セッションCookieはGDPRの下で同意を免除されますか?
セッションCookie-現在のセッションの期間中のみ有効なCookieは、間違いなくEUのデータ保護努力の精神の下では追跡ツールではありません。
古いEU Cookieルール では、ユーザーの同意を得るための要件が免除されているように見えました。
EUのデータ保護に関する諮問機関によると、Cookieには明らかに同意が免除されています-WP29pdf
- ファーストパーティCookieなどのユーザー入力Cookie(セッションID)。オンラインフォーム、ショッピングカート、
など、セッション期間中または永続的なCookieに制限
場合によっては数時間- セッション中にログインしたユーザーを識別するための認証Cookie
- ユーザー中心のセキュリティCookie。認証の不正使用の検出に使用され、限られた持続期間
- セッション中、ビデオまたはオーディオコンテンツを再生するための技術データの保存に使用されるマルチメディアコンテンツプレーヤーCookie
- セッション中の負荷分散Cookie
- セッション中(またはそれより少し長い間)の言語やフォント設定などのユーザーインターフェイスカスタマイズCookie
- ソーシャルネットワークのログインメンバー用のサードパーティソーシャルプラグインコンテンツ共有Cookie。
GDPRについて確実に言えることはほとんどありませんが、新しい法律の下でセッションCookieがどのように扱われるかについての示唆はありますか?
私もこれを見てきましたが、pseudonymousデータのカテゴリに分類されると思います(ほとんどの情報はこの 参考ページ から取得されました):
第4条(5)
「仮名化」とは、追加情報が個別に保持され、対象となる場合、追加情報を使用せずに特定のデータ主体に個人データを帰属させることができないように個人データを処理することを意味します。個人データが特定または特定可能な自然人に帰属しないようにするための技術的および組織的措置
そして、仮名データの取り扱いに関して:
リサイタル26 (抜粋)
仮名化された個人データは、追加情報の使用により自然人に起因する可能性があり、識別可能な自然人に関する情報であると見なされる必要があります。自然人が識別可能であるかどうかを判断するには、コントローラーまたは別の人が自然人を直接または間接的に識別するために、シングルアウトなど、合理的に使用される可能性のあるすべての手段を考慮する必要があります。自然人を識別するのに合理的に使用される可能性が高いので、処理および技術開発の時点で利用可能な技術を考慮に入れて、識別に必要なコストや時間など、すべての客観的要因を考慮する必要があります。
私の解釈はこれです:
- セッションCookieは、おそらくWebサーバーによって保存されたデータとペアになり、識別可能(偽名)になる可能性があります。
- 必要な手段、所要時間、およびそのための低い利益を考慮すると、合理的に考えられないと考えることができます。したがって、セッションIDは識別できません。
詳細はリサイタル26から したがって、データ保護の原則は、匿名情報、つまり、特定または特定可能な自然人、またはデータが次のように匿名化された個人データに関連しない情報には適用すべきではありません対象が特定できないか、またはもはや特定できません。したがって、この規則は、統計目的または研究目的を含む、こうした匿名情報の処理には関係しません。
the data subject is not or no longer identifiableの場合、彼らはあなたを規制しません。
もちろん、これはクッキーごとに評価する必要があります。危険にさらされている個人情報は、WebサーバーセッションCookieとGoogleまたはFacebookトラッキングCookieで大きく異なるため、reasonably likelyが変更されます。
参照資料
完全な公式規制のオンラインPDF:
http://eur-Lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&qid=1490179745294&from=en
規制のオンラインビューアー:
https://gdpr-info.eu/
匿名化と仮名化を議論するページ:
https://iapp.org/news/a/looking-to-comply-with-gdpr-heres-a-primer-on-anonymization-and-pseudonymization/