CNIL คืออะไรและจะปฏิบัติตามอย่างไร

เผยแพร่แล้ว: 2021-03-26

เมื่อวันที่ 1 ตุลาคม 2020 หน่วยงานคุ้มครองข้อมูลของฝรั่งเศส (CNIL) ได้เผยแพร่แนวทางแก้ไขสำหรับคุกกี้และเทคโนโลยีที่คล้ายกันในปี 2019 เวอร์ชันที่แก้ไขได้รับการเผยแพร่โดยคำนึงถึงกฎระเบียบของ GDPR เกี่ยวกับคุกกี้ด้วย

CNIL คืออะไร?

CNIL หรือ Commission Nationale de l'informatique et des libertes (คณะกรรมการแห่งชาติด้านสารสนเทศและเสรีภาพ) เป็นหน่วยงานกำกับดูแลของฝรั่งเศสที่มีอำนาจบังคับใช้กฎหมายคุ้มครองข้อมูลในฝรั่งเศส CNIL มีหน้าที่บังคับใช้กฎหมายทั้งสามด้านล่างในประเทศ

  • พระราชบัญญัติคุ้มครองข้อมูลของฝรั่งเศส
  • GDPR
  • คำสั่ง ePrivacy

อีกทั้งยังมีอำนาจรับเรื่องร้องเรียนและปรับกรณีฝ่าฝืนกฎหมาย

ใครจะอยู่ภายใต้ CNIL?

หากธุรกิจของคุณจัดอยู่ในหมวดหมู่ใดๆ ต่อไปนี้ คุณจะต้องปฏิบัติตามนั้น

  • อยู่ในฝรั่งเศสและดินแดนฝรั่งเศสในต่างประเทศ
  • รวบรวมและ/หรือประมวลผลข้อมูลส่วนบุคคลของพลเมืองและผู้อยู่อาศัยในฝรั่งเศสและดินแดนของฝรั่งเศสในต่างประเทศ

นี่เป็นหลักการบังคับใช้เดียวกันกับใน GDPR

ข้อกำหนดสำหรับการปฏิบัติตามคุกกี้ภายใต้ CNIL คืออะไร?

ความยินยอมของผู้ใช้อย่างชัดแจ้ง

ผู้ใช้ควรยินยอมให้มีการดำเนินการเชิงบวกที่ชัดเจน (เช่น การคลิกที่ "ฉันยอมรับ" บนแบนเนอร์คุกกี้) การไม่ใช้งาน การเลื่อนหรือการเรียกดูต่อของผู้ใช้ ฯลฯ ของผู้ใช้ไม่สามารถถือเป็นความยินยอมได้ และไม่ควรใส่คุกกี้อื่นนอกเหนือจากที่จำเป็นลงในอุปกรณ์ของผู้ใช้จนกว่าจะได้รับความยินยอมอย่างชัดแจ้ง

ตัวเลือกในการปฏิเสธคุกกี้

ผู้ใช้ควรสามารถปฏิเสธคุกกี้ได้อย่างง่ายดายเช่นเดียวกับที่พวกเขายอมรับตั้งแต่แรก

ตัวเลือกในการถอนความยินยอม

ผู้ใช้ควรจะสามารถเพิกถอนความยินยอมสำหรับคุกกี้ได้อย่างง่ายดายและทุกเวลา

วัตถุประสงค์ของคุกกี้

ผู้ใช้ต้องได้รับการแจ้งอย่างชัดเจนถึงวัตถุประสงค์ของคุกกี้ก่อนที่จะยินยอม ควบคู่ไปกับผลที่ตามมาของการยอมรับหรือปฏิเสธคุกกี้

หลักฐานแสดงความยินยอม

ธุรกิจที่ขอคำยินยอมสำหรับคุกกี้ควรจัดเตรียมหลักฐานการรวบรวมที่ถูกต้องของความยินยอมของผู้ใช้ฟรี แจ้ง เฉพาะเจาะจง และชัดเจนทุกเมื่อ

ต่อไปนี้เป็นอินโฟกราฟิกที่จะให้แนวคิดโดยย่อเกี่ยวกับข้อกำหนดการปฏิบัติตามข้อกำหนดภายใต้ CNIL

จะขอความยินยอมสำหรับคุกกี้ภายใต้ CNIL ได้อย่างไร

ทั้ง CNIL และ GDPR มีข้อกำหนดที่คล้ายคลึงกันในการขอความยินยอมจากผู้ใช้ในการแสดงคุกกี้ ดังที่แสดงด้านล่าง

  • ต้องได้รับความยินยอมโดยเสรี ผู้ใช้ควรมีอิสระในการเลือกว่าจะให้คำยินยอมสำหรับคุกกี้หรือไม่
  • ความยินยอมจะต้องเฉพาะเจาะจง คุณต้องได้รับความยินยอมสำหรับวัตถุประสงค์ในการรวบรวมข้อมูลแต่ละอย่าง ซึ่งหมายความว่าหากคุณได้รับความยินยอมเพื่อวัตถุประสงค์ในการวิเคราะห์ คุณต้องได้รับความยินยอมใหม่สำหรับการรวบรวมข้อมูลเพื่อวัตถุประสงค์ทางการตลาด
  • การขอความยินยอมต้องได้รับแจ้งเป็นอย่างดี หมายความว่าคุณต้องแจ้งให้ผู้ใช้ทราบถึงแนวทางปฏิบัติด้านความเป็นส่วนตัวของคุณในขณะที่ทำการร้องขอ การแจ้งให้พวกเขาทราบว่าคุณใช้คุกกี้และแสดงลิงก์ไปยังนโยบายความเป็นส่วนตัวของคุณเป็นแนวทางปฏิบัติที่ดี
  • ความยินยอมจะต้องชัดเจน คุณต้องแสดงปุ่มยอมรับและปฏิเสธ แสดงเฉพาะปุ่ม ACCEPT เท่านั้นไม่เพียงพอ ผู้ใช้ควรจะสามารถดำเนินการยืนยันบนเว็บไซต์ของคุณได้

คุกกี้ที่ได้รับการยกเว้นจากการเก็บรวบรวมความยินยอมโดย CNIL

แม้ว่าจะต้องขอความยินยอมอย่างชัดแจ้งภายใต้ CNIL แต่ก็ยกเว้นคุกกี้บางตัวที่จะได้รับอนุญาตโดยไม่ได้รับความยินยอมจากผู้ใช้ ต่อไปนี้เป็นรายการคุกกี้ที่ได้รับการยกเว้นจากการเก็บรวบรวมความยินยอม

  • คุกกี้สำหรับรับรองความถูกต้องกับบริการ
  • คุกกี้ใช้เพื่อจดจำรายการรถเข็นบนเว็บไซต์อีคอมเมิร์ซ
  • คุกกี้บางตัวมีไว้เพื่อสร้างสถิติการเข้าชม
  • คุกกี้ที่อนุญาตให้ไซต์ที่ชำระเงินสามารถจำกัดการเข้าถึงตัวอย่างเนื้อหาที่ผู้ใช้ร้องขอได้ฟรี
  • คุกกี้ที่จัดเก็บตัวเลือกความยินยอมของผู้ใช้
  • คุกกี้ปรับแต่งส่วนต่อประสานผู้ใช้
  • คุกกี้การตั้งค่าภาษา

ความเงียบของผู้ใช้ควรถูกตีความภายใต้ CNIL อย่างไร

CNIL พิจารณาว่าความยินยอมควรมาจากการกระทำเชิงบวกเท่านั้น ดังนั้น การไม่ดำเนินการใดๆ จะต้องเข้าใจว่าเป็นการปฏิเสธการใช้คุกกี้

ต่อไปนี้เป็นสองกรณีที่คุณสามารถตั้งค่าคุกกี้บนอุปกรณ์ของผู้ใช้ได้

  • ผู้ใช้ได้แสดงความยินยอมในการใช้คุกกี้
  • คุกกี้อยู่ในหมวดหมู่ที่ได้รับการยกเว้น (ตามที่ระบุไว้ในส่วนด้านบน)

เมื่อใดควรขอการต่ออายุความยินยอมภายใต้ CNIL

โดยหลักการแล้ว จำเป็นต้องรักษาตัวเลือกที่แสดงโดยผู้ใช้ ไม่ว่าจะเป็นความยินยอมหรือการปฏิเสธก็ตาม ดังนั้น ขณะเรียกดูเว็บไซต์ พวกเขาจะไม่ต้องเปลี่ยนทางเลือกใหม่จากหน้าหนึ่งไปยังอีกหน้าหนึ่ง

โดยทั่วไป ดังนั้นจึงแนะนำให้บันทึกตัวเลือกที่แสดงโดยผู้ใช้อินเทอร์เน็ต เพื่อไม่ให้ร้องขออีกครั้งในช่วงระยะเวลาหนึ่ง

ระยะเวลาเก็บรักษาตัวเลือกจะต้องได้รับการประเมินเป็นรายกรณี (โดยคำนึงถึงธรรมชาติของเว็บไซต์หรือแอปพลิเคชันที่เกี่ยวข้องและลักษณะเฉพาะของผู้ชม) โดยทั่วไป การรักษาตัวเลือกไว้เป็นระยะเวลา 6 เดือนถือเป็นวิธีปฏิบัติที่ดี

CNIL's Say on Cookie Walls คืออะไร?

วอลล์คุกกี้คือการออกแบบเว็บไซต์ที่กำหนดให้ผู้ใช้ยอมรับคุกกี้ก่อนจึงจะสามารถเข้าถึงเนื้อหาของเว็บไซต์ได้ ในขณะที่แนวทางปี 2019 ห้ามมิให้ใช้กำแพงคุกกี้อย่างสมบูรณ์ จากผลของคำตัดสินของศาลของฝรั่งเศสที่ขัดต่อกฎหมาย CNIL ได้แก้ไขแนวปฏิบัติเพื่อระบุว่าต้องประเมินความถูกกฎหมายของคุกกี้วอลล์เป็นรายกรณี

หากมีการใช้คุกกี้วอลล์ ผู้ใช้ควรได้รับแจ้งอย่างชัดเจนว่าไม่สามารถเข้าถึงเนื้อหาได้หากไม่ได้รับความยินยอม มิเช่นนั้น คุกกี้วอลล์หรือแบนเนอร์จะหายไปในไม่ช้า จึงไม่รบกวนการเข้าถึงเนื้อหาของผู้ใช้หรือโน้มน้าวให้ผู้ใช้ยินยอม

อะไรคือความแตกต่างระหว่างแนวทาง CNIL และข้อเสนอแนะ?

CNIL ได้หยิบยกทั้งแนวทางและข้อเสนอแนะ หลักเกณฑ์ของ CNIL เกี่ยวกับคุกกี้และเครื่องมือติดตามอื่นๆ แจ้งให้คุณทราบถึงกฎหมายที่บังคับใช้ในขณะที่ผู้ใช้โต้ตอบกับอินเทอร์เน็ตผ่านอินเทอร์เฟซของสมาร์ทโฟน คอมพิวเตอร์ แท็บเล็ต ฯลฯ

คำแนะนำมีขึ้นเพื่อเป็นแนวทางให้ผู้เชี่ยวชาญที่เกี่ยวข้องในกระบวนการปฏิบัติตามข้อกำหนด มีตัวอย่างวิธีการปฏิบัติในการขอความยินยอมตามกฎที่บังคับใช้ แต่ยังเป็นไปตามข้อกำหนดที่กำหนดไว้ในมาตรา 82 ของพระราชบัญญัติคุ้มครองข้อมูล

อะไรคือผลที่ตามมาของการไม่ปฏิบัติตามและจะนำไปปฏิบัติอย่างไร?

CNIL ออกค่าปรับกับองค์กรในกรณีที่มีการละเมิด GDPR หรือกฎหมายคุ้มครองข้อมูลของฝรั่งเศสในสองวิธี

  • ภายหลังการร้องเรียนหรือรายงานการละเมิดต่อ CNIL
  • หลังจากการสอบสวนดำเนินการโดย CNIL

ในทั้งสองกรณี ประธานของ CNIL อาจแต่งตั้งผู้รายงานจากคณะกรรมาธิการของ CNIL ยกเว้นสมาชิกของคณะกรรมการที่ถูกจำกัด และอ้างถึงคณะกรรมการที่ถูกจำกัด คณะกรรมการที่ถูกจำกัดประกอบด้วยกรรมาธิการของ CNIL ห้าคนและประธานซึ่งได้รับเลือกจากพวกเขา

องค์กรที่ถูกกล่าวหาจะได้รับแจ้งและมีการแลกเปลี่ยนเอกสารระหว่างขั้นตอนที่เป็นลายลักษณ์อักษรระหว่างผู้รายงานกับองค์กร คณะกรรมการที่ถูกจำกัดจะได้รับเอกสารทั้งหมด

ในระหว่างขั้นตอน อาจได้ยินองค์กรที่ถูกกล่าวหาหากผู้รายงานเห็นว่ามีประโยชน์ ในกรณีนี้รายงานเป็นลายลักษณ์อักษรจะยืนยันการพิจารณาคดี

บทลงโทษสามารถติดตามหรือไม่ติดตาม ในแง่การตรวจสอบ ธุรกิจหรือองค์กรที่ถูกกล่าวหาจะถูกบังคับให้จ่ายเงินสูงถึง 4% ของมูลค่าการซื้อขายทั่วโลกทั้งหมดหรือสูงถึง 20 ล้านปอนด์ แล้วแต่จำนวนใดจะสูงกว่า ในแง่ที่ไม่ใช่การตรวจสอบ จะมีการตักเตือน คำสั่งห้ามให้จ่ายค่าปรับเป็นงวด ฯลฯ

CNIL จะถูกบังคับใช้เมื่อใด

ตามที่ได้ประกาศไว้ คาดว่าเส้นตายสำหรับการปฏิบัติตามกฎใหม่ (ซึ่งเผยแพร่เมื่อวันที่ 1 ตุลาคม) ไม่ควรเกินหกเดือน กล่าวคือ อย่างช้าที่สุดภายในสิ้นเดือนมีนาคม พ.ศ. 2564

CNIL จะดำเนินการตรวจสอบและดำเนินการบังคับใช้ และเช่นเคย ผู้ปฏิบัติงานต้องตรวจสอบให้แน่ใจด้วยว่าพวกเขาปฏิบัติตามทั้ง ePrivacy Directive และ General Data Protection Regulation

จะปฏิบัติตาม CNIL ได้อย่างง่ายดายได้อย่างไร

คุณสามารถทำให้เส้นทางการปฏิบัติตาม CNIL เป็นเรื่องง่ายสำหรับเว็บไซต์ WordPress ของคุณด้วยความช่วยเหลือของปลั๊กอิน CookieYes GDPR Cookie Consent and Compliance Notice ปลั๊กอินทำให้การจัดการคุกกี้ทำได้ง่ายด้วยชุดคุณลักษณะอันทรงพลัง

ปลั๊กอินมีคุณสมบัติดังต่อไปนี้

  • สแกนคุกกี้อัตโนมัติ – ปลั๊กอินจะสแกนเว็บไซต์ของคุณเพื่อหาคุกกี้โดยอัตโนมัติ
  • แบนเนอร์ความยินยอมของคุกกี้ – คุณสามารถสร้างและปรับแต่งแบนเนอร์แสดงความยินยอมเพื่อให้เป็นไปตามข้อกำหนดที่ระบุไว้ในแนวทางของกฎหมาย
  • ตัวเลือกความยินยอมแบบละเอียด – ขอความยินยอมอย่างชัดเจนสำหรับคุกกี้โดยแจ้งให้ผู้ใช้ทราบเกี่ยวกับการใช้คุกกี้แต่ละประเภทในเว็บไซต์ของคุณ
  • บันทึกความยินยอมของคุกกี้ – บันทึกความยินยอมของผู้ใช้ของคุณด้วยข้อมูลที่เกี่ยวข้อง เช่น คุกกี้ที่ได้รับความยินยอม วันที่ เวลา ฯลฯ
  • การบล็อกสคริปต์อัตโนมัติ – คุณสามารถเปิดใช้งานการบล็อกสคริปต์ของคุกกี้จากปลั๊กอินและบริการของบุคคลที่สาม
  • ตัวสร้าง นโยบายความเป็นส่วนตัว – สร้างนโยบายความเป็นส่วนตัว/คุกกี้ได้อย่างง่ายดายตั้งแต่เริ่มต้น

บทสรุป

ภายหลังชุดแนวทางใหม่ที่จัดทำโดย CNIL คุณไม่เหลือเวลาอีกนานเกินกว่าจะปฏิบัติตาม เพื่อเริ่มต้นเส้นทางการปฏิบัติตามข้อกำหนดของคุณวันนี้ด้วยปลั๊กอิน CookieYes GDPR Cookie Consent and Compliance Notice