ニーダーザクセン州データ保護委員は、準拠した同意レイヤーがどうあるべきかに関する新しいガイドラインと指示を発表しました。 最も重要な情報はここにまとめられています。
多くの同意ツールは準拠していません
まず、LDF は、多くの GDPR ツールは結局 GDPR に準拠していないという結論に達しました。 通常、同意管理ツールを使用すると、Web サイトがデータ保護に準拠した同意を取得できるようになりますが、ツールを正しく設定するかどうかは Web サイト運営者の責任です。
実用的なヒント:consentmanager のデフォルト設定は、すでに推奨値に設定されています。 ツールの設定方法がわからない場合は、デフォルト設定を使用してください。
同意前のデータ処理はありません
また、LDF は、データ処理、つまり Cookie の設定やサードパーティプロバイダーの呼び出しは、同意が得られた場合にのみ実行できることを再度明確にしています (Web サイト上の同意バナーなどを通じて)。
実用的なヒント: Cookie クローラー適合性テストを使用して、同意なしに Cookie が設定されていないことを確認します。
同意レイヤーの情報
さらに、LDF は、データ保護に準拠した同意を得るために、Web サイト上の同意バナーにどのような情報を含めるべきかを再度明確にしました。 具体的には次のとおりです。
- 責任者の身元、
- 処理目的、
- 処理されたデータ、
- 独占的に自動化された決定の意図(第 22 条第 2 項 c)および
- 第三国にデータを移転する意図(第49条第1項第1文a)
また、目的は具体的である必要があることも明確にされています。 「ブラウジング エクスペリエンスの向上」や「マーケティング、分析、パーソナライゼーション」といったフレーズだけでは十分ではありません。
同じことがパートナーの詳細にも当てはまります。単に「パートナー」がデータを処理すると言うだけでは十分ではありません。すべてのパートナーの名前も個別に指定する必要があります。
実用的なヒント: 同意マネージャーは必要なデータのほとんどをすでに提供していますが、目的が適用分野に対して十分に具体的に指定されているかどうかを確認する必要があります。
明確な同意とナッジ
最後に、LFD は、ボタンが明確に理解でき、明確にラベル付けされている必要があることを明確にします。 ここでは「OK」ボタンだけでは十分ではなく、「すべて受け入れる」ボタンも不明確すぎる可能性があります(テキストが受け入れられる内容を適切に説明していない場合)。
同時に、LFD は、いわゆる「PUR モデル」(広告を受け入れるかサブスクリプションを取得する)が準拠できることを明確にしています。
LFD は、いわゆるナッジ パターンやダーク パターンが許可されていないという事実についても詳しく説明しています。 重要なのは、ユーザーが意識的または無意識的に決定を下すよう圧力をかけられ、その結果、ユーザーの「自由な選択」が損なわれるということです。 たとえば、拒否ボタンのデザインが異なっている(目立たない)場合や、拒否が「設定」などをクリックすることによってのみ可能である場合、これはすでに当てはまります。
実践的なヒント: 常に 2 つのボタン (承認と拒否) を使用し、それらを明確に定式化してください。