Rétt

Dómur ECJ og samþykki fyrir vafrakökur: lausnir fyrir lagalega örugga gagnavernd


Í síðasta lagi síðan almenna persónuverndarreglugerðin (GDPR) tók gildi hefur þú sem rekstraraðili vefsíðu sem ekki er einkarekinn þurft að fylgjast með mikilvægum persónuverndarþáttum. Spurningin um hvernig eigi að takast á við smákökur var upphaflega umdeild. Með dómi sínum (1. október 2019) setti Evrópudómstóllinn (ECJ) sérstök ákvæði varðandi vafrakökur með tilliti til samþykkis fyrir vinnslu. Samþykki fyrir notkun á vafrakökum er einnig þekkt sem vafrakökusamþykki. Samþykkisstjórnunaraðilar (CMP) bjóða upp á einföldun í lagalega öruggri hönnun notkunar á vafrakökum. Háþróaðar kökulausnir virka sjálfkrafa og gera notendum kleift að leyfa gerð og umfang vafrakökunotkunar.

Dómur ECJ og kökurnar: lagaleg merking í hnotskurn

Forsaga dóms EB-dómstólsins er Planet49 lagalega málið. Undir skjalnr.: C-673/17 eru nú skýrari upplýsingar um hvernig samþykki fyrir notkun á vafrakökum skuli útfært. Í grundvallaratriðum verður gestur vefsvæðis að geta af fúsum og frjálsum vilja samþykkt notkun á vafrakökum. Samkvæmt dómi ECJ um vafrakökur er notkun og vinnsla á tilteknum vafrakökum aðeins leyfð eftir að samþykki hefur verið gefið. Þetta á ekki við um vafrakökur sem eru algjörlega nauðsynlegar fyrir rekstur vefsíðunnar.

Í dómi EB-dómstólsins um vafrakökur útskýrir Evrópudómstóllinn að rafræn persónuverndarreglugerð kveður nú þegar á um skyldubundið samþykki fyrir vafrakökum sem eru ekki algerlega nauðsynlegar (samanber 5. gr. 3. mgr. ePrivacy Directive). Í grundvallaratriðum er þessi yfirlýsing ECJ um vafrakökur þegar þekkt frá fyrri dómum.

Þess ber að geta að hinn þekkti 15. mgr. 3 TMG (Fjarskiptalög) ber ekki að skilja sem innleiðingu á e-Privacy tilskipuninni. Sömuleiðis kemur hvorki til greina túlkun á TMG í samræmi við tilskipunina né beina beitingu rafrænna persónuverndartilskipunarinnar. Þess vegna er notkun og söfnun á vafrakökum í grundvallaratriðum háð GDPR . Samkvæmt GDPR getur notkunin byggst á lögmætum hagsmunum eða á samþykki (samanber (Gr. 6. mgr. 1 lit. a GDPR). Þar sem þetta eitt og sér leiðir ekki til skyldubundinnar kröfu um samþykki, vísar ECJ til rafrænna persónuverndartilskipunarinnar.

Dómur ECJ um vafrakökur og afleiðingar þeirra: Samþykki fyrir notkun

Virkt samþykki er í reynd bundið við ákveðnar kröfur vegna dóms EB-dómstólsins um vafrakökur. ECJ hefur gefið mikilvægar yfirlýsingar um vafrakökur með tilliti til skilvirkni samþykkis fyrir notkun þeirra. Þau tengjast gömlu og nýju persónuverndarlögum í samræmi við GDPR.

Í grundvallaratriðum leiðir það af dómi ECJ um vafrakökur að samþykki fyrir notkun og vinnslu krefst virkrar hegðunar af hálfu notandans . Ef ekki er um virka hegðun að ræða er óljóst hvort notendur hafi nægilega þekkingu á aðstæðum. Það fylgir því nú þegar
áður merkt við gátreitinn fyrir vafrakökur getur ekki táknað virkt samþykki . Í skilningi raunverulegrar þátttöku verður gesturinn sjálfur að verða virkur og gefa samþykki sitt með því að smella svo hægt sé að safna og vinna smákökur í samræmi við úrskurð EB.

Ennfremur, að því er varðar vafrakökur, samkvæmt dómi ECJ, þarf samþykki almennt aðskilda og óforstillta smellivalkosti fyrir öll hugsanleg tilvik. Ekki er hægt að fá samþykki fyrir sérstökum tilvikum með hreinum sendingarhnappi.

Ennfremur þýðir dómur ECJ um vafrakökur að að teknu tilliti til ePrivacy tilskipunarinnar verður að leggja áherslu á hvort vafrakökuupplýsingarnar tákni persónuupplýsingar eða ekki. Tilskipunin hefur þannig eftirlitssvið sem nær jafnvel lengra en persónuverndarlög. Hins vegar benda lögfræðingar á að rafræn persónuverndartilskipun hafi ekki enn verið innleidd að fullu í Þýskalandi.

Sem afleiðing af dómi ECJ um vafrakökur ættir þú sem rekstraraðili vefsíðu einnig að veita nákvæmar upplýsingar um notkun vafrakökum. Þær upplýsingar sem krafist er í tengslum við vafrakökusamþykki fela meðal annars í sér vinnslutíma gagnanna. Sömuleiðis, vegna dóms ECJ um vafrakökur, verða upplýsingar um aðgang þriðja aðila að vafrakökum að miðla gestum til gesta. Þetta felur einnig í sér nákvæmar upplýsingar um viðtakendur gagnanna eða flokka viðtakenda. Í síðasta lagi frá dómi EB þarf gesturinn að vita hvaða auglýsendur eru að vinna úr gögnunum sem safnað er.

Mikilvægi og nauðsyn vafrasamþykkis fyrir vefstjóra

Næstum sérhver auglýsing vefsíða safnar gögnum. Þetta felur ekki aðeins í sér rekstrarlega nauðsynleg gögn, heldur í flestum tilfellum einnig gögn sem, samkvæmt vafrakökudómi ECJ, krefjast skýrs samþykkis gesta þinna. Jafnvel notkun á einföldustu greiningartækjum tengist söfnun fjölda gagna og gerð samsvarandi vafrakökum. Algengt dæmi er Google Analytics tólið. Þetta form gagnasöfnunar á sér einnig stað þegar einhver setur græju á samfélagsmiðla. Þess vegna treystir sérhver rekstraraðili vefsíðu sem hefur viðskiptavini innan GDPR-svæðisins (ESB og víðar) á efnisstjórnun á vefkökum . Samkvæmt kökuúrskurði ECJ er lagalega samræmd rekstur vefsíðunnar aðeins mögulegur ef rétt meðhöndlun á vafrakökusamþykki er tryggð.

Vafrakökusamþykki í reynd: innleiðing sem opt-in

Dómur ECJ um smákökur hefur þegar skýr og áþreifanleg áhrif. Þetta leiðir til aðgerða fyrir vefstjóra. Þetta snertir gerð og hönnun vafrakökusamþykkis, þ.e. skýrt samþykki fyrir notkun þess. Upplýsingarnar sem á að miðla til notenda um notkun á vafrakökum hafa einnig áhrif.

Í þessu samhengi verður samþykki að vera hannað sem raunverulegt val í reynd . Þetta þýðir að virka aðgerð af hálfu notandans er nauðsynleg til að samþykkja. Í grundvallaratriðum, síðan 2009, hafa reglur ESB um gagnavernd gert ráð fyrir að gestir séu beðnir um samþykki þeirra. Í fortíðinni gátu rekstraraðilar vefsíðna hins vegar túlkað þessa kröfu í formi afþökkunar . Þetta þýðir að vafrakökur voru almennt settar án þess að notandinn þyrfti að gera neitt. Notandinn

gæti mótmælt notkun á vafrakökum, en varð að hafa frumkvæði að því. Þetta breytist með dómi ECJ um vafrakökur: umskiptin yfir í opt-in gerir ráð fyrir að vefsíðan setur almennt ekki vafrakökur nema notandinn velji þær. Þar af leiðandi er aðeins hægt að stilla vafrakökur ef gesturinn hefur gefið samþykki sitt. Samkvæmt því má ekki fá samþykki fyrir vafrakökum samkvæmt ECJ með því að haka í reit sem þegar hefur verið stilltur fyrirfram .

Því er ráðlegt fyrir fyrirtæki og rekstraraðila vefsíðna almennt að laga sig að dómi EB-dómstólsins um vafrakökur eins fljótt og auðið er og gera viðeigandi varúðarráðstafanir fyrir lagalega öruggt vefkökuefni. Samþykkisstjórnunarlausnir, sem bæði upplýsa notandann ítarlega um notkun á vafrakökum og einnig óska eftir skýlausu samþykki hans, auðvelda rekstraraðilum vefsíðna verulega.

Vafrakökusamþykkislausnir: staðlar og hvernig þeir virka

Rammi þróaður af IAB Europe (Interactive Advertising Bureau) er fáanlegur fyrir samþykki fyrir stillingu og vinnslu vafraköku: það er gagnsæis- og samþykkisrammi (TCF) , sem er að festa sig í sessi sem staðall fyrir vafrakökusamþykki. Markmiðið með þróun þessa ramma er víðtæk stöðlun í samþykkisspurningunni . Fyrsta afbrigði rammans var kynnt í apríl 2018. Núverandi útgáfa TCF 2.0 fylgdi í maí 2020. Sérstaklega með hliðsjón af fótsporadómi ECJ skiptir ramminn miklu máli þar sem hann auðveldar að afla nauðsynlegs samþykkis. Nánar tiltekið er krafa IAB að skilja nákvæmlega upplýsingarnar um samþykki notanda fyrir vinnslu vafraköku. Þetta hefur áhrif á alla afhendingarkeðju notkunar á kökum. Í flestum tilfellum taka margir þjónustuveitendur þátt í að búa til margar vafrakökur. Þetta tengjast aðallega auglýsingaborðum og öðrum markaðsaðgerðum. Allir aðilar sem taka þátt í þessu ferli eru háðir upplýsingum um hvort samþykki hafi verið gefið fyrir vinnslu vafraköku eða ekki.

Annars vegar, sem hluti af samþykkisstjórnun fyrir vafrakökur sem byggir á IAB ramma, er ákvarðað hvort notandi hafi yfirhöfuð gefið samþykki sitt fyrir notkun á vafrakökum. Í öðru skrefi tilgreinir samþykkisstjóri hvaða tiltekna samþykki notandinn hefur gefið á samþykkisborðanum. Gestir hafa möguleika á að samþykkja eða hafna mismunandi notkunar- og vinnslutilgangi fyrir vafrakökur. Byggt á samþykkisskipulaginu býr samþykkisstjóri fyrir vafraköku til svokallaðan samþykkisstreng, sem aftur verður til í vafraköku. Á grundvelli þessa samþykkisstrengs hafa aðrir aðilar (t.d. aðrir samþykkisstjórnunaraðilar) einnig leið til að komast að samþykki gesta.

CMP: Samþykkisstjórnunarlausnir fyrir vefsíður og ávinningur þeirra

Kostir þess að nota góðan samþykkisstjóra eru fjölmargir fyrir rekstraraðila vefsíðna. Þannig er hægt að tryggja lagalega örugga hönnun samþykkis fyrir vafrakökum samkvæmt ECJ. Sérhver góð vefsíða miðar að því að veita bestu mögulegu notendaupplifun. Þarfir gesta ættu að vera fullnægt þannig að þeir haldist á síðunni. Mikilvægustu þættir langrar varðveislu eru meðal annars hátt samþykkishlutfall og lágt hopphlutfall. Góður veitandi samþykkisstjórnunar stuðlar að því að lágmarka hopphlutfallið og auka þannig samþykkishlutfallið. Það stuðlar þannig að góðri frammistöðu vefsíðunnar. Aðeins er hægt að vinna viðskiptavini og halda þeim varanlega á vefsíðu ef hopphlutfallið á vefsíðunni er lágt.

Með vel ígrunduðu samþykkisstjórnunarlausn tryggir þú ekki aðeins að farið sé að kröfum ECJ-kökuúrskurðar, heldur hefur þú einnig rauntíma yfirsýn yfir núverandi samþykki og hopphlutfall. Hægt er að skilja hegðun vefgesta, viðskiptavina og hugsanlegra viðskiptavina. Af þessu má draga ályktanir um mögulega úrbótamöguleika.

Alþjóðleg stefnumörkun samþykkisborðans er sjálfsögð með nútímalegum samþykkislausnum fyrir kökur. Sprettiglugginn birtist sjálfkrafa á tungumáli GDPR-lands sem gestir fara á vefsíðuna þína frá. Samþykkisstjórnandi birtir upplýsingarnar á samtals 29 tungumálum. Ennfremur býður CMP upp á móttækilega aðlögun að lokatækinu sem gestir nota. Vafrakökusamþykkislausnin bregst við þáttum eins og skjástærð og stýrikerfi (t.d. iOS eða Android) og sýnir gestum bjartsýni.

Niðurstaða

Dómur EB-dómstólsins hefur án efa flækt gagnavernd fyrir rekstraraðila vefsíðna. Auk tæknilegra spurninga þarf að taka tillit til hönnunarþátta og umfram allt lagalegrar víddar gagnsærrar gagnavinnslu við hönnun á lagalega samræmdum kökuborða. Það sem rekstraraðilar vefsíðna gefa til kynna að þeir séu vænlegir leiðbeiningar og forskriftir þjónar notendum að lokum sem hagsmunaaðila og viðskiptavini. Í þessum skilningi ættu söluaðilar, útgefendur eða stofnanir á netinu að líta á úrskurð ECJ sem hvatningu. Gestir vefsíðunnar vita meira og meira um umfang gagnaflutnings og krefjast hámarks skýrleika og gagnsæis í stjórnun vefköku. Frá þessu sjónarhorni geta rekstraraðilar vefsíðna aðeins notið góðs af snjöllu samþykkisstjórnunarkerfi í sambandi við viðskiptavini – með auknu trausti í tengslum við skýra notagildi.

Greinar um svipað efni:


fleiri athugasemdir

Webinar mit Google: Google Consent Mode v2 verstehen und nahtlos integrieren
myndbönd

Vefnámskeið með Google: Að skilja og samþætta Google Consent Mode v2 óaðfinnanlega

Vegna mikillar eftirspurnar eftir upplýsingum um uppsetningu og meðhöndlun á nýjum kröfum Google Consent Mode v2, stóð consentmanager ásamt Google fyrir öðru vefnámskeiði um þetta efni þann 12. júní 2024. Vefnámskeiðið fór fram á þýsku. Misstirðu af því? Ekkert mál! PDF fyrir vefnámskeiðið má finna hér til niðurhals . Dennis Gingele frá Google og Jan […]
Nýtt

Fréttabréf 05/2024

Ný samþætting fyrir Slack, MS Teams og fleira Með núverandi uppfærslu er ný samþættingaraðgerð fyrir Slack, MS Teams, Zapier og n8n nú í boði fyrir þig í kerfinu. Aðgerðin lætur þig vita á þægilegan hátt í Slack, Teams eða einhverju öðru tóli um mikilvægar breytingar og fréttir (t.d. nýjar vafrakökur fundust) á CMP reikningnum þínum. […]