Cookie phiên có được miễn chấp thuận theo GDPR không?


8

Cookie phiên - cookie chỉ tồn tại trong suốt thời gian của phiên hiện tại - được cho là không phải là một công cụ theo dõi theo tinh thần của các nỗ lực bảo vệ dữ liệu của EU.

Theo các quy tắc cookie cũ của EU , chúng dường như được miễn yêu cầu để có được sự đồng ý của người dùng:

Cookie rõ ràng được miễn chấp thuận theo cơ quan tư vấn của EU về bảo vệ dữ liệu - WP29pdf bao gồm:

  • cookie của người dùng (id phiên) như cookie của bên thứ nhất để theo dõi đầu vào của người dùng khi điền biểu mẫu trực tuyến, giỏ hàng,
    v.v., trong thời gian của phiên hoặc cookie liên tục bị giới hạn trong
    vài giờ trong một số trường hợp
  • cookie xác thực, để xác định người dùng sau khi anh ta đăng nhập, trong suốt thời gian của phiên
  • cookie bảo mật trung tâm của người dùng, được sử dụng để phát hiện các hành vi lạm dụng xác thực, trong một thời gian hạn chế kéo dài
  • cookie trình phát nội dung đa phương tiện, được sử dụng để lưu trữ dữ liệu kỹ thuật để phát lại nội dung video hoặc âm thanh trong thời gian của phiên
  • tải cân bằng cookie, trong suốt thời gian của phiên
  • cookie tùy chỉnh giao diện người dùng, chẳng hạn như tùy chọn ngôn ngữ hoặc phông chữ, trong thời gian của phiên (hoặc lâu hơn một chút)
  • phích cắm xã hội của bên thứ ba ‑ trong nội dung ‑ chia sẻ cookie, để đăng nhập ‑ thành viên của mạng xã hội.

Tôi nhận thấy có một vài điều mà người ta có thể nói một cách chắc chắn về GDPR, nhưng có bất kỳ dấu hiệu nào về cách cookie phiên được xử lý theo luật mới không?

Câu trả lời:


7

Tôi cũng đã xem xét điều này và tôi tin rằng chúng thuộc danh mục pseudonymousdữ liệu (hầu hết thông tin được lấy từ trang hữu ích này ):

Điều 4 (5)
'bút danh' có nghĩa là xử lý dữ liệu cá nhân theo cách mà dữ liệu cá nhân không còn có thể được quy cho một chủ thể dữ liệu cụ thể mà không sử dụng thông tin bổ sung, miễn là thông tin bổ sung đó được giữ riêng và là chủ đề các biện pháp kỹ thuật và tổ chức để đảm bảo rằng dữ liệu cá nhân không được quy cho một thể nhân xác định hoặc nhận dạng;

Và liên quan đến việc xử lý dữ liệu giả:

Recital 26 (trích)
Dữ liệu cá nhân đã trải qua giả danh, có thể được quy cho một người tự nhiên bằng cách sử dụng thông tin bổ sung nên được coi là thông tin về một người tự nhiên có thể nhận dạng. Để xác định xem một người tự nhiên có thể nhận dạng được hay không, nên sử dụng tất cả các phương tiện có khả năng được sử dụng một cách hợp lý, chẳng hạn như đơn lẻ, bởi người kiểm soát hoặc bởi một người khác để xác định trực tiếp hoặc gián tiếp. có khả năng sử dụng hợp lý để xác định thể nhân, nên xem xét tất cả các yếu tố khách quan, chẳng hạn như chi phí và thời gian cần thiết để xác định, xem xét công nghệ có sẵn tại thời điểm phát triển công nghệ và xử lý.

Giải thích của tôi là thế này:

  • Một cookie phiên có thể được ghép nối với dữ liệu được lưu trữ bởi máy chủ web để có thể nhận dạng được (giả danh).
  • Xem xét các phương tiện cần thiết, thời gian thực hiện và lợi ích thấp để làm như vậy, chúng tôi có thể cho rằng nó không có khả năng hợp lý , do đó ID phiên không thể xác định được.

Thông tin thêm từ Recital 26 Do đó, các nguyên tắc bảo vệ dữ liệu không nên áp dụng cho thông tin ẩn danh, cụ thể là thông tin không liên quan đến một người tự nhiên được xác định hoặc nhận dạng hoặc dữ liệu cá nhân được ẩn danh theo cách mà chủ thể dữ liệu không còn hoặc không thể nhận dạng được . Do đó, Quy định này không liên quan đến việc xử lý thông tin ẩn danh đó, kể cả cho mục đích thống kê hoặc nghiên cứu.

Họ không quy định bạn nếu the data subject is not or no longer identifiable.

Tất nhiên điều này sẽ cần phải được đánh giá trên cơ sở cookie-by-cookie. Thông tin cá nhân bị đe dọa rất khác nhau giữa cookie phiên máy chủ web và cookie theo dõi Google hoặc Facebook và do đó reasonably likelythay đổi.

Người giới thiệu

PDF trực tuyến của quy định chính thức đầy đủ:
http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&qid=1490179745294&from=en

Người xem trực tuyến để điều chỉnh:
https://gdpr-info.eu/

Trang thảo luận về ẩn danh và bút danh:
https://iapp.org/news/a/looking-to-comply-with-gdpr-heres-a-primer-on-anonymousization-and-pseudorization

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.