• โฮมเพจ
  • บทความ
  • SEO
  • คุกกี้การวิเคราะห์และการทดสอบ A/B — หลังจากได้รับความยินยอมในยุโรปเท่านั้นใช่หรือไม่

คุกกี้การวิเคราะห์และการทดสอบ A/B — หลังจากได้รับความยินยอมในยุโรปเท่านั้นใช่หรือไม่

เผยแพร่แล้ว: 2020-05-26
คุกกี้การวิเคราะห์และการทดสอบ A/B — หลังจากได้รับความยินยอมในยุโรปเท่านั้นใช่หรือไม่

อัปเดต 19 กุมภาพันธ์ 2020: การอัปเดตใหม่จาก CNIL ระบุว่าขณะนี้การทดสอบ A/B และการวัดผู้ชมได้รับการ ยกเว้นจากการยินยอม

คุณอาจคิดว่า GDPR ทำให้เกิดการหยุดชะงักเมื่อมีผลบังคับใช้ในเดือนพฤษภาคม 2018 เท่านั้น

ความจริงก็คือยุโรปมีความวุ่นวายตลอดปี 2019 และไม่ใช่ข่าวดี

หน่วยงานคุ้มครองข้อมูลของฝรั่งเศสและสหราชอาณาจักร (CNIL และ ICO) ได้อัปเดตบันทึกแนวทางปฏิบัติที่ออกในเดือนกรกฎาคม 2019 โดยเน้นว่าคุกกี้การวิเคราะห์ (รวมถึงการทดสอบ A/B และการปรับเปลี่ยนในแบบของคุณ) ต้องได้รับ ความยินยอมอย่างชัดแจ้ง ก่อนที่จะวางลงในอุปกรณ์ของผู้เยี่ยมชม พวกเขาอ้างถึง GDPR โดยเฉพาะเมื่อกล่าวถึงความยินยอม (เช่น การเลือกใช้) ต้องขึ้นอยู่กับการกระทำของผู้ใช้ที่ใช้งานอยู่ ไม่ใช่การตั้งค่าเริ่มต้น

ในเดือนกุมภาพันธ์ 2020 CNIL ได้เปลี่ยนจุดยืนในเรื่องนี้ (ขอบคุณ Paul Schmitt ที่ชี้สิ่งนี้ให้ฉันฟัง) แม้ว่า ICO และ CNIL จะระบุไว้ก่อนหน้านี้ว่าคุกกี้สำหรับการทดสอบ A/B และการวิเคราะห์จำเป็นต้องได้รับความยินยอม แนวทางล่าสุด (ในภาษาฝรั่งเศส) กล่าวเป็นอย่างอื่น:

“ประโยชน์ที่ได้รับจากการยกเว้นความยินยอมภายใต้เงื่อนไขบางประการ คุกกี้ที่ใช้สำหรับการวัดผลผู้ชมจะได้รับการยกเว้นจากการยินยอม เงื่อนไขเหล่านี้ ตามที่ระบุไว้ในแนวทางปฏิบัติเกี่ยวกับคุกกี้และเครื่องมือติดตามอื่น ๆ คือ (1) แจ้งให้ผู้ใช้ทราบถึงการใช้งาน (2) ให้อำนาจแก่พวกเขาในการต่อต้าน; (3) เพื่อจำกัดระบบไว้เพื่อวัตถุประสงค์ดังต่อไปนี้เท่านั้น: การวัดผู้ชมและการทดสอบ A/B”

ซึ่งหมายความว่าเครื่องมือวิเคราะห์ที่ตั้งค่าไว้สำหรับการรวบรวมข้อมูลโดยองค์กรเท่านั้น (และไม่แชร์ในทางใดทางหนึ่งกับบุคคลที่สาม) สามารถติดตั้งได้โดยไม่ได้รับความยินยอม การเปลี่ยนแปลงนี้อาจเป็นเรื่องยากสำหรับ Google Analytics ข้อตกลงพิเศษนี้จาก Mozilla ได้ผลักดันให้ Google Analytics ไม่เปิดเผยข้อมูลของตนกับบริการอื่นๆ ในขณะนี้ ยังไม่แน่ใจว่าการตั้งค่านี้จะพร้อมใช้งานสำหรับผู้ใช้ทุกคน อย่างไรก็ตาม หากยุโรปเปิดประตูสู่การวิเคราะห์โดยไม่ได้รับความยินยอม ฉันคิดว่า Google จะต้องปฏิบัติตามและมอบคุณลักษณะนี้ให้กับฐานลูกค้าในยุโรป

แม้ว่าจะไม่มีหน่วยงานด้านความเป็นส่วนตัวแห่งชาติของยุโรปรายอื่นที่มาพร้อมกับกฎหมาย ePrivacy Directive เพิ่มเติม (ที่มีอยู่ก่อน GDPR) แต่ก็อาจก่อให้เกิดสุญญากาศทางกฎหมายระหว่างเดือนกรกฎาคม 2020 และช่วงเวลาที่กฎระเบียบ ePrivacy ใหม่จะเข้ามาแทนที่คำสั่งปัจจุบัน

เกิดอะไรขึ้น สิ่งที่เปลี่ยนแปลง?

สำหรับบทสรุปของการเปลี่ยนแปลงหลักในกฎหมายความเป็นส่วนตัวในยุโรป ให้ดูวิดีโอด้านล่าง ( ข้อจำกัดความรับผิดชอบ : ในวิดีโอที่ฉันพูดถึงอย่างผิด ๆ ว่าการเปลี่ยนแปลงนี้มีผลใช้ในปี 2018 ซึ่งจริงๆ แล้วมีการดำเนินการในปี 2019)

"กฎหมายคุกกี้" ของ European ePrivacy Directive ในปี 2011 และฉบับสหราชอาณาจักร ระเบียบความเป็นส่วนตัวและการสื่อสารทางอิเล็กทรอนิกส์ (EC Directive) ของปี 2003 (“PECR”) ได้รับการตีความใหม่โดย ICO การเปลี่ยนแปลงนี้หมายถึงการขอ 'ยินยอม' ให้ลบคุกกี้ที่ 'ไม่จำเป็น' ใดๆ ไม่ว่าจะเก็บรวบรวมข้อมูลส่วนบุคคลหรือไม่ก็ตาม

ในปี 2555 ICO ระบุว่าได้รับความยินยอมโดยนัย (เช่น การเลือกไม่ใช้มากกว่าการเลือกเข้าร่วม) ได้รับอนุญาต:

ความยินยอมโดยนัยเป็นข้อเสนอที่สมเหตุสมผลเสมอในบริบทของกฎหมายคุ้มครองข้อมูลและระเบียบข้อบังคับด้านความเป็นส่วนตัว และยังคงอยู่ในบริบทของการจัดเก็บข้อมูลหรือการเข้าถึงข้อมูลโดยใช้คุกกี้และอุปกรณ์ที่คล้ายคลึงกัน

เมื่อวันที่ 18 กรกฎาคม 2019 หน่วยงานด้านความเป็นส่วนตัวของฝรั่งเศส (CNIL) ได้ออกหลักเกณฑ์ใหม่เกี่ยวกับการใช้คุกกี้ กฎที่ใช้กับคุกกี้ HTTP ยังใช้กับเทคโนโลยีการติดตามอื่น ๆ อีกมากมาย ("ตัวติดตาม") รวมถึงอ็อบเจ็กต์ที่ใช้ร่วมกันในเครื่อง ลายนิ้วมือของอุปกรณ์ปลายทาง ตัวระบุฮาร์ดแวร์ และตัวระบุที่สร้างโดยระบบปฏิบัติการ เช่นเดียวกับแนวทาง ICO และ GDPR ที่นี่ไม่มีการตัดสินใจแยกต่างหากเกี่ยวกับการใช้คุกกี้ แต่ขณะนี้การพิมพ์ลายนิ้วมืออยู่ภายใต้ความยินยอม

แต่แล้ว CNIL ก็ทำให้ทุกอย่างสับสนเล็กน้อยด้วยการอัปเดตหน้า Github ของพวกเขา หลักเกณฑ์ล่าสุดของ CNIL ระบุว่าการวัดผลผู้ชมและการทดสอบ A/B ได้รับการยกเว้นจากการยินยอมและสามารถวางได้ทันที (เลือกไม่ใช้)

European Data Protection Board (EDPB) ได้ออกความเห็นเป็นลายลักษณ์อักษรในเดือนมีนาคม 2019 เกี่ยวกับการทำงานร่วมกันระหว่าง ePrivacy Directive และ GDPR เนื่องจาก GDPR ไม่ได้กล่าวถึงคุกกี้และมีช่องว่างระหว่างกฎหมายทั้งสอง

บางคนตีความความเห็นของ EDPB ว่าหมายถึงการอ้างอิงถึง "ความยินยอม" ทั้งหมดในคำสั่ง ePrivacy หมายถึงความยินยอมตามที่กำหนดโดย GDPR สำหรับคุกกี้ หมายความว่าคุณไม่สามารถวางคุกกี้ได้หากไม่มีผู้คนเข้าร่วมอย่างแข็งขัน

เหตุใด ICO และ CNIL จึงเปลี่ยนคำแนะนำหนึ่งปีหลังจากที่ GDPR มีผลบังคับใช้ เหตุใดข้อมูลเกี่ยวกับ "การเลือกไม่ใช้" คุกกี้จึงเปลี่ยนเป็นการเลือกรับความยินยอมใน 13 เดือน

เรามี Planet49 เพื่อขอบคุณสำหรับสิ่งนั้น

เมื่อวันที่ 30 พฤศจิกายน 2017 Planet49 ซึ่งเป็นเว็บไซต์และบริษัทในเยอรมนี ถูกนำตัวขึ้นศาลเกี่ยวกับแนวปฏิบัติที่น่าสงสัยหลายประการโดยพิจารณาจาก GDPR และคำสั่ง ePrivacy

แม้ว่าเราจะต้องรอผล (แนบฉบับเต็มที่ด้านล่างของบทความ) การพิจารณาคดีได้กำหนดแนวทางที่ชัดเจนขึ้นสำหรับแต่ละประเทศ

เนื่องจากการพิจารณาคดีนี้ CNIL และ ICO ได้เริ่มอัปเดตแนวทางปฏิบัติเพื่อสะท้อนให้เห็นว่ากฎหมายความเป็นส่วนตัวในปัจจุบันครอบคลุมถึงความยินยอม การแบ่งปันข้อมูล และคุกกี้ (การวิเคราะห์และการติดตาม) อย่างไร เราจะต้องรอดูว่า CNIL มีอิทธิพลต่อประเทศในยุโรปอื่นๆ หรือไม่ในการอนุญาตการวัดผลผู้ชมและคุกกี้ทดสอบ A/B

การต่อสู้ของการยกเว้นคุกกี้ 'จำเป็นอย่างยิ่ง'

เมื่อเรา บริษัททดสอบ A/B ปรับแนวทางปฏิบัติของ GDPR คุกกี้การวิเคราะห์และการทดสอบ A/B อาจถูกนำเสนอต่อลูกค้าซึ่งเป็นสิ่งจำเป็นสำหรับธุรกิจ แทนที่จะเน้นที่ตัวติดตามโฆษณามากกว่า

ทุกวันนี้ อาจมีคนซ่อนอยู่เบื้องหลังการยกเว้นคุกกี้ที่จำเป็นอย่างยิ่ง ฉันยังได้ยินคนพูดว่า “แต่ทีมกฎหมายของเราบอกว่าเราสามารถวางคุกกี้ Google Analytics ได้โดยไม่ได้รับความยินยอม” ฉันอยู่ในค่ายนั้นด้วยจนกระทั่งได้อ่านแนวทางใหม่ของ ICO ไซต์ของพวกเขาให้ตัวอย่างที่ดีว่าคุกกี้ใดที่จำเป็นสำหรับการทำงานของเว็บไซต์และการโต้ตอบกับผู้ใช้อย่างเหมาะสม ด้วยแนวทางใหม่ ๆ ที่ออกมาตลอดเวลา การยึดมั่นในแนวทางใดด้านหนึ่งอย่างเคร่งครัดอาจทำให้สับสนได้ บางบริษัทกำลังปฏิบัติตามคำแนะนำล่าสุดของ CNIL

ในตัวอย่างด้านล่าง คุกกี้ 'จำเป็นอย่างยิ่ง' เพื่อให้บริการแก่ผู้ใช้ ในแต่ละกรณี จะได้รับการยกเว้นและไม่จำเป็นต้องได้รับความยินยอม:

  • คุกกี้ที่ใช้ จดจำผลิตภัณฑ์ที่ผู้ใช้ต้องการซื้อ เมื่อไปที่จุดชำระเงินหรือเพิ่มสินค้าลงในตะกร้าสินค้าของตน
  • คุกกี้ที่จำเป็นต่อการปฏิบัติตามหลักการรักษาความปลอดภัยของ GDPR สำหรับกิจกรรมที่ผู้ใช้ร้องขอ ตัวอย่างเช่น ในส่วนที่เกี่ยวข้องกับบริการธนาคารออนไลน์
  • คุกกี้ที่ช่วย ให้แน่ใจว่าเนื้อหาของหน้าโหลดได้อย่างรวดเร็วและมีประสิทธิภาพ โดยการกระจายปริมาณงานไปยังคอมพิวเตอร์จำนวนมาก (ซึ่งมักเรียกว่า 'การทำโหลดบาลานซ์' หรือ 'การพร็อกซีย้อนกลับ”)

สิ่งสำคัญคือต้องจำไว้ว่าสิ่งที่ 'จำเป็นอย่างยิ่ง' ควรได้รับการประเมินจากมุมมองของผู้ใช้หรือสมาชิก ไม่ใช่ของคุณเอง ตัวอย่างเช่น แม้ว่าคุณอาจถือว่าคุกกี้โฆษณา 'จำเป็นอย่างยิ่ง' เนื่องจากคุกกี้เหล่านี้นำรายได้มาสนับสนุนบริการของคุณ แต่ก็ไม่ได้ 'จำเป็นอย่างยิ่ง' ในมุมมองของผู้ใช้

ตัวอย่างคุกกี้ที่จำเป็นและการวิเคราะห์

คุกกี้ที่ ICO ระบุต้องได้รับความยินยอมจากผู้ใช้ (การเลือกรับเชิงรุกโดยการกระทำของผู้ใช้) เช่น:

  • คุกกี้ที่ใช้สำหรับ การวิเคราะห์ เช่น นับจำนวนการเข้าชมเว็บไซต์ที่ไม่ซ้ำ (ซึ่งรวมถึงการปรับเปลี่ยนในแบบของคุณ และการทดสอบ A/B)
  • คุกกี้โฆษณา ของบุคคลที่หนึ่งและบุคคลที่สาม (รวมถึงคุกกี้ที่ใช้เพื่อวัตถุประสงค์ในการดำเนินงานที่เกี่ยวข้องกับการโฆษณาของบุคคลที่สาม เช่น การตรวจจับการคลิกหลอกลวง การวิจัย การปรับปรุงผลิตภัณฑ์ ฯลฯ)
  • คุกกี้ใช้เพื่อ จดจำผู้ใช้เมื่อพวกเขากลับมาที่เว็บไซต์ เพื่อให้คำทักทายที่พวกเขาได้รับสามารถปรับแต่งได้ (ICO กล่าวถึงการปรับเปลี่ยนในแบบของคุณโดยเฉพาะ)

คำพิพากษา ECJ “Planet49” วันที่ 1 ตุลาคม 2019

ในเดือนตุลาคม 2019 ศาลยุติธรรมแห่งสหภาพยุโรป ('CJEU') ได้ตัดสินในคำพิพากษา "Planet49" ว่าความ ยินยอมตามมาตรฐาน GDPR ยังใช้กับการตั้งค่าคุกกี้ภายใต้ ePrivacy Directive ด้วย ตามการตีความที่ CNIL และ ICO ได้ดำเนินการตั้งแต่เดือนกรกฎาคม 2019

ดังนั้น จึงจำเป็นต้องได้รับความยินยอมที่ใช้งานและได้รับการแจ้งเพื่อวางคุกกี้และเทคโนโลยีการทำโปรไฟล์ (เช่น ลายนิ้วมือ) รวมถึงคุกกี้โฆษณา (แต่ไม่ใช่คุกกี้ที่จำเป็นอย่างยิ่ง)

กล่องกาเครื่องหมายล่วงหน้า เช่นเดียวกับที่ Planet49 พยายามจะหลบหนี ไม่ใช่วิธีการที่ถูกต้องในการขอความยินยอม

เราในฐานะบริษัทสร้างโครงสร้างพื้นฐานใหม่ทั้งหมดเพื่อให้แน่ใจว่าเราปฏิบัติตาม GDPR และไม่ได้เก็บข้อมูลส่วนบุคคลไว้ในคุกกี้

ทรัพยากรที่แนะนำ : Convert Experiences เป็นโซลูชันการทดสอบ A/B ที่เน้นความเป็นส่วนตัวมากที่สุดในตลาด

คำตัดสินของ CJEU ระบุว่าไม่ว่าข้อมูลส่วนบุคคลจะถูกรวบรวมผ่านคุกกี้หรือไม่ ต้องได้รับความยินยอมแม้ว่าการวางคุกกี้จะไม่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ผู้ควบคุมควรแจ้งให้ผู้ใช้ทราบอายุการใช้งานของแต่ละคุกกี้และการเข้าถึงข้อมูลที่รวบรวมผ่านคุกกี้ดังกล่าวของบุคคลที่สามก่อนที่จะได้รับความยินยอม

ความหวังที่ไม่ได้รับความยินยอมสำหรับคุกกี้ Analytics และการทดสอบ A/B?

ICO ไม่ได้แยกแยะระหว่างคุกกี้ที่ใช้สำหรับการวิเคราะห์และคุกกี้ที่ใช้เพื่อวัตถุประสงค์อื่น แต่ CNIL แยกแยะ

คุกกี้การวิเคราะห์ไม่อยู่ในข้อยกเว้น 'จำเป็นอย่างยิ่ง' สำหรับ ICO ซึ่งหมายความว่าธุรกิจจำเป็นต้องแจ้งให้ผู้ใช้ทราบเกี่ยวกับคุกกี้การวิเคราะห์และขอความยินยอมสำหรับการใช้งานในสหราชอาณาจักร ในขณะที่ในฝรั่งเศส CNIL อนุญาตการวิเคราะห์ (โดยมีข้อจำกัด) และการทดสอบ A/B โดยไม่ได้รับความยินยอม

ICO (สหราชอาณาจักร) อธิบายคุกกี้ที่ใช้สำหรับการโฆษณาออนไลน์หรือการวิเคราะห์เว็บว่าไม่จำเป็น ดังนั้นจึงต้องได้รับความยินยอมล่วงหน้า ซึ่งรวมถึงคุกกี้ของบุคคลที่หนึ่งและคุกกี้ของบุคคลที่หนึ่งที่กำหนดโดยผู้ให้บริการบุคคลที่สาม (อ่าน Convert หรือ Google Analytics) การแปลงเป็นไปตามระเบียบข้อบังคับของ CNIL เช่นกัน และจะไม่แชร์ชุดข้อมูลระหว่างลูกค้า และการติดตั้งเป็นต่อลูกค้าเท่านั้น ดังนั้นจึงอนุญาตให้ทำการทดสอบ A/B และการปรับเปลี่ยนในแบบของคุณโดยมีการระงับการทดสอบ

คำแนะนำ ICO ระบุไว้อย่างชัดเจน:

ความยินยอมเป็นสิ่งจำเป็นสำหรับคุกกี้การวิเคราะห์ของบุคคลที่หนึ่ง แม้ว่าอาจไม่ปรากฏว่าเป็นการล่วงล้ำเท่ากับผู้อื่นที่อาจติดตามผู้ใช้ในไซต์หรืออุปกรณ์ต่างๆ

ความยินยอมเป็นสิ่งจำเป็นสำหรับคุกกี้การวิเคราะห์ของบุคคลที่หนึ่ง แม้ว่าอาจไม่ปรากฏว่าเป็นการล่วงล้ำเท่ากับผู้อื่นที่อาจติดตามผู้ใช้ในไซต์หรืออุปกรณ์ต่างๆ

แม้ว่า ICO จะไม่สามารถตัดความเป็นไปได้ของการดำเนินการอย่างเป็นทางการในพื้นที่ใดๆ ก็ตาม แต่อาจไม่ใช่กรณีที่การตั้งค่าคุกกี้การวิเคราะห์ของบุคคลที่หนึ่งส่งผลให้มีการบุกรุกในระดับต่ำและมีความเสี่ยงต่ำที่จะเป็นอันตรายต่อบุคคล อย่างไรก็ตาม คุณควรทราบด้วยว่าเมื่อคุณใช้คุกกี้การวิเคราะห์ของบุคคลที่หนึ่งซึ่งจัดหาโดยบุคคลที่สาม ไม่จำเป็นต้องเป็นเช่นนี้เสมอไป

คุณควรรู้ว่ามีระยะเวลาผ่อนผันในการปฏิบัติตามแนวทาง PECR ของ ICO จนถึงเดือนกรกฎาคม 2020

หากข้อมูลที่เก็บรวบรวมเกี่ยวกับการใช้เว็บไซต์ถูกส่งไปยังบุคคลที่สาม ข้อมูลนี้ควรแจ้งให้ผู้ใช้ทราบอย่างชัดเจน ควรมีความชัดเจน ว่าบุคคลที่สามนี้ทำอะไรกับข้อมูล

ทั้งนี้ขึ้นอยู่กับบริการของคุณ คุณยังอาจเสนอให้ผู้ใช้เปลี่ยนการตั้งค่าบัญชีเพื่อจำกัดการแบ่งปันข้อมูลกับบุคคลที่สาม รวมถึงผู้ให้บริการวิเคราะห์ (บริการวิเคราะห์อาจมีฟังก์ชันนี้ด้วย ให้พิจารณาเปิดใช้งานตามความเหมาะสม) การควบคุมที่มอบให้แก่ผู้ใช้ควรแสดงให้เห็นอย่างชัดเจนและไม่ซ่อนเร้น

ท้ายที่สุด ให้ข้อมูลที่ชัดเจนแก่ผู้ใช้เกี่ยวกับคุกกี้การวิเคราะห์และขอความยินยอมจากผู้ใช้หรือแบ่งปันข้อมูล (แบนเนอร์คุกกี้แบบเก่า) นี่น่าจะเกี่ยวข้องกับการแสดงให้ผู้ใช้เห็นว่าเหตุใดคุกกี้เหล่านี้จึงมีประโยชน์สำหรับพวกเขา แต่คุณต้องแน่ใจว่าคุณไม่ได้ผลักดันให้ผู้ใช้เลือกตัวเลือกใดตัวเลือกหนึ่ง

ในบางแง่มุม เอกสารแนวทางดังกล่าวมีเนื้อหามากกว่าร่างข้อบังคับ ePrivacy ฉบับปัจจุบัน (ว. 4 ตุลาคม 2019) ซึ่งจะมาแทนที่คำสั่ง ePrivacy Directive ที่มีอยู่ (และ PECR ปัจจุบันและกฎหมายของฝรั่งเศส) ในฉบับร่างปัจจุบัน อนุญาตให้ผู้ให้บริการวางคุกกี้ของบุคคลที่หนึ่งหรือบุคคลที่สามบนอุปกรณ์ของผู้ใช้โดยไม่ได้รับความยินยอมสำหรับ "การวัดผลผู้ชม" (เช่น เพื่อวิเคราะห์ปริมาณการใช้งานที่ผ่านเว็บไซต์ของตนเพื่อเพิ่มประสิทธิภาพบริการ)

หากยังมีข้อสงสัย นี่คือไดอะแกรมจาก ICO ที่อธิบายการใช้คุกกี้ได้อย่างดี

ไดอะแกรมจาก ICO เกี่ยวกับแนวทางการยินยอมและคุกกี้ใหม่

ให้ฉันตรงไปตรงมา

ปัญหาที่อาจเกิดขึ้นที่นี่คือบริษัทที่วางคุกกี้จะพยายามตีความกฎหมายในแบบของตนเอง แม้ว่าเราจะสร้างซอฟต์แวร์วิเคราะห์ ทดสอบ A/B และปรับแต่งให้เป็นส่วนตัว เราจะให้ข้อมูลแก่คุณอย่างตรงไปตรงมา

  1. หน่วยงานด้านความเป็นส่วนตัวของสหราชอาณาจักร (ICO) และฝรั่งเศส (CNIL) ได้เปลี่ยนแนวทางปฏิบัติในเดือนกรกฎาคม 2019 โดยระบุว่าการวิเคราะห์ การทดสอบ A/B และซอฟต์แวร์ส่วนบุคคล เช่น Convert Experiences, Optimizely, AB Tasty, VWO, Adobe Target, PageSense, OmniConvert, Google Optimize และส่วนที่เหลือทั้งหมดจำเป็นต้องเลือกใช้โดยได้รับความยินยอมในการวางคุกกี้บุคคลที่หนึ่งและบุคคลที่สามสำหรับพลเมืองของตน
  2. ฝรั่งเศส (CNIL) เปลี่ยนหน้า Github ด้วยแนวทางที่ยกเว้นการทดสอบ A/B และการวิเคราะห์พื้นฐานจากการยินยอมของคุกกี้
  3. เยอรมนีและสเปนกำลังปฏิบัติตามสหราชอาณาจักร (ICO) หรือฝรั่งเศส (CNIL) และคุณสามารถคาดหวังการอัปเดตเกี่ยวกับแนวทางปฏิบัติได้ในไม่ช้า
  4. ศาลยุติธรรมแห่งสหภาพยุโรป ("CJEU") ได้ตัดสินในคำพิพากษา "Planet49" เมื่อเดือนตุลาคม 2019 ว่าความยินยอมตามมาตรฐาน GDPR มีผลใช้กับการตั้งค่าคุกกี้ภายใต้คำสั่ง ePrivacy Directive ด้วย การพิจารณาคดียืนยันว่าหลักเกณฑ์ของสหราชอาณาจักรและฝรั่งเศสจำเป็นต้องนำมาใช้โดยหน่วยงานด้านความเป็นส่วนตัวแห่งชาติทั้งหมด
  5. กฎหมายฉบับใหม่ในร่างที่เรียกว่า ePrivacy Regulations ที่จะมาแทนที่ ePrivacy Directive มีข้อยกเว้นคุกกี้สำหรับการทดสอบ A/B การปรับเปลี่ยนในแบบของคุณ และการวิเคราะห์
  6. ไม่น่าเป็นไปได้ที่ ICO หรือ CNIL จะดำเนินการตามบริษัทที่ใช้การวิเคราะห์ของบุคคลที่หนึ่ง การทดสอบ A/B และการปรับเปลี่ยนในแบบของคุณในขณะนี้ กฎระเบียบ ePrivacy จะมีผลบังคับใช้ใน (กลาง) 2021 และมีระยะเวลาผ่อนผันจนถึงเดือนกรกฎาคม 2020 ขอบเขตงานขององค์กรเหล่านี้กว้างมาก
  7. วาดข้อสรุปของคุณเองโดยพิจารณาจากสิ่งที่เราพิจารณาว่าเป็นตัวแทนที่ยุติธรรมของสิ่งที่เกิดขึ้นตั้งแต่เดือนกรกฎาคม 2019 ในยุโรป พูดคุยกับที่ปรึกษากฎหมายของคุณ อย่ายึดคำแนะนำของคุณเกี่ยวกับเครื่องมือที่ขายแพลตฟอร์มการจัดการความยินยอม (พวกเขาต้องการความยินยอมทั้งหมด) แต่ไม่ใช่จากผู้ให้บริการการวิเคราะห์ การทดสอบ A/B และเครื่องมือปรับแต่งส่วนบุคคล… เราและพวกเขา

ฉันหวังว่าบทความนี้จะช่วยให้กระจ่างเกี่ยวกับการเปลี่ยนแปลงที่เกิดขึ้นในยุโรปในขณะนี้

แม้ว่ามันจะทำร้ายรูปแบบธุรกิจของเรา แต่เราพยายามแบ่งปันความจริงเสมอ

เราต้องการให้ใช้เครื่องมือเพิ่มประสิทธิภาพของเราเพื่อมอบประสบการณ์การใช้งานที่ดีที่สุด เพื่อให้ผู้ใช้ได้รับหน้าผลิตภัณฑ์ที่ดีที่สุด เมนูที่สับสนน้อยที่สุด แบบฟอร์มที่ช่วยประหยัดเวลาในการดำเนินการให้เสร็จสมบูรณ์

เรามองว่าการเพิ่มประสิทธิภาพเว็บไซต์เป็นงานฝีมือชั้นสูงเพื่อประโยชน์สูงสุดของผู้เข้าชมเว็บไซต์และเจ้าของ (ลูกค้าที่จ่ายเงินของเรา) เราต้องการให้ลูกค้าของเราใช้ความเป็นส่วนตัวอย่างจริงจังและสร้างคำเตือนและความเป็นส่วนตัวในทุกชั้นของเครื่องมือของเรา เราจัดเก็บข้อมูลแบบรวม — และไม่มีข้อมูลส่วนบุคคล — ไว้ในเครื่องมือของเราเพื่อประโยชน์ในการปฏิบัติตามข้อกำหนดและความเป็นส่วนตัว

เราใส่ใจ จริงๆ แม้ว่าเราอาจอยู่ในจุดที่ยากลำบากเนื่องจาก ICO ปัจจุบันและแนวทาง CNIL ที่เปลี่ยนแปลงตลอดเวลาและกฎระเบียบ ePrivacy เราทราบดีว่าด้วยความโปร่งใสอย่างเต็มที่ เราจะเป็นบริษัทที่ได้รับเลือกสำหรับแบรนด์ที่ใส่ใจในความเป็นส่วนตัวและผู้บริโภคสามารถไว้วางใจได้ .

เพื่อจุดประสงค์นี้ เราได้เปิดตัวป๊อปอัปขนาดเล็กที่แสดงให้ผู้เยี่ยมชมเว็บไซต์ทราบว่าพวกเขาเป็นส่วนหนึ่งของการปรับเปลี่ยนในแบบของคุณ และการทดสอบ A/B อย่างไร

เป็นรหัสทางเลือกที่ลูกค้าสามารถเพิ่มลงใน Javascript ส่วนกลางของตนภายในเครื่องมือการทดสอบ A/B ของ Convert Experiences และการปรับเปลี่ยนในแบบของคุณ (ดูภาพด้านล่างเกี่ยวกับวิธีการทำงาน)

ลูกค้ารหัสทางเลือกสามารถเพิ่มไปยัง Javascript ส่วนกลางของตนภายในเครื่องมือการทดสอบ A/B ของ Convert Experiences และการปรับให้เป็นส่วนตัว

หากคุณต้องการพูดคุยเกี่ยวกับความเป็นส่วนตัว โซลูชัน CNAME ที่เรากำลังดำเนินการอยู่ หรือการพัฒนาทางกฎหมายใหม่ๆ โปรดติดต่อฉันที่ LinkedIn

คำพิพากษาศาล (หอใหญ่) วันที่ 1 ตุลาคม 2019 (ขอคำพิพากษาเบื้องต้นจาก Bundesgerichtshof — เยอรมนี)

Bundesverband der Verbraucherzentralen und Verbraucherverbande — Verbraucherzentrale Bundesverband eV v Planet49 GmbH (ที่มา Curia)

(กรณี C-673/17) 1

(อ้างอิงสำหรับการพิจารณาคดีเบื้องต้น — Directive 95/46/EC — Directive 2002/58/EC — Regulation (EU) 2016/679 — การประมวลผลข้อมูลส่วนบุคคลและการปกป้องความเป็นส่วนตัวในภาคการสื่อสารทางอิเล็กทรอนิกส์ — คุกกี้ — แนวคิดของการยินยอมของ เจ้าของข้อมูล — การประกาศความยินยอมโดยใช้ช่องทำเครื่องหมายที่ทำเครื่องหมายไว้ล่วงหน้า)

ภาษาของคดี: เยอรมัน

ศาลอ้างอิง

Bundesgerichtshof

คู่กรณีในการพิจารณาคดีหลัก

ผู้สมัคร: Bundesverband der Verbraucherzentralen und Verbraucherverbande — Verbraucherzentrale Bundesverband eV

จำเลย: Planet49 GmbH

ส่วนปฏิบัติการของคำพิพากษา

บทความ 2(f) และมาตรา 5(3) ของ Directive 2002/58/EC ของรัฐสภายุโรปและคณะมนตรีเมื่อวันที่ 12 กรกฎาคม 2002 เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลและการปกป้องความเป็นส่วนตัวในภาคการสื่อสารทางอิเล็กทรอนิกส์ (Directive on ความเป็นส่วนตัวและการสื่อสารทางอิเล็กทรอนิกส์) ซึ่งแก้ไขโดย Directive 2009/136/EC ของรัฐสภายุโรปและของคณะมนตรีเมื่อวันที่ 25 พฤศจิกายน 2552 อ่านร่วมกับมาตรา 2(h) ของ Directive 95/46/EC ของรัฐสภายุโรปและของ สภาวันที่ 24 ตุลาคม 2538 ว่าด้วยการคุ้มครองบุคคลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลและการเคลื่อนย้ายข้อมูลดังกล่าวโดยเสรีและมาตรา 4(11) และมาตรา 6(1)(a) ของระเบียบ (EU) 2016/679 ของรัฐสภายุโรปและคณะมนตรีเมื่อวันที่ 27 เมษายน 2559 ว่าด้วยการคุ้มครองบุคคลธรรมดาเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลและการเคลื่อนย้ายข้อมูลดังกล่าวโดยเสรี และการยกเลิก Directive 95/46 (กฎการคุ้มครองข้อมูลทั่วไป) จะต้องเป็น ตีความว่าความยินยอม ที่อ้างถึงในข้อกำหนดเหล่านี้ไม่ถูกต้องหากในรูปแบบของคุกกี้การจัดเก็บข้อมูลหรือการเข้าถึงข้อมูลที่จัดเก็บไว้ในอุปกรณ์ปลายทางของผู้ใช้เว็บไซต์ได้รับอนุญาตโดยช่องทำเครื่องหมายที่ทำเครื่องหมายไว้ล่วงหน้าซึ่งผู้ใช้ต้องยกเลิกการเลือกที่จะปฏิเสธ ความยินยอมของเขาหรือเธอ

บทความ 2(f) และมาตรา 5(3) ของ Directive 2002/58 ซึ่งแก้ไขเพิ่มเติมโดย Directive 2009/136 อ่านร่วมกับมาตรา 2(h) ของ Directive 95/46 และมาตรา 4(11) และมาตรา 6(1) )(a) ของระเบียบ 2016/679 จะต้องไม่ถูกตีความแตกต่างกันตามว่าข้อมูลที่จัดเก็บหรือเข้าถึงบนอุปกรณ์ปลายทางของผู้ใช้เว็บไซต์นั้นเป็นข้อมูลส่วนบุคคลตามความหมายของ Directive 95/46 และ Regulation 2016/679 หรือไม่

มาตรา 5(3) ของ Directive 2002/58 ซึ่งแก้ไขโดย Directive 2009/136 จะต้องตีความว่าข้อมูลที่ผู้ให้บริการต้องให้แก่ผู้ใช้เว็บไซต์นั้นรวมถึงระยะเวลาในการทำงานของคุกกี้ด้วย และไม่ว่าข้อมูลที่สามหรือไม่ ฝ่ายต่างๆ อาจเข้าถึงคุกกี้เหล่านั้นได้

____________

1 ต.ค. 112, 26.3.2018.

GDPR - กล่องเครื่องมือ CRO
GDPR - กล่องเครื่องมือ CRO