GDPR Derin Dalışı: Çerezler Hakkında Yapılması Gerekenler

Tüm çerezler aşağı yukarı aynı şekilde çalışıyor gibi görünüyor. Bir kullanıcı tarafından saklanan küçük web dosyası, aktiviteyi vb. izler.

Ancak bazıları diğerlerinden daha “özel”.

Ve şimdi, bu, pazarlama yığınınız için her zamankinden daha fazla bir fark yaratacak.

GDPR ve eGizlilik uyumluluğuna giden yol engebeli bir yoldur. Veri işlemcilerinizin "tasarım gereği gizliliğe" güvenmelerini ve HERHANGİ bir kişisel veri kullanıyorlarsa onay istemelerini gerektirir. Bu, herhangi bir kişisel tanımlayıcı anlamına gelir. Bu, çerezler veya IP adresleri veya posta kodları anlamına gelir.

Convert'te, sistemlerimizde hiçbir kişisel verinin saklanmamasını ve çerez kullanımıyla hiç kimsenin kimliğinin belirlenmemesini sağlamak istedik. İş büyümesi, stratejik bilgi ve web sitesi ziyaretçilerinin kişisel gizliliği arasındaki dengeyi korumanın tek yolu buydu.

Çünkü A/B test aracınız için açık onay almanız gerektiğinde ne olacağını hiç merak ettiniz mi?

Yazılımınızın çalışması için web sitenizdeki her kullanıcının A/B testine izin vermesi gerekiyordu.

Bunu nasıl net bir şekilde açıklarsın? ikna edici mi?

Ve kaç kullanıcınızın onay vereceğini düşünüyorsunuz?

Yazılım Satıcıları: İşinizi Kurtarmak İstiyorsanız—Uygulamalarınızı Yeniden Tasarlama Zamanı

AB, yeni eGizlilik Düzenlemeleri yürürlükte olmasa bile, bize çerezlerin GDPR'de nasıl ele alınması gerektiğine dair net yönergeler verdi.

Web ziyaretçilerimizle gerçekten net bir mesaj paylaşmak istiyoruz: gizliliğinize önem veriyoruz.

Ve bunu yapmak için, sanırım kullandığımız 72 yazılım aracının %20'sini iptal etmemiz gerekecek.

SADECE mahremiyet konusunda netlik eksikliği nedeniyle. Veya GDPR'ye göre ayarlanmış özelliklerin olmaması. Veya müşterilerimizin, beklentilerin ve diğer ilişkilerimizin verilerini şeffaf bir şekilde yönetme isteksizliği.

GDPR Açıklaması 30 şunları belirtir:

Gerçek kişiler, internet protokol adresleri, çerez tanımlayıcıları veya radyo frekansı tanımlama etiketleri gibi diğer tanımlayıcılar gibi cihazları, uygulamaları, araçları ve protokolleri tarafından sağlanan çevrimiçi tanımlayıcılarla ilişkilendirilebilir.

Bu, özellikle benzersiz tanımlayıcılar ve sunucular tarafından alınan diğer bilgilerle birleştirildiğinde, gerçek kişilerin profillerini oluşturmak ve onları tanımlamak için kullanılabilecek izler bırakabilir.

Bu nedenle, benzersiz tanımlayıcılar istemiyorlar. Çerezlerde bile değil - ve kesinlikle kişisel verilerde değil.

ePrivacy Directive ve Avrupa'daki yerelleştirilmiş sürümlerle GDPR öncesi A/B testi

Şu anda yürürlükte olan yasa, eGizlilik Yönergesi (yakında yeni eGizlilik Düzenlemeleri ile değiştirilecektir), A/B test yazılımının ne tür çerezlere dayandığını anlamamıza yardımcı olur. Bunlar performans çerezleridir:

Mevcut ve sonraki oturumlarda site kullanıcısı için tutarlı bir görünüm ve his sağlamak için, tipik olarak A/B veya çok değişkenli testler kullanılarak tasarım varyasyonlarının test edilmesi. Bu tanıma uyuyorlarsa performans çerezleridir.

Bu tanımlama bilgileri, ziyaretçilerin bir web sitesini nasıl kullandığı, örneğin ziyaretçilerin en sık hangi sayfalara gittikleri ve web sayfalarından hata mesajları alıp almadıkları hakkında bilgi toplar. Bu çerezler, bir ziyaretçiyi tanımlayan bilgileri toplamaz. Bu çerezlerin topladığı tüm bilgiler toplanır ve bu nedenle anonimdir. Yalnızca bir web sitesinin nasıl çalıştığını geliştirmek için kullanılır.

Bu çerezler, reklamları yeniden hedeflemek için kullanılmamalıdır, eğer kullanılıyorlarsa, ICC İngiltere Çerez rehberi İkinci baskı Kasım 2012'ye göre hedefleme çerezleri ve reklam çerezleri kategorisine yerleştirilmelidirler [PDF] .

“Performans segmentindeki” çerezler, yalnızca web sitesi operatörünün yararına web sitesi kullanımı hakkında bilgi toplar. Toplu verilere dayanırlar. Doğrudan “bir ziyaretçiyi tanımlamazlar”. Bu tür çerezlerin kullanımı için izin, örneğin sitenin hüküm ve koşullarında veya kullanıcı site ayarlarını değiştirdiğinde alınabilir.

Burada kullanılacak doğru yöntem, web sitesinin niteliğine ve ilgili çerezlerin kesin işlevine bağlı olacaktır. Ancak çoğu durumda, "[web sitemizi][çevrimiçi hizmetimizi] kullanarak, cihazınızda bu tür çerezlerin kullanılmasını kabul etmiş olursunuz."

Yeni yasa (eGizlilik Düzenlemeleri) farklı olsa da, eski/mevcut yasa eGizlilik Yönergesi, çerezlerin kullanıcı izni olmadan yerleştirilebildiği durumlarda A/B test yazılımının nerede olduğunu anlamamıza yardımcı olur. Son kullanıcıya net bilgi verdiğimiz sürece normal şekilde işimizi yapabiliriz.

Her ülkenin biraz farklı bir tanımı olabilir - ancak genel olarak Avrupa, A/B testine hazırdı. Web sitesinin performansına yardımcı oldu (eğer onu davranışsal hedefleme ve kişiselleştirme için kullanmadıysanız. Ve bilgileri başkalarıyla paylaşmadıysanız veya web sitesinde izlemediyseniz).

GDPR sonrası A/B testi için onaya ihtiyacımız var mı?

İlginç bir şekilde PageFair , tüketicilerin yalnızca %21'inin birinci taraf analitik izlemeyi seçeceğini buldu.

Bu, izin parametreleri dahilinde olması durumunda mevcut trafiğin ⅕ kadarının analitiği kabul edeceği anlamına gelir.

A/B test aracınız için onaya ihtiyacınız olacak mı?

Büyük olasılıkla evet, A/B test yazılımınız IP adresine, Cihaz Kimlikleri, Kullanıcı Kimliği, İşlem Kimliği, Çerez Kimliği veya Takma Adlı veriler gibi benzersiz tanımlayıcılara bağlıysa (anlamı: tanınmayan veriler + okunabilir hale getirmek için başka bir yerde depolanan bir anahtar) onay almanız gerekir. Yeniden). Bunlar, GDPR kapsamında benzersiz tanımlayıcılardır ve açık tercihler gerektirir.

Öyleyse ne zaman açık rıza ile başlamanız gerekiyor? eGizlilik Yönergesi ne zaman eGizlilik Düzenlemelerine geçer?

Uyarı: Latince kelimeler ve yasal terimler.

eGizlilik Tüzüğü, GDPR'ye göre 'principe lex specialis derogat legi generali' veya kısaca 'lex specialis'tir.

Düz İngilizce'de bunun anlamı şudur: GDPR ve ePrivacy çatışıyorsa veya GDPR, daha fazla spesifikasyon gerektiren bir kılavuz oluşturuyorsa - ePrivacy'de belirtilen kurallar, uymanız gereken kurallardır.

Şu anda tartışılmakta olan eGizlilik Düzenlemelerinin bir taslağı (1533 adları) var. Yine de üye AB delegelerinden gelen geri bildirimleri görmesi gerekiyor - bu nedenle yakında yasa haline gelecek olanı tam olarak yansıtmaz.

"İyimser" bir tahmin: Geleceğin Gizliliği Forumu Politika Danışmanı Gabriela Zanfir-Fortuna, 2018'in sonuna doğru bir eGizlilik onay tarihi beklediğini söylüyor. Uygulama tarihi konusunda gerçekten hiçbir fikrimiz yok.

Daha az iyimser olmakla birlikte, eGizlilik Yönetmeliği'nin "muhtemelen ek uyumluluk gerektireceğini" de öne sürdü. Ve Alex Propes (İnteraktif Reklamcılık Bürosu (IAB) Kamu Politikası Direktörü) "kuruluşların şu anda yalnızca GDPR'yi hedefleyebileceğini" söyledi.

Alston & Bird'den Daniel Felz Associate daha da iç karartıcı bir görüş paylaşıyor: “eGizlilik Düzenlemesi Üçlü Müzakereleri 2018 Sonbaharına Geri İtildi; Nihai eGizlilik Yönetmeliği 2020'ye kadar yürürlükte olmayabilir.” Alman Federal Veri Koruma Derneği sponsorluğunda düzenlenen bir konferansta, Almanya Ekonomi Bakanlığı'ndan bir sözcünün, üçlü müzakerelerin 2018 sonbaharına kadar başlamayacağını belirttiği bildirildi.

Görünüşe göre, AB Üye Devletleri hala eGizlilik Yönetmeliği konularına ilişkin bir dizi açık soruyu tartışıyorlar.

Bu arada, tabii ki, mevcut ePrivacy Direktifi (12 Temmuz 2002 tarihli Avrupa Parlamentosu ve Konseyinin 2002/58/EC Direktifi) yürürlükte kalmaya devam etmektedir ve bu, bir ulusal mevzuat meselesidir.

Demek bana çok fazla kanun çıkardın. İşim için ne anlama geliyor?

GDPR açıktır: rıza olmadan kişisel veri verilmez. Ve ePrivacy'nin bir boşlukla devreye girmesini bekliyorsanız, uzun bir bekleyiş bekliyor olabilirsiniz.

Dolayısıyla, A/B test yazılımınız kişisel verilere bağlıysa: IP adresi, Cihaz Kimlikleri, Kullanıcı Kimliği, İşlem Kimliği, Çerez Kimliği veya Takma Adlı veriler gibi benzersiz tanımlayıcılar (bu, tanınmayan veriler + yeniden okunabilir hale getirmek için farklı bir noktada anahtar) o zaman bu kişiseldir. veri.

Çerezler ve diğerleri gibi çevrimiçi verileri ve tanımlayıcıları GDPR stratejinize dahil etmek kilit önemdedir. Nerede ve nasıl olursa olsun , metin gelecekteki delege tartışmaları tarafından uyarlanacaktır.

Eski eGizlilik Yönergesi size bir "çerez duvarı" bildirimi yerleştirme zorunluluğu getirdi ve yalnızca Avrupa şirketlerine odaklandı.

Artık GDPR, dünya çapında AB verilerine dokunan herkes için geçerlidir. Ve kişisel veriler, her türlü yeni tanımlayıcıyı içerecek şekilde tanımlanır.

Ancak eski ePrivacy yönergesi başka bir şey söylüyor. "Bu tür veriler için yalnızca bir bildirime ve devre dışı bırakma fırsatına ihtiyacınız var" diyor.

Yani yasal bir boşluğa hoş geldiniz.

Asıl soru şu: Bu gri alanda ceza alacak mısınız?

Ve cevap: riske atmak istiyor musunuz?

Gizlilik yetkilileri, GDPR'yi uygulamak için çok zaman harcayacaklar. Ve yeni eGizlilik yasaları 2019'a, hatta 2020'ye kadar yürürlüğe girmeyebilir.

Bu nedenle, temel çerez duvarınız hala canlıysa, 25 Mayıs'ta büyük cezalar beklemiyorum.

Ama en sonunda kanunların değiştiği açık. Ve biz verinin daha değerli olduğu ve veri öznelerinin daha fazlasını talep ettiği bir dünyaya geçtikçe, değişmeye devam edecekler.

O halde şimdi başlayalım.