Co to jest CNIL i jak go przestrzegać?

1 października 2020 r. francuski urząd ochrony danych (CNIL) opublikował poprawioną wersję swoich wytycznych z 2019 r. dotyczących plików cookie i podobnych technologii. Zmienioną wersję opublikowano, aby uwzględnić również rozporządzenie RODO dotyczące plików cookie.

CNIL lub Commission Nationale de l'informatique et des libertes (Krajowa Komisja ds. Informatyki i Wolności) to francuski administracyjny organ regulacyjny, który ma uprawnienia do egzekwowania przepisów o ochronie danych we Francji. CNIL odpowiada za egzekwowanie wszystkich poniższych trzech przepisów w kraju.

• Francuska ustawa o ochronie danych
• RODO
• Dyrektywa o prywatności i łączności elektronicznej

Posiada również uprawnienia do przyjmowania skarg i nakładania kar pieniężnych za naruszenie prawa.

Jeśli Twoja firma należy do którejkolwiek z poniższych kategorii, musisz jej przestrzegać.

• Ma siedzibę we Francji i francuskich terytoriach zamorskich
• Gromadzi i/lub przetwarza dane osobowe obywateli i mieszkańców Francji i francuskich terytoriów zamorskich

Są to te same zasady stosowania, co w RODO.

Użytkownik powinien wyrazić zgodę za pomocą wyraźnej pozytywnej akcji potwierdzającej (takiej jak kliknięcie „Akceptuję” na banerze z plikami cookie). Brak działania użytkownika, przewijanie lub dalsze przeglądanie itp. nie mogą być traktowane jako zgoda i żadne inne pliki cookie niż niezbędne nie powinny być umieszczane na urządzeniu użytkownika do czasu uzyskania wyraźnej zgody.

Użytkownicy powinni mieć możliwość odrzucenia plików cookie z taką samą łatwością, z jaką je zaakceptowali.

Użytkownicy powinni mieć możliwość łatwego wycofania zgody na pliki cookie w dowolnym momencie.

Użytkownicy muszą być wyraźnie poinformowani o celach plików cookie przed wyrażeniem zgody, a także o konsekwencjach zaakceptowania lub odrzucenia plików cookie.

Firmy, które chcą uzyskać zgodę na pliki cookie, powinny w dowolnym momencie przedstawić dowód ważnego pobrania dobrowolnej, świadomej, konkretnej i jednoznacznej zgody użytkownika.

Poniżej znajduje się infografika, która daje szybki pogląd na wymagania zgodności w ramach CNIL.

Zarówno CNIL, jak i RODO mają podobne wymagania, jeśli chodzi o uzyskanie zgody użytkowników na renderowanie plików cookie. Są takie, jak pokazano poniżej.

• Zgoda musi być wyrażona dobrowolnie. Użytkownik powinien mieć swobodę wyboru, czy wyrazić zgodę na pliki cookie, czy nie.

• Zgoda musi być konkretna. Musisz uzyskać zgodę na każdy cel zbierania danych. Oznacza to, że jeśli uzyskałeś zgodę do celów analitycznych, potrzebujesz nowej zgody na zbieranie danych w celach marketingowych.

• Wniosek o zgodę musi być dobrze poinformowany. Oznacza to, że musisz poinformować użytkownika o swoich praktykach dotyczących prywatności w momencie żądania. Dobrą praktyką jest poinformowanie ich, że korzystasz z plików cookies i przedstawienie im linku do Twojej polityki prywatności.

• Zgoda musi być jednoznaczna. Musisz pokazać przycisk AKCEPTUJ i ODRZUCAJ. Pokazanie tylko przycisku AKCEPTUJ to za mało. Użytkownik powinien mieć możliwość podjęcia działań afirmatywnych w Twojej witrynie.

Chociaż prośba o wyraźną zgodę jest konieczna w ramach CNIL, wyłącza niektóre pliki cookie, aby były dozwolone bez zgody użytkowników. Poniżej znajduje się lista plików cookie zwolnionych z obowiązku zbierania zgody.

• Pliki cookies służące do uwierzytelniania w usłudze
• Pliki cookie używane do zapamiętywania pozycji koszyka w witrynie eCommerce
• Niektóre pliki cookie służące do generowania statystyk ruchu
• Pliki cookie umożliwiające płatnym witrynom ograniczanie bezpłatnego dostępu do próbki treści żądanych przez użytkowników
• Pliki cookie przechowujące wybór zgody użytkownika
• Pliki cookie do dostosowywania interfejsu użytkownika
• Pliki cookie preferencji językowych

CNIL uważa, że ​​zgoda powinna pochodzić wyłącznie z pozytywnego aktu. Dlatego każdą bezczynność należy rozumieć jako odmowę użycia plików cookie.

Poniżej przedstawiono dwa przypadki, w których można ustawić pliki cookie na urządzeniach użytkowników.

• Użytkownik wyraził zgodę na pliki cookies
• Pliki cookie należą do wyłączonej kategorii (wymienionej w powyższej sekcji)

Co do zasady konieczne jest zachowanie wyborów wyrażonych przez użytkownika, niezależnie od tego, czy jest to jego zgoda, czy odmowa. Dzięki temu podczas przeglądania strony nie będą musieli przeformułowywać swojego wyboru ze strony na stronę.

Generalnie zaleca się zatem zapisanie wyboru wyrażonego przez internautę, aby przez pewien czas nie prosić go ponownie.

Okres przechowywania wybranych opcji będzie musiał być oceniany indywidualnie dla każdego przypadku (z uwzględnieniem charakteru danej strony internetowej lub aplikacji oraz specyfiki jej odbiorców). Generalnie dobrą praktyką jest zachowywanie wyborów przez okres 6 miesięcy.

Ściany z plikami cookie to projekty witryn internetowych, które wymagają od użytkownika zaakceptowania plików cookie przed uzyskaniem dostępu do zawartości witryny. Podczas gdy wytyczne na rok 2019 całkowicie zabraniają używania ścian cookie. W wyniku niezgodnego z prawem orzeczenia francuskiego sądu, CNIL zredagował swoje wytyczne, stwierdzając, że zgodność z prawem ciasteczek ściennych musi być oceniana indywidualnie dla każdego przypadku.

W przypadku stosowania cookie wall należy wyraźnie poinformować użytkownika o braku dostępu do treści bez jego zgody. W przeciwnym razie tablica lub baner z plikami cookie powinien wkrótce zniknąć, aby nie zakłócać dostępu użytkownika do treści ani w żaden inny sposób nie skłaniać użytkownika do wyrażenia zgody.

CNIL przedstawił zarówno wytyczne, jak i zalecenia. Wytyczne CNIL dotyczące plików cookie i innych znaczników informują o obowiązujących przepisach prawnych podczas interakcji użytkownika z Internetem za pośrednictwem interfejsu smartfona, komputera, tabletu itp.

Zalecenie ma na celu pokierowanie zainteresowanymi profesjonalistami w procesie zapewniania zgodności. Przedstawia przykłady praktycznych sposobów uzyskania zgody na obowiązujących zasadach, ale także spełnienia wymogów określonych w art. 82 ustawy o ochronie danych.

CNIL nakłada grzywnę na organizację w przypadku naruszenia RODO lub francuskiej ustawy o ochronie danych na dwa sposoby.

• Po złożeniu skargi lub zgłoszeniu naruszenia do CNIL
• W następstwie dochodzenia przeprowadzonego przez CNIL

W obu przypadkach przewodniczący CNIL może wyznaczyć sprawozdawcę spośród komisarzy CNIL, z wyjątkiem członków ograniczonego komitetu, i odnieść się do ograniczonego komitetu. W skład ograniczonego komitetu wchodzi pięciu komisarzy CNIL i wybrany spośród nich przewodniczący.

Oskarżona organizacja jest informowana, a dokumenty są wymieniane podczas procedury pisemnej między sprawozdawcą a organizacją. Następnie zastrzeżona komisja otrzymuje wszystkie dokumenty.

W trakcie postępowania oskarżona organizacja może zostać wysłuchana, jeżeli sprawozdawca uzna to za przydatne. W takim przypadku pisemny protokół potwierdzi rozprawę.

Kara może być dozorowa lub niemonitorowana. Pod względem monitorowania, oskarżana firma lub organizacja będzie zmuszona zapłacić kwotę do 4% całkowitego światowego obrotu lub do 20 milionów funtów, w zależności od tego, która z tych wartości jest wyższa. W warunkach niemonitorujących będzie ostrzeżenie, nakaz z okresowymi karami pieniężnymi itp.

Zgodnie z zapowiedziami szacuje, że termin dostosowania się do nowych przepisów (opublikowanych 1 października) nie powinien przekroczyć sześciu miesięcy, tj. najpóźniej do końca marca 2021 roku.

CNIL przeprowadzi następnie audyty i podejmie działania egzekucyjne. Jak zawsze operatorzy muszą również zapewnić, że przestrzegają zarówno dyrektywy o prywatności elektronicznej, jak i ogólnego rozporządzenia o ochronie danych.

Możesz ułatwić podróż do zgodności z CNIL dla swojej witryny WordPress za pomocą wtyczki CookieYes RODO Cookie Consent and Compliance Notice. Wtyczka ułatwia zarządzanie plikami cookie dzięki potężnemu zestawowi funkcji.

Wtyczka zapewnia następujące funkcje.

• Automatyczne skanowanie plików cookie — wtyczka automatycznie skanuje Twoją witrynę w poszukiwaniu plików cookie.
• Baner zgody na pliki cookie – Możesz utworzyć i dostosować baner zgody, aby spełniał wymagania wymienione w wytycznych prawa.
• Opcja zgody szczegółowej — uzyskaj wyraźną zgodę na pliki cookie, informując użytkowników o użyciu każdego rodzaju plików cookie w Twojej witrynie.
• Dziennik zgód na pliki cookie — zapisz zgodę użytkowników z odpowiednimi danymi, takimi jak pliki cookie, na które wyrażono zgodę, data, godzina itp.
• Automatyczne blokowanie skryptów – Możesz włączyć blokowanie skryptów plików cookie z wtyczek i usług stron trzecich
• Generator polityki prywatności – Łatwe generowanie polityki prywatności/plików cookie od podstaw.

W następstwie nowego zestawu wytycznych przedstawionych przez CNIL, nie zostało Ci zbyt wiele czasu na ich przestrzeganie. Rozpocznij więc swoją podróż do zgodności już dziś z wtyczką CookieYes RODO Cookie Consent and Compliance Notice.