ニュース

GDPRの下でのMatomo Analyticsのプライバシーに関する通知はどのように書くべきか

2018年04月29日 トピックス ニュース

重要な注記:このブログ記事は、弁護士ではなくデジタルアナリストによって書かれています。 この記事の目的は、GDPRに基づくMatomoのプライバシーに関する通知の例を示すことです。 この作業は、イギリスのプライバシー委員会であるICOの解釈によるものです。 それは専門的な法的アドバイスとはみなされません。 GDPRのように、この情報は変更される可能性があります。 最新の情報を入手するには、さまざまなプライバシー当局をご覧になることを強くお勧めします。

基本的なルールでは、個人情報を処理していない場合は、プライバシーに関する通知を表示する必要はありません。 しかし、フルIPアドレスの処理などをしている場合は、データ収集時にプライバシー通知が必要です。 また、ページタイトルやページURLなど、個人情報が隠されている可能性があります。

このブログ記事では、GDPRに基づいてプライバシーに関する通知を定義し、Matomoを使用していて個人的なデータを処理している場合の書き方を定義します。

GDPRのプライバシーに関する通知は?

データ主体がGDPRに基づいて有する最も重要な権利の1つは、個人データの収集と使用について通知を受ける権利です。

プライバシーに関する通知についてのICOの発表は:

「個人データを処理する目的、その個人データの保存期間、および誰と共有するのかなどの情報を個人に提供する必要があります。 私たちはこれを「プライバシー情報」と呼んでいます。」

「関連する個人から個人情報を収集する場合は、その個人情報を取得した時点でプライバシー情報を提供する必要があります。」

プライバシーに関する通知は、プライバシーに関するポリシーとは異なることに注意してください。

プライバシーに関する通知には:

  • あなたが個人データを処理している理由
  • どれだけの時間
  • あなたがそれらを共有しようとしている別の関係者は誰?

したがって、あなたが使用している合法的な根拠(明示的同意または正当な利害関係)があれば、個人情報を収集する場合はプライバシーに関する通知が必要です。

このプライバシーに関する通知はどのように見えるますか?

ICOは、情報を表示するためのベストプラクティスを提供しています:

  • 層別アプローチ
  • ダッシュボード
  • ジャストインタイムの通知
  • アイコン
  • モバイルデバイスとスマートデバイスの機能

もう一度、実際にMatomoで処理しているデータに依存します。 ウェブサイト全体で個人情報を追跡したい場合は、おそらく次のような上または下のプライバシー通知があります:

特定のデータを処理する場合は、次のようなジャストインタイム通知を挿入することもできます:

最終ユーザーに開示する必要がある情報は?

私たちには、プライバシー通知とプライバシーポリシーを区別する2つのことがあります。

ICOによれば、プライバシーに関する通知には、以下の3つの要素が含まれている必要があります:

  • あなたが個人データを処理している理由
  • どれだけの時間
  • あなたはそれらを共有しようとしている別の当事者です

しかし、あなたはまた彼らに知らせる必要があります:

  • あなたの組織の名前と連絡先の詳細
  • 担当者の名前と連絡先の詳細(該当する場合)
  • データ保護担当者の連絡先の詳細(該当する場合)
  • 処理の目的
  • 処理の合法的な基礎
  • 処理の正当な利益(該当する場合)
  • 取得された個人データのカテゴリ(個人データが関連する個人から取得されない場合)
  • 個人データの受信者または受信者のカテゴリ
  • 第三国または国際機関(該当する場合)への個人データの転送の詳細
  • 個人データの保存期間
  • 処理に関して個人が利用できる権利
  • 同意を取り消す権利(該当する場合)
  • 監督当局に苦情を申し立てる権利
  • 個人データのソース(個人データが関連する個人から取得されていない場合)
  • 個人が個人データを提供する法的または契約上の義務を負っているかどうか(適用可能であれば、関連する個人から個人データを収集するかどうか)
  • プロファイリング(該当する場合)を含む自動意思決定の存在の詳細

かなり長い間、あなたは思いませんか?それを減らすために、 “ポップアップ”ウィンドウがドロップダウンメニューとして機能する階層化アプローチを採用することができます。 ICOから提供されたこの文書の5ページ目からわかるように、プライバシーに関する注意事項は、プライバシーポリシーページなどのより詳細な文書にリンクすることができます。

非匿名の完全IPアドレスを追跡し、ユーザーID機能を使用してログインしているユーザーを追跡するWebサイトの例を考えてみましょう。 GDPRの下では、ウェブサイトの所有者は、「正当な利益」または「同意」に基づいて個人データを処理するかどうかを選択する必要があります。 これはどのように見えるかです:

GDPRに基づくプライバシー通知の例正当な利害関係の例

このサイトはMatomoを使用してトラフィックを分析し、ユーザーエクスペリエンスを改善するのに役立ちます。

私たちはお客様のメールアドレスとIPアドレスを処理し、Cookieはブラウザに13ヶ月間保存されます。 このデータは、当社とウェブホスティングプラットフォームによってのみ処理されます。 詳細については、プライバシーポリシーをお読みください。

GDPRの承諾を受けたプライバシーに関する通知の例

このサイトはMatomoを使用してトラフィックを分析し、ユーザーエクスペリエンスを改善するのに役立ちます。

私たちはお客様のメールアドレスとIPアドレスを処理し、Cookieはブラウザに13ヶ月間保存されます。 このデータは、当社とウェブホスティングプラットフォームによってのみ処理されます。

[承認]または[オプトアウト]

詳細については、プライバシーポリシーをお読みください。

その情報がユーザに提供されると、その情報をあなたのプライバシーポリシーにリンクして、詳細を提供します。 まもなくMatomoのプライバシーポリシーページを書く方法を扱うブログ記事を発行します。

カテゴリー
アーカイブ