“Добровольно-принудительные” cookies

Использование файлов cookies – распространенная практика. Компании хотят знать о пользователях больше и встраивают аналитические cookies, изучая наши вкусы и потребительское поведение. Технические специалисты выбирают cookies, позволяющие пользователям войти в личный кабинет один раз – и не вводить логин и пароль на каждой открытой странице (да-да, cookies нужны и для этого, и даже для хранения информации о товарах в вашей “корзине”). То есть, удивить использованием cookies сейчас уже не получится. Однако способы уведомить пользователя о таких файлах воистину поражают своим разнообразием. Некоторые cookie-баннеры просят нас дать согласие на использование cookies, проставив галочку или подвинув “бегунок”. Другие даже берут труд простановки галочки на себя! А третьи и вовсе избавляют от мук выбора, показывая нам всего одну кнопку: “Понятно!” 

Вопрос знатокам: какой из таких баннеров будет соответствовать европейским правилам о cookies?

user

GDPR, но не только

Для начала нужно прояснить вопрос с применимым регулированием: использование cookies в Евросоюзе подчиняется не только правилам GDPR, но и положениям Директивы Европейского Парламента и Совета Европейского Союза 2002/58/ЕС от 12 июля 2002 г. в отношении обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи (далее – Директива ePrivacy). Так, п. 5(3) Директивы ePrivacy устанавливает, что хранение информации на устройстве пользователя или получение к ней доступа должно быть основано на согласии. Кроме того, пользователю должна быть предоставлена “понятная и всеобъемлющая информация в соответствии с Директивой 95/46/EC, в том числе сведения о цели обработки данных”. То есть, использование cookies должно быть основано на информированном согласии.

law

Директива 95/46/ЕС, на которую ссылается Директива ePrivacy – это Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 года о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных (называемая также “Директива о персональных данных”). Она утратила силу 25 мая 2018 г. в связи со вступлением в силу GDPR. Таким образом, требование о предоставлении понятой и всеобъемлющей информации в соответствии с Директивой 95/46/ЕС означает соблюдение правил об информировании субъекта данных, изложенных в ст. 13 GDPR.

Согласие должно быть явным

Кроме того, требования GDPR также определяют, каким именно должно быть согласие субъекта персональных данных на использование cookies, поскольку Директива ePrivacy определяет требования к согласию в том виде, в котором они изложены в Директиве о персональных данных. Поскольку ссылки на Директиву о персональных данных следует считать после 25 мая 2018 г. ссылками на GDPR, к согласию на использование cookies следует применять правила о согласии, установленные в ст. 4(11) и 7 GDPR.

GDPR

То есть, согласие пользователя на установку и использование файлов cookie должно быть:

✔ добровольным,

✔ конкретным,

✔ информированным,

✔ однозначным волеизъявлением.

Как указано в преамбуле 32 к GDPR, согласие на обработку персональных данных субъекта данных должно выражаться четким утвердительным действием. Таким согласием можно считать также проставление галочки при посещении сайта, выбор технических настроек услуг информационного общества (например, приложения) либо иные действия, которые явно указывают на то, что в данном контексте субъект данных согласен на предполагаемую обработку его персональных данных. При этом, молчание, предпроставленная галочка на сайте или бездействие не должны рассматриваться как согласие. 

“Понятно” не сработает

Вернемся к формулировкам, которые предлагают нам cookie-баннеры. 

Первый вариант предусматривает простановку галочки в графе “Я согласен на использование файлов cookie” – и этот вариант соответствует правилам GDPR, относящимся к согласию. В подобном случае пользователь совершает отдельное действие, у которого не может быть иной цели, кроме как выразить согласие субъекта на использование cookies. Такое согласие, безусловно, является однозначным.

Второй вариант cookie-баннера содержит уже предустановленную галочку в графе “Я согласен на использование файлов cookie”. Может показаться, что и такое согласие достаточно однозначно: ведь у пользователя всегда есть возможность “снять” галочку. Если он этого не сделал, значит, согласен. Однако это неверный подход. Если компания собирает согласия таким образом, она никогда не сможет доказать, что субъект действительно дал свое согласие. Что если он не стал читать текст на баннере? Или и вовсе его не заметил? Отсутствие явного действия со стороны субъекта делает согласие недействительным. С учетом этого, нет никакого смысла вкладывать ресурсы в разработку и установку такого cookie-баннера: он все равно не соответствует правилам GDPR.

cookies

Третий вариант текста на cookie-баннере вообще не дает пользователю возможности согласиться на установку и использование cookies, поскольку содержит лишь одну кнопку (обычно “Понятно” или “Got it”). Такой баннер нарушает не только правила GDPR, относящиеся к согласию, но и правила Директивы ePrivacy, поскольку они требуют заручиться согласием субъекта (а не просто проинформировать его об использовании cookies). Наблюдательный читатель отметит, что Директива ePrivacy не имеет прямого действия и не рассчитана на применение конкретными компаниями. Она адресована государствам, входящим в ЕС, и определяет, какие именно правила они должны установить в собственных нормативных правовых актах. Согласимся с замечанием наблюдательного читателя, но отметим: входящие в Евросоюз государства уже имплементировали эти правила (в том числе норму ст. 5(3) Директивы ePrivacy) в свое законодательство. Таким образом, подобный баннер будет нарушать закон страны-участницы ЕС, а нарушение есть нарушение. 

На заметку

Составляя текст и разрабатывая общий вид cookie-баннера, учитывайте правила GDPR о согласии, в том числе практические нюансы, изложенные в Руководстве 05/2020 о согласии в соответствии с Регламентом 2016/679. Предустановленные галочки, а также условия типа “Продолжая пользоваться сайтом, вы даете свое согласие на установку и использование cookies” не работают. От ваших пользователей требуются реальные действия: нажатие на кнопку “Я согласен”, проставление галочки в пустой ячейке, активирование cookies через настройки баннера или сайта и т.д. 

Псевдосогласия не уберегут вас от штрафа. Есть ли смысл их собирать?

Расписание курсов загружается, подожди несколько секунд