими лицами, включая поставщиков аналитических услуг. (Служба аналитики также может предоставлять эту функцию, рассмотрите возможность ее включения, где это необходимо.) Элементы управления, предоставляемые пользователю, должны быть видны, а не скрыты.

В конечном счете, предоставьте пользователям четкую информацию об аналитических файлах cookie и запросите их согласие или поделитесь информацией (старые баннеры файлов cookie). Скорее всего, это будет включать в себя демонстрацию пользователям, почему эти файлы cookie полезны для них, но вы должны убедиться, что не подталкиваете пользователя к выбору одного варианта вместо другого.

По некоторым аспектам такие руководящие документы идут дальше текущего проекта нового Регламента о конфиденциальности (от 4 октября 2019 г.), который заменит существующую Директиву о конфиденциальности (а также действующие законы PECR и Франции). В текущем проекте он разрешает операторам размещать собственные или сторонние файлы cookie на устройствах пользователей без согласия для «измерения аудитории» (т. е. для анализа трафика, проходящего через их веб-сайты, для оптимизации службы).

Если вы все еще сомневаетесь, вот диаграмма из ICO, которая очень хорошо объясняет использование файлов cookie.

Дай мне это прямо

Проблема, которая может возникнуть здесь, заключается в том, что компании, размещающие файлы cookie, попытаются интерпретировать закон по-своему. Но даже несмотря на то, что мы делаем программное обеспечение для аналитики, A/B-тестирования и персонализации, мы предоставим его вам напрямую.

1. В июле 2019 года органы по защите конфиденциальности Соединенного Королевства (ICO) и Франции (CNIL) изменили свои правила, заявив, что программное обеспечение для аналитики, A/B-тестирования и персонализации, такое как Convert Experiences, Optimizely, AB Tasty, VWO, Adobe Target, PageSense, OmniConvert, Google Optimize а всем остальным необходимо подписаться, используя согласие на размещение основных и сторонних файлов cookie для своих граждан.
2. Франция (CNIL) изменила свою страницу Github, добавив рекомендации, освобождающие A/B-тестирование и базовую аналитику от согласия на использование файлов cookie.
3. Германия и Испания следуют за Великобританией (ICO) или Францией (CNIL), и вы можете ожидать обновления их рекомендаций в ближайшее время.
4. Суд Европейского союза («CJEU») постановил в своем решении «Planet49» от октября 2019 года, что стандартное согласие GDPR также применяется к настройке файлов cookie в соответствии с Директивой ePrivacy. Постановление подтверждает, что руководящие принципы Великобритании и Франции должны быть приняты всеми национальными органами по защите конфиденциальности.
5. В проекте нового закона под названием «Правила электронной конфиденциальности», который заменит Директиву электронной конфиденциальности, предусмотрено исключение для файлов cookie для A/B-тестирования, персонализации и аналитики.
6. Маловероятно, что в настоящее время ICO или CNIL будут активно преследовать компании, которые используют стороннюю аналитику, A/B-тестирование и персонализацию. Правила электронной конфиденциальности, скорее всего, вступят в силу (в середине) 2021 года, и до июля 2020 года действует льготный период. Масштабы работы этих организаций очень широки.
7. Делайте собственные выводы на основе того, что мы считаем достоверным представлением о том, что произошло с июля 2019 года в Европе. Поговорите со своим юрисконсультом. Не основывайте свои советы на инструменте, который продает платформы управления согласием (они хотят полного согласия), но ни на поставщиках аналитики, A/B-тестирования и инструментов персонализации… нас и их.

Я надеюсь, что эта статья помогла пролить свет на изменения, происходящие сейчас в Европе.

Хотя это вредит нашей бизнес-модели, мы всегда стремимся делиться правдой.

Мы хотим, чтобы наши инструменты оптимизации использовались для обеспечения наилучшего взаимодействия с пользователем, чтобы пользователи получали лучшую страницу продукта, наименее запутанное меню и форму, которая экономит им время на заполнение.

Мы рассматриваем оптимизацию веб-сайтов как благородное ремесло в интересах как посетителей, так и владельцев веб-сайтов (наших платных клиентов). Мы хотим, чтобы наши клиенты серьезно относились к конфиденциальности и встраивали предупреждения и конфиденциальность прямо в каждый уровень наших инструментов. Мы храним в наших инструментах только агрегированные данные, а не личные данные, в целях соблюдения требований и конфиденциальности.

Мы действительно заботимся. Хотя мы можем оказаться в затруднительном положении из-за текущего ICO и постоянно меняющихся руководств CNIL и правил электронной конфиденциальности, мы знаем, что при полной прозрачности мы будем предпочтительной компанией для брендов, которые заботятся о конфиденциальности и которым потребители могут доверять. .

С этой целью мы запустили небольшое всплывающее окно, которое показывает посетителям сайта, в каких персонализациях и A/B-тестировании они участвуют.

Это необязательный код, который клиенты могут добавить в свой глобальный Javascript в инструменте A/B-тестирования и персонализации Convert Experiences (см. изображение ниже, как это работает).

Если вы хотите обсудить конфиденциальность, решения CNAME, над которыми мы работаем, или новые правовые изменения, свяжитесь со мной в LinkedIn.