GDPR Deep Dive: จะทำอย่างไรกับคุกกี้

ดูเหมือนว่าคุกกี้ทั้งหมดจะทำงานเหมือนกันไม่มากก็น้อย ไฟล์เว็บขนาดเล็กที่จัดเก็บโดยผู้ใช้ ติดตามกิจกรรม ฯลฯ เป็นต้น

แต่บางคนเป็น "ส่วนตัว" มากกว่าคนอื่น

และตอนนี้ จะสร้างความแตกต่างให้กับกลุ่มการตลาดของคุณมากกว่าที่เคย

หนทางสู่การปฏิบัติตาม GDPR และ ePrivacy นั้นยุ่งยาก ผู้ประมวลผลข้อมูลของคุณต้องพึ่งพา "ความเป็นส่วนตัวโดยการออกแบบ" และต้องขอความยินยอมหากพวกเขาใช้ข้อมูลส่วนบุคคลใด ๆ นั่นหมายถึงตัวระบุส่วนบุคคลใด ๆ นั่นหมายถึงคุกกี้หรือที่อยู่ IP หรือรหัสไปรษณีย์

ที่ Convert เราต้องการให้แน่ใจว่าจะไม่มีการจัดเก็บข้อมูลส่วนบุคคลไว้ในระบบของเรา และไม่มีใครถูกระบุตัวตนด้วยการใช้คุกกี้ เป็นวิธีเดียวที่จะรักษาสมดุลของการเติบโตของธุรกิจ ความรู้เชิงกลยุทธ์ และความเป็นส่วนตัวของผู้เยี่ยมชมเว็บไซต์

เพราะคุณเคยสงสัยหรือไม่ว่าจะเกิดอะไรขึ้นเมื่อคุณต้องการขอความยินยอม อย่างชัดแจ้ง สำหรับเครื่องมือทดสอบ A/B ของคุณ

หากซอฟต์แวร์ของคุณทำงาน—ผู้ใช้ทุกคนในเว็บไซต์ของคุณจำเป็นต้องให้ความยินยอมในการทดสอบ A/B

คุณจะอธิบายให้ชัดเจนได้อย่างไร? โน้มน้าวใจ?

และจำนวนผู้ใช้ของคุณที่คุณคิดว่าจะยอม

ผู้จำหน่ายซอฟต์แวร์: หากคุณต้องการบันทึกธุรกิจของคุณ—ได้เวลาออกแบบแอพของคุณใหม่

สหภาพยุโรปให้แนวทางที่ชัดเจนแก่เราเกี่ยวกับวิธีจัดการคุกกี้ใน GDPR แม้จะไม่มีข้อบังคับ ePrivacy ใหม่ก็ตาม

เราต้องการแบ่งปันข้อความที่ชัดเจนกับผู้เยี่ยมชมเว็บของเรา: เราใส่ใจในความเป็นส่วนตัวของคุณ

ฉันคาดหวังในการทำเช่นนั้น เราจะต้องยกเลิก 20% ของเครื่องมือซอฟต์แวร์ 72 รายการที่เราใช้งาน

เพียงเพราะขาดความชัดเจนในความเป็นส่วนตัว หรือขาดคุณสมบัติที่ปรับตาม GDPR หรือขาดความเต็มใจที่จะจัดการข้อมูลของลูกค้า ผู้มุ่งหวัง และความสัมพันธ์อื่นๆ ของเราอย่างโปร่งใส

GDPR Recital 30 ระบุว่า:

บุคคลธรรมดาอาจเชื่อมโยงกับตัวระบุออนไลน์ที่จัดเตรียมโดยอุปกรณ์ แอปพลิเคชัน เครื่องมือและโปรโตคอล เช่น ที่อยู่อินเทอร์เน็ตโปรโตคอล ตัวระบุคุกกี้ หรือตัวระบุอื่นๆ เช่น แท็กระบุความถี่วิทยุ

ซึ่งอาจทิ้งร่องรอยไว้ โดยเฉพาะอย่างยิ่งเมื่อรวมกับตัวระบุเฉพาะและข้อมูลอื่น ๆ ที่ได้รับจากเซิร์ฟเวอร์ อาจใช้เพื่อสร้างโปรไฟล์ของบุคคลธรรมดาและระบุตัวตนได้

ดังนั้นพวกเขาจึงไม่ต้องการ ตัวระบุที่ไม่ซ้ำ ไม่แม้แต่ในคุกกี้—และไม่ใช่ข้อมูลส่วนบุคคลอย่างแน่นอน

การทดสอบ A/B ก่อน GDPR ด้วย ePrivacy Directive และเวอร์ชันที่แปลแล้วในยุโรป

กฎหมายที่ใช้อยู่ในปัจจุบันคือ ePrivacy Directive (ซึ่งเร็วๆ นี้จะถูกแทนที่ด้วยกฎระเบียบ ePrivacy ใหม่) ช่วยให้เราเข้าใจว่าซอฟต์แวร์การทดสอบ A/B ของคุกกี้ประเภทใดใช้ เป็นคุกกี้ประสิทธิภาพ:

การทดสอบรูปแบบต่างๆ ของการออกแบบ โดยทั่วไปจะใช้ A/B หรือการทดสอบหลายตัวแปร เพื่อให้แน่ใจว่าผู้ใช้ของไซต์จะคงรูปลักษณ์และความรู้สึกที่สอดคล้องกันในเซสชันปัจจุบันและเซสชันต่อๆ ไป หากตรงกับคำอธิบายนี้ แสดงว่าคุกกี้ประสิทธิภาพ

คุกกี้เหล่านี้รวบรวมข้อมูลเกี่ยวกับวิธีที่ผู้เยี่ยมชมใช้เว็บไซต์ เช่น หน้าใดที่ผู้เยี่ยมชมเข้าชมบ่อยที่สุด และหากพวกเขาได้รับข้อความแสดงข้อผิดพลาดจากหน้าเว็บ คุกกี้เหล่านี้ไม่รวบรวมข้อมูลที่ระบุตัวผู้เยี่ยมชม ข้อมูลทั้งหมดที่คุกกี้เหล่านี้รวบรวมจะถูกรวบรวมและไม่ระบุชื่อ ใช้เพื่อปรับปรุงวิธีการทำงานของเว็บไซต์เท่านั้น

ไม่ควรใช้คุกกี้เหล่านี้เพื่อกำหนดเป้าหมายโฆษณาใหม่ หากเป็นเช่นนั้น ควรจัดวางคุกกี้เหล่านี้ในหมวดหมู่ของคุกกี้กำหนดเป้าหมายและคุกกี้โฆษณาตาม คู่มือคุกกี้ของ ICC UK ฉบับ ที่สอง พฤศจิกายน 2555 [PDF ]

คุกกี้ใน “ส่วนประสิทธิภาพ” รวบรวม เฉพาะ ข้อมูลเกี่ยวกับการใช้งานเว็บไซต์เพื่อประโยชน์ของผู้ดำเนินการเว็บไซต์ พวกเขาพึ่งพาข้อมูลรวม พวกเขาไม่ได้ "ระบุผู้เข้าชม" โดยตรง อาจได้รับความยินยอมในการใช้คุกกี้ประเภทนี้ ตัวอย่างเช่น ในข้อกำหนดและเงื่อนไขของไซต์—หรือเมื่อผู้ใช้เปลี่ยนการตั้งค่าไซต์

วิธีที่ถูกต้องในการใช้ที่นี่จะขึ้นอยู่กับลักษณะของเว็บไซต์และการทำงานที่แม่นยำของคุกกี้ที่เกี่ยวข้อง แต่ในกรณีส่วนใหญ่ เราสามารถขอความยินยอมด้วยคำว่า: “การใช้ [เว็บไซต์][บริการออนไลน์] ของเรา แสดงว่าคุณตกลงที่จะใช้คุกกี้ประเภทนี้ในอุปกรณ์ของคุณ”

แม้ว่ากฎหมายใหม่ (กฎระเบียบ ePrivacy) จะแตกต่างกัน แต่ข้อกำหนด ePrivacy ของกฎหมายเก่า/ปัจจุบันช่วยให้เราเข้าใจ ว่า ซอฟต์แวร์ทดสอบ A/B อยู่ที่ใดเมื่อวางคุกกี้โดยไม่ได้รับความยินยอมจากผู้ใช้ เราสามารถทำงานได้ตามปกติ ตราบใดที่เราให้ข้อมูลที่ชัดเจนแก่ผู้ใช้ปลายทาง

แต่ละประเทศอาจมีคำอธิบายที่แตกต่างกันเล็กน้อย—แต่โดยทั่วไปแล้ว ยุโรปมีการทดสอบ A/B ช่วยประสิทธิภาพของเว็บไซต์ (หากคุณไม่ได้ใช้สำหรับการกำหนดเป้าหมายตามพฤติกรรมและการปรับเปลี่ยนในแบบของคุณ และคุณไม่ได้แบ่งปันข้อมูลกับผู้อื่น หรือติดตามข้ามเว็บไซต์)

หลัง GDPR เราต้องการคำยินยอมสำหรับการทดสอบ A/B หรือไม่

PageFair ที่น่าสนใจพบว่ามี ผู้บริโภคเพียง 21% เท่านั้นที่เลือกใช้การติดตามการวิเคราะห์ของบุคคลที่หนึ่ง

นี่หมายความว่า ⅕ ของการรับส่งข้อมูลปัจจุบันจะยอมรับการวิเคราะห์หากอยู่ภายในพารามิเตอร์ความยินยอม

คุณจะต้องได้รับความยินยอมสำหรับเครื่องมือทดสอบ A/B ของคุณหรือไม่

เป็นไปได้มากว่าใช่ คุณจะต้องได้รับความยินยอมหากซอฟต์แวร์ทดสอบ A/B ของคุณขึ้นอยู่กับที่อยู่ IP ตัวระบุที่ไม่ซ้ำกัน เช่น รหัสอุปกรณ์ รหัสผู้ใช้ รหัสธุรกรรม รหัสคุกกี้ หรือข้อมูลนามแฝง (หมายถึง ข้อมูลที่ไม่รู้จัก + คีย์ที่เก็บไว้ที่อื่น เพื่อให้อ่านได้ อีกครั้ง). สิ่งเหล่านี้ภายใต้ GDPR เป็นตัวระบุที่ไม่ซ้ำ และต้องมีการเลือกอย่างชัดเจน

คุณต้องเริ่มด้วยความยินยอมอย่างชัดแจ้งเมื่อใด ePrivacy Directive จะเปลี่ยนไปใช้กฎระเบียบ ePrivacy เมื่อใด

คำเตือน: คำภาษาละตินและข้อกำหนดทางกฎหมาย

กฎระเบียบ ePrivacy คือ 'principe lex specialis derogat legi generali' หรือเรียกสั้นๆ ว่า 'lex specialis' ของ GDPR

ในภาษาอังกฤษธรรมดา หมายความว่า: หาก GDPR และ ePrivacy ขัดแย้งกัน หรือ GDPR วางแนวทางที่ต้องมีข้อกำหนดเพิ่มเติม—กฎที่กำหนดไว้ใน ePrivacy คือกฎที่คุณต้องปฏิบัติตาม

ตอนนี้เราเพิ่งมีร่าง (ชื่อ 1533) ของข้อบังคับ ePrivacy ในการอภิปราย ยังคงต้องได้รับคำติชมจากผู้แทนสมาชิกสหภาพยุโรป ดังนั้นจึงไม่ได้สะท้อนถึงสิ่งที่จะกลายเป็นกฎหมายในเร็วๆ นี้อย่างแน่นอน

การคาดการณ์ "ในแง่ดี": ที่ปรึกษานโยบายความเป็นส่วนตัวในอนาคตของ Gabriela Zanfir-Fortuna กล่าวว่าเขาคาดว่าจะมีวันที่อนุมัติ ePrivacy ในช่วงปลายปี 2018 สำหรับวันที่ดำเนินการ เราไม่ทราบจริงๆ

ในแง่ดีน้อยกว่า เขายังแนะนำว่ากฎระเบียบ ePrivacy “มีแนวโน้มที่จะต้องปฏิบัติตามเพิ่มเติม” และ Alex Propes (ผู้อำนวยการสำนักโฆษณาเชิงโต้ตอบ (IAB) ของนโยบายสาธารณะ) กล่าวว่า "องค์กรสามารถกำหนดเป้าหมายเฉพาะ GDPR ได้ในขณะนี้"

Daniel Felz Associate ที่ Alston & Bird แบ่งปันมุมมองที่น่าหดหู่ยิ่งกว่านี้: “การเจรจา Trilogue ของกฎระเบียบ ePrivacy ถูกผลักกลับไปสู่ฤดูใบไม้ร่วงปี 2018; กฎระเบียบ ePrivacy ขั้นสุดท้ายอาจไม่มีผลบังคับใช้จนถึงปี 2020” ในการประชุมที่ได้รับการสนับสนุนจากสมาคมคุ้มครองข้อมูลแห่งสหพันธรัฐเยอรมัน มีรายงานโฆษกหญิงจากกระทรวงเศรษฐกิจของเยอรมนีว่าการเจรจาไตรภาคีจะไม่เริ่มจนกว่าจะถึงฤดูใบไม้ร่วงปี 2018

เห็นได้ชัดว่าประเทศสมาชิกสหภาพยุโรปยังคงหารือเกี่ยวกับคำถามเปิดจำนวนมากเกี่ยวกับประเด็นด้านกฎระเบียบ ePrivacy

เห็นได้ชัดว่า ePrivacy Directive (Directive 2002/58/EC ของรัฐสภายุโรปและคณะมนตรี ณ วันที่ 12 กรกฎาคม พ.ศ. 2545) ยังคงมีผลบังคับใช้ ซึ่งเป็นเรื่องของกฎหมายระดับประเทศ

นั่นเป็นกฎหมายมากมายที่คุณโยนใส่ฉัน ธุรกิจของฉันมีความหมายอย่างไร

GDPR มีความชัดเจน: ไม่มีข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม และหากคุณกำลังรอให้ ePrivacy รุกล้ำเข้ามาด้วยช่องโหว่ คุณอาจต้องรอนาน

ดังนั้นหากซอฟต์แวร์ทดสอบ A/B ของคุณขึ้นอยู่กับข้อมูลส่วนบุคคล: ที่อยู่ IP, ตัวระบุที่ไม่ซ้ำกัน เช่น รหัสอุปกรณ์, ID ผู้ใช้, รหัสธุรกรรม, รหัสคุกกี้ หรือข้อมูลนามแฝง (นั่นคือข้อมูลที่ไม่รู้จัก + คีย์ในจุดต่างๆ เพื่อให้อ่านได้อีกครั้ง) นั่นเป็นข้อมูลส่วนบุคคล ข้อมูล.

ยังคงเป็นกุญแจสำคัญในการรวมข้อมูลออนไลน์และตัวระบุ เช่น คุกกี้และอื่นๆ อีกมากมายในกลยุทธ์ GDPR ของคุณ ไม่ว่า ที่ไหนและอย่างไร ข้อความจะถูกดัดแปลงโดยการอภิปรายของผู้รับมอบสิทธิ์ในอนาคต

คำสั่ง ePrivacy แบบเก่าให้ภาระหน้าที่ในการแจ้ง "กำแพงคุกกี้" และเน้นเฉพาะบริษัทในยุโรปเท่านั้น

ตอนนี้ GDPR มีผลกับทุกคนที่สัมผัสข้อมูลของสหภาพยุโรปทั่วโลก และข้อมูลส่วนบุคคลถูกกำหนดให้รวมถึงตัวระบุใหม่ทุกประเภท

แต่คำสั่ง ePrivacy แบบเก่าบอกเป็นอย่างอื่น มันบอกว่า "สำหรับข้อมูลประเภทนี้ คุณเพียงแค่ต้องแจ้งให้ทราบ และมีโอกาสที่จะยกเลิก"

ยินดีต้อนรับสู่สุญญากาศทางกฎหมาย

คำถามใหญ่คือ คุณจะถูกปรับภายในพื้นที่สีเทานั้นหรือไม่?

และคำตอบคือ คุณต้องการเสี่ยงหรือไม่?

หน่วยงานด้านความเป็นส่วนตัวจะต้องใช้เวลาในการดำเนินการ GDPR และกฎหมาย ePrivacy ใหม่อาจไม่มีผลบังคับใช้ในปี 2019 หรือแม้แต่ปี 2020

ดังนั้น ฉันไม่คาดว่าจะถูกปรับมากในวันที่ 25 พฤษภาคม หากวอลล์คุกกี้พื้นฐานของคุณยังมีชีวิต

แต่เห็นได้ชัดว่าในที่สุดกฎหมายก็เปลี่ยนไป และพวกเขาจะเปลี่ยนแปลงไปเรื่อย ๆ ในขณะที่เราก้าวเข้าสู่โลกที่ข้อมูลมีค่ามากกว่า และเจ้าของข้อมูลต้องการมากขึ้น

มาเริ่มกันเลยดีกว่า