Перед тем, как запускать свой сайт или приложение, в котором вы собираетесь использовать cookies или иные идентификаторы (local storage, AAID, UDID и т.д.) устройств/сессии пользователя, необходимо выполнить требования законодательства о персональных данных.
Зачем? Во-первых, вы выстраиваете открытые и честные отношения со своими пользователями. Во-вторых, вы будете готовы к проверкам регуляторов. В-третьих, вы сможете избежать штрафов, которые могут достигать 4% годового оборота своей компании.
Давайте разберемся, как онлайн-идентификаторы связаны с защитой персональных данных.
Согласно ФЗ «О персональных данных» и GDPR куки-файлы и иные идентификаторы пользователя относятся к персональным данным, поскольку позволяют теоретически определить конкретного субъекта или выделить его среди других лиц.
Наиболее известным делом по рассматриваемой нами теме стал судебный спор Vidal-Hall v. Google (2015). Используя сookieы-файлы, компания Google осуществляла сбор информации об интернет-трафике пользователей. Заявители, не будучи осведомлены о незаконных действиях ответчика, настаивали на привлечении последнего к ответственности за нарушение порядка использования сookies – персональных данных, которые позволяют вычислить пользователей.
Суд занял позицию истцов и положительно ответил на вопрос об отнесении Cookie-файлов к персональным данным, так как они, «не называя прямо субъекта … позволяют выделить его из всей массы пользователей, следовательно, отвечают критерию идентификации»[1].
Следовательно, в отношении cookies и прочих идентификаторов необходимо соблюдать требования законодательства.
Для того, чтобы ориентироваться в соблюдении законодательства, нужно понимать различие между различными видами куки-файлов. Среди них выделяют:
Строго обязательные – файлы cookies, необходимые для просмотра содержимого сайта и получения доступа к его функционалу, например, корзине маркетплейса, сохраняющей выбранные пользователем товары даже при завершении им сеанса. Без них использование информационного ресурса невозможно.
Функциональные – cookies-файлы, ориентированные на адаптацию сайта к предпочтениям пользователя. Именно эти файлы запоминают выбранный пользователем язык, логин и пароль, а также другие параметры, повышающие эффективность взаимодействия пользователя с информационных ресурсом.
Статистические – файлы cookies, используемые исключительно для статистических целей. Тем самым разработчики могут настраивать сайт, ориентируясь на показатели периода активности пользователей, источники трафика, улучшать его функционал.
Маркетинговые – cookies, считывающие активность пользователя на информационном ресурсе, для генерации рекламного контента. Их использование не ограничивается владельцем сайта – они могут передаваться рекламодателям, дата брокерам и аналитическим центрам.
Поскольку идентификаторы являются персональными данными, их обработка (т.е. любые операции с ними) должны иметь законное основание. Таким основанием может выступать согласие субъекта, необходимость обработки этих данных для исполнения договора (например, сохранение данных о продуктовой корзине для совершения покупки), исполнение закона (например, запрет на обслуживание клиентов из определенных стран) или законный интерес оператора (выявление спаммеров или ботов).
Законодательство о связи или электронных коммуникациях может предусматривать специальные условия для записи куки или иных присвоенных идентификаторов устройству. Так, европейская директива об электронных коммуникациях (e-Privacy Act) предписывает, что любая информация может быть загружена на устройство пользователя (браузер) только с его предварительного согласия. Из этого правила выделяются два случая, когда согласие пользователя не будет требоваться. Во-первых, это ситуация, когда установка куки требуется для установления или передачи сообщения через электронную сеть, а, во-вторых, случай, когда куки устанавливаются для предоставления доступа к услугам информационного общества (платформы за подписку, маркетплейсы и т.д.).
Строго обязательные куки, необходимые для, например, того, чтобы пользователь не выходил из личного кабинета при переходе по страницам или чтобы сайт запоминал согласие пользователя на установку кукис, подпадают под данные исключения, поэтому их можно устанавливать без согласия субъекта.
Остальные категории — т.е. функциональные, аналитические и маркетинговые могут устанавливаться только с согласия пользователя, а дальнейшая обработка — при наличии законного основания по законодательству о персональных данных.
Уведомление
Одна из главных обязанностей оператора персональных данных, т.е. вас, — уведомить пользователя о том, что вы собираете его персональные данные, а также для каких целей и кому передаете.
В идеале баннер должен всплывать при первом переходе пользователя на сайт / в приложении. В уведомлении должна содержаться информация о 1) собираемых куки-файлах и иных идентификаторах, 2) целях их сбора, 3) сроках хранения в памяти устройства,
4) третьих лицах, которым передают данные (например, Google или Facebook), а также возможность принять все идентификаторы, кастомизировать их выбор или полностью отказаться от них (помимо строго обязательных). Информацию можно также разместить на отдельной странице, к которой пользователь может перейти в любой момент своего сеанса, чтобы изменить настройки или узнать ответы на интересующие вопросы.
Касательно отказа от установки куки-файлов, необходимо помнить, что возможность отказаться должна быть так же доступна, как и согласиться. Нельзя делать прозрачным или вообще убирать на отдельную страницу функцию отказаться от куки. Именно за это Google поплатился на 200 млн. евро.
Куки-баннер или страница с настройками также не должны содержать иных «темных» паттернов, которые сбивают пользователей с толку — не стоит навязывать пользователю выбор куки при каждой смене страницы, а также прятать настройки в самые глубины сайта.
[1] Vidal-Hall v. Google // Inform’s Blog [Site]. URL (дата обращения: 18.04.2022 г.).
Комментарии (13)
Lelant0s
25.06.2022 22:19+9Функциональные cookie НЕ требуют согласия пользователя
Аналитические cookie МОГУТ не требовать согласия пользователя, если не передаются третьим сторонам и не используются самим Data Controller (т.е. сайтом) для создания профиля пользователя
По поводу дизайна баннеров - строгих и четко определенных правил все еще нет, а только рекомендации типа "избегайте темных паттернов и имейте совесть".
ePrivacy Act - это по сути детализация отдельных пунктов GDPR: если ваша ситуация не описана в GDPR, но есть в ePrivacy, то надо делать как написано в ePrivacy.
GDPR в Великобритании (называется Data Privacy Act) слегка другой, чем в ЕС, но на 90% совпадает. И там есть "свой" ePrivacy с аналогичной функцией - называется PECR.
Я на GDPR собаку съел, поэтому промолчать не смог. :)
AlexGur
27.06.2022 10:24Вопрос ребром: надо ли на сайтах в России ставить это всплывающее окно про куки (если вся аудитория сайта только в РФ)?
Или вместо окна-напоминания про куки можно ограничиться строчкой в пользовательском соглашении, ссылка на которое обычно стоит в футере сайта?
Lelant0s
27.06.2022 10:36Я не знаком с российским законодательством в этом вопросе, но если ваш пользователь физически не находится в ЕС, то GDPR вас не касается. Правда, если у вас хостинг в ЕС, то касается. :) Иными словами - или пользователь или его данные должны быть физически в ЕС. Японец, сидящий в Нью Йорке на российском сайте, хостящемся в Дюссельдорфе, попадает под GDPR.
P.S. Мое личное мнение, что информирование пользователя о том, что вы собираете его данные и что вы потом с ними делаете - это как гигиена или культура: не повинность под угрозой расстрела, но хороший тон и карма.
SerjV
26.06.2022 00:03+4Согласно ФЗ «О персональных данных» и GDPR куки-файлы и иные идентификаторы пользователя относятся к персональным данным
Во-первых, столо бы напомнить про экстерриториальность GDPR, из-за чего "на всякий случай" его в ряде ситуаций соблюдают и на российских сайтах (ну или пытаются соблюдать в меру своего понимания GDPR).
А во-вторых, в соответствии с GDPR - таки да, а вот про российское законозательство пожалуйста поподробнее, откуда вы это взяли?.. Или просто "для усиления эффекта" дописано?
AlexBream
27.06.2022 10:18С сожалением вынужден отметить, что автор вводит в заблуждение, частично:
согласно именно 152-ФЗ куки не являются и не могут быть объектом персональных данных, поскольку не являются атрибутом конкретного физического лица (субъекта персональных данных), а только лишь User-Agent'a, который может использоваться неопределенным кругом субъектов персональных данных, и не могут, таким образом, использоваться для косвенного определения физического лица.
Есть только судебная практика последнего времени с отнесением кук к объектам ПД, но у нас (пока) не прецедентное право
SerjV
27.06.2022 12:09Есть только судебная практика последнего времени с отнесением кук к объектам ПД, но у нас (пока) не прецедентное право
Более того, наверняка практика не высших судебных инстанций?
Кстати, нет сходу примеров такой практики?..
С сожалением вынужден отметить, что автор вводит в заблуждение, частично
Вообще да, т.к. тут проблема в экстерриториальности GDPR и недостаточной чёткости условий, когда сайт за пределами ЕС должен, а когда не обязан, им руководствоваться, а не в текущем российском законодательстве.
andreishe
О каких файлах вы все время пишете? Куки - это http-заголовок.
Alexufo
Который имеет доступ к изолированному пространству для записи и чтения на вашем компьютере.
dopusteam
Заголовок имеет доступ?
Alexufo
Конечно, он же браузером интерпретируется. Заголовок это команда. Пары ключ значения лежат физически в вашей энергонезависимой памяти и лежит то, то туда положит сайт.
dopusteam
Заголовок - это прежде всего текст, и он никуда доступ не имеет. Кладёт его не сайт, а браузер. Сайт только просит об этом.
sden77
но это уже давно не файлы, а скорее записи в БД
Carduelis
А как по-вашему, браузер хранит их? Собственным механизмом разметки бинарного пространства, предоставленном физическим носителем? Нет, это все лежит в файле того или иного формата. В процессе работы -- в оперативной памяти, а затем сохраняет в файл.