荷兰的网站在使用cookies、追踪访客和展示在线广告方面都面临着严格的规定。 荷兰数据保护局 目前,该公司每年监控约 10,000 个网站,并计划每年对 500 个违反这些规则的组织发出警告。
最近分别处以 600,000 万欧元和 40,000 万欧元的罚款,表明执法力度已经加大。
您必须在网站上放置跟踪 cookie 之前获得适当的同意,并且您的 cookie 横幅不能使用预先勾选的复选框、隐藏的拒绝按钮或其他误导性设计。 规则来自两者…… 《通用数据保护条例》(GDPR) 以及《电子隐私指令》,它们共同保护用户隐私。
如果您通过 Cookie 处理个人数据,则这两项法律均适用于您的网站。
本指南解释了哪些类型的 Cookie 需要获得用户同意、如何设置合规的 Cookie 横幅,以及您需要为分析和广告做些什么。您将了解到…… 荷兰隐私法 要求、如何正确管理用户同意以及如何避免导致警告和罚款的常见错误。
了解 Cookie 及其类型
Cookie 是网站通过您的网络浏览器存储在您设备上的小型文本文件。它们的作用多种多样,从网站基本功能所需的必要文件到用于监控您在多个网站上的行为的跟踪工具,不一而足。
什么是 Cookie 和在线标识符?
当您访问网站时,您的网络浏览器会处理并存储 Cookie。每个 Cookie 都包含数据,帮助网站识别您的设备并记住您访问的相关信息。
作为网络标识符,Cookie 可以存储足够的数据,从而有可能识别您的个人身份。它们可能会追踪您访问的页面、点击的链接、您的偏好以及您的位置。
Cookie 标识符与其他数据(例如互联网协议地址)配合使用,用于创建您的在线活动画像。根据 GDPR(通用数据保护条例),当 Cookie 用于识别用户时,它们被视为个人数据。
这意味着网站必须遵守严格的规定。 数据保护 使用 Cookie 时需遵守相关规则。该法规特别指出,Cookie 标识符可能会留下痕迹,用于创建用户画像和识别个人身份。
持续时间和存储:会话 Cookie 与持久性 Cookie
会话cookie 这些是临时文件,会在您关闭浏览器时过期。它们帮助网站记住您在单次浏览会话期间的操作,例如您购物车中的商品。
永久Cookie 这些 Cookie 会一直保留在您的设备上,直到您将其删除或它们过期为止。这些 Cookie 的代码中写入了特定的过期日期。
《电子隐私指令》规定,持久性 Cookie 的有效期不应超过 12 个月,但如果您不手动删除,某些 Cookie 可能会在您的设备上保留更长时间。持久性 Cookie 允许网站记住您多次访问时的偏好设置。
它们会存储诸如您的语言设置、登录信息和网站偏好等信息。
第一方和第三方 Cookie
第一方Cookie 这些 Cookie 由您访问的网站直接放置在您的设备上。网站所有者控制这些 Cookie,并使用它们来改善您在其网站上的体验。
第三方Cookie 这些 Cookie 由广告商或分析服务等外部方放置,而非您正在访问的网站放置。这些 Cookie 会跟踪您在多个网站上的活动,以构建关于您的兴趣和行为的详细档案。
第三方 Cookie 会带来更大的隐私风险,因为它们可以收集大量关于您在线习惯的数据。多个组织可能通过同一个第三方 Cookie 访问这些数据。
自 GDPR 生效以来,第三方 Cookie 的使用量有所下降。
必要 Cookie 与非必要 Cookie
绝对必要的Cookie (也称为必要cookie)是网站基本功能所必需的。它们启用安全区域、购物车和页面导航等核心功能。
您无需同意使用这些 Cookie,但网站必须解释它们的作用以及为什么需要它们。
非必要的饼干 包括以下几个类别:
- 偏好设置 cookie 请记住您的选择,例如语言、地区和登录凭据。
- 统计 cookie 收集您使用网站的匿名数据,以改进网站性能。
- 营销Cookie 追踪您的在线活动,以便投放定向广告
网站必须事先征得您的明确同意才能使用非必要cookie。营销cookie可能会与广告商和其他机构共享您的信息。
这些通常是持久性第三方 cookie,它们会创建详细的在线行为档案。
《通用数据保护条例》(GDPR)、《电子隐私指令》和荷兰法律
在荷兰,网站运营者必须遵守多层数据隐私法规,这些法规规范了如何通过 Cookie 和追踪技术收集和处理用户数据。《通用数据保护条例》(GDPR) 与《电子隐私指令》和荷兰国家法律共同构成了一个全面的在线隐私保护框架。
欧洲和荷兰的数据隐私法
GDPR是首要的 数据保护法规 该规定适用于包括荷兰在内的所有欧盟成员国。它于2018年5月25日生效,无需各国自行实施,直接适用。
《电子隐私指令》(ePrivacy Directive),通常被称为“Cookie指令”。 法律该指令专门针对电子通信和跟踪技术。与GDPR不同,该指令要求欧盟成员国将其纳入国家法律体系。 法律.
荷兰通过《电信法》实施了这些规则(电信网络当这些法律发生冲突时,对于与电子通信和 Cookie 相关的事项,《电子隐私指令》优先于《通用数据保护条例》(GDPR)。
《电子隐私指令》在许多方面都更为严格,尤其是在 Cookie 的同意要求方面。如果您运营的网站面向荷兰或更广泛的欧洲经济区 (EEA) 的用户,则必须同时遵守这两项法规。
最终将取代该指令的《电子隐私条例》已被推迟,但预计将引入针对现代跟踪技术的最新规则。
Autoriteit Persoonsgegevens 的作用 (AP)
荷兰数据保护局(Autoriteit Persoonsgegevens,简称AP)是荷兰的数据保护机构,负责在荷兰执行GDPR和ePrivacy法规。AP有权调查投诉、进行审计,并对违规行为处以罚款。
对于严重违反GDPR的行为,荷兰应用政策办公室(AP)可处以最高20万欧元或全球年营业额4%的罚款,以较高者为准。对于违反荷兰Cookie法的行为,AP可处以最高900,000万欧元或年营业额10%的罚款。
隐私权协会 (AP) 发布指导文件和裁决,阐明在荷兰语境下如何解读隐私法。您可以向隐私权协会举报涉嫌违规行为,用户如果认为您不当处理了他们的数据,也可以提出投诉。
GDPR 对 Cookie 的关键要求
你必须获得 有效同意 在用户设备上放置非必要cookie之前,必须征得用户的同意。同意必须是自愿的、具体的、知情的且明确的。
这意味着预先勾选的复选框和通过继续浏览而获得的默示同意不符合 GDPR 标准。
绝对必要的Cookie 某些类型的 Cookie 无需征得用户同意。这些 Cookie 包括以下功能所必需的 Cookie:
- 维护用户身份验证
- 记住购物车内容
- 确保网站安全
- 跨服务器负载平衡
在获得用户同意之前,您必须提供关于每个 Cookie 的用途、有效期和数据处理者的清晰信息。这些信息应使用普通用户能够理解的通俗易懂的语言。
用户必须能够像当初给予同意一样轻松地撤回同意。您不能仅仅因为有人拒绝非必要的 Cookie 就拒绝他们访问您的网站。
您还必须记录并保存您收到的所有同意书。
获取和管理同意
根据 GDPR 的规定,在荷兰运营的网站必须在用户设备上放置非必要 Cookie 之前获得用户的有效同意。这要求网站清晰地告知用户 Cookie 的使用方式,提供用户友好的同意界面,妥善记录用户同意选项,并允许用户随时更改其偏好设置。
根据《通用数据保护条例》(GDPR) 获得有效同意
《通用数据保护条例》(GDPR)第7条对有效同意的构成要素规定了严格的要求。您的同意必须是自愿的、具体的、知情的且明确的。
这意味着用户在做出选择之前,需要完全理解他们同意的内容。自由给予的同意意味着用户可以拒绝,而不会失去对网站基本功能的访问权限。
您不能强迫用户接受 Cookie 才能查看您的内容。预先勾选的复选框不视为有效同意,因为用户必须主动表示同意。
您的同意请求必须使用任何人都能理解的通俗语言。请避免使用可能令访客感到困惑的法律术语或技术词汇。
您需要告知用户您使用哪些类型的 Cookie、收集哪些数据以及如何使用这些信息。您必须详细记录所有用户同意操作。
这包括谁给予了同意、何时给予的同意、他们收到了哪些信息以及他们接受或拒绝了哪些具体的 cookie。
同意横幅和用户体验
您的 cookie同意 横幅广告是请求访客许可的主要工具。横幅广告必须在访客首次访问您的网站时清晰可见,但不应完全阻碍访客访问网站。
设计对于合规性和转化率都至关重要。“接受”和“拒绝”按钮必须同样醒目。
缩小拒绝按钮、隐藏按钮或使用操纵性设计手法均违反 GDPR 规定,并会损害用户信任。请提供细粒度的同意选项,让用户在不同的 Cookie 类别之间进行选择。
用户可能接受必要的分析型 Cookie,但拒绝广告追踪器。所有默认设置应为空或设置为选择退出。
您的横幅广告应包含指向详细 Cookie 政策的直接链接。语言应简洁明了。
尽可能以用户偏好的语言显示横幅广告。
同意管理平台(CMP)
同意管理平台可自动获取和记录 Cookie 同意信息。这些工具会扫描您的网站上的 Cookie,在获得同意之前阻止非必要的 Cookie,并管理整个网站的用户偏好设置。
CMP(控制管理平台)负责处理 GDPR Cookie 同意管理的技术复杂性。它们会自动阻止跟踪脚本在用户做出选择之前运行。
它们还会随着您网站的更新而更新 Cookie 列表,确保您始终需要为新的追踪器征求用户同意。大多数平台都包含地理位置功能,可以根据访客所在位置调整同意要求。
它们会存储每次同意操作的时间戳记录,包括设备信息、浏览器类型以及所选的具体 Cookie 偏好设置。优质的 Cookie 管理平台 (CMP) 提供自定义选项,确保您的同意横幅与您的品牌形象相符。
他们还会提供有关您的选择加入率的分析,帮助您优化同意策略,同时保持合规性。
更改和撤回同意
用户必须能够像当初给予同意一样轻松地撤回同意或更改其 Cookie 设置。GDPR 第 7 条明确规定,撤回同意应与给予同意一样简单。
在网站显眼位置放置一个指向 Cookie 设置的永久链接。许多网站会在每个页面底部放置一个小横幅或一个图标,方便用户在浏览过程中随时访问。
当用户点击此链接时,应立即看到他们当前的 Cookie 设置偏好。您的 Cookie 管理平台 (CMP) 需要即时处理同意变更。
如果用户撤回对广告 Cookie 的同意,这些追踪器必须立即停止收集数据。请以与初始同意时相同的详细程度记录这些变更。
你无需询问别人为何想要更改偏好设置。这个过程应该尽可能简单,无需任何解释。
保存更新后的偏好设置,以便在您下次访问网站时应用。
分析和广告中 Cookie 的类型和用途
不同类型的 Cookie 在网站上发挥着特定的功能,从衡量访客行为到投放定向广告。了解这些类别有助于您识别哪些 Cookie 需要获得同意以及它们如何处理数据。 个人资料.
分析 Cookie 和数据处理
分析型 Cookie 会收集访问者如何使用您的网站的信息。这些 追踪cookies 记录您访问的页面、停留时间以及点击位置。
这些数据有助于网站所有者了解 用户行为 并改进他们的网站。性能型 Cookie 就属于此类。
他们会收集网站速度、错误信息和技术问题等数据。这些信息通常会经过汇总和匿名化处理,这意味着无法识别单个用户。
用于分析的 Cookie 通常涉及 Google Analytics 等第三方服务。这些工具会处理收集到的数据,以生成报告和统计信息。
然而,即使是匿名数据,如果与其他信息结合使用时有可能识别出您的身份,则根据 GDPR,它也可能被视为个人数据。除非分析型 Cookie 仅供网站所有者使用且数据完全匿名,否则您需要同意才能使用它们。
大多数分析型 Cookie 都是持久性 Cookie,它们会一直保留在您的设备上,直到过期或您将其删除。
广告和营销 Cookie
营销型 Cookie 会追踪您在多个网站上的在线活动,从而构建您兴趣的详细档案。广告型 Cookie 会利用这些信息,根据您的浏览历史记录和偏好向您展示个性化广告。
这些追踪cookie几乎都是第三方cookie,由广告商或广告网络放置,而非您访问的网站放置。它们会跟踪您从一个网站到另一个网站,收集有关您的行为和兴趣的数据。
广告中使用 Cookie 还可以限制您看到同一广告的次数。如果没有这些 Cookie,您可能会在不同的网站上反复看到相同的广告。
根据 GDPR(通用数据保护条例),通过广告 Cookie 处理个人数据需要获得您的明确同意。除非您手动删除,否则这些 Cookie 通常会在您的设备上保留很长时间,有时甚至长达数月或数年。
营销 cookie 的占比最高 隐私风险 因为他们会收集大量关于你上网习惯的信息,并且可以与多个组织共享这些数据。
功能性和性能性 Cookie
功能性 Cookie 会记住您在网站上的选择和偏好。它们会存储诸如您的语言选择、地区设置或登录凭据等信息。
这些 Cookie 会保存您的偏好设置,让您在多次访问时都能获得更便捷的浏览体验。性能 Cookie 则用于衡量网站的运行状况。
它们可以识别热门页面、检测导航问题并跟踪加载时间。与分析型 Cookie 不同,这些 Cookie 更侧重于技术性能,而非用户行为模式。
大多数功能性 Cookie 都是您访问的网站直接设置的第一方 Cookie。它们通常是会话 Cookie,会在您关闭浏览器时过期,但有些 Cookie 会保留更长时间,以便记住您下次访问时的偏好设置。
对于网站正常运行所必需的功能性 Cookie,您无需提供同意。但是,根据 GDPR 的规定,那些旨在提升用户体验而非启用核心功能的 Cookie 可能仍需征得您的同意。
透明度、Cookie 政策和用户权利
在荷兰运营的网站必须提供清晰的 Cookie 使用信息,并允许用户控制自己的数据。Cookie 政策需要解释收集哪些数据、收集原因以及用户如何管理其偏好设置。
Cookie 政策要求
您的 Cookie政策 在获得用户同意之前,您必须列出网站使用的所有 Cookie。您需要用通俗易懂的语言解释每个 Cookie 的用途,以便普通人都能理解。
该政策应明确说明 Cookie 是第一方 Cookie 还是第三方 Cookie,它们的有效期限以及它们收集的具体数据。您不能使用“改善用户体验”之类的模糊描述,而不解释其具体含义。
请明确说明 Cookie 是否记住语言设置、跟踪访问页面或监控广告点击情况。您的政策必须易于查找,通常应放在网站页脚或 Cookie 同意弹出窗口中。
当您添加新的 Cookie 或更改现有 Cookie 的使用方式时,需要定期更新此策略。您必须记录这些更改,并在更新对用户隐私产生重大影响时通知用户。
隐私声明和数据透明度
您的隐私政策和 Cookie 政策共同满足 GDPR 的透明度要求。隐私政策应解释 Cookie 数据如何与您收集的其他个人信息关联。
您需要确定所有接收 cookie 数据的第三方,例如分析提供商或广告网络。 饼干墙 阻止用户访问您的网站,除非用户接受所有 Cookie,否则此举违反了 GDPR 规则。
即使用户拒绝非必要的 Cookie,您也必须允许用户访问您的服务。 Cookie 同意弹出窗口 需要提供明确的选项,以便接受或拒绝不同类型的 Cookie。
您不能预先勾选同意框,也不能使用容易误导用户的含糊不清的语言。“拒绝”选项必须与“接受”选项一样易于查找和使用。
用户权利和 Cookie 偏好
用户有权随时撤回他们之前授予的 Cookie 同意。您必须提供清晰可见的方式,让用户可以随时更改 Cookie 设置,而不仅仅是在首次访问期间。
大多数网站会在页脚添加“Cookie 设置”链接,或者在每个页面上添加一个浮动按钮。您需要存储以下记录: 用户同意包括他们何时给予以及他们同意的内容。
这些记录有助于在监管机构调查您的网站时证明其合规性。用户可以根据 GDPR 的访问权限索取这些同意数据的副本。
您的偏好设置中心应该允许用户分别控制不同的 Cookie 类别。您不能强制用户接受营销 Cookie 才能使用偏好设置 Cookie。
风险管理、合规性和最佳实践
风险管理需要定期评估您的数据处理活动并持续遵守 Cookie 合规性要求。您还必须制定清晰的应对数据泄露事件的程序。
数据保护影响评估(DPIA)
数据保护影响评估是一种 法律义务 根据 GDPR,如果您的处理活动可能对个人的权利和自由造成高风险,则您必须进行数据保护影响评估 (DPIA)。在实施新的跟踪技术、分析工具或处理大量个人数据的广告系统之前,您必须进行 DPIA。
您的数据保护影响评估 (DPIA) 应明确说明您通过 Cookie 收集哪些数据、收集这些数据的原因以及存在的风险。请记录您处理数据是基于同意、合法权益还是其他法律依据。
采取降低风险的措施,例如数据最小化、假名化或使用 HTTPS 为了保护传输中的数据,如果您所在单位设有数据保护官,请务必咨询您的数据保护官。
当数据保护影响评估 (DPIA) 显示存在无法缓解的高风险时,您需要在继续操作前咨询相关的数据保护机构。当您更改跟踪方法或添加新的分析平台时,请及时更新您的评估。
确保持续遵守 Cookie 法规
您需要定期审核您的网站,以确保所有 Cookie 都与您在 Cookie 横幅和隐私政策中披露的内容相符。请检查这一点。 Cookie 同意合规性 机制运行正常,并尊重用户选择。
每月检查您的 Cookie 管理平台,确保其在用户同意之前阻止非必要的 Cookie。在不同的设备和浏览器上测试您的横幅广告。
确认分析型 Cookie 和广告型 Cookie 不会在用户同意前加载。监控更改。 符合GDPR标准 数据保护机构的要求和指导。
当法规发生变化时,请更新您的同意机制。对您的市场营销和开发团队进行相关培训。 隐私合规 要求。
记录全部 合规活动包括更新同意工具、审查 Cookie 清单或修改跟踪脚本时。请记录同意偏好,并确保用户可以像当初给予同意一样轻松地撤回同意。
应对数据泄露事件
您必须在知悉某些数据泄露事件后的 72 小时内向荷兰数据保护局报告。如果涉及 Cookie 数据或分析信息的泄露事件对个人权利和自由构成风险,则可能需要进行报告。
在安全漏洞发生之前制定应对计划。明确由谁来评估漏洞,确定是否需要上报,并与有关部门沟通。
记录受影响的数据、受影响的用户数量以及您正在采取的应对措施。如果您的分析服务提供商或广告平台遭遇数据泄露,您仍然需要承担相应的责任。 负责数据控制.
立即联系他们以了解事件范围。评估是否需要直接通知用户,尤其是在泄露事件涉及敏感追踪数据或可能导致身份盗窃或欺诈的情况下。
详细记录所有违规事件,包括那些无需向数据保护机构报告的违规事件。这些文档可以证明您的 符合GDPR标准 审计期间的努力。
常見問題解答
要了解荷兰 GDPR 下关于 Cookie 同意、数据收集和广告的要求,需要对常见问题给出明确的答案。 合规性问题荷兰数据保护局对同意机制制定了具体规则, 透明度要求以及可接受的跟踪做法。
在荷兰,根据 GDPR,使用 Cookie 需要满足哪些同意条件?
在用户设备上放置非必要 Cookie 之前,您必须获得用户的明确同意。这意味着您不能使用预先勾选的复选框,也不能假定用户保持沉默即表示同意。
您的同意横幅必须将所有选项显示在同一层级上。用户应该能够轻松地接受或拒绝 Cookie。
荷兰数据保护局禁止设计要求用户点击多个页面才能拒绝 Cookie,却允许用户一键接受 Cookie。您需要提供清晰的信息,说明每个 Cookie 的用途。
使用简明易懂的语言效果最佳,避免使用会让用户感到困惑的技术术语。在用户做出选择之前,必须清楚地说明每种 Cookie 类别的用途。
某些 Cookie 无需征得您的同意即可使用。这些 Cookie 包括网站正常运行所必需的 Cookie。
对隐私影响极小的分析型 Cookie 也可能属于此类,但这种豁免有严格的限制。
企业如何确保其在线广告行为符合GDPR法规?
在使用用于广告目的的用户追踪 Cookie 之前,您必须获得用户的同意。这适用于用于投放定向广告的第一方和第三方追踪 Cookie。
您的广告合作伙伴也需要遵守 GDPR。您仍有责任确保与您合作的第三方遵循适当的数据保护措施。
这意味着要审查与广告网络签订的合同和数据处理协议。没有正当的法律依据,您不能与广告商共享个人数据。
征得同意仍然是广告活动最常见的依据,但您必须记录此同意,并确保用户可以轻松撤回同意。根据用户的兴趣、政治倾向或个人特征进行用户画像分析需要获得用户的明确同意。
用于跟踪用户在多个网站上的活动以构建详细用户画像的追踪 Cookie 属于此项要求的范畴。您必须在隐私声明中清楚地说明此类数据收集行为。
在尊重用户隐私的前提下,应采取哪些措施来保持数据分析的透明度?
您需要告知用户您通过分析工具收集哪些数据。您的隐私政策必须说明您使用哪些分析服务以及它们收集哪些信息。
对隐私影响极小的分析型 Cookie 可能并非总是需要征得用户同意。但是,此豁免仅适用于 Cookie 收集的数据有限且无法识别单个用户的情况。
大多数标准分析工具在不进行配置更改的情况下不符合此豁免条件。您应该配置分析工具以保护用户隐私。
这包括禁用完整收集 IP 地址的功能、停止与分析服务提供商共享数据以供其自身用途,以及限制数据保留期限。Cookie 同意偏好必须适用于您的分析工具。
当用户拒绝非必要的 Cookie 时,您的分析跟踪应该停止。您需要采取技术措施来确保此过程自动完成。
关于使用第三方 cookie 和追踪器进行营销的具体规定是什么?
第三方追踪 Cookie 需要用户明确同意才能放置。这些 Cookie 会跟踪用户在不同网站和应用程序间的活动,从而创建详细的用户行为画像,用于市场营销目的。
您必须明确标识网站上的所有第三方追踪器。您的用户许可管理系统应清晰列出这些追踪器,并允许用户单独或按类别接受或拒绝。
将所有追踪器归入模糊的类别违反了透明度要求。营销像素和类似的追踪技术与 Cookie 一样,都应遵守相同的规则。
这包括社交媒体追踪像素、转化追踪器和重定向标签。所有这些技术都需要获得用户同意才能收集用户数据。
荷兰数据保护局专门负责监管跟踪 cookie 的合规性。2024 年,该机构宣布将加强对网站的检查,以核查其是否具备适当的用户许可机制。
他们调查的网站中有一半未能达到要求。
企业如何才能有效地向用户告知其符合GDPR的数据收集做法?
您的 Cookie 横幅必须使用用户能够理解的清晰简洁的语言。避免使用法律术语和技术术语,以免模糊您实际如何处理收集的数据。
关于 Cookie 的信息应该易于获取。您可以从横幅广告链接到详细的 Cookie 政策,但基本信息必须醒目地显示在最前面。
用户不应需要自行查找有关他们同意内容的基本信息。您必须列出数据收集的具体目的。
诸如“改善用户体验”之类的笼统说法不符合透明度要求。相反,请具体说明您将如何使用这些数据,以及哪些人将有权访问这些数据。
定期更新您的隐私文档是必要的。当您添加新的 Cookie 或更改数据处理方式时,必须通知用户并在必要时重新获得他们的同意。
在 cookie 和在线广告方面,不遵守 GDPR 的处罚是什么?
荷兰数据保护局可对违反GDPR的行为处以巨额罚款。罚款金额最高可达2000万欧元或公司全球年营业额的4%,以较高者为准。
不合规的 Cookie 横幅广告尤其会引起监管机构的关注。监管机构已将误导性同意机制列为重点执法领域。
隐藏的拒绝按钮、不必要的点击来拒绝 cookie 以及不明确的信息都属于违规行为。
除了经济处罚外,您还可能面临停止数据处理活动的命令。监管机构可以责令您立即停止使用不合规的 Cookie,并删除未经适当同意而收集的数据。
公开披露违规行为和罚款可能会损害您的品牌,并削弱客户对您数据处理方式的信任。
