« ENISA Remote ID Proofing(ヨーロッパ諸国の遠隔身元証明の現状) | Main | 英国ICO データ分析ツールを公表 »

2021.02.18

デンマーク - データ保護局 Cookieを使用するためのクイックガイド

こんにちは、丸山満彦です。

デンマークのデータ保護局 (Datatilsynet) は、ビジネス省 (Erhvervsstyrelsen)デジタルセキュリティ評議会 (Radet for Digital Sikkerhed) とともに、Cookieの使用に関するクイックガイドを公表していますね。デンマーク語ですが・・・

● Denmark: Datatilsynet

・2021.02.12 Ny Quickguide til brugen af cookies(Cookieを使用するための新しいクイックガイド)

Rådet for Digital Sikkerhed, Erhvervsstyrelsen og Datatilsynet udgiver nu sammen en Quickguide til brugen af cookies. Quickguiden kan bruges som tjekliste til organisationer, som sætter cookies, eller som skal have dialog med deres samarbejdspartnere om betingelserne for at der sættes cookies.

・[PDFQuick-guide til at sætte cookies

 

■参考

Erhvervsstyrelsen

Cookie大統領令

 

111111

 

日本語に訳してみました・・・

↓↓↓↓↓↓↓↓↓↓↓

 

・[word] クッキーを設定するためのクイックガイド

 

同じ内容ですが・・・


クッキーを設定するためのクイックガイド

背景

eプライバシー指令により、Cookieを設定する前に、利用者の同意を得る必要があります。Cookieに保存された情報に加えて個人データも処理される場合や、その後に個人データが処理される場合は、個人データ条例に基づいて同意を得なければなりません。したがって、原則として、2つの異なる同意があります。どちらの同意にも同じ基準が適用されます。同意は、自由で、具体的で、情報を与えられた上で、明確な意志表示を構成するものでなければなりません。

欧州司法裁判所は、IPアドレスは原則として個人データであるとの判決を出しています。これは、ISPがIPアドレスと自然人を関連付けることができ、他の多くのサービス提供者がデータを組み合わせることでIPアドレスを自然人に関連付けることができるからです。 Cookieを利用する場合、IPアドレスなどが収集されることがよくあります。個人データ規則では、自然人と紐付けられるオンライン上の識別子は個人データであると言及されています。そのため、個人データは原則としてCookieの設定に関連して処理されます。

eプライバシー指令に基づくCookieの設定(および閲覧)の法的根拠は、(純粋に機能的なCookieである場合を除き)Cookieを配置する前に必ずインフォームドコンセントをえることです。

状況によっては、Cookieに関連して収集された個人データの処理には、GDPRによると、同意以外の法的根拠がある可能性があります。どのような法的根拠があるのかを判断するには、個人データの目的、開示などの具体的な評価が必要ですが、多くの場合、同意が正しい根拠となります。

したがって、実際には、Cookieの設定とそれに関連する個人データの処理を同時に行うことに同意を得ることが最も現実的です。

 

Cookieの同意を設計するための要件

Cookieを設定する前に、以下の要件一覧を満たしていることを確認する必要があります。Cookieの同意やCookieの文書化をサービス提供者を利用して行う場合は、このリストを要件仕様として使用できます。このリストは、あなた自身の状況を具体的に判断することに代わるものではありません。

  • 積極的な行動が必要
    • 事前にチェックされた同意は、積極的な行動ではありません。 利用者は、Cookieが設定されることに同意するかどうかを自分で確認する必要があります。
    • ウェブサイトの利用を継続することでCookieの使用に同意したことを表明するクリックスルー機能も積極的な同意と見なされます。
  • Cookieに「同意」と「拒否」を言う機会は平等でなければなりません
    • ボタンの大きさ、色、位置などで利用者に同意を促してはいけません。
    • 最初のダイアログボックスで「同意」と「詳細情報」のどちらかを選択するオプションを与えるだけで、「拒否」と言うのを難しくしてはなりません。
    • Cookieが設定されていることに同意することを完全に拒否すること可能であることは明らかでなければなりません。
  • 誰がどのような目的でCookieを設定するのか(Cookieバナーで)、Cookieの有効期限はいつなのか(Cookie宣言で)をわかりやすいく記載しなければなりません。
    • Cookieに関する情報を提供する場合、通常、Cookieが追加される目的のカテゴリ(例えば、機能の利用、統計、マーケティングなどの独立したカテゴリ)に関する情報を提供する必要があります。
      • 目的のカテゴリごとに個別に同意を得る必要があります。
      • どの当事者が実際にCookieを設定し、これらの目的内で情報を処理するかを簡単に確認できるようにしなければなりません(例えば、Cookie宣言として作成することができます)。
      • すべてのCookieに同意するか、同意しないかの選択は必要ありません。
      • どのウェブサイトを訪問したのか、どのIPアドレスを持っているかなど、にどの情報が送信されるかを利用者に明確にする必要があります。
    • 提供する情報は、必ずウェブサイトに掲載されるようにしなければなりません。
  • 自分が独立したデータ管理者であるか、パートナーとの共同データ管理者であるかを判断する必要があります。
    • 共同データの責任がある場合は、パートナーがそれぞれどの処理に責任を持つかを決定しなければならず、同意が少なくとも自分の処理をカバーしていることを確認する必要があります。これには、パートナーを収集して渡す権限があることも含まれます。
    • パートナーとの契約において、パートナーの処理に同意を得ることが契約の条件になっているかを知っておく必要があります。
  • 同意を撤回することが可能でなければならず、同意が与えるのと同じくらい簡単に同意を撤回できなければなりません。これは、Cookieを拒否するための簡単にアクセスできるアクセス方法と、最終利用者がこのアクセス方法をどのように使用できるかについての明確で正確で分かりやすいガイドがなければならないということです。場合によっては、他の人が作成したガイドやツールなどを参照することが適切な場合あります。
  • Cookieを設定し、個人情報を処理する前に同意を得る必要があります。
  • 同意が得られるまで、必要なCookie以外のCookie(ウェブサイトが機能するために必要なCookieを含む狭義の解釈、例えばショッピングカートの内容の記憶)を設定することはできません。
  • 責任の一環として、同意を文書化できるようにしなければなりません。
  • 特定の処理目的のための同意以外に個人データのその後の処理のための根拠が使用される場合、これは提供される情報(Cookie宣言またはプライバシー通知)に記載する必要があります。

 

リンク

この主題についてもっと知りたい場合は、以下のリンクにある当局の詳細な指示を参照してください。

Erhvervsstyrelsens vejledning: https://erhvervsstyrelsen.dk/vejledning-cookiebekendtgoerelse.

Datatilsynets vejledning:

https://www.datatilsynet.dk/Media/F/8/Behandling%20af%20personoplysninger%20om%20hjemmesidebesøgende.pdf.

|

« ENISA Remote ID Proofing(ヨーロッパ諸国の遠隔身元証明の現状) | Main | 英国ICO データ分析ツールを公表 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« ENISA Remote ID Proofing(ヨーロッパ諸国の遠隔身元証明の現状) | Main | 英国ICO データ分析ツールを公表 »