Cookies dan GDPR: kesalahan apa yang dilakukan pemilik situs dalam mengejar kepatuhan?





Cookie sebagai data pribadi



Masalah persyaratan yang lebih ketat untuk penggunaan cookie telah didiskusikan sejak berlakunya Peraturan Perlindungan Data Eropa (selanjutnya disebut GDPR), serta publikasi rancangan amandemen pada Instruksi ePrivacy (paling dikenal sebagai "Pernyataan Komunikasi Privasi dan Elektronik"). Dokumen-dokumen inilah yang secara resmi mendefinisikan cookie sebagai data pribadi dan menyediakan tanggung jawab ekstrateritorial, serta pengenaan denda kolosal pada pemilik situs untuk penggunaan ilegal file-file tersebut. Kami sudah melakukanikhtisar hukuman karena melanggar prinsip-prinsip dasar GDPR, namun tidak satupun dari mereka termasuk pelanggaran yang terkait dengan penanganan cookie. Seringkali, dengan tidak adanya praktik peradilan dan hukuman yang nyata, perwakilan bisnis memiliki perasaan aman, dengan kata lain: "Sampai guntur meletus, pria itu tidak akan menyilangkan dirinya." Tapi petir telah lama terdengar - salah satu hukuman terbesar untuk pelanggaran terkait cookie adalah denda € 30.000 yang dikeluarkan pada Oktober 2019 oleh otoritas perlindungan data Spanyol Vueling karena tidak dapat memilih keluar dari cookie pihak ketiga.



Karena kekhasan profesi, ketika mengunjungi berbagai situs, Anda tanpa sadar menganalisisnya untuk kepatuhan dengan tindakan hukum resmi yang diketahui di bidang perlindungan data pribadi. Sebagai hasil dari analisis serupa lainnya, menjadi jelas bahwa, dalam mengejar penerapan persyaratan GDPR, banyak perusahaan khawatir tentang masalah "mengatur segala sesuatu" pada sumber daya web mereka. Namun, karena kurangnya pemahaman tentang persyaratan atau tanpa adanya keinginan untuk "merusak" antarmuka pengguna situs, tampaknya setiap organisasi kedua mengimplementasikan kebijakan penggunaan cookie pada sumber dayanya.



Peraturan yang menerapkan kebijakan menggunakan cookie- file



Dari sudut pandang GDPR dan ePrivacy, aturan untuk menggunakan cookie tidak berbeda dari aturan untuk memproses semua data pribadi lainnya dan harus diikuti jika situs menggunakan cookie yang memungkinkan Anda untuk membentuk profil pengguna di jaringan. Namun, ini tidak berlaku untuk:



  • cookie yang benar-benar diperlukan untuk operasi situs yang benar;
  • cookie yang benar-benar diperlukan untuk menyediakan layanan online kepada pengguna, misalnya ketika pengguna mengisi formulir online, menggunakan keranjang belanja, atau mengautentikasi ke situs untuk masuk ke layanan online


Kembali ke aturan, esensinya adalah sebagai berikut:



  1. Pengaturan cookie hanya boleh dilakukan dengan persetujuan pengguna sebelumnya.
  2. , , , , /, .
  3. cookie, , , , .
  4. .
  5. – cookie- , , , .


Kesalahan besar dalam implementasi kebijakan cookie atau bagaimana tidak melakukannya



Mari kita lihat tiga contoh implementasi kebijakan cookie yang tidak tepat, yang paling sering ditemukan di antara situs pengontrol dan pemroses data pribadi.



Contoh 1. Spanduk memperingatkan bahwa dengan terus menggunakan situs ini, Anda menyetujui penggunaan cookie.



Praktik ini tersebar luas di antara sumber daya web Rusia dan Eropa. Sebagai contoh, pertimbangkan situs web toko kosmetik Italia. Menurut kebijakan cookie yang disajikan di situs web, cookie teknis, cookie fungsional, dan cookie dari kampanye pemasaran pihak ketiga ditetapkan untuk pengguna.

Namun, terjemahan harfiah dari peringatan pada spanduk di bagian bawah halaman berbunyi: β€œSitus ini menggunakan cookie profiling teknis, analitik, dan pihak ketiga. Jika Anda memilih "Lanjutkan" atau mengakses konten apa pun di situs kami tanpa menentukan pilihan Anda, Anda menyetujui penggunaan cookie. Untuk mengetahui lebih lanjut dan untuk menolak izin pemasangan cookie, klik di sini. "







Dalam hal ini, semua aturan yang disebutkan sebelumnya dilanggar:



  1. Cookie dipasang segera ketika pengguna membuka situs.
  2. Terus menggunakan situs atau mengklik tombol lanjutkan bukan tindakan konfirmasi yang jelas, karena pengguna tidak diberi pilihan dan tidak dapat menolak untuk memasang cookie.
  3. , cookie, cookie.
  4. cookie , cookie .
  5. , , , , .


Contoh 2. Spanduk dengan formulir persetujuan yang benar, yang TIDAK berfungsi pada semua halaman situs.



Sebagai contoh, perhatikan huppe.com versi Perancis.







Spanduk persetujuan yang ditampilkan di situs mematuhi aturan yang kami pertimbangkan, dan manual perlindungan data yang dirujuk dalam teks menjelaskan secara terperinci kebijakan perusahaan terkait cookie. Dalam versi Rusia, spanduk persetujuan terlihat seperti ini:







Namun, jika Anda menggali lebih dalam dan mencoba untuk membuka bukan halaman utama situs, tetapi, misalnya , ternyata ajaib.



Keajaiban terletak pada kenyataan bahwa spanduk, yang tampaknya memenuhi semua persyaratan, pada kenyataannya tidak berfungsi. Instalasi cookie selain dari yang benar-benar diperlukan tidak diblokir sampai tindakan permisif diambil, yang berarti bahwa situs itu pasti tidak akan menjadi "siswa yang sangat baik" lagi. Dalam hal ini, dari 5 aturan, kita dapat mengatakan bahwa hanya aturan 2 dan 3. yang diamati.



Contoh 3. Kebijakan yang tidak transparan untuk menggunakan cookies.



Juga terjadi bahwa perusahaan mementingkan mekanisme kerja untuk mendapatkan persetujuan, tetapi melewatkan detail penting - secara transparan memberikan informasi tentang tujuan cookie tertentu dan syarat penyimpanan mereka. Situasi ini terungkap di situs castrol.com.







Situs ini memiliki spanduk persetujuan dengan kemampuan untuk mengelola masing-masing cookie.







Dan, yang penting, mekanisme penguncian bekerja:



Sebelum memperoleh persetujuan







Setelah memperoleh persetujuan







Namun, informasi tentang penggunaan cookie berisi terlalu sedikit spesifik - tidak ada daftar orang yang cookie pihak ketiga dipasang oleh situs, atau periode penyimpanan setidaknya satu kelompok cookie di situs disediakan. Dalam kasus seperti itu, salah satu prinsip utama GDPR - Transparansi pemrosesan, dilanggar, oleh karena itu aturan 3. tidak terpenuhi.Sebuah contoh kebijakan cookie yang sepenuhnya transparan adalah kebijakan yang dipublikasikan di situs Komisi Eropa.



Selain menunjukkan kesalahan umum dalam penerapan perlindungan data Eropa dan persyaratan privasi, contoh-contoh yang diulas menunjukkan bahwa pekerjaan regulator Eropa memaksa banyak Pengontrol dan Pemroses untuk memusatkan perhatian pada masalah kepatuhan. Dan jika dua tahun yang lalu di sebagian besar situs topik menggunakan cookie tidak diangkat sama sekali, sekarang situasinya berubah secara dramatis, yang tidak bisa tidak menyenangkan para pengguna yang tertarik untuk mendapatkan kendali atas data mereka - setelah semua, menurut Komisi Eropa untuk Perlindungan Data, inilah yang sebenarnya dikembangkan oleh GDPR.



Praktek menunjukkan bahwa dalam realitas saat ini, pemilik situs yang merupakan pengontrol atau prosesor memiliki dua opsi:



  1. ;
  2. - cookie-, , , .








,



All Articles