Apa itu CNIL dan Bagaimana Cara Mematuhinya?

Pada 1 Oktober 2020, Otoritas Perlindungan Data Prancis (CNIL) menerbitkan versi revisi pedoman 2019 tentang cookie dan teknologi serupa. Versi revisi diterbitkan untuk mempertimbangkan peraturan GDPR tentang cookie juga.

CNIL atau Commission Nationale de l'informatique et des libertes (Komisi Nasional untuk Informatika dan Kebebasan) adalah badan pengatur administratif Prancis yang memiliki kekuatan untuk menegakkan undang-undang perlindungan data di Prancis. CNIL bertanggung jawab untuk menegakkan ketiga hukum di bawah ini di negara ini.

• Undang-Undang Perlindungan Data Prancis
• GDPR
• Petunjuk ePrivasi

Ini juga memegang kekuasaan untuk menerima pengaduan dan mengeluarkan denda atas pelanggaran hukum.

Jika bisnis Anda termasuk dalam salah satu kategori berikut, Anda harus mematuhinya.

• Berbasis di Prancis dan wilayah Prancis di luar negeri
• Mengumpulkan dan/atau memproses data pribadi warga negara dan penduduk Prancis dan wilayah Prancis di luar negeri

Ini adalah prinsip penerapan yang sama seperti dalam GDPR.

Pengguna harus mengizinkan persetujuan dengan tindakan afirmatif positif yang jelas (seperti mengklik "Saya menerima" pada spanduk cookie). Kelambanan pengguna, menggulir atau melanjutkan penelusuran, dll., tidak dapat dianggap sebagai persetujuan dan tidak ada cookie selain yang diperlukan yang harus dimasukkan ke dalam perangkat pengguna sampai persetujuan eksplisit diterima.

Pengguna harus dapat menolak cookie dengan kemudahan yang sama seperti mereka menerimanya di tempat pertama.

Pengguna harus dapat menarik persetujuan mereka untuk cookie dengan mudah dan kapan saja.

Pengguna harus diberi tahu dengan jelas tentang tujuan cookie sebelum menyetujui, bersama dengan konsekuensi menerima atau menolak cookie.

Bisnis yang meminta persetujuan untuk cookie harus memberikan, kapan saja, bukti pengumpulan yang sah atas persetujuan pengguna yang bebas, terinformasi, spesifik, dan tidak ambigu.

Berikut adalah infografis yang akan memberi Anda gambaran singkat tentang persyaratan kepatuhan di bawah CNIL.

Baik CNIL dan GDPR memiliki persyaratan yang sama dalam hal meminta persetujuan dari pengguna untuk rendering cookie. Mereka adalah seperti yang ditunjukkan di bawah ini.

• Persetujuan harus diberikan secara bebas. Pengguna harus bebas memilih apakah akan memberikan persetujuan untuk cookie atau tidak.

• Persetujuan harus spesifik. Anda harus mendapatkan persetujuan untuk setiap tujuan pengumpulan data. Ini berarti bahwa jika Anda telah memperoleh persetujuan untuk tujuan analitik, Anda memerlukan persetujuan baru untuk pengumpulan data untuk tujuan pemasaran.

• Permintaan persetujuan harus diinformasikan dengan baik. Ini berarti Anda harus memberi tahu pengguna tentang praktik privasi Anda pada saat permintaan. Memberi tahu mereka bahwa Anda menggunakan cookie dan menyajikannya dengan tautan ke kebijakan privasi Anda adalah praktik yang baik untuk dilakukan.

• Persetujuan harus jelas. Anda harus menunjukkan tombol ACCEPT dan REJECT. Hanya menampilkan tombol ACCEPT saja tidak cukup. Pengguna harus dapat mengambil tindakan afirmatif di situs web Anda.

Meskipun meminta persetujuan eksplisit diperlukan di bawah CNIL, itu mengecualikan cookie tertentu untuk diizinkan tanpa persetujuan pengguna. Berikut adalah daftar cookie yang dikecualikan dari pengumpulan persetujuan.

• Cookie yang ditujukan untuk otentikasi dengan layanan
• Cookie yang digunakan untuk mengingat item keranjang di situs eCommerce
• Cookie tertentu dimaksudkan untuk menghasilkan statistik lalu lintas
• Cookie yang memungkinkan situs berbayar membatasi akses gratis ke sampel konten yang diminta oleh pengguna
• Cookie yang menyimpan pilihan persetujuan pengguna
• Cookie kustomisasi antarmuka pengguna
• Cookie preferensi bahasa

CNIL menganggap bahwa persetujuan harus datang secara eksklusif dari tindakan positif. Oleh karena itu, kelambanan apa pun harus dipahami sebagai penolakan terhadap penggunaan cookie.

Berikut adalah dua kasus di mana Anda dapat mengatur cookie di perangkat pengguna Anda.

• Pengguna telah menyatakan persetujuannya untuk cookie
• Cookie termasuk dalam kategori yang dikecualikan (seperti yang tercantum di bagian di atas)

Pada prinsipnya, perlu untuk menjaga pilihan yang diungkapkan oleh pengguna, apakah itu persetujuannya atau penolakannya. Jadi, saat menjelajahi situs web, mereka tidak perlu memformulasi ulang pilihan mereka dari halaman ke halaman.

Secara umum, oleh karena itu disarankan untuk menyimpan pilihan yang diungkapkan oleh pengguna Internet agar tidak memintanya lagi untuk jangka waktu tertentu.

Periode retensi pilihan harus dinilai berdasarkan kasus per kasus (berkaitan dengan sifat situs web atau aplikasi yang bersangkutan dan kekhususan audiensnya). Umumnya, adalah praktik yang baik untuk menyimpan pilihan untuk jangka waktu 6 bulan.

Dinding cookie adalah desain situs web yang mengharuskan pengguna untuk menerima cookie sebelum dapat mengakses konten situs web. Sedangkan pedoman 2019 melarang sepenuhnya penggunaan cookie wall. Sebagai hasil dari keputusan pengadilan Prancis yang melawan hukum, CNIL telah mengedit Pedomannya untuk menyatakan bahwa keabsahan dinding cookie harus dinilai berdasarkan kasus per kasus.

Jika dinding cookie digunakan, pengguna harus diberi tahu dengan jelas bahwa tidak mungkin mengakses konten tanpa persetujuan. Jika tidak, dinding cookie atau spanduk akan segera hilang, sehingga tidak mengganggu akses pengguna ke konten atau mempengaruhi pengguna untuk menyetujui.

CNIL telah mengajukan baik pedoman maupun rekomendasi. Pedoman CNIL tentang cookie dan pelacak lainnya memberi tahu Anda tentang hukum yang berlaku saat pengguna berinteraksi dengan internet melalui antarmuka ponsel cerdas, komputer, tablet, dll.

Rekomendasi tersebut dimaksudkan untuk memandu para profesional yang bersangkutan dalam proses kepatuhan mereka. Ini menawarkan contoh metode praktis untuk mendapatkan persetujuan sesuai aturan yang berlaku tetapi juga untuk memenuhi persyaratan yang ditetapkan dalam pasal 82 Undang-Undang Perlindungan Data.

CNIL mengeluarkan denda terhadap organisasi jika terjadi pelanggaran terhadap GDPR atau Undang-Undang Perlindungan Data Prancis dalam dua cara.

• Menyusul pengaduan atau laporan pelanggaran ke CNIL
• Setelah penyelidikan yang dilakukan oleh CNIL

Dalam kedua kasus, ketua CNIL dapat menunjuk seorang pelapor di antara para komisaris CNIL, kecuali anggota komite terbatas, dan merujuk ke komite terbatas. Komite terbatas terdiri dari lima komisaris CNIL dan seorang ketua yang dipilih di antara mereka.

Organisasi yang dituduh diinformasikan, dan dokumen dipertukarkan selama prosedur tertulis antara pelapor dan organisasi. Panitia terbatas kemudian menerima semua dokumen.

Selama prosedur, organisasi yang dituduh dapat didengar jika pelapor menganggapnya berguna. Dalam hal ini, laporan tertulis akan mengkonfirmasi persidangan.

Hukuman dapat berupa monitory atau non-monitory. Dalam istilah pengawasan, bisnis atau organisasi yang dituduh akan dipaksa untuk membayar sejumlah hingga 4% dari total omset di seluruh dunia atau hingga £20 juta, mana saja yang lebih besar. Dalam istilah non-monitoring, akan ada peringatan, perintah dengan pembayaran penalti berkala, dll.

Seperti yang diumumkan, pihaknya memperkirakan batas waktu pemenuhan aturan baru (yang diterbitkan pada 1 Oktober) tidak boleh lebih dari enam bulan, yaitu paling lambat akhir Maret 2021.

CNIL kemudian akan melakukan audit dan melakukan tindakan penegakan hukum. Seperti biasa, operator juga harus memastikan bahwa mereka mematuhi Pedoman ePrivasi dan Peraturan Perlindungan Data Umum.

Anda dapat membuat perjalanan kepatuhan CNIL menjadi mudah untuk situs web WordPress Anda dengan bantuan plugin Persetujuan Cookie dan Pemberitahuan Kepatuhan GDPR CookieYes. Plugin ini memudahkan pengelolaan cookie dengan serangkaian fitur canggihnya.

Plugin ini memberi Anda fitur-fitur berikut.

• Pemindaian cookie otomatis – Plugin secara otomatis memindai situs web Anda untuk mencari cookie.
• Spanduk Persetujuan Cookie – Anda dapat membuat dan menyesuaikan spanduk persetujuan untuk memenuhi persyaratan yang disebutkan dalam pedoman undang-undang.
• Opsi persetujuan terperinci – Mencari persetujuan eksplisit untuk cookie dengan memberi tahu pengguna mengenai penggunaan setiap jenis cookie di situs web Anda.
• Log persetujuan cookie – Catat persetujuan pengguna Anda dengan data yang relevan seperti persetujuan cookie, tanggal, waktu, dll.
• Pemblokiran skrip otomatis – Anda dapat mengaktifkan pemblokiran skrip cookie dari plugin dan layanan pihak ketiga
• Pembuat kebijakan privasi – Buat kebijakan privasi/cookie dengan mudah dari awal.

Setelah serangkaian pedoman baru yang dikeluarkan oleh CNIL, Anda tidak punya waktu terlalu lama untuk mematuhinya. Jadi, mulailah perjalanan kepatuhan Anda hari ini dengan plugin Persetujuan Cookie dan Pemberitahuan Kepatuhan GDPR CookieYes.