ウェブサイトの5つのGDPRクイックフィックス

公開: 2018-03-27

新しい欧州一般データ保護規則(GDPR)は、2018年5月25日に発効します。これにより、違反に対して重大な罰金が科せられるリスクがあります。 企業とそのオンラインチャネルがGDPRに準拠していることを確認することは、通常、主要な取り組みです。そのため、2016年5月から猶予期間が設けられています。しかし、現実的に考えてみましょう。多くの企業は、まだGDPRの準備ができていないか、現在、2018年5月までに準拠するために全速力で取り組んでいます。このブログ投稿では、 GDPR準拠に向けて大きな一歩を踏み出すためのウェブサイトの5つの簡単な修正を紹介します

1.Cookieバナーを追加します

GDPRでは、個人情報の保存についてユーザーに通知する必要があると規定されています。 これには、特に、Cookieに保存されているものなどのIPアドレスとオンライン識別子が含まれます。 個人データの収集、処理、保存には、データ主体(ユーザー)の同意も必要です。 2002年の現在の欧州e-プライバシー指令(e-プライバシー指令)は、追跡および機能CookieがWebサイトの改善と運用に必要であることを認識しており、暗黙の同意を許可しますが、ユーザーには明確に通知する必要があります。 これにより、すでによく知られているCookieバナーが実装されました。

少なくとも、WebサイトにCookieバナーを含める必要があります。 ウェブサイトでマーケティングCookie(ディスプレイ広告ネットワークリマーケティングマーケティングオートメーションなど)を使用する場合、これらはユーザーが同意した後にのみ設定できます。

ウェブサイトをさらに使用することにより、暗黙の同意を得て追跡するためのCookieバナーの例:

クッキーバナーの例

追跡およびターゲティング用のCookieバナーの例:ここでは、マーケティングCookieは、[Cookieを受け入れる]をクリックした後にのみ設定できます。

クッキーバナーの例

理想的には、ユーザーが許可するCookieの種類を決定する機会をユーザーに与える必要があります。 Cookieは次のように分類できます。

  • 必要なCookie(ログインセッション、ショッピングカートなど)
  • 機能的なCookie(vimeo.comなど)
  • 追跡/パフォーマンスCookie(Google Analyticsなど)
  • 広告とターゲティングCookie(DoubleClick、AppNexusなど)
  • カスタマイズCookie(HubSpot、Marketoなど)

特に広告とターゲティングおよびカスタマイズのカテゴリでは、ユーザーの明示的な同意が必要であることに注意することが重要です。

OneTrustのすぐに使用できるCookie管理ソリューションの

クッキー同意ソリューション-クッキー管理センター

TRUSTeEvidonのようなこれらの種類のソリューションを提供する他のプロバイダーもあります。

GDPRはまた、同意の撤回は同意を与えるのと同じくらい簡単でなければならないと規定しています。 上記の例では、これは各ページのフッターにあるCookie設定へのリンクによって保証されています。

2.フォームの適応

GDPRの観点からフォームを確認するための試行錯誤されたアプローチは、個人情報を含む各フィールドが、クレジットカード番号、パスポート番号、または母親の電話番号と同じ注意を払う価値があると想像することです。

  • 各フォームフィールドは、明らかに必要な場合にのみ存在する必要があります。 そうでない場合は、必要性を説明するか、不要なフィールドを削除してください。 ミニマリストのアプローチを取り、絶対に必要なものだけを収集します。
  • すべてのフォームで、プライバシーポリシーへの直接リンクが含まれていることを確認してください。
  • ユーザーは、フォームを送信する前に、データが保存される理由、場所、期間など、データがどうなるかを知ることができなければなりません。
  • 事前に入力されたチェックボックスは使用しないでください(特にニュースレターの購読の場合は、明示的な同意が必要です)。
  • 個人情報を含むフォームは、暗号化された形式でのみ送信できます。
  • GETメソッドはURLのフォームコンテンツをマップし、分析ツールとログファイルに保存するため、避けてください。
  • フォームによって収集された情報は、フォームに記入する際にユーザーが同意した目的でのみ使用できます。 たとえば、注文フォームに含まれている場合、電子メールマーケティングに電子メールアドレスを自動的に使用することはできません。
  • または、フォームを完全に削除して、電子メールリンクや電話番号に置き換えることもできます。

3.分析ツールでのIPアドレスの匿名化

分析スイートでIP匿名化をアクティブ化します。 Google Analyticsでは、訪問者のIPアドレスを確認することはできませんが、追跡中にGoogleサーバーに保存されます。 IP匿名化を有効にすると、これを防ぐことができます。 Google Analyticsでは、これはga( 'set'、 'anonymizeIp'、true)を追加してトラッキングコードで設定できます。

4.プライバシーポリシーを更新します

GDPRによると、データ管理者(この場合はウェブサイトの運営者)は、収集された個人情報の保存と使用について、ユーザーが理解できる言語で明確かつ明確に情報を提供する必要があります。 特に、次の点を報告する必要があります。

  • どのような情報が収集されますか?
  • 誰がこのデータを収集しますか?
  • このデータはどのように収集されますか?
  • このデータが収集されるのはなぜですか?
  • データはどのように使用/処理されますか?
  • データはどのサードパーティエンティティとどのような目的で共有されますか?
  • データは国を離れていますか?
  • ユーザーはどのように連絡を取ることができますか:1。データの表示、2。データの修正、3。データの削除、4。このデータの処理への同意の撤回?

5.サードパーティのコンテンツを確認/削除する

Webサイトのレンダリング時にブラウザに外部から読み込まれるコンテンツ( Facebookのいいね」ボタン、外部画像、PDFなどのソーシャルプラグインなど)は、訪問者のIPアドレスのソースを通知します。 Cookieを使用するページの場合、追加情報をサードパーティのサーバーに送信することもできます。 たとえば、Facebookは、ユーザーXYがWebサイトでFacebookアクションを実行しなかった場合でも、ユーザーXYがWebサイトにアクセスしたことを認識しています。 ウェブサイトの所有者およびデータ管理者として、どのサードパーティエンティティが個人情報にアクセスできるかを決定するのはあなたの責任です。

したがって、外部ソースを確認し、可能な場合は不要なコンテンツを削除することをお勧めします。 保持されているソースはすべてデータ保護契約に含める必要があり、場合によっては、サードパーティプロバイダーがターゲティングするための情報を収集するときに、明示的なユーザーの同意も必要になります。

これらのクイックフィックスの実装は、GDPRへの完全な準拠を意味するものではないことに注意してください。 他の重要な条件を満たす必要があります。 したがって、オンラインチャネルの完全なGDPRコンプライアンス監査を実行することをお勧めします。

GDPR監査の個別のオファーをリクエストするには、ここをクリックてください。

新しいデータ保護規則の詳細については、デジタルコンプライアンスセクションにアクセスするか、コンプライアンスブログの投稿を確認してください。