| Report of the work undertaken by theCookie Banner Taskforce |
クッキーバナータスクフォースによる作業報告書 |
| Table of Contents |
目次 |
| DISCLAIMER |
免責事項 |
| 1. APPLICABLE LEGAL FRAMEWORK |
1. 適用される法的枠組み |
| 2. APPLICATION OF THE OSS |
2. OSSの適用 |
| 3. TYPE A PRACTICE – “NO REJECT BUTTON ON THE FIRST LAYER” |
3. タイプAの慣行 -「第一階層に拒否ボタンがない」 |
| 4. TYPE B PRACTICE – “PRE-TICKED BOXES” |
4. タイプBの慣行 - 「あらかじめチェックされたボックス」 |
| 5. TYPE C PRACTICE |
5. タイプCの慣行 |
| 6. TYPE D & E PRACTICES : “DECEPTIVE BUTTON COLOURS” & “DECEPTIVE BUTTON CONTRAST” |
6. タイプDとEの慣行:「ボタンの色のごまかしとボタンのコントラストのごまかし」 |
| 7. TYPE H PRACTICE: “LEGITIMATE INTEREST CLAIMED, LIST OF PURPOSES” |
7. タイプHの慣行:「正当な利益の主張、目的の一覧」 |
| 8. TYPE I PRACTICE: “INACCURATELY CLASSIFIED « ESSENTIAL » COOKIES” |
8. タイプ Iの慣行:「不正確に分類された「不可欠な」クッキー」 |
| 9. TYPE K PRACTICE: “NO WITHDRAW ICON |
9. タイプKの慣行:「撤回しないアイコン」 |
| DISCLAIMER |
免責事項 |
| The positions presented in this document result from the coordination of the members of the TF with a view to handling the “cookies banner” complaints received from NOYB. They reflect the common denominator agreed by the SAs in their interpretation of the applicable provisions of the ePrivacy Directive, and of the applicable provisions of the GDPR, for the analysis to be led when handling these complaints. These positions reflect a minimum threshold in this multi-layered legal framework to assess the placement/reading of cookies and subsequent processing of the data collected. They do not constitute stand-alone recommendations or findings to obtain a greenlight from a competent authority. The positions do not prejudge the analysis that will have to be made by the authorities of each complaint and each website concerned. These positions have to be combined with the application of additional national requirements stemming from the national laws transposing the ePrivacy Directive in the Member States, as well as to further clarifications and guidance provided by the national competent authorities to enforce the law transposing the ePrivacy Directive at national level, which remain fully applicable. |
この文書に示された見解は、NOYB から寄せられた「クッキー・バナー」に対する苦情を処理するため の TF メンバーの調整の結果得られたものである。これらの見解は、eプライバシー指令の適用条項およびGDPRの適用条項の解釈において、これらの苦情を処理する際に導くべき分析について、SAが合意した共通項を反映している。これらの見解は、クッキーの配置/読み取りと、それに続く収集データの処理を評価するための、この多層的な法的枠組みにおける最小限の閾値を反映したものである。これらは、所轄官庁からグリーンライトを得るための独立した勧告や調査結果を構成するものではありません。この見解は、各苦情や関係する各ウェブサイトの当局が行わなければならない分析を予見するものではありません。これらの見解は、加盟国におけるeプライバシー指令の国内法から生じる追加的な国内要件の適用、およびeプライバシー指令の国内法への置き換えを実施するために各国の主管庁が提供するさらなる明確化およびガイダンスと組み合わせる必要があり、これらは引き続き完全に適用可能なものとなっている。 |
| Following thirteen meetings of the taskforce members to coordinate their actions in handling the complaints received from NOYB, the following points were noted: |
NOYBから寄せられた苦情への対応について、タスクフォースメンバーが13回の会合を開き、次のような指摘がなされた。 |
| 1. APPLICABLE LEGAL FRAMEWORK |
1. 適用される法的枠組み |
| 1. Where the complaints concern the placement or reading of cookies the delegations confirmed that the applicable framework is only the national law transposing the ePrivacy Directive to the placement of cookies[1]. |
1. 苦情がクッキーの配置または読み取りに関するものである場合、適用される枠組みは、クッキーの配置にeプライバシー指令を適用した国内法のみであることを代表団が確認した[1]。 |
| 2. Concerning the subsequent processing activities undertaken by the controller of data, meaning the processing which takes place after storing or gaining access to information stored in the terminal equipment of a user in accordance with Article 5(3) Directive 2002/58/EC (for example, the placement or reading of cookies), the delegations confirmed that the applicable framework is the GDPR (including to consent, even if given at the same moment of the placement of cookies, as far as this consent constitutes the legal basis of the subsequent processing), in line with the conclusions of EDPB Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR[2]. |
2. データの管理者によって行われるその後の処理活動、すなわち、指令2002/58/EC第5条3項に従ってユーザーの端末機器に保存された情報へのアクセスを取得した後に行われる処理(例えば、クッキーの配置または読み取り)に関して代表団は、eプライバシー指令とGDPRの相互作用に関するEDPB意見書5/2019の結論に沿って、適用される枠組みはGDPR(クッキーの配置と同じ瞬間に与えられたとしても、この同意がその後の処理の法的根拠を構成する限り、同意に対するものも含む)であることを確認した[2]。 |
| 3. In accordance with the ePrivacy framework, it was recalled that certain concepts from the GDPR (e.g. the conditions for valid consent[3] and the right to information) are indispensable to assess whether there is an infringement of the national law transposing the ePrivacy Directive or not. |
3. eプライバシーの枠組みに従って、GDPRからの一定の概念(例えば、有効な同意の条件[3]や情報を得る権利)が、eプライバシー指令を移項した国内法の侵害があるか否かを評価するために不可欠であることが想起された。 |
| 2. APPLICATION OF THE OSS |
2. OSS の適用 |
| 4. Delegations recalled that the OSS mechanism does not apply to issues that fall under the ePrivacy Directive. |
4. 代表団は、OSS の仕組みが eプライバシー 指令に該当する問題には適用されないことを想起した。 |
| 5. When the GDPR applies, the taskforce members favoured the position that article 4(23)(b) may apply but does not per se apply to complaints against website owners just because you can access the respective website from all Member States. The CSAs will be identified based on the factual elements to conclude on cross-border cases. |
5. GDPRが適用される場合、タスクフォースのメンバーは、4条23項(b)は適用されるかもしれないが、すべての加盟国からそれぞれのウェブサイトにアクセスできるからといって、それ自体がウェブサイト所有者に対する苦情に適用されるわけではないとの立場を支持した。CSAは、クロスボーダーのケースについて結論を出すために、事実上の要素に基づいて特定されることになる。 |
| 3. TYPE A PRACTICE – “NO REJECT BUTTON ON THE FIRST LAYER” |
3. タイプAの慣行 -「第一階層に拒否ボタンがない」
|
| 6. It appears that some cookie banners displayed by several controllers contain a button to accept the storage of cookies and a button that allows the data subject to access further options, but without containing a button to reject the cookies. |
6. いくつかの管理者によって表示されるクッキーバナーには、クッキーの保存を承諾するボタンと、データ対象者がさらなるオプションにアクセスするためのボタンが含まれているが、クッキーを拒否するボタンが含まれていないようである。 |
| 7. As a preliminary remark, the task force members recalled that by default, no cookies which require consent can be set without a consent and that consent must be expressed by a positive action on the part of the user. |
7. 予備的な発言として、タスクフォースのメンバーは、デフォルトでは、同意が必要なクッキーは同意なしに設定できず、同意はユーザー側の積極的な行動によって表明されなければならないことを想起した。 |
| 8. When authorities were asked whether they would consider that a banner which does not provide for accept and refuse/reject/not consent options on any layer with a consent button is an infringement of the ePrivacy Directive, a vast majority of authorities considered that the absence of refuse/reject/not consent options on any layer with a consent button of the cookie consent banner is not in line with the requirements for a valid consent and thus constitutes an infringement. Few authorities considered that they cannot retain an infringement in this case as article 5(3) of the ePrivacy Directive does not explicitly mentioned a “reject option” to the deposit of cookies. |
8. 同意ボタンのある層で承諾と拒否/拒絶/同意しないオプションを提供しないバナーはeプライバシー指令の侵害であると考えるかどうかを当局に尋ねたところ、大多数の当局は、クッキー同意バナーの同意ボタンのある層に拒否/拒絶/同意しないオプションがないことは、有効な同意に対する要求と一致しないため侵害を構成すると考えた。eプライバシー指令の5条3項がクッキーの寄託に「拒否オプション」を明示的に言及していないため、本件の侵害を保持できないと考える当局は少数であった。 |
| 4. TYPE B PRACTICE – “PRE-TICKED BOXES” |
4. タイプBの慣行 - 「あらかじめチェックされたボックス」
|
| 9. It appears that several controllers provide users with several options (typically, representing each category of cookies the controller wishes to store) with pre-ticked boxes on the second layer of the cookie banner (after the user clicked on the “Settings” button of the first layer). |
9. いくつかのプロバイダが、クッキーバナーの第二層(ユーザーが第一層の「設定」ボタンをクリックした後)で、いくつかの選択肢(典型的には、コントローラが保存したいクッキーの各カテゴリーを表す)をあらかじめチェックしたボックスでユーザーに提供していると思われる。 |
| 10. The taskforce members confirmed that pre-ticked boxes to opt-in do not lead to valid consent as referred to either in the GDPR (see in particular recital 32 “Silence, pre-ticked boxes or inactivity should not therefore constitute consent.”) or in Article 5(3) of the ePrivacy Directive. |
10. タスクフォースのメンバーは、オプトインのための事前選択ボックスは、GDPR(特に説明32「沈黙、事前選択ボックス、非アクティブは、したがって、同意を構成してはならない」を参照)またはeプライバシー指令の第5条(3)で言及されている有効な同意につながらないことを確認した。 |
| 5. TYPE C PRACTICE |
5. タイプCの慣行
|
| 11. Deceptive “Link Design”It appears that some cookie banners displayed by several controllers contain a link, not a button, as an option to reject the deposit of cookies (direct link to reject or link to a second layer where a user can reject the deposit of cookies). |
11. 欺瞞的な「リンクデザイン」複数の管理者によって表示される一部のクッキーバナーには、クッキーの預託を拒否するオプションとして、ボタンではなくリンク(拒否への直接リンクまたはユーザーがクッキーの預託を拒否できる第二層へのリンク)が含まれていると思われる。 |
| 12. The taskforce members agreed that in any case, there should be a clear indication on what the banner is about, on the purpose of the consent being sought and on how to consent to cookies. |
12. タスクフォースのメンバーは、いかなる場合でも、バナーの内容、同意を求める目的、およびクッキーに同意する方法について、明確な表示を行うべきであることに同意した。 |
| 13. The members agreed that for the consent to be valid, the user should be able to understand what they consent to and how to do so. In order for a valid consent to be freely given, the taskforce members agreed that in any case a website owner must not design cookie banners in a way that gives users the impression that they have to give a consent to access the website content, nor that clearly pushes the user to give consent (one way could be on the contrary to allow the continuation of the navigation without cookies from the first level in particular for example). |
13. 同意が有効であるためには、ユーザーが何にどのように同意するのかを理解できるようにする必要があることに同意した。有効な同意が自由に与えられるために、タスクフォースのメンバーは、いかなる場合でも、ウェブサイトの所有者は、ウェブサイトのコンテンツにアクセスするために同意を与えなければならないような印象をユーザーに与えたり、同意を与えることを明確に押し付けるような方法でクッキーバナーを設計してはならないことに同意した(例えば、特に最初のレベルからクッキーなしでナビゲーションを継続できるようにすることも、その方法の一つと考えられる)。 |
| 14. The taskforce members agreed that the following examples do not lead to valid consents (nonexhaustive list): |
14. タスクフォースのメンバーは、以下の例は有効な同意につながらないということで合意した(非網羅的なリスト)。 |
| - the only alternative action offered (other than granting consent) consists of a link behind wording such as ‘refuse’ or ‘continue without accepting’ embedded in a paragraph of text in the cookie banner, in the absence of sufficient visual support to draw an average user’s attention to this alternative action; |
・提供される唯一の代替行為(同意の付与以外)が、平均的なユーザーの注意をこの代替行為に向ける十分な視覚的サポートがないまま、クッキーバナーのテキストの段落に埋め込まれた「拒否」または「受け入れずに続ける」といった文言の後ろのリンクで構成されている場合。 |
| - the only alternative action offered (other than granting consent) consists of a link behind wording such as ‘refuse’ or ‘continue without accepting’ placed outside the cookie banner where the buttons to accept cookies are presented, in the absence of sufficient visual support to draw the users’ attention to this alternative action outside the frame; |
・提供される唯一の代替行為(同意の付与以外)が、クッキーを受け入れるボタンが表示されるクッキーバナーの外側に配置された「拒否」または「受け入れずに続ける」などの文言の背後にあるリンクで構成されており、フレームの外側のこの代替行為にユーザーの注意を引くための十分な視覚的サポートがない場合。 |
| 6. TYPE D & E PRACTICES : “DECEPTIVE BUTTON COLOURS” & “DECEPTIVE BUTTON CONTRAST” |
6. タイプDとEの慣行:「ボタンの色のごまかしとボタンのコントラストのごまかし」 |
| 15. It appears that the configuration of some cookie banners in terms of colours and contrasts of the buttons (“contrast ratio between the accept button and the background” – type D practice) could lead to a clear highlight of the “accept all” button over the available options. |
15. ボタンの色とコントラストに関するいくつかのクッキーバナーの構成(「承諾ボタンと背景のコントラスト比」-タイプDの慣行)は、利用可能な選択肢の中で「すべて承諾」ボタンを明確に強調することにつながる可能性があるようである。 |
| 16. The taskforce members agreed to examine type D and E practices together as the issues are linked and raise similar points of discussion. |
16. タスクフォースメンバーは、タイプ D とタイプ E の慣行は、問題が関連しており、同様の論点を提起しているため、一緒に検討することに合意した。 |
| 17. The taskforce members agreed that a general banner standard concerning colour and/or contrast cannot be imposed on data controllers. In order to assess the conformity of a banner, a case-by-case verification must be carried out in order to check that the contrast and colours used are not obviously misleading for the users and do not result in an unintended and, as such, invalid consent from them. As a result, it was also agreed that a case-by-case analysis would be necessary to address specific cases, although some examples of features manifestly contrary to the ePrivacy Directive provisions have been identified. |
17. タスクフォースメンバーは、色やコントラストに関する一般的なバナー標準をデータ管理者に課すことはできないことに合意した。バナーの適合性を評価するためには、使用されているコントラストと色が明らかに利用者を誤解させるものではなく、意図しない、つまり利用者の無効な同意につながらないことを確認するために、ケースバイケースで検証を行う必要がある。その結果、eプライバシー指令の規定に明らかに反する機能の例がいくつか確認されたが、特定のケースに対応するためには、ケースバイケースの分析が必要であることも合意された。 |
| 18. Based on concrete examples, the taskforce members took the view that at least this practice could be manifestly misleading for users: |
18. 具体的な事例に基づいて、タスクフォースのメンバーは、少なくともこのような慣行は、利用者を明らかに誤解させる可能性があるという見解を示した。 |
| - an alternative action is offered (other than granting consent) in the form of a button where the contrast between the text and the button background is so minimal that the text is unreadable to virtually any user. |
- テキストとボタンの背景のコントラストが最小限のため、事実上すべてのユーザーがテキストを読むことができないボタンの形で、(同意の付与以外の)代替アクションが提供されている場合。 |
| 19. While the design choices above are considered problematic, the taskforce members reiterated that each specific cookie banner needs to be assessed on a case-by-case basis. |
19. 上記のようなデザインの選択は問題であると考えられているが、タスクフォースのメンバーは、特定のクッキーバナーはケースバイケースで評価される必要があることを再確認している。 |
| 7. TYPE H PRACTICE: “LEGITIMATE INTEREST CLAIMED, LIST OF PURPOSES” |
7. タイプHの慣行:「正当な利益の主張、目的の一覧」
|
| 20. It appears that some controllers put in place a banner which highlights the possibility of accepting the read/write operation at the first level (of the banner) but does not include an option to refuse at this level, which can lead the average user to believe that he has no possibility of objection to the deposit of cookies at all, and, incidentally, to the subsequent processing that results from them. |
20. 一部の管理者は、(バナーの)最初のレベルで読み取り/書き込み操作を受け入れる可能性を強調するバナーを設置しているようであるが、このレベルで拒否するオプションを含んでいないため、一般ユーザーは、クッキーの預託と、ついでにその結果生じるその後の処理に対して異議を唱える可能性が全くないと考える可能性がある。 |
| 21. In addition, at the second level (of the banner), a distinction is made between the refusal given to read/write operations and the potential objection to further processing presented as falling within the legitimate interest of the data controller. |
21. さらに、(バナーの)第二のレベルでは、読み取り/書き込み操作に与えられる拒否と、情報管理者の正当な利益の範囲内にあるものとして提示されるさらなる処理に対する拒否の可能性とが区別されます。 |
| 22. In those cases, it appears that: |
22. それらの場合、以下のように思われる。 |
| - The controller relied on legitimate interests under article 6(1)(f) GDPR for different processing activities as, for example, “Create a personalised content profile” or “Select personalised ads” whereas it could be considered that no overriding legitimate interest would exist for such processing activities. |
・管理者は、例えば「パーソナライズされたコンテンツプロファイルの作成」または「パーソナライズされた広告の選択」のような異なる処理活動に対して、GDPR第6条第1項(f)に基づく正当な利益に依拠したが、そのような処理活動には優先する正当な利益が存在しないと考えられる。 |
| - The integration of this notion of legitimate interest for the subsequent processing “in the deeper layers of the banner” could be considered as confusing for users who might think they have to refuse twice in order not to have their personal data processed. |
・この正当な利益の概念を「バナーのより深い層」の後続処理に統合することは、個人データを処理させないために二度拒否しなければならないと考えるユーザーにとって、混乱を招くと考えられる。 |
| 23. The taskforce members agreed that whether the subsequent processing based on cookies is lawful requires to determine if: |
23. タスクフォースのメンバーは、クッキーに基づく後続の処理が適法であるかどうかは、以下の点を判断する必要があることに合意した。 |
| - the storage/gaining of access to information through cookies or similar technologies is done in compliance with Article 5(3) ePrivacy directive (and the national implementing rules). |
・クッキーまたは類似の技術による情報の保存/アクセス取得が、eプライバシー指令(および国内実施規則)第5条3項を遵守して行われるかどうか。 |
| - any subsequent processing is done in compliance with the GDPR. |
・その後の処理がGDPRに準拠して行われているかどうか。 |
| 24. In this regard, the taskforce members took the view that non-compliance found concerning Art. 5 (3) in the ePrivacy directive (in particular when no valid consent is obtained where required), means that the subsequent processing cannot be compliant with the GDPR[4]. Also, the TF members confirmed that the legal basis for the placement/reading of cookies pursuant to Article 5 (3) cannot be the legitimate interests of the controller. |
24. この点に関して、タスクフォースのメンバーは、eプライバシー指令の第5条3項に関して発見された非遵守が、GDPRに適合しているとの見解を示した。この点に関して、タスクフォースのメンバーは、eプライバシー指令の第5条(3)に関してコンプライアンス違反が見つかった場合(特に、必要な場合に有効な同意が得られない場合)、その後の処理がGDPR[4]に準拠することができないことを意味するとの見解を示した。また、TFメンバーは、第5条(3)に基づくクッキーの配置/読み込みの法的根拠は、管理者の正当な利益ではありえないことを確認している。 |
| 25. The TF members agreed to resume discussions on this type of practice should they encounter concrete cases where further discussion would be necessary to ensure a consistent approach. |
25. TFメンバーは、一貫したアプローチを確保するためにさらなる議論が必要となる具体的なケースに遭遇した場合、この種の実務に関する議論を再開することに合意した。 |
| 8. TYPE I PRACTICE: “INACCURATELY CLASSIFIED « ESSENTIAL » COOKIES” |
8. タイプ Iの慣行:「不正確に分類された「不可欠な」クッキー」
|
| 26. It appears that some controllers classify as “essential” or “strictly necessary” cookies and processing operations which use personal data and serve purposes which would not be considered as “strictly necessary” within the meaning of Article 5(3) ePrivacy Directive or the ordinary meaning of “strictly necessary” or “essential” under the GDPR. |
26. 一部の管理者は、eプライバシー指令第5条3項の意味またはGDPRの「厳密に必要」もしくは「不可欠」の通常の意味において「厳密に必要」とみなされない個人データを使用し、目的を果たすクッキーおよび処理操作を「不可欠」または「厳密に必要」と分類しているようである。 |
| 27. Taskforce members agreed that the assessment of cookies to determine which ones are essential raises practical difficulties, in particular due to the fact that the features of cookies change regularly, which prevents the establishment of a stable and reliable list of such essential cookies. |
27. タスクフォースのメンバーは、どのクッキーが必須であるかを決定するためのクッキーの評価は、特にクッキーの機能が定期的に変化し、そのような必須クッキーの安定した信頼できるリストの確立を妨げるという事実のために、実用上の困難をもたらすということに同意した。 |
| 28. The existence of tools to establish the list of cookies used by a website has been discussed, as well as the responsibility of website owners to maintain such lists, and to provide them to the competent authorities where requested and to demonstrate the « essentiality » of the cookies listed. |
28. ウェブサイトが使用するクッキーのリストを作成するツールの存在と、そのようなリストを維持し、要求に応じて所轄官庁に提供し、リストされたクッキーの「必須性」を証明するウェブサイト所有者の責任について議論された。 |
| 29. On that point, it has been mentioned that specific tools exist and may be used to analyse a website and create a report that shows all the cookies that were placed when visiting the website. However, the only available tools do not allow to check the nature of the cookies but only to list the cookies placed in order to ask the website owner to provide documentation on their purposes. These tools are thus an additional help for the competent authorities to seek further clarifications and information from the website owners in addition to the information also provided on the website. |
29. この点については、特定のツールが存在し、ウェブサイトを分析し、ウェブサイトを訪問したときに配置されたすべてのクッキーを示すレポートを作成するために使用することができることが言及されている。しかし、利用可能な唯一のツールは、クッキーの性質をチェックすることはできず、ウェブサイトの所有者にその目的に関する文書を提供するよう求めるために、置かれたクッキーをリストすることだけを可能にします。したがって、これらのツールは、ウェブサイト上で提供される情報に加えて、管轄当局がウェブサイトの所有者にさらなる説明と情報を求めるための追加的な助けとなるものである。 |
| 30. The opinion n°04/2012 on Cookie Consent Exemption of WP 29 has also been recalled in relation to the criteria mentioned to assess which cookies are essential, and in particular the fact that cookies allowing website owners to retain the preferences expressed by users, regarding a service, should be deemed essential. |
30. WP29のクッキーに関する同意の免除に関する意見n°04/2012も、どのクッキーが必須かを評価するために言及された基準、特にサービスに関してユーザーが表明した好みをウェブサイト所有者が保持できるクッキーが必須とみなされるべきという事実に関連して、想起されている。 |
| 9. TYPE K PRACTICE: “NO WITHDRAW ICON” |
9. タイプKの慣行:「撤回しないアイコン」
|
| 31. It appears that where controllers provide an option allowing to withdraw consent, different forms of options are displayed. In particular, some controllers have not chosen to use the possibility to show a small hovering and permanently visible icon on all pages of the website that allows data subjects to return to their privacy settings, where they can withdraw their consent. |
31. 管理者が同意の撤回を可能にするオプションを提供する場合、異なる形式のオプションが表示されるようである。特に、一部の管理者は、データ対象者がプライバシー設定に戻り、そこで同意を撤回できるようにするために、ウェブサイトのすべてのページに小さなカーソルを合わせて常時表示するアイコンを表示する可能性を選択していないようである。 |
| 32. Website owners should put in place easily accessible solutions allowing users to withdraw their consent at any time, such as an icon (small hovering and permanently visible icon) or a link placed on a visible and standardized place. |
32. ウェブサイトの所有者は、ユーザーがいつでも同意を撤回できるよう、アイコン(小さなアイコン)やリンクなど、目につきやすく標準的な場所に、簡単にアクセスできるソリューションを設置する必要がある。 |
| 33. The ePrivacy Directive’s reference to consent in the GDPR includes both a reference to the definition of consent (article 4 of the GDPR) as well as to the conditions of it (article 7 of the GDPR). |
33. eプライバシー指令のGDPRにおける同意への言及は、同意の定義(GDPRの第4条)だけでなく、その条件(GDPRの第7条)への言及も含んでいる。 |
| 34. In addition to the requirements for the collection of consent to be valid in accordance with the GDPR and under Article 5(3) ePrivacy Directive, three additional cumulative conditions are mandatory (i) the possibility to withdraw consent, (ii) the ability to withdraw consent at any time, (iii) withdrawal of consent must be as easy as to give consent. |
34. GDPRとeプライバシー指令第5条3項に基づく同意の収集が有効であるための要件に加え、さらに3つの累積的条件が必須である(i)同意を撤回できること、(ii)いつでも同意を撤回できること、(iii)同意を撤回することは同意を与えることと同じくらい容易でなければならない。 |
| 35. However, website owners can only be imposed that easily accessible solutions are implemented and displayed once consent has been collected, but they cannot be imposed a specific withdrawal solution, and in particular to set up a hovering solution for the withdrawal of consent to the deposit of cookies and other trackers. A case-by-case analysis of the solution displayed to withdraw consent will always be necessary. In this analysis, it must be examined whether, as a result, the legal requirement that it is as easy to withdraw as to give consent is fulfilled. |
35. しかし、ウェブサイトの所有者は、同意が収集された後、簡単にアクセスできるソリューションが実装されて表示されていることを課すことができるが、彼らは特定の撤退ソリューションを課すことはできない、特にクッキーやその他のトラッカーの堆積への同意を撤回するためのホバリングソリューションを設定する。同意を撤回するために表示されるソリューションについては、常にケースバイケースの分析が必要となる。この分析では、結果として、同意を与えるのと同じくらい簡単に撤回できるという法的要件が満たされているかどうかを検証する必要がある。 |
| [1] In accordance with article 15.3 of ePrivacy directive, and as it has been done in the context of these works, the EDPB shall also carry out its tasks with regard to matters covered by the ePrivacy Directive |
[1] eプライバシー指令の第15.3条に従い、またこれらの作業の文脈で行われているように、EDPBはeプライバシー指令の対象となる事項に関してもその任務を遂行するものとする。 |
| [2] See also the EDPB Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications. |
[2] 接続された車両及びモビリティ関連アプリケーションの文脈における個人データの処理に関するEDPBガイドライン01/2020も参照のこと。 |
| [3] By taking into consideration the EDPB Guidelines 05/2020 on consent under Regulation 2016/679 4 The names of the violations used in the complaints have been kept. |
[3] 規制2016/679に基づく同意に関するEDPBガイドライン05/2020を考慮することにより 4 苦情に使用された違反の名称は保管されている。 |
| [4] See EDPB guidelines on connected vehicles; also see ECJ C-597/19 para. 118. |
[4] コネクテッドビークルに関するEDPBガイドライン参照、またECJ C-597/19 para. 118. |
Recent Comments