GDPR ảnh hưởng đến việc sử dụng website trên Cookie như thế nào?

Quy chế bảo vệ dữ liệu chung của Liên minh châu Âu (GDPR) có hiệu lực vào ngày 25 tháng 5. Khi đó, kinh doanh trên internet sẽ thay đổi sâu sắc. Đó là vì GDPR sẽ có tầm nhìn mở rộng ra ngoài châu Âu.

Bắt đầu từ ngày 25 tháng 5, nếu bạn hoạt động website tại Châu Âu thì sẽ cần chấp thuận khẳng định sử dụng cookie.

Quy chế bảo vệ dữ liệu chung của Liên minh châu Âu (GDPR) có hiệu lực vào ngày 25 tháng 5. Khi đó, kinh doanh trên internet sẽ thay đổi sâu sắc. Đó là vì GDPR sẽ có tầm nhìn mở rộng ra ngoài châu Âu. Internet đã phát triển thương mại toàn cầu, và bất kỳ doanh nghiệp nào phục vụ khách hàng châu Âu phải tuân thủ với GDPR. Rốt cuộc, bảo mật dữ liệu là điều các website phải hướng tới. Hôm nay chúng ta hãy nói về cách GDPR sẽ ảnh hưởng đến việc sử dụng cookie thông thường.

GDPR nói gì về cookie?

Cookie là gì?

Cookie là một tệp nhỏ được lưu trữ trên máy tính của người dùng. Theo thiết kế, cookie chứa một lượng nhỏ dữ liệu về cả trang web và người dùng và giúp cung cấp trải nghiệm chuyên biệt cho người dùng khi truy cập web. Ví dụ: trang web tin tức có thể sử dụng cookie để theo dõi nội dung bạn thường xem để giúp bạn trải nghiệm duyệt web tốt hơn. Hoặc trang web thương mại điện tử có thể sử dụng cookie để theo dõi các mục bạn xem và đưa vào giỏ hàng của bạn để đề xuất tốt hơn các sản phẩm bổ sung cho bạn. Cookie có thể được truy cập bởi cả máy chủ web hoặc máy tính người dùng.

GDPR nói gì về cookie?

Quy chế bảo vệ dữ liệu chung chỉ đề cập đến cookie một lần. Đó là trong Khái niệm 30 :

(30) Những người dùng có thể được liên kết với các số nhận dạng trực tuyến được cung cấp bởi thiết bị, ứng dụng, công cụ và giao thức của họ, chẳng hạn như địa chỉ giao thức internet, nhận dạng cookie hoặc các số nhận dạng khác như thẻ nhận dạng tần số vô tuyến.

Điều này có thể để lại dấu vết, đặc biệt khi kết hợp với các số nhận dạng duy nhất và các thông tin khác nhận được bởi các máy chủ, có thể được sử dụng để tạo hồ sơ của những người tự nhiên và xác định chúng.

Mặc dù thiếu các đề cập trong tài liệu nhưng chúng tôi có thể thu thập được khá nhiều thông tin về cách chúng tôi xử lý cookie từ hướng dẫn này và các hướng dẫn khác liên quan đến việc xử lý thông tin cá nhân.

Bất kỳ cookie nào chứa thông tin nhận dạng cá nhân đều cần được coi là dữ liệu cá nhân. Một số người có thể lập luận rằng các cookie không có đủ dữ liệu cá nhân để xác định thành công một cá nhân (mặc dù thực tế là nhiều tên, địa chỉ IP và các thông tin khác) nhưng chủ đề 26 của GDPR cung cấp một cái nhìn sâu hơn, dữ liệu hợp lý có thể được sử dụng, một mình hoặc kết hợp với các dữ liệu khác, để xác định một cá nhân nên được coi là dữ liệu cá nhân.

Ngay cả việc sử dụng pseudonymization, đó là phổ biến, không thay đổi chỉ định.

Hầu như bất kỳ chuyên gia nào cũng sẽ cho bạn biết rằng rất nhiều điều trong GDPR được viết một cách mơ hồ và cần phải được khởi kiện. Và đó là chính xác 100%. Nhưng trước khi đó họ vẫn phải thận trọng với các quy định cho đến khi tòa án có thể cung cấp sự rõ ràng hơn. Xét những hình phạt liên quan đến GDPR, việc chơi đùa với quy định mới có thể gây tốn kém rất nhiều. Hoặc tồi tệ hơn.

Vì vậy, với tất cả ý định và mục đích, GDPR sẽ xem cookie là dữ liệu cá nhân.

 

Theo dõi Cookie yêu cầu sự đồng ý theo GDPR

Theo dõi Cookie yêu cầu sự đồng ý theo GDPR

Trước khi chúng tôi tiếp tục hoạt động nữa, cần lưu ý rằng các cookie không “cần thiết” đã yêu cầu phải có sự chấp thuận của nhiều khuôn khổ pháp lý trên toàn thế giới. Đây không phải là bắt đầu với GDPR. Và có một số cơ sở pháp lý bổ sung cho một số loại cookie. Điều 6 cung cấp sáu cơ sở, một số trong đó không áp dụng:

Bằng lòng
Cần phải thực hiện một hợp đồng
Cần tuân thủ nghĩa vụ pháp lý
Cần thiết để bảo vệ lợi ích thiết yếu của ai đó (bảo vệ cuộc sống của họ)
Bạn đang thực hiện một công việc được tiến hành vì lợi ích công cộng
Nó là cần thiết cho mục đích của lợi ích chính đáng của bộ điều khiển
Thứ tốt nhất của bạn là 1 và 6, mặc dù nó phụ thuộc vào loại cookie mà bạn đang sử dụng và những gì bạn đang xử lý dữ liệu. Bất kỳ cookie nào theo dõi người dùng đều cần sự đồng ý rõ ràng từ chủ thể dữ liệu.

Điều đó đang được nói, GDPR có một định nghĩa độc đáo riêng cho sự đồng ý của nó. Điều này được cung cấp trong Mục 32 .

(32) Sự đồng ý phải được đưa ra bởi một hành động khẳng định rõ ràng tạo ra một chỉ dẫn rõ ràng, cụ thể, thông báo và rõ ràng về sự đồng ý của dữ liệu đối với việc xử lý dữ liệu cá nhân liên quan đến người đó, như bằng văn bản, phương tiện, hoặc một tuyên bố miệng.

Điều này có thể bao gồm đánh dấu vào ô khi truy cập trang web internet, chọn các thiết lập kỹ thuật cho các dịch vụ xã hội thông tin hoặc một tuyên bố hoặc hành động khác, trong đó nêu rõ trong chủ đề dữ liệu chấp nhận xử lý dữ liệu cá nhân của mình.

Sự im lặng, các hộp đã đánh dấu hoặc không hoạt động thì không phải là sự đồng ý.

Sự đồng ý phải bao gồm tất cả các hoạt động được tiến hành cho cùng một mục đích hoặc mục đích.

Khi quá trình xử lý có nhiều mục đích, cần phải có sự đồng ý đối với tất cả các mục đích.

Nếu sự đồng ý của đối tượng dữ liệu được đưa ra sau khi có yêu cầu bằng các phương tiện điện tử, yêu cầu phải rõ ràng, súc tích và không làm gián đoạn không cần thiết đến việc sử dụng dịch vụ mà nó được cung cấp.

Giải thích điều đó, bạn cần phải có vô hiệu hóa cookie theo dõi khi có ai đó ghé thăm trang web của bạn lần đầu tiên. Đồng ý là cơ sở pháp lý duy nhất để sử dụng các loại cookie này trong GDPR ngay bây giờ. Người dân phải rõ ràng chọn tham gia cho phép sử dụng cookie, ngược lại với trong quá khứ mà bạn chỉ có thể chọn một người mà không chọn là đồng ý.

Thành thật mà nói, nếu trang web của bạn đang sử dụng cookie cho các mục đích khác nhau, thì bạn nên thu thập sự đồng ý cho từng mục đích riêng lẻ. Điều 7 (3) cũng quy định rằng các cá nhân nên có quyền thu hồi sự đồng ý và rằng làm như vậy phải đơn giản và dễ hiểu như là nó đã được.

Cách xử lý sự đồng ý với Cookie

Một lần nữa, bạn cần phải tắt cookie theo dõi khi khách truy cập lần đầu tiên đến trang web của bạn. Yêu cầu sự đồng ý không phải là khó khăn mặc dù. Nó có thể được thực hiện với một thông báo bảo mật được thiết kế tốt.

Thông báo về quyền riêng tư của cookie của bạn cần phải có các thông tin sau:

Thông tin về dữ liệu bạn sẽ thu thập với cookie
Thông tin về dữ liệu đó sẽ được sử dụng cho
Nút chọn tham gia cho phép người dùng đồng ý
Liên kết đến trang riêng tư dành riêng với nhiều thông tin hơn
Nhưng hãy nhớ, sự chấp thuận phải rõ ràng. Không có nó, bạn không thể tiến hành.

Một vài từ cuối cùng về cookie và GDPR
Như chúng tôi đã thảo luận, hiện tại chỉ có cơ sở pháp lý rõ ràng cho việc sử dụng cookie là sự đồng ý. Nhưng đừng mong nó ở lại theo cách đó. Cuối cùng, các cơ sở pháp lý khác sẽ được khởi kiện, điều đầu tiên có thể là “lợi ích hợp pháp của người kiểm soát”. Nhưng một lần nữa, đây sẽ là một trường hợp sử dụng hẹp, ví dụ như không áp dụng cho khu vực công. Bạn cũng cần cung cấp tài liệu về biện minh pháp lý này.

Nhưng một lần nữa, điều này là xuống đường. Cho đến khi các tòa án có thể bắt đầu làm rõ một phần của GDPR, chúng tôi khuyên bạn nên (lặp đi lặp lại) rằng bạn không cẩn thận.

Bạn đang cần kiểm tra việc sử dụng cookie?

Chúng tôi có thể hỗ trợ tư vấn cho bạn về việc sử dụng cookie và các vấn đề khác có liên quan

Liên hệ

Huy Hoang Ho

Tư vấn dự án

+84 919 845 095

huy@redweb.dk