Google Analytics dan arahan cookie UE. Siapa yang akan melanggar hukum? Google atau pengembang?

16

Jadi Google menggunakan cookie saat melakukan tugasnya yang biasa melacak pengguna di situs web. Hanya itu; Google sedang mengatur cookie dan bukan situs web Anda. Ini berdasarkan fakta bahwa JS semuanya dihosting oleh Google dan hanya dimasukkan ke halaman web Anda.

Wolf Software yang telah merilis plugin jQuery untuk meminta persetujuan pengguna sebelum mengizinkan GA tampaknya menyiratkan bahwa itu akan menjadi masalah pengembang di halaman web terkait mereka.

Apakah ini mungkin masalah Google ketika ICO datang mengetuk atau haruskah pengembang tidak menerapkan GA jika mereka mengetahui potensi masalah cookie?

Treffynnon
sumber

Jawaban:

10

Jawaban singkatnya adalah belum ada yang tahu.

Jawaban panjangnya adalah bahwa cookie pihak ketiga adalah area yang tidak jelas; itu tidak jelas dari direktif (PDF) yang akan dituntut karena gagal mendapatkan persetujuan ketika menyimpan cookie pihak ke-3.

Interpretasi dan saran ICO saat ini, yang diterbitkan dalam "Perubahan aturan tentang penggunaan cookie ..." , mengakui bahwa mereka tidak tahu bagaimana arahan berlaku untuk cookie pihak ke-3:

"Proses mendapatkan persetujuan untuk cookie [pihak ketiga] ini lebih kompleks dan pandangan kami adalah bahwa setiap orang memiliki peran untuk memastikan bahwa pengguna mengetahui apa yang dikumpulkan dan oleh siapa."

Tekankan milikku. Mereka tidak mengatakan siapa yang bertanggung jawab, hanya seseorang yang bertanggung jawab . Lebih lanjut, mereka mengatakan bahwa mereka berusaha untuk mengklarifikasi aturan-aturan ini:

"[Cookie pihak ke-3] mungkin merupakan area yang paling menantang untuk mencapai kepatuhan terhadap aturan baru dan kami bekerja dengan industri dan otoritas perlindungan data Eropa lainnya untuk membantu mengatasi kompleksitas dan menemukan jawaban yang tepat."

Mereka mengharapkan layanan pihak ketiga ini

... tidak diragukan lagi akan beradaptasi untuk mencapai kepatuhan dengan aturan baru ...

Salah satu kemungkinan petunjuk sikap ICO adalah bahwa mereka mencantumkan cookie Google Analytics sebagai tidak penting dalam kebijakan privasi mereka sendiri , dan hanya menggunakan Google Analytics jika Anda setuju untuk menyimpan cookie. Saya pikir ini menentukan nada untuk klarifikasi yang mereka tawarkan. Mereka mungkin mengatakan, 'Anda perlu meminta izin untuk cookie pihak ke-3 juga, karena itu adalah pilihan Anda apakah Anda menggunakan layanan tersebut atau tidak'. Tapi kami belum tahu pasti.

Ketidakpastian ini adalah salah satu alasan batas waktu kepatuhan diperpanjang hingga 25 Mei 2012. Hal terbaik yang bisa dilakukan oleh webmaster Inggris tentang dampaknya adalah mengawasi situs web ICO dan menunggu klarifikasi dari mereka. Sementara itu, seluruh saran mereka yang diuraikan dalam pedoman mereka layak diikuti untuk cookie yang Anda terbitkan sendiri.

Nick
sumber
Saya telah menghapus jawaban saya karena saya belum melihat itu pada cookie pihak ke-3. Apa sumber Anda untuk batas waktu diperpanjang?
paulmorriss
2
Ini terkubur di dalam ICO's penegakan yang diperbarui PDF : "[Komisaris] akan ... memungkinkan pemimpin dalam jangka waktu 12 bulan bagi organisasi untuk mengembangkan cara memenuhi persyaratan terkait cookie [yang] akan berakhir pada Mei 2012". Singkatnya, itu menjadi hukum Inggris pada 25 Mei 2011, tetapi mereka tidak akan menegakkannya hingga 25 Mei 2012.
Nick
1
Ini adalah jawaban yang baik, tetapi penting untuk dicatat bahwa jawaban ini spesifik untuk Inggris, sedangkan arahan itu sendiri adalah untuk seluruh Uni Eropa. Artinya, setiap negara akan melakukan penegakan hukum dengan caranya sendiri. Fakta bahwa Inggris menunda penegakan selama setahun tidak berarti bahwa negara-negara lain melakukan hal yang sama.
Yahel
1
Poin bagus. Sepengetahuan saya, ICO adalah badan perlindungan data Uni Eropa pertama yang mengeluarkan pedoman tentang arahan, tetapi jika orang ingin memberikan tautan ke saran dari negara-negara anggota lain mengenai tenggat waktu dan cookie pihak ketiga, saya akan memperbarui jawabannya sesuai dengan itu. .
Nick
Pembaruan untuk situasi Inggris: ico.gov.uk/news/blog/2011/…
paulmorriss
4

Sebelum menulis plug-in untuk Wolf Software, kami benar-benar menghubungi ICO untuk memeriksa posisi, dan dari konsultasi tersebut kami memahami bahwa GA harus dianggap tidak penting dan oleh karena itu diperlukan persetujuan.

Masalah tentang menjadi 1 atau 3 sedang diperdebatkan karena hanya bagian 'tidak penting' yang membuatnya dilindungi oleh undang-undang.

Kami tidak menyiratkan bahwa masalahnya adalah para webmaster baik seperti yang dinyatakan di atas, apa yang telah kami lakukan adalah memberikan webmaster solusi sederhana untuk masalah ini jika mereka ingin menggunakannya. Kami dituntun untuk percaya bahwa itu adalah 'pemilik' situs web yang bertanggung jawab.

Kami juga telah memverifikasi dengan ICO bahwa plug-in yang kami rilis adalah untuk tujuan tertentu dan memenuhi persyaratan undang-undang baru terkait GA.

Ini sangat banyak kasus, jika Anda menginginkannya, ada di sana untuk digunakan, kami tidak menyiratkan apa pun tentang hukum, kami hanya menawarkan solusi gratis sederhana untuk satu aspeknya.

TAMBAH:

Berkenaan dengan ICO, kami mengirimi mereka tautan ke demo dan hanya bertanya apakah mereka merasa cocok untuk tujuan, kami diberitahu bahwa di mata ICO, plugin itu "cocok untuk tujuan dan sesuai dengan undang-undang baru"

Serigala
sumber
3
+1 Apakah Anda dapat membagikan pertanyaan Anda yang sebenarnya kepada mereka dan tanggapan tertulis mereka? Catatan keduanya akan menjadi kontribusi besar untuk jawaban Anda.
Nick
terima kasih atas kontribusi Anda untuk pertanyaan ini dan untuk meletakkan sesuatu di luar sana yang tersedia secara bebas untuk membantu para webmaster dan merangsang perdebatan. Seperti @Nick, saya rasa akan lebih baik jika Anda dapat berbagi beberapa komunikasi aktual yang Anda miliki dengan ICO. Saya telah mengirim email ICO dengan URL ke pertanyaan ini dan meminta masukan mereka juga BTW.
Treffynnon
3

Saya sekarang mendapat tanggapan dari ICO meskipun tidak sepenuhnya relevan lagi mengingat pendahuluan telah ditolak dan hukum dan pedoman mungkin disempurnakan untuk sementara waktu.

Terima kasih atas korespondensi Anda mengenai Peraturan Privasi dan Komunikasi Elektronik yang baru.

Saya akan mulai dengan menunjukkan bahwa saya tidak akan memposting tanggapan saya di situs web yang Anda sarankan; Namun jangan ragu untuk menyebarkan informasi yang terkandung di sini. Saya juga akan menyatakan bahwa retorika pertama dari dua pertanyaan Anda bukanlah pertanyaan yang bisa saya jawab.

Pindah, Anda bertanya:

'Google Analytics dan arahan cookie UE. Siapa yang akan melanggar hukum? Google atau pengembang? '

Sebagai pengantar, aturan baru yang berkaitan dengan cookie adalah implementasi amandemen UK terhadap undang-undang UE yang ada. Sebelum undang-undang tingkat Uni Eropa disahkan, konsultasi dilakukan di seluruh Eropa. Mengikuti pengesahan EU Cookie Directive (Petunjuk 2009/136 / EC), semua negara anggota UE secara hukum berkewajiban untuk mengesahkan undang-undang domestik yang menggaungkan aturan yang ditetapkan dalam Petunjuk tersebut. Di Inggris, amandemen telah disiapkan oleh Departemen Kebudayaan, Media dan Olahraga (DCMS) dan ICO adalah badan yang bertugas mengawasi peraturan baru - yang telah disahkan sebagai amandemen terhadap Peraturan Privasi dan Komunikasi Elektronik 2003 ( PECR).

Jika Anda belum membacanya, Anda dapat menemukan surat Ed Vaisey atas nama DCMS sebagai Menteri Kebudayaan, Komunikasi dan Industri Kreatif sangat membantu dalam menjelaskan pendekatan yang diadopsi oleh DCMS dalam menerapkan Petunjuk UE ini. Surat terbuka tersedia di: http://www.culture.gov.uk/images/publications/cookies_open_letter.pdf .

Secara khusus, surat ini paling baik menanggapi komentar Anda tentang penggunaan browser web untuk menunjukkan preferensi pengguna. Menggunakan browser dengan cara ini adalah sesuatu yang diizinkan oleh PECR yang diubah, namun, kami berpendapat bahwa teknologi saat ini tidak cukup canggih untuk dapat dipraktekkan (silakan lihat kedua surat yang disebutkan di atas, dan panduan kami: Baca saran ICO kepada organisasi tentang bagaimana mempersiapkan aturan baru tentang cookie).

Tidak ada pengecualian khusus untuk alat analisis seperti Google Analytics. Satu-satunya pengecualian pada aturan cookie dasar adalah yang terkait dengan cookie yang 'sangat diperlukan' untuk layanan yang diminta oleh pengguna. Pengecualian ini adalah yang sempit karena bagian kedua ('untuk layanan yang diminta oleh pengguna') - dan Anda akan melihat dari panduan kami bahwa pengecualian tidak berlaku untuk cookie yang mengumpulkan informasi statistik tentang pengguna situs web, atau yang memiliki bertujuan untuk meningkatkan tampilan situs web secara keseluruhan.

Sehubungan dengan 'cookie jaringan pemasaran lainnya' - aturan yang sama tentang persetujuan, dan keperluan ketat, berlaku seperti yang ditetapkan di atas.

PECR sendiri tidak menetapkan definisi 'persetujuan' untuk tujuan aturan cookie. Definisi 'persetujuan' yang karenanya kami andalkan adalah yang diberikan dalam Petunjuk 95/46 / EC - Petunjuk Perlindungan Data (yang dapat Anda akses online di: http://eur-lex.europa.eu/LexUriServ/LexUriServ. do? uri = CELEX: 31995L0046: id: HTML ). Arahan mendefinisikan persetujuan pada pasal 2 (h)). Pada titik ini, kami belum mengeluarkan panduan tambahan tentang apa yang merupakan persetujuan dalam konteks aturan baru tentang cookie - dengan dasar bahwa ini tidak berbeda dengan panduan yang ada tentang persetujuan. Anda dapat mengetahui lebih lanjut tentang persetujuan di situs web kami di: http://www.ico.gov.uk/for_organisations/data_protection/the_guide/conditions_for_processing.aspx (gulir ke bawah ke tajuk 'persetujuan').

Seperti yang sudah pasti Anda lihat, panduan cookie kami mempertimbangkan berbagai cara berbeda untuk mendapatkan persetujuan. Karena kemajuan lebih lanjut dibuat sehubungan dengan aturan baru tentang cookie ini, kami dapat menambahkan panduan lebih lanjut untuk panduan kami yang ada.

Itu tidak benar-benar menjawab pertanyaan dari apa yang bisa saya lihat. Tidak ada perbedaan antara cookie yang ditetapkan secara eksplisit oleh pengembang dan cookie yang ditetapkan oleh layanan lain atas nama pengembang dalam tanggapannya.

Treffynnon
sumber
Memberi +1 untuk tanggapan dari ICO sendiri ... tapi sayangnya yang menjelaskan sangat sedikit.
Marcus Downing
1

Jawaban di atas berbicara secara rinci tentang cookie pihak ketiga dan benar bahwa ICO belum memberikan panduan tentang hal itu. Ini adalah titik diperdebatkan karena Google Analytics, bertentangan dengan pos asli, menggunakan cookie pihak pertama.

Stephen
sumber
Apa yang membuat mereka cookie pihak pertama? GA adalah layanan pihak ketiga, oleh karena itu tentunya setiap cookie yang ditetapkan olehnya adalah cookie pihak ketiga.
Treffynnon
1
Anda benar bahwa Google Analytics menggunakan cookie pihak pertama dalam pengertian teknis yang mereka tentukan terhadap domain Anda sendiri, tetapi interpretasi saya tentang panduan ICO di bawah 'cookie pihak ketiga' adalah bahwa itu berarti bahwa pihak ketiga yang membuat keputusan untuk mengaturnya, dan itu tidak diatur oleh kode yang dihosting di domain Anda: "Beberapa situs web mengizinkan pihak ketiga untuk mengatur cookie pada perangkat pengguna."
Nick
0

Diskusi menarik - memang terlihat seperti cookie pelacakan Analitik sederhana yang berada di bawah hukum.

Ini adalah legislasi yang dipikirkan dengan sangat buruk. Meskipun sebagian kecil pengunjung terganggu, umumnya orang-orang ini yang tahu cara menggunakan pengaturan browser kuki. Semua orang hanya ingin situs web berfungsi.

Saya ingin tahu berapa lama sebelum ada plug in browser yang secara otomatis mengklik tombol 'accept' pada semua cookie yang muncul pop-up?

Sambatan
sumber