欧盟数据保护机构表示,没有Cookie同意墙-滚动不是同意

2020-05-06 21:06:02

这是来自欧洲数据保护委员会(EDPB)的明确信息,该委员会已经发布了关于在线同意处理人们数据的规则的最新指导方针。

根据泛欧盟法律,同意是数据管制员在处理人们的个人数据时可以使用的六个合法基础之一。

但是,根据欧洲的一般数据保护条例(GDPR),要使同意具有法律效力,需要满足特定的标准:它必须是明确和知情的,具体的和免费的。

因此,要求“同意”作为进入俱乐部的价格的饼干墙不仅是一种矛盾的修饰法,而且会撞上合法的砖墙。

正如我们去年报道的那样,地区饼干墙已经坍塌有一段时间了-当时荷兰DPA澄清了禁止饼干墙的指导方针。

EDPB最新的指导方针看起来是为了将这一点灌输清楚。指导机构的作用是向国家数据保护机构提供指导,以鼓励更一致地应用数据保护规则。

EDPB的干预应该--应该!--消除欧盟27个成员国国家机构对更新点的任何不一致解释。(尽管遵守欧盟数据保护法往往是一个过程;也就是说,这是一场马拉松,而不是短跑,尽管在饼干墙上的问题上,“跑步者”已经绕着跑道跑了相当长一段时间了。)。

正如我们在去年关于荷兰澄清的报告中指出的那样,欧洲互联网广告局正在运营一堵完整的cookie墙-指示访问者如果他们希望查看内容,就“同意”其数据处理条款。

我们指出的问题是,这不是一个自由的选择。然而,欧盟法律要求自由选择同意才具有法律效力。因此,有趣的是,欧洲IAB在此后的某个时候更新了它的Cookie同意实现-移除了Cookie墙,并向访问者提供了一个相当明确的(如果受到推动的话)选择,要么接受还是拒绝“聚合统计”…的Cookie。

正如我们当时所说的,同意饼干墙上的文字是不言而喻的。

EDPB文件包括以下示例,以说明同意cookie墙并不“构成有效同意”这一突出点,因为服务的提供依赖于数据主体单击“接受cookie”按钮。它并没有得到真正的选择。“。

由于EDPB决定需要进一步澄清,更新的指南中需要注意的第二个领域是滚动和同意问题。

简单地说:在网站或数字服务上滚动不能-以任何方式-解释为同意。

或者,正如EDPB所说的那样,“在任何情况下,像滚动或滑动网页或类似的用户活动都不能满足明确和肯定行动的要求”(强调我们的行动)。

合乎逻辑的原因是,这样的信号并不是明确的。(此外,EDPB示例提出了这样一个问题:如果这样的信号有效,用户将如何撤回同意?通过往回滚动同一个网页吗?显然,这将是荒谬和令人困惑的。)。

关于#GDPR的最新指南中的创业板表示同意,说明何时在网站上采取行动可能构成有效同意,也可能不构成有效同意。出于许多原因,随机的用户活动是不同意的。最佳原因:如何在用户活动同样随机的情况下撤回同意?;-)https://t.co/lRmtFySA8Q pic.twitter.com/XktzldSUH0

因此,在网站访问者滚动页面的那一刻,任何仍试图删除跟踪cookie的网站都面临着监管执法的风险。(提醒:GDPR罚款规模最高可达2000万欧元,占全球年营业额的4%。)。

尽管如此,最近的研究表明,曲奇同意剧场在欧盟仍然很盛行-尽管不只限于“卷轴和你被追踪”的味道。

操纵性同意弹出窗口和黑暗模式也仍然是一个主要问题,这种策略正在积极部署,以破坏对欧盟公民数据的法律保护。

尽管如此,监管机构和法院现在都对这一领域进行了大量澄清,缩小了失信行为者的经营空间。

例如,欧洲法院(European Court Of Justice)去年的一项裁决明确表示,追踪Cookie需要主动同意-在其他规定中,还废除了作为收集同意的有效方式的“预先检查”。

此外,随着GDPR两周年纪念日的快速临近,监管机构实际执行这些规定的压力越来越大。

因此,就同意而言,经验法则是,如果你需要的话,你不能窃取同意,也不能隐瞒同意。如果你想走捷径同意,你只能这样做,前提是你的捷径是A)清晰准确的路标和B)你提供了一条同样简单的再次退出的途径。简单点。