ملفات تعريف الارتباط واللائحة العامة لحماية البيانات: ما الأخطاء التي يرتكبها مالكو المواقع في سعيهم للامتثال؟





ملفات تعريف الارتباط كبيانات شخصية



تمت مناقشة مشكلة المتطلبات الأكثر صرامة لاستخدام ملفات تعريف الارتباط منذ دخول اللائحة الأوروبية لحماية البيانات حيز التنفيذ (يشار إليها فيما يلي باللائحة العامة لحماية البيانات) ، فضلاً عن نشر مسودة التعديلات على توجيه الخصوصية الإلكترونية (المعروف باسم "بيان الخصوصية والاتصالات الإلكترونية"). هذه الوثائق هي التي تحدد ملفات تعريف الارتباط رسميًا على أنها بيانات شخصية وتنص على المسؤولية خارج الحدود الإقليمية ، بالإضافة إلى فرض غرامات هائلة على مالكي مواقع الويب للاستخدام غير القانوني لهذه الملفات. قمنا بالفعلنظرة عامة على العقوبات على انتهاك المبادئ الأساسية للائحة العامة لحماية البيانات ، ولكن لم يتضمن أي منها انتهاكات تتعلق بمعالجة ملفات تعريف الارتباط. في كثير من الأحيان ، في غياب الممارسات القضائية والعقوبات الحقيقية ، يخلق ممثلو الأعمال شعورًا بالأمان ، وبعبارة أخرى: "حتى يضرب الرعد ، لن يعبر الرجل نفسه". ولكن تم سماع صوت الرعد منذ فترة طويلة - أحد أكبر الغرامات على الانتهاكات المتعلقة بملفات تعريف الارتباط هي غرامة بقيمة 30.000 يورو صدرت في أكتوبر 2019 من قبل سلطة حماية البيانات الإسبانية Vueling لعدم تمكنها من إلغاء الاشتراك في ملفات تعريف ارتباط الطرف الثالث.



نظرًا لطبيعة المهنة ، عند زيارة مواقع مختلفة ، فإنك تقوم بتحليلها بشكل لا إرادي للتوافق مع الإجراءات القانونية التنظيمية المعروفة في مجال حماية البيانات الشخصية. نتيجة لتحليل آخر من هذا القبيل ، أصبح من الواضح أنه ، في السعي إلى تنفيذ متطلبات اللائحة العامة لحماية البيانات ، تهتم العديد من الشركات بمسألة "ترتيب الأمور" على موارد الويب الخاصة بهم. ومع ذلك ، بسبب عدم فهم المتطلبات أو في غياب الرغبة في "إفساد" واجهة المستخدم الخاصة بالموقع ، يبدو أن كل مؤسسة ثانية تنفذ بشكل غير صحيح سياسة استخدام ملفات تعريف الارتباط على مواردها.



اللائحة التنفيذية لسياسة استخدام الكعكة -files



من وجهة نظر اللائحة العامة لحماية البيانات والخصوصية الإلكترونية ، لا تختلف قواعد استخدام ملفات تعريف الارتباط عن قواعد معالجة جميع البيانات الشخصية الأخرى ويجب اتباعها إذا كان الموقع يستخدم أي ملفات تعريف ارتباط تسمح لك بتشكيل ملف تعريف مستخدم على الشبكة. ومع ذلك ، لا ينطبق هذا على:



  • ملفات تعريف الارتباط ضرورية للغاية للتشغيل الصحيح للموقع ؛
  • ملفات تعريف الارتباط ضرورية للغاية لتوفير خدمة عبر الإنترنت للمستخدم ، على سبيل المثال عندما يملأ المستخدم نموذجًا عبر الإنترنت أو يستخدم عربة تسوق أو يصادق على موقع لتسجيل الدخول إلى خدمة عبر الإنترنت


عودة إلى القواعد ، جوهرها كما يلي:



  1. يجب أن يتم إعداد ملفات تعريف الارتباط فقط بموافقة مسبقة من المستخدم.
  2. , , , , /, .
  3. cookie, , , , .
  4. .
  5. – cookie- , , , .


أخطاء كبيرة في تنفيذ سياسة ملفات تعريف الارتباط أو كيفية عدم القيام بذلك



دعونا نلقي نظرة على ثلاثة أمثلة على التنفيذ غير الصحيح لسياسة ملفات تعريف الارتباط الأكثر شيوعًا بين مواقع وحدات التحكم ومعالجات البيانات الشخصية.



مثال 1. تحذير بانر من خلال الاستمرار في استخدام الموقع ، فإنك توافق على استخدام ملفات تعريف الارتباط.



هذه الممارسة منتشرة على نطاق واسع بين موارد الويب الروسية والأوروبية. كمثال ، ضع في اعتبارك موقع متجر مستحضرات التجميل الإيطالية. وفقًا لسياسة ملفات تعريف الارتباط المقدمة على موقع الويب ، يتم تعيين ملفات تعريف الارتباط الفنية وملفات تعريف الارتباط الوظيفية وملفات تعريف الارتباط من حملات التسويق التابعة لجهات خارجية للمستخدم.

ومع ذلك ، فإن الترجمة الحرفية للتحذير على اللافتة في أسفل الصفحة تنص على ما يلي: "يستخدم هذا الموقع ملفات تعريف الارتباط الفنية والتحليلية وملفات تعريف الأطراف الثالثة. إذا اخترت "متابعة" أو الوصول إلى أي محتوى على موقعنا دون تحديد اختيارك ، فأنت توافق على استخدام ملفات تعريف الارتباط. لمعرفة المزيد ورفض الموافقة على تثبيت ملفات تعريف الارتباط ، انقر هنا. "







في هذه الحالة ، يتم انتهاك جميع القواعد المذكورة سابقًا:



  1. يتم تثبيت ملفات تعريف الارتباط فورًا عندما يفتح المستخدم الموقع.
  2. لا يعد الاستمرار في استخدام الموقع أو النقر فوق الزر "متابعة" إجراء تأكيد واضحًا ، حيث لا يتم منح المستخدم خيارًا ولا يمكنه رفض تثبيت ملف تعريف الارتباط.
  3. , cookie, cookie.
  4. cookie , cookie .
  5. , , , , .


مثال 2. بانر مع نموذج الموافقة الصحيح ، والذي لا يعمل على جميع صفحات الموقع.



على سبيل المثال ، ضع في اعتبارك النسخة الفرنسية من huppe.com.







يتوافق شعار الموافقة المعروض على الموقع مع القواعد التي ندرسها ، ويصف دليل حماية البيانات المشار إليه في النص بالتفصيل الكافي سياسة الشركة فيما يتعلق بملفات تعريف الارتباط. في النسخة الروسية ، يبدو البانر بالموافقة كما يلي:







ومع ذلك ، إذا تعمقت أكثر وحاولت فتح ليس الصفحة الرئيسية للموقع ، ولكن ، على سبيل المثال ، اتضح السحر.



يكمن السحر في حقيقة أن اللافتة ، التي يبدو أنها تلبي جميع المتطلبات ، في الواقع لا تعمل. لا يتم حظر تثبيت ملفات تعريف الارتباط بخلاف تلك الضرورية للغاية حتى يتم اتخاذ الإجراءات المسموح بها ، مما يعني أن الموقع لن يكون بالتأكيد "طالبًا ممتازًا" بعد الآن. في هذه الحالة ، من بين 5 قواعد ، يمكننا القول أنه تمت ملاحظة القاعدتين 2 و 3. فقط.



المثال 3. سياسة شفافة بما فيه الكفاية لاستخدام ملفات تعريف الارتباط



يحدث أيضًا أن الشركة قلقة بشأن آلية عمل للحصول على الموافقة ، ولكنها غابت عن تفاصيل مهمة - معلومات مقدمة بشفافية حول الغرض من ملفات تعريف الارتباط المحددة و شروط تخزينها. يتكشف هذا الموقف على موقع castrol.com.







يحتوي الموقع على بانر موافقة مع خيار إدارة ملفات تعريف الارتباط الفردية.







والأهم من ذلك ، تعمل آلية القفل:



قبل الحصول على الموافقة







بعد الحصول على الموافقة







ومع ذلك ، فإن المعلومات المتعلقة باستخدام ملفات تعريف الارتباط تحتوي على تفاصيل قليلة جدًا - لا يتم توفير قائمة بالأشخاص الذين تم تثبيت ملفات تعريف ارتباط الطرف الثالث بواسطة الموقع ، ولا يتم توفير فترات تخزين مجموعات فردية على الأقل من ملفات تعريف الارتباط على الموقع. في مثل هذه الحالات ، يتم انتهاك أحد المبادئ الرئيسية للائحة العامة لحماية البيانات - شفافية المعالجة ، وبالتالي لم يتم استيفاء القاعدة 3. ومن الأمثلة على سياسة ملفات تعريف الارتباط الشفافة تمامًا السياسة المنشورة على موقع المفوضية الأوروبية على الويب.



بالإضافة إلى كونها مؤشرًا على الأخطاء الشائعة في تنفيذ متطلبات حماية البيانات والخصوصية الأوروبية ، توضح الأمثلة التي تمت مراجعتها أن عمل المنظمين الأوروبيين يجبر العديد من وحدات التحكم والمعالجات على الاهتمام بقضايا الامتثال. وإذا تم طرح موضوع استخدام ملفات تعريف الارتباط على الإطلاق قبل عامين على الغالبية العظمى من المواقع ، فإن الوضع الآن يتغير بشكل كبير ، والذي لا يسعه إلا أن يرضي المستخدمين المهتمين بالسيطرة على بياناتهم - بعد كل شيء ، وفقًا للمفوضية الأوروبية لحماية البيانات ، هذا هو بالضبط ما تم تطويره بواسطة اللائحة العامة لحماية البيانات.



تُظهر الممارسة أنه في الواقع الحالي ، لدى مالكي المواقع الذين يتحكمون أو المعالجات خياران:



  1. ;
  2. - cookie-, , , .








,



All Articles