Cookie-urile sunt menționate o singură dată în Regulamentul general al UE privind protecția datelor (GDPR), dar repercursiunile sunt semnificative pentru orice organizație care le folosește pentru a urmări activitatea de navigare a utilizatorilor.
Considerentul 30 din GDPR prevede:
Persoanele fizice pot fi asociate cu identificatori online […], cum ar fi adrese de protocol internet (IP), identificatori de cookie-uri sau alți identificatori […]. Acest lucru poate lăsa urme care, în special atunci când sunt combinate cu identificatori unici și alte informații primite de servere, pot fi folosite pentru a crea profiluri ale persoanelor fizice și pentru a le identifica.
Pe scurt: când cookie-urile pot identifica o persoană prin intermediul dispozitivului, se consideră date personale.
Aceasta susține considerentul 26, care prevede că orice date care pot fi folosite pentru a identifica o persoană fie direct, fie indirect (fie ea însăși sau împreună cu alte informații) sunt date cu caracter personal.
Ce înseamnă acest lucru: Nu toate cookie-urile sunt utilizate într-un mod care ar putea identifica utilizatorii, dar majoritatea sunt și vor face obiectul GDPR. Acestea includ cookie-uri pentru analiză, publicitate și servicii funcționale, cum ar fi sondaje și instrumente de chat.
Pentru a deveni conforme, organizațiile vor trebui fie să oprească colectarea cookie-urilor necorespunzătoare, fie să găsească o metodă legală pentru colectarea și procesarea acestor date.
Majoritatea organizațiilor se bazează pe consimțământ (implicit sau opt-out), dar cerințele consolidate ale GDPR înseamnă că va fi mult mai greu să obțineți consimțământul legal. Consecințele acestui lucru au fost discutate în cadrul Conferinței privind respectarea protecției datelor din 2016 și a constatărilor descrise de Cookie Law:
- Acordul implicit nu mai este suficient. Consimțământul trebuie să fie dat printr-o acțiune clară afirmativă, cum ar fi dați clic pe o casetă de înscriere sau alegeți setările sau preferințele dintr-un meniu de setări. Simpla vizitare a unui site nu este considerată consimțământ.
- „Utilizând acest site, acceptați utilizarea cookie-urilor” nu sunt, de asemenea, suficiente din aceleași motive. Dacă nu există o alegere reală și liberă, atunci nu există consimțământ valabil. Trebuie să faceți posibil atât acceptarea, cât și respingerea cookie-urilor. Asta înseamnă:
- Trebuie să fie la fel de ușor să retragi consimțământul, la fel de ușor ca atunci când l-ai dat. Dacă organizațiile doresc să spună oamenilor să blocheze/șteargă cookie-urile dacă vor să-și retragă consimțământul, trebuie să le facă mai întâi să accepte cookie-urile.
- Site-urile vor trebui să furnizeze o opțiune de renunțare. Chiar și după obținerea consimțământului valabil, site-urile trebuie să ofere oamenilor opțiunea de a-și schimba opțiunea. Dacă solicitați consimțământul prin căsuțele de înscriere într-un meniu de setări, utilizatorii trebuie întotdeauna să poată reveni la meniul respectiv pentru a-și ajusta preferințele.
Realizarea conformității
Consimțământul soft este, probabil, cel mai bun model de consimțământ, în conformitate cu Cookie Law: “Aceasta înseamnă a oferi o oportunitate de a acționa înainte ca cookie-urile să fie stabilite într-o primă vizită la un site. Dacă există o notă corectă, continuarea navigării poate, în majoritatea cazurilor, să fie consimțământ valabil prin acțiuni afirmative. ”
Regulamentul european (GDPR) va intra în vigoare începând cu 25 mai 2018.
Mulțumesc frumos!