Google Analytics i unijna dyrektywa dotycząca plików cookie. Kto naruszy prawo? Google czy programista?

16

Dlatego Google korzysta z plików cookie podczas wykonywania zwykłych obowiązków śledzenia użytkowników w witrynie. Tylko tyle; Google ustawia pliki cookie, a nie witryna jako taka. Wynika to z faktu, że JS jest hostowany przez Google i tylko dołączony do twojej strony internetowej.

Wolf Software, który wydał wtyczkę jQuery z prośbą o zgodę użytkownika przed zezwoleniem GA, wydaje się sugerować, że byłby to problem programistów na powiązanej stronie internetowej.

Czy to zatem może problem Google, gdy ICO puka, czy też deweloper nie powinien wdrożyć GA, jeśli wie o potencjalnym problemie z plikami cookie?

Treffynnon
źródło

Odpowiedzi:

10

Krótka odpowiedź jest taka, że ​​nikt jeszcze nie wie.

Długa odpowiedź brzmi: pliki cookie innych firm są mglistym obszarem; z dyrektywy (PDF) nie wynika jasno, kto byłby ścigany za brak uzyskania zgody na przechowywanie plików cookie stron trzecich.

Obecna interpretacja i porady ICO, opublikowane w „Zmianach zasad korzystania z plików cookie ...” , przyznają, że nie wiedzą, w jaki sposób dyrektywa ma zastosowanie do plików cookie stron trzecich:

„Proces uzyskiwania zgody na te pliki cookie [podmiotów zewnętrznych] jest bardziej złożony i naszym zdaniem każdy ma do odegrania rolę w upewnieniu się, że użytkownik jest świadomy tego, co jest gromadzone i przez kogo”.

Podkreśl moje. Nie mówią, kto jest odpowiedzialny, tylko że ktoś jest. Ponadto twierdzą, że próbują wyjaśnić te zasady:

„[Zewnętrzne pliki cookie] mogą być najtrudniejszym obszarem do osiągnięcia zgodności z nowymi przepisami, a my współpracujemy z przemysłem i innymi europejskimi organami ochrony danych, aby pomóc w rozwiązywaniu problemów i znajdowaniu właściwych odpowiedzi”.

Oczekują, że te usługi stron trzecich

... bez wątpienia dostosuje się, aby osiągnąć zgodność z nową zasadą ...

Jedną z możliwych wskazówek stanowiska ICO jest to, że umieszczają pliki cookie Google Analytics jako nieistotne w ich własnej polityce prywatności i używają Google Analytics tylko wtedy, gdy wyrażasz zgodę na przechowywanie plików cookie. Myślę, że to nadaje ton wszelkim możliwym wyjaśnieniom. Mogą również powiedzieć: „musisz również poprosić o zgodę na pliki cookie innych firm, ponieważ to Ty decydujesz, czy korzystasz z tych usług, czy nie”. Ale jeszcze nie wiemy na pewno.

Ta niepewność jest jednym z powodów przedłużenia terminu zgodności do 25 maja 2012 r. Najlepszą rzeczą brytyjskich webmasterów zaniepokojonych wpływem może być obserwowanie strony internetowej ICO i czekanie na wyjaśnienia. Tymczasem resztę ich wskazówek przedstawionych w ich wytycznych warto śledzić w przypadku plików cookie, które sam wydajesz.

Nacięcie
źródło
Usunąłem swoją odpowiedź, ponieważ nie zauważyłem tego w plikach cookie innych firm. Jakie jest Twoje źródło przedłużenia terminu?
paulmorriss
2
Jest on zakopany w zaktualizowanym pliku ICO dotyczącym egzekwowania prawa : „[Komisarz] pozwoli organizacjom w ciągu 12 miesięcy opracować sposoby spełnienia wymagań związanych z plikami cookie [które zakończą się w maju 2012 r.”. Krótko mówiąc, stało się prawem brytyjskim 25 maja 2011 r., Ale nie będą go egzekwować do 25 maja 2012 r.
Nick
1
To dobra odpowiedź, ale należy pamiętać, że odpowiedź jest specyficzna dla Wielkiej Brytanii, podczas gdy sama dyrektywa dotyczy całej UE. Oznacza to, że każdy kraj egzekwuje przepisy na swój sposób. Fakt, że Wielka Brytania opóźnia się o rok, nie oznacza, że ​​inne kraje robią to samo.
Yahel
1
Słuszna uwaga. Według mojej wiedzy ICO jest pierwszym organem ochrony danych w UE, który wydał wytyczne dotyczące dyrektywy, ale jeśli ludzie chcą podać linki do porad z innych państw członkowskich w odniesieniu do terminów i plików cookie stron trzecich, odpowiednio zaktualizuję odpowiedź .
Nick
Aktualizacja dla sytuacji w Wielkiej Brytanii: ico.gov.uk/news/blog/2011/…
paulmorriss
4

Przed napisaniem wtyczki dla Wolf Software skontaktowaliśmy się z ICO w celu sprawdzenia pozycji, a po tych konsultacjach rozumiemy, że GA należy uznać za zbędny i dlatego taka zgoda jest wymagana.

Kwestia, czy jest to pierwsza, czy trzecia kwestia, jest dyskusyjna, ponieważ jest to tylko „nieistotna” część, która obejmuje ją prawem.

Nie sugerujemy, że problemem są webmasterzy, jak stwierdzono na górze, a my zrobiliśmy to, aby webmasterzy mogli rozwiązać ten problem w prosty sposób, gdyby chcieli z niego skorzystać. Jesteśmy przekonani, że to „właściciel” strony internetowej jest ostatecznie odpowiedzialny.

Sprawdziliśmy również z ICO, że wydana przez nas wtyczka była celowa i spełniła nowe wymagania prawne dotyczące GA.

Jest to bardzo przypadek, jeśli chcesz, możesz go użyć, nie sugerujemy nic o prawie, po prostu oferujemy proste bezpłatne rozwiązanie jednego z jego aspektów.

DODANY:

W odniesieniu do ICO wysłaliśmy im link do wersji demo i po prostu zapytaliśmy, czy uważają, że jest on odpowiedni do celu, powiedziano nam, że w oczach ICO wtyczka była „odpowiednia do celu i zgodna z nowym prawem”

Wilk
źródło
3
+1 Czy jesteś w stanie udostępnić im swoje aktualne pytanie i ich pisemną odpowiedź? Zapis obu byłby świetnym wkładem w twoją odpowiedź.
Nick
dziękuję za wasz wkład w to pytanie i za swobodne udostępnienie czegoś, co pomoże webmasterom i pobudzi debatę. Podobnie jak @Nick uważam, że byłoby wspaniale, gdybyś mógł podzielić się częścią faktycznej komunikacji z ICO. Wysłałem e-mailem do ICO adres URL tego pytania i poprosiłem o ich podanie, BTW.
Treffynnon
3

Otrzymałem odpowiedź od ICO, chociaż nie jest to już w pełni istotne, biorąc pod uwagę, że wprowadzenie zostało odsunięte, a prawo i wytyczne mogą zostać dopracowane w międzyczasie.

Dziękujemy za korespondencję dotyczącą nowych przepisów dotyczących prywatności i komunikacji elektronicznej.

Zacznę od wskazania, że ​​nie będę zamieszczał mojej odpowiedzi na stronie, którą sugerujesz; jednakże prosimy o rozpowszechnianie informacji tu zawartych. Chciałbym również stwierdzić, że retoryczne pierwsze z dwóch pytań nie jest jednym, na które jestem w stanie odpowiedzieć.

Przechodząc dalej, pytasz:

„Google Analytics i unijna dyrektywa dotycząca plików cookie. Kto naruszy prawo? Google czy programista?

Na wstępie nową zasadą dotyczącą plików cookie jest wdrożenie przez Zjednoczone Królestwo zmian w istniejącym prawodawstwie UE. Przed przyjęciem prawodawstwa na szczeblu UE odbyły się konsultacje w całej Europie. Po przyjęciu unijnej dyrektywy dotyczącej plików cookie (dyrektywa 2009/136 / WE) wszystkie państwa członkowskie UE są prawnie zobowiązane do przyjęcia przepisów krajowych odzwierciedlających zasady określone w tej dyrektywie. W Wielkiej Brytanii poprawki zostały przygotowane przez Departament Kultury, Mediów i Sportu (DCMS), a ICO jest organem odpowiedzialnym za nadzorowanie nowych przepisów - które zostały przyjęte jako zmiany w obowiązujących przepisach dotyczących prywatności i łączności elektronicznej z 2003 r. ( PECR).

Jeśli jeszcze go nie przeczytałeś, możesz znaleźć list Eda Vaiseya w imieniu DCMS, ponieważ minister kultury, komunikacji i przemysłów kreatywnych jest pomocny w wyjaśnieniu podejścia przyjętego przez DCMS przy wdrażaniu niniejszej dyrektywy UE. List otwarty jest dostępny na stronie : http://www.culture.gov.uk/images/publications/cookies_open_letter.pdf .

W szczególności ten list najlepiej odnosi się do twoich komentarzy dotyczących korzystania z przeglądarki internetowej w celu wskazania preferencji użytkownika. Używanie przeglądarki w ten sposób jest czymś, na co pozwalają zmienione PECR, jednak naszym zdaniem, obecnie technologia nie jest wystarczająco zaawansowana, aby było to możliwe (zobacz zarówno wyżej wspomniany list, jak i nasze wskazówki: Przeczytaj porady ICO organizacjom na temat przygotowania się do nowych zasad dotyczących plików cookie).

Nie ma szczególnego wyjątku dla narzędzi analitycznych, takich jak Google Analytics. Jedynym wyjątkiem od podstawowej reguły dotyczącej plików cookie jest ta, która dotyczy plików cookie, które są „absolutnie niezbędne” do usługi zamówionej przez użytkownika. Ten wyjątek jest wąski ze względu na drugą część („w przypadku usługi zamówionej przez użytkownika”) - z naszych wskazówek wynika, że ​​wyjątek nie miałby zastosowania do plików cookie, które zbierają informacje statystyczne o użytkownikach witryny lub które mają w celu poprawy ogólnego wyglądu strony.

W odniesieniu do „innych sieciowych plików cookie marketingu” - obowiązują te same zasady dotyczące zgody i ścisłej konieczności, jak określono powyżej.

Same PECR nie ustalają definicji „zgody” do celów reguły dotyczącej plików cookie. Definicja „zgody”, na której zatem polegamy, jest zgodna z definicją podaną w dyrektywie 95/46 / WE - dyrektywie o ochronie danych (do której można uzyskać dostęp online pod adresem : http://eur-lex.europa.eu/LexUriServ/LexUriServ. do? uri = CELEX: 31995L0046: en: HTML ). Dyrektywa określa zgodę w art. 2 lit. h)). W tym momencie nie wydaliśmy dodatkowych wskazówek dotyczących tego, co stanowi zgodę w kontekście nowej zasady dotyczącej plików cookie - na tej podstawie, że nie różni się to od istniejących wytycznych dotyczących zgody. Więcej informacji na temat zgody można znaleźć na naszej stronie internetowej: http://www.ico.gov.uk/for_organisations/data_protection/the_guide/conditions_for_processing.aspx (przewiń w dół do nagłówka „zgoda”).

Jak zapewne już nie widzieliście, nasze wskazówki dotyczące plików cookie uwzględniają różne sposoby uzyskania zgody. W związku z dalszymi postępami w zakresie tej nowej zasady dotyczącej plików cookie możemy dodać dalsze wytyczne do naszych istniejących wskazówek.

Tak naprawdę nie odpowiada na pytanie z tego, co widzę. W odpowiedzi nie ma rozróżnienia między plikami cookie wyraźnie ustawionymi przez programistę a tymi ustawionymi przez inne usługi w imieniu programisty.

Treffynnon
źródło
+1 za odpowiedź samego ICO ... ale niestety taka, która bardzo mało wyjaśnia.
Marcus Downing
1

Powyższa odpowiedź mówi szczegółowo o plikach cookie stron trzecich i słusznie, że ICO musi jeszcze udzielić wskazówek na ich temat. Jest to jednak kwestia sporna, ponieważ Google Analytics, w przeciwieństwie do oryginalnego postu, używa własnych plików cookie.

Stephen
źródło
Co sprawia, że ​​są to własne pliki cookie? GA jest usługą strony trzeciej, dlatego na pewno każdy plik cookie ustawiony przez nią jest plikiem cookie strony trzeciej.
Treffynnon
1
Masz rację, że Google Analytics używa własnych plików cookie w sensie technicznym, że są one ustawione na Twojej własnej domenie, ale moja interpretacja wskazówek ICO w ramach „zewnętrznych plików cookie” jest taka, że ​​oznaczają one, że strona trzecia podejmuje decyzję aby je ustawić i aby nie były ustawione kodem hostowanym w Twojej domenie: „Niektóre strony internetowe zezwalają stronom trzecim na ustawienie plików cookie na urządzeniu użytkownika”.
Nick
0

Interesująca dyskusja - wygląda na to, że zwykłe śledzące pliki analityczne podlegają prawu.

To jest naprawdę źle przemyślane ustawodawstwo. Podczas gdy bardzo mały odsetek odwiedzających jest zaniepokojony, to na ogół ci ludzie wiedzą, jak korzystać z ustawień przeglądarki. Wszyscy inni chcą tylko, aby strona internetowa działała.

Zastanawiam się, jak długo potrwa, zanim wtyczka przeglądarki automatycznie kliknie przycisk „zaakceptuj” we wszystkich oknach ostrzegawczych dotyczących plików cookie?

Splatać
źródło