Подробное рассмотрение GDPR: что делать с файлами cookie

Все файлы cookie работают более или менее одинаково. Крошечный веб-файл, сохраненный пользователем, отслеживает активность и т. д. и т. д.

Но некоторые из них более «частные», чем другие.

И теперь, более чем когда-либо, это будет иметь значение для вашего маркетингового стека.

Путь к соблюдению GDPR и ePrivacy тернист. Это требует, чтобы ваши обработчики данных полагались на «конфиденциальность по умолчанию» и запрашивали согласие, если они используют ЛЮБЫЕ личные данные. Это означает любые личные идентификаторы. Это означает файлы cookie, IP-адреса или почтовые индексы.

В Convert мы хотели убедиться, что никакие личные данные не будут храниться в наших системах, и что никто не будет идентифицирован с использованием файлов cookie. Это был единственный способ сохранить баланс роста бизнеса, стратегических знаний и личной конфиденциальности посетителей сайта.

Потому что задумывались ли вы когда-нибудь, что произойдет, когда вам нужно запросить явное согласие на использование вашего инструмента A/B-тестирования?

Если для запуска вашего программного обеспечения — каждый пользователь на вашем веб-сайте должен дать согласие на A/B-тестирование.

Как бы вы объяснили это понятно? Убедительно?

Как вы думаете, сколько ваших пользователей согласились бы?

Поставщики программного обеспечения: если вы хотите спасти свой бизнес — пришло время изменить дизайн ваших приложений

ЕС дал нам четкие указания о том, как следует обращаться с файлами cookie в соответствии с GDPR, даже без новых правил электронной конфиденциальности.

Мы действительно хотим донести до наших посетителей четкое послание: мы заботимся о вашей конфиденциальности.

И для этого, как я полагаю, нам придется отказаться от 20% из 72 программных инструментов, которые мы используем.

ТОЛЬКО из-за отсутствия ясности в отношении конфиденциальности. Или отсутствие функций, скорректированных GDPR. Или нежелание прозрачно управлять данными наших клиентов, потенциальных клиентов и других отношений.

Декларация GDPR 30 гласит:

Физические лица могут быть связаны с онлайн-идентификаторами, предоставляемыми их устройствами, приложениями, инструментами и протоколами, такими как адреса интернет-протокола, идентификаторы файлов cookie или другие идентификаторы, такие как теги радиочастотной идентификации.

Это может оставить следы, которые, в частности, в сочетании с уникальными идентификаторами и другой информацией, полученной серверами, могут быть использованы для создания профилей физических лиц и их идентификации.

Поэтому им не нужны никакие уникальные идентификаторы . Даже в файлах cookie — и уж точно не в личных данных.

A/B-тестирование до GDPR с директивой ePrivacy и локализованными версиями в Европе

Действующий в настоящее время закон, Директива об электронной конфиденциальности (которая вскоре будет заменена новыми Правилами электронной конфиденциальности), помогает нам понять, на какие файлы cookie полагается программное обеспечение для A/B-тестирования. Это файлы cookie производительности:

Тестирование вариантов дизайна, как правило, с использованием A/B или многовариантного тестирования, чтобы обеспечить единообразие внешнего вида для пользователя сайта в текущем и последующих сеансах. Если они соответствуют этому описанию, они являются эксплуатационными файлами cookie.

Эти файлы cookie собирают информацию о том, как посетители используют веб-сайт, например, какие страницы посетители посещают чаще всего и получают ли они сообщения об ошибках с веб-страниц. Эти файлы cookie не собирают информацию, которая идентифицирует посетителя. Вся информация, которую собирают эти файлы cookie, является агрегированной и, следовательно, анонимной. Он используется только для улучшения работы веб-сайта.

Эти файлы cookie не должны использоваться для перенацеливания рекламы, если они используются, они должны быть отнесены к категории файлов cookie для таргетинга и рекламных файлов cookie в соответствии со вторым изданием Руководства по файлам cookie ICC UK, ноябрь 2012 г. [PDF] .

Файлы cookie в «сегменте производительности» собирают только информацию об использовании веб-сайта в интересах оператора веб-сайта. Они опираются на сводные данные. Они не «идентифицируют посетителя» напрямую. Согласие на использование этих типов файлов cookie может быть получено, например, в условиях сайта или при изменении пользователем настроек сайта.

Правильный метод для использования здесь будет зависеть от характера веб-сайта и точной функции используемых файлов cookie. Но в большинстве случаев мы можем получить согласие словами: «Используя наш [веб-сайт][онлайн-сервис], вы соглашаетесь на использование этих типов файлов cookie на вашем устройстве».

Несмотря на то, что новый закон (Правила электронной конфиденциальности) отличается, старый/действующий закон Директива электронной конфиденциальности помогает нам понять, в каком положении находится программное обеспечение для A/B-тестирования, когда файлы cookie могут быть размещены без согласия пользователя. Мы могли бы выполнять свою работу как обычно, если бы давали четкую информацию конечному пользователю.

У каждой страны может быть свое описание, но в целом Европа была на стороне A/B-тестирования. Это помогло повысить производительность веб-сайта (если вы не использовали его для поведенческого таргетинга и персонализации. И вы не делились информацией с другими и не отслеживали ее на веб-сайте).

Нужно ли нам после GDPR согласие на A/B-тестирование?

Интересно, что PageFair обнаружил, что только 21% потребителей согласились бы на отслеживание сторонней аналитики.

Это будет означать, что ⅕ текущего трафика примет аналитику, если она будет соответствовать параметрам согласия.

Итак, вам нужно согласие на использование инструмента A/B-тестирования?

Скорее всего, да, вам потребуется согласие, если ваше программное обеспечение для A/B-тестирования зависит от IP-адреса, уникальных идентификаторов, таких как идентификаторы устройств, UserID, TransactionID, CookieID или псевдонимных данных (что означает: неузнаваемые данные + ключ, хранящийся в другом месте, чтобы сделать его читаемым). опять таки). В соответствии с GDPR они являются уникальными идентификаторами и требуют явного согласия.

Итак, когда вам нужно начинать с явного согласия? Когда директива ePrivacy заменяется на правила ePrivacy?

Внимание: Латинские слова и юридические термины.

Регламент электронной конфиденциальности — это «principe lex specialis derogat legi generali» или, короче, «lex specialis» к GDPR.

На простом языке это означает: если GDPR и ePrivacy противоречат друг другу, или GDPR излагает рекомендации, требующие дальнейшего уточнения, вам нужно следовать правилам, изложенным в ePrivacy.

Прямо сейчас у нас только что обсуждается проект (имя 1533) Правил электронной конфиденциальности. Ему все еще нужно получить отзывы от делегатов-членов ЕС, поэтому он не совсем точно отражает то, что скоро станет законом.

«Оптимистичный» прогноз: советник по политике Future of Privacy Forum Габриэла Занфир-Фортуна говорит, что он ожидает утверждения ePrivacy ближе к концу 2018 года. Что касается даты внедрения, мы действительно понятия не имеем.

Менее оптимистично он также предположил, что Регламент электронной конфиденциальности «вероятно потребует дополнительного соблюдения». И Алекс Проупс (директор Interactive Advertising Bureau (IAB) Public Policy) сказал, что «на данный момент организации могут ориентироваться только на GDPR».

Даниэль Фелз, сотрудник Alston & Bird, разделяет еще более удручающую точку зрения: «Переговоры по трем вопросам регулирования электронной конфиденциальности были перенесены на осень 2018 года; Окончательный регламент по электронной конфиденциальности может быть принят не раньше 2020 года». Сообщалось, что на конференции, спонсируемой Немецким федеральным обществом защиты данных, пресс-секретарь министерства экономики Германии заявила, что переговоры по трилогу не начнутся до осени 2018 года.

Судя по всему, государства-члены ЕС все еще обсуждают ряд открытых вопросов, касающихся вопросов регулирования электронной конфиденциальности.

Между тем, очевидно, что действующая Директива о конфиденциальности (Директива 2002/58/ЕС Европейского парламента и Совета от 12 июля 2002 г.) остается в силе, что является вопросом национального законодательства.

Так что это было много законов, которые вы бросили на меня. Что это значит для моего бизнеса?

В GDPR четко сказано: никаких личных данных без согласия. И если вы ждете, когда ePrivacy налетит с лазейкой, возможно, вам придется долго ждать.

Поэтому, если ваше программное обеспечение для A/B-тестирования зависит от личных данных: IP-адреса, уникальных идентификаторов, таких как идентификаторы устройств, UserID, TransactionID, CookieID или псевдонимных данных (это неузнаваемые данные + ключ в другом месте, чтобы сделать их снова читаемыми), то это личные данные. данные.

Ключевым моментом остается включение онлайн-данных и идентификаторов, таких как файлы cookie и многие другие, в вашу стратегию GDPR. Независимо от того, где и как текст будет адаптирован в ходе будущих дискуссий делегатов.

Старая Директива о конфиденциальности обязывала вас размещать уведомление о «стене файлов cookie» и касалась только европейских компаний.

Теперь GDPR применяется ко всем, кто касается данных ЕС, по всему миру. А персональные данные включают в себя всевозможные новые идентификаторы.

Но старая директива ePrivacy говорит о другом. В нем говорится: «Для этого типа данных вам просто нужно уведомление и возможность отказаться».

Так что добро пожаловать в правовой вакуум.

Большой вопрос: будете ли вы оштрафованы в этой серой зоне?

И ответ: вы хотите рискнуть?

У органов по защите конфиденциальности будет чертовски много времени, чтобы внедрить GDPR. И новые законы об электронной конфиденциальности могут не вступить в силу до 2019 или даже 2020 года.

Так что я не ожидаю больших штрафов 25 мая, если ваша основная стена cookie все еще жива.

Но ясно, что, наконец, законы меняются. И они будут продолжать меняться по мере того, как мы движемся в мир, где данные стоят больше, а субъекты данных требуют большего.

Итак, давайте начнем сейчас.