Adakah persetujuan terhadap kuki diperlukan oleh GDPR?

Perkhidmatan

GDPR memerlukan syarikat untuk memaklumkan tentang tujuan dan kaedah data peribadi diproses. Dan orang itu mesti bersetuju dengannya. Adakah persetujuan kepada kuki juga dikawal oleh GDPR? Atau mungkin sekadar memaklumkan (tanpa persetujuan) untuk kuki sudah memadai?

Apakah cookies dan untuk apa?

Fail kuki (dipanggil "biskut") Adakah data IT, khususnya fail teks dalam bentuk satu siri huruf dan nombor, disimpan pada komputer pengguna dan bertujuan untuk kegunaan halaman Laman Web. Kuki biasanya mengandungi nama tapak web tempat asalnya, masa penyimpanannya pada komputer pengguna dan nombor unik.

Terdapat dua jenis kuki:

  • sesi"(Kuki sesi) - ini adalah fail sementara yang disimpan pada komputer pengguna sehingga log keluar, meninggalkan tapak web atau menutup penyemak imbas,

  • berterusan"(Persistent cookies) - fail ini disimpan pada komputer pengguna untuk masa yang dinyatakan dalam parameter kuki atau sehingga ia dipadamkan oleh pengguna.

Bergantung pada tapak web dan tujuannya, jenis penggunaan kuki mungkin berbeza. Mereka boleh digunakan, sebagai contoh, untuk:

  • mengingati kata laluan dan log masuk,

  • mengingat data dalam borang yang lengkap (mengisi borang automatik),

  • analisis masa yang dibelanjakan pada halaman tertentu,

  • mengingati maklumat tentang cara menggunakan tapak web,

  • mengingati tetapan dan pilihan yang dipilih oleh pengguna,

  • susun data statistik subhalaman / artikel mana yang paling popular.

Dalam kebanyakan kes, perisian yang digunakan untuk menyemak imbas tapak web (pelayar web) membenarkan kuki disimpan pada komputer pengguna secara lalai. Pengguna boleh menukar tetapan kuki pada bila-bila masa atau menyekatnya. Perubahan atau penyekatan dibuat dalam tetapan penyemak imbas.

Walau bagaimanapun, perlu diingat bahawa apabila kuki disekat, tapak web tidak akan mengingati tetapan, pilihan atau kata laluan pengguna. Ia melibatkan keperluan untuk mengisi data yang sama setiap kali anda melawati laman web.

Kuki dan data peribadi

Data peribadi ialah maklumat yang mengenal pasti orang tertentu. Kadangkala satu maklumat sudah cukup untuk mengenal pastinya (cth. orang tertinggi dalam pasukan), kadangkala mesti terdapat lebih banyak maklumat ini (cth. nama, nama keluarga dan tarikh lahir). Ia berlaku bahawa data yang sama di satu tempat membolehkan anda mengenal pasti orang tertentu (mis. Data peribadi juga boleh menjadi alamat IP, tetapi hanya jika ia boleh digunakan untuk mengenal pasti orang tertentu.

Oleh itu, jika alamat IP tidak mengenal pasti orang tertentu - ia tidak boleh dianggap sebagai data peribadi. Dan kerana, dalam kes sedemikian, tiada siapa yang boleh dikenal pasti melalui alamat IP - tiada pemprosesan data peribadi.

Alamat IP akan dianggap data peribadi hanya jika entiti yang memproses alamat IP pada masa yang sama mempunyai akses kepada data yang memautkan alamat IP dengan data lain yang mengenal pasti orang itu. Sehingga pemproses pasti bahawa ia tidak dapat menggabungkan alamat IP dengan data lain yang mengenal pasti orang itu, ia harus menjamin alamat IP seolah-olah ia adalah data peribadi.

Terdapat alamat IP tetap dan dinamik. Alamat tetap dianggap sebagai data peribadi kerana ia boleh digunakan untuk mengenal pasti pengguna tertentu.

Persetujuan kuki pra-GDPR

Persetujuan kepada kuki dikawal terutamanya oleh Undang-undang Telekomunikasi dan arahan EU mengenai komunikasi (e-privasi). Peraturan ini telah wujud di Poland selama beberapa tahun. Tindakan undang-undang yang disebutkan di atas memerlukan pemilik tapak web untuk mendapatkan persetujuan untuk penggunaan dan penyimpanan kuki pada komputer pengguna.

Persetujuan difahami sebagai secara sedar dan jelas menunjukkan kehendak. Jadi persetujuan adalah isyarat yang disengajakan. Ia tidak perlu untuk mengumpul penyata, semak kotak semak (medan kecil, persegi), cukup jika orang itu menunjukkan isyarat pengesahan yang sedar, contohnya memasukkan e-mel dalam medan yang sesuai, atau masih melayari laman web selepas membaca maklumat berkaitan tentang Kuki.

Ringkasnya, persetujuan kepada kuki mungkin dinyatakan dengan hanya menetapkan penyemak imbas atau menukar tetapannya. Adalah dianggap bahawa jika pengguna, selepas membaca dengan lebih jelas maklumat tentang kuki yang digunakan, masih menggunakan tapak web - dia telah membuat isyarat sedar, iaitu dia telah bersetuju dengan kuki (persetujuan kuki melalui isyarat sedar). Jika tidak, dia akan meninggalkan tapak atau menukar tetapan penyemak imbas (lumpuhkan atau sekat kuki).

Pengguna mesti dimaklumkan dengan jelas tentang penggunaan dan tujuan kuki.

Bilakah persetujuan untuk kuki tidak diperlukan?

Arahan Komunikasi (serta Undang-undang Telekomunikasi Poland) memperuntukkan beberapa pengecualian apabila persetujuan kepada Cookies tidak diperlukan. Mengikut undang-undang, persetujuan tidak diperlukan jika kuki itu:

  • didera"semata-mata untuk tujuan menjalankan penghantaran mesej melalui rangkaian komunikasi elektronik”,

  • 'penting untuk penyediaan perkhidmatan masyarakat maklumat yang diminta secara jelas oleh pelanggan atau pengguna”.

Oleh itu, persetujuan kepada kuki tidak perlu diperlukan jika kuki hanya menyediakan satu daripada tujuan di atas. Tujuan sedemikian mungkin termasuk, sebagai contoh, pesanan dalam e-kedai atau mengingati bahasa yang dipilih oleh pengguna.

Mulakan tempoh percubaan 30 hari percuma tanpa sebarang ikatan!

Kumpulan Kerja 29 (iaitu pakar dalam bidang perlindungan data peribadi yang dilantik sebagai badan penasihat) dalam analisisnya mengatakan bahawa mesej dan persetujuan kepada kuki tidak diperlukan jika sekurang-kurangnya satu syarat dipenuhi:

  • kuki tidak digunakan untuk tujuan tambahan, tetapi hanya untuk menyediakan perkhidmatan,

  • kuki termasuk, sebagai contoh, apa yang dipanggil "kuki input pengguna"(Digunakan untuk menjejaki kandungan data yang dimasukkan oleh pengguna semasa mengisi borang dalam talian atau semasa melengkapkan pesanan di kedai dalam talian [mengisi bakul dengan pembelian]), juga dikenali sebagai"kuki id sesi”; „kuki sesi pemain multimedia"dan"kuki penyesuaian antara muka pengguna"(Contohnya." lkuki keutamaan anguage"Untuk mengingati bahasa yang dipilih oleh pengguna),

  • kuki adalah perlu untuk menawarkan pengguna (atau pelanggan) fungsi tertentu: fungsi itu tidak akan tersedia jika kuki dilumpuhkan dan pengguna (atau pelanggan) secara eksplisit meminta fungsi ini sebagai sebahagian daripada perkhidmatan (masyarakat maklumat).

Di samping itu, dalam kalangan pakar terdapat suara bahawa jika Kuki hanya digunakan untuk analitis dan pengiklanan, pemprosesan data peribadi (jika data peribadi sebenarnya akan diproses di bawah Kuki) boleh berdasarkan tujuan pentadbir yang dibenarkan oleh undang-undang. Dan pemprosesan berdasarkan asas undang-undang ini tidak memerlukan persetujuan.

Persetujuan kepada kuki selepas GDPR

Apabila bercakap tentang GDPR dan persetujuan kepada Cookies, terdapat dua suara dalam perkara ini. Sesetengah pakar mengatakan bahawa persetujuan kepada Kuki diperlukan dalam bentuk persetujuan yang jelas dan termaklum, cth. dengan menandai kotak yang sesuai atau mengklik butang pengesahan yang sesuai, yang dipanggil perlaksanaan sesuatu tindakan (kerana hanya tindakan yang diambil adalah luahan kehendak secara sedar).

Pihak pakar yang lain, sebaliknya, mendakwa bahawa GDPR tidak menambah apa-apa yang baharu pada persetujuan kuki. Pakar ini merujuk kepada Artikel 95 peraturan, yang mengatakan bahawa GDPR tidak mengenakan kewajipan tambahan ke atas isu yang dikawal dalam Arahan Komunikasi (iaitu yang berkaitan dengan Kuki). Oleh itu, boleh disimpulkan bahawa jika Arahan Komunikasi tidak memerlukan pengumpulan pernyataan persetujuan kuki, GDPR juga begitu. Dan adalah memadai untuk memaklumkan dengan jelas tentang kuki yang digunakan.

Hujah kedua ialah artikel 11 GDPR yang semakin kerap dipetik, yang mengatakan bahawa jika tujuan pengawal memproses data peribadi tidak memerlukan pengenalan orang itu, maka pemprosesan sedemikian tidak memerlukan persetujuan.

Satu lagi hujah yang dirujuk oleh pakar di atas ialah kekurangan korelasi antara subjek GDPR dan penggunaan Cookies. GDPR ialah peraturan yang berkaitan dengan perlindungan data peribadi, iaitu data yang boleh digunakan untuk mengenal pasti orang tertentu. Kuki, sebaliknya, lebih banyak digunakan untuk analisis data statistik, mereka tidak mengenal pasti seorang pun. Oleh itu, GDPR tidak digunakan untuk Cookies.

Kepada soalan yang timbul "bagaimana rupa persetujuan untuk Cookies", Agnieszka Świątek-Druś, jurucakap GIODO (UODO) menjawab" Sehubungan dengan cara pelaksanaan Seni. 5 saat. 3 Arahan 2002/58 / EC seperti yang dipinda oleh Arahan 2009/136 / EC (Art. 2 point 5), terdapat keraguan undang-undang sama ada persetujuan yang dirujuk dalam Art. 173 Akta - Undang-undang Telekomunikasi [persetujuan melalui kekurangan tetapan dalam penyemak imbas - nota editorial], adalah persetujuan yang sesuai dalam pengertian GDPR. Isu ini kini menjadi subjek analisis GIODO yang lebih terperinci."

Bagaimana untuk memaklumkan tentang kuki?

Persatuan Majikan Industri Internet IAB Polska telah membangunkan garis panduan tentang cara untuk memenuhi keperluan maklumat kuki. Dalam dokumen ini, adalah disyorkan:

  • menyiarkan pada halaman laman web (bukan sahaja di halaman utama, tetapi juga di halaman lain, apabila pengguna mula menggunakan laman web / tapak dari subhalaman) yang sesuai "tetingkap keras "/" bar "/" jalur"/ Dsb., di mana pengguna akan dimaklumkan - secara umum, dalam beberapa perkataan, maksimum beberapa ayat - tentang peraturan mengenai kuki.

Contoh teks mesej kuki "Sebagai sebahagian daripada laman web kami, kami menggunakan kuki untuk memberikan anda perkhidmatan pada tahap tertinggi, termasuk dengan cara yang disesuaikan dengan keperluan individu. Menggunakan tapak web tanpa menukar tetapan kuki bermakna ia akan disimpan pada peranti akhir anda. Anda boleh menukar tetapan kuki anda pada bila-bila masa. Butiran lanjut dalam kamiDasar Kuki”/”Dasar Privasi”.

  • rujukan (cth. melalui pautan) kepada "Dasar Privasi"Atau berdedikasi"Dasar kuki", Di mana pengguna akan mempunyai peluang untuk mempelajari maklumat yang lebih terperinci dalam hal ini (dan penyelesaian yang disyorkan adalah untuk membangunkan yang berasingan"Dasar kuki", Jelas sekali berkaitan dengan umum"Dasar privasidan ") dan di mana dia boleh membuat pilihan khusus (iaitu persetujuan / nyahtanda persetujuan untuk kategori kuki tertentu).

Skop minimum maklumat di bawah Polisi (pada halaman yang berasingan) hendaklah termasuk maklumat tentang:

  • entiti yang diletakkan pada peranti akhir dan menggunakan kuki,

  • tujuan menyimpan kuki, iaitu tujuan penggunaan / fungsinya yang mereka penuhi,

  • kemungkinan untuk pengguna menentukan syarat menyimpan atau mengakses kuki menggunakan tetapan perisian / konfigurasi perkhidmatan, iaitu khususnya tentang peraturan yang berkaitan dengan tetapan pelayar web, termasuk perubahan dalam tetapan mereka - "bagaimana anda boleh melumpuhkan kuki?", Dan lain-lain.

CONTOH DASAR PRIVASI - TEMPLAT

  1. Laman web ini tidak mengumpul sebarang maklumat secara automatik, kecuali maklumat yang terkandung dalam kuki.

  2. Fail kuki (yang dipanggil "kuki") ialah data IT, khususnya fail teks, yang disimpan pada peranti akhir Pengguna Laman Web dan bertujuan untuk menggunakan halaman Laman Web.Kuki biasanya mengandungi nama tapak web asalnya, masa penyimpanan pada peranti akhir dan nombor unik.

  3. Entiti yang meletakkan kuki pada peranti akhir Pengguna Laman Web dan mendapatkan akses kepada mereka ialah pengendali Laman Web ... [nama entiti] dengan pejabat berdaftarnya di ....

  4. Kuki digunakan untuk tujuan berikut:

    1. melaraskan kandungan halaman Laman Web mengikut keutamaan Pengguna dan mengoptimumkan penggunaan laman web; khususnya, fail ini membolehkan untuk mengenali peranti Pengguna Laman Web dan memaparkan laman web dengan betul, disesuaikan dengan keperluan individunya;

    2. mencipta statistik yang membantu memahami cara Pengguna Laman Web menggunakan tapak web, yang membolehkan menambah baik struktur dan kandungan mereka;

    3. mengekalkan sesi Pengguna Laman Web (selepas log masuk), yang mana Pengguna tidak perlu memasukkan semula log masuk dan kata laluan pada setiap subhalaman Laman Web;

    4. …………………………………………………………………………….

  5. Jenis kuki berikut digunakan sebagai sebahagian daripada Laman Web:

    1. Kuki "Perlu", membolehkan penggunaan perkhidmatan yang tersedia di Laman Web, contohnya kuki pengesahan yang digunakan untuk perkhidmatan yang memerlukan pengesahan di Laman Web;

    2. kuki yang digunakan untuk memastikan keselamatan, contohnya digunakan untuk mengesan penipuan dalam bidang pengesahan di Laman Web;

    3. Kuki "Prestasi", membolehkan pengumpulan maklumat mengenai penggunaan halaman tapak web;

    4. Kuki "Fungsian", membolehkan "mengingat" tetapan yang dipilih oleh Pengguna dan memperibadikan antara muka Pengguna, cth dari segi bahasa atau wilayah Pengguna yang dipilih, saiz fon, penampilan tapak web, dsb.;

    5. Kuki "Pengiklanan", membolehkan penghantaran kandungan pengiklanan kepada Pengguna lebih disesuaikan dengan minat mereka.

    6. …………………………………………………………………………….

  6. Dalam kebanyakan kes, perisian yang digunakan untuk menyemak imbas tapak web (pelayar web) membenarkan kuki disimpan pada peranti akhir Pengguna secara lalai. Pengguna Laman Web boleh menukar tetapan kuki pada bila-bila masa. Tetapan ini boleh diubah khususnya dalam apa-apa cara untuk menyekat pengendalian automatik kuki dalam tetapan pelayar web atau memaklumkan tentang setiap siaran mereka pada peranti Pengguna Laman Web. Maklumat terperinci tentang kemungkinan dan kaedah pengendalian kuki tersedia dalam tetapan perisian (pelayar web).

  7. Pengendali laman web memaklumkan bahawa mengehadkan penggunaan kuki boleh menjejaskan beberapa fungsi yang tersedia pada halaman tapak web.

  8. Kuki yang diletakkan pada peranti akhir Pengguna Laman Web juga boleh digunakan oleh pengiklan dan rakan kongsi yang bekerjasama dengan pengendali Laman Web.