ICO承认其自己的cookie政策不符合GDPR
负责监管英国数据法的组织已经确认,在其网站未经用户同意而存储数据的投诉后,将对其cookie政策进行更改。该信息专员办公室也承认,其有关使用设备上的cookie的电流同意通知失败“以满足所需的GDPR标准”。
该问题涉及在访问ICO网站时在用户的移动设备上自动放置cookie,其中一项投诉违反了与GDPR并列的2003年隐私和电子通信法规。
除非明确同意,否则本条例第6条禁止存储或访问用户设备上的信息,其论点是因为这些cookie是自动使用的,用户无法拒绝使用。
来自@ICOnews的一个非凡的承认- 它的#cookies同意过程是错误的(%u2018,因为%u2019t符合所需的GDPR标准%u2019)并且它已被迫更改。[事实上,%NEWLINENEWLINE此功能可能不是2011年以来一直以标准]#gdpr#pecrpic.twitter.com/aIFuO0kR4e
- Adam Rose(@adam_rose),2019年6月16日
在分享给Twitter的电子邮件中,代表ICO DPO回应的发言人说:“我承认我们网站上当前的cookie同意通知不符合所要求的GDPR标准。”
此后,监管机构通过电子邮件向IT专员证实了这一点。“我们目前正在对此进行更新,以使我们对Cookie的使用与GDPR的同意标准保持一致,我们将在6月24日开始的一周内对此信息进行修改。”
由于升级工作在很大程度上没有被更广泛的社区所忽视,因此承认其政策不符合GDPR,这引起了行业专家的愤怒,他们声称监管机构无法遵循自己的建议。
鉴于一些人要遵守的努力程度,具有讽刺意味的是@ICOnews缺乏他们的cookie政策。我看到他们使用了一个工具(思域)。有没有实际符合当前最佳实践的工具?
- Simon R Jones(@simonrjones),2019年6月16日
他们一直这样做。如我们所说,不要像我们那样做。他们之前用他们发布的第一个cookie横幅做了。他们使用英国DPA18下的%u201Cpolicy文件%u201D。仅举两个名字!
- Scott Sammons(@privacyminion),2019年6月16日
一个解释其数据收集方法的页面表示,ICO依赖于用户的默示同意,但正在进行更改以升级到其最新版本的思域Cookie工具,该工具需要默认明确同意,包括非必要的cookie。据说最新版本确实提供了在设备上使用cookie的规定,但看门狗尚未升级。
Civic UK的发言人向IT专员证实,该工具的规划和实施完全由ICO完成,最新版本将使监管机构符合GDPR cookie法律。
Hudl和Duolingo的数据保护官Carl Gottlieb告诉IT专业人员,很少看到监管机构承认其错误,但缺乏对cookie法律的明确指导正在整个行业造成混乱。
“我相信是在2018年5月,ICO表示他们将转向新版本的思域饼干同意工具,但此后一直没有证据也没有提及这种情况,”Gottlieb说。
“目前还不清楚ICO在这里承认的侵权行为,以及这是ICO的官方立场,还是仅仅是一个单独的案例工作者的意见。看到监管机构公开道歉,这当然令人惊讶。”
在欧洲数据保护主管(EDPS)对十个主要欧盟机构和公共机构的网站进行的检查中,发现七个包含数据保护或隐私问题,并且不符合ePrivacy指令或未能遵循EDPS准则。其中包括欧洲数据保护委员会的网站,负责监督整个欧盟实施GDPR的机构,以及国际数据保护和隐私委员会会议。
“这个问题的核心是缺乏关于cookie合规性的明确规则,”Gottlieb说。“例如,ICO和FieldFisher律师事务所都遵循欧盟2012年的观点,即匿名谷歌分析不需要同意,而只是选择退出。在GDPR时代,这种观点可能会保持不变。”
“不幸的是,许多人不了解欧盟的意见,或者不同意其优点,因此在合规方面采取了更严格的措施。数据保护专家之间存在混淆状态,这使得合规性成为任何运营网站的人的一个大问题。”
“更大的问题是缺乏针对cookie合规性违规的监管执法,”Gottlieb补充道。“在我们看到一些行动之前,网站运营商可以继续自由地忽视这些规则而不会产生任何后果。”