Фото — Jade Wulfraat — Unsplash
Что решил суд
В начале октября Суд Европейского союза постановил, что на сайтах нельзя использовать предварительно заполненные чек-боксы, разрешающие постановку cookies в браузерах пользователей. В противном случае компании нарушают требования ePrivacy Directive и GDPR, которые обязывают получать явное согласие на обработку ПД.
Дополнительно владельцев интернет-ресурсов обязали перечислять названия сторонних компаний, имеющих доступ к персональным данным посетителей, и указывать «время жизни» cookies. Суд также отметил, что действия, выполняемые пользователем на сайте (например, скачивание файла), нельзя расценивать как согласие на обработку ПД.
Дело, по которому вынесли решение, завели в Германии еще в 2013 году. Тогда Федерация немецких потребительских организаций подала в суд на лотерейную компанию Planet49. На сайте последней имелись галочки, разрешающие постановку рекламных cookies. Суд Германии вел дело на протяжении четырех лет, но в 2017 году решил передать его Суду Европейского союза для подробного разбирательства.
Здесь стоит отметить, что постановление не затрагивает cookies, на установку которых сайты по закону не обязаны спрашивать разрешения пользователей. Речь идет о cookies для сохранения сессионных данных, работы плагинов соц.сетей и загрузки видеоконтента.
На что повлияет постановление
Решение привлечет дополнительное внимание к проблеме безопасности персональных данных в интернете. Например, после вступления GDPR в силу европейские регуляторы зафиксировали рост числа обращений о нарушениях компаний — срыве сроков хранения ПД, их незаконной обработке или утечках. Существует мнение, что новое постановление Европейского суда приведет к аналогичной реакции. Однако есть и другая сторона медали. Некоторые пользователи все же стараются как можно скорее скрыть cookies-баннер, чтобы он не занимал полезное пространство на странице. Необходимость вручную проставлять галочки в нужных чек-боксах затруднит для них работу на сайтах — как минимум отнимет время.
В любом случае владельцам сайтов придется менять подходы к обработке cookies и, возможно, ПД. Что интересно, новое постановление коснется и сайта самого Европейского суда. Как заметил один из резидентов Twitter, веб-ресурс организации не соответствует новым стандартам конфиденциальности.
По словам Лукаша Олейника (Lukasz Olejnik), эксперта по информационной безопасности в Оксфордском университете, необходимость указывать срок действия cookies наложит на сайты дополнительные обязанности. Веб-мастерам придется следить, чтобы атрибуты max-age и expires, отвечающие за «время жизни» отслеживающих файлов, соответствовали информации на баннере.
Фото — Pietro De Grandi — Unsplash
Решение суда также создает важный прецедент. На него будут ориентироваться европейские регуляторы в разбирательстве аналогичных споров.
При этом, как отметил Лука Тосони (Luca Tosoni), научный сотрудник Норвежского исследовательского центра компьютеров и права, новое постановление повлияет на обсуждение законопроекта ePrivacy Regulation. Он дополнит GDPR и ужесточит правила работы с cookies и персональными данными. Принять закон должны в 2020 году.
Вопросы, которых суд не касался
Суд Европейского союза пока не затрагивал вопросы, связанные с законностью cookie-стен (cookie walls). Это — баннеры, блокирующие доступ к контенту, пока пользователь не разрешит обработку персональных данных. Хотя в начале года нидерландский регулятор вынес постановление, в котором назвал cookie walls незаконными. Они вынуждают пользователей согласиться с условиями сбора данных, а это противоречит требованиям GDPR.
Но решение регулятора в Нидерландах все еще может быть изменено Судом Европейского союза. К слову, этот вопрос он будет рассматривать в ближайшем будущем — во время слушаний по делу румынского интернет-провайдера Orange Romania.
Оборудование нашего облака живет в трёх центрах обработки данных (ЦОД): Xelent/SDN (Санкт-Петербург), Dataspace (Москва) и Ahost (Алма-Ата).
В частности, ЦОД Dataspace — это первый российский дата-центр, прошедший сертификацию Tier lll от Uptime Institute.
Наши свежие хабрапосты:
- Что известно о конференции VMworld 2019
- Как нейросети читают политики конфиденциальности
- Открытые фреймворки и библиотеки машинного обучения
Комментарии (13)
beduin01
14.10.2019 10:31Скоро расширения по блокировке этих назойливых уведомлений обгонят по популярность uBlock.
chektor
14.10.2019 19:52Да уже на многих сайтах — «Отключите блокировку рекламы, иначе мы вам ничего не покажем». Например, на сайте погоды rp5.ru, эпизодически, вместо значений, появляются строчки «блокировка рекламы», а сбоку таблицы баннер — «Нам трудно, мы зарабатываем на показе рекламы, а вы нам не даете заработать и мы вам ничего не покажем». Такой вот «шантаж».
Кстати, насчет комментария «Закрываться баннером» не выгодно в первую очередь бизнесу". — Вы не поверите, но бизнес часто делают тупые бизнесмены! И бизнес у них такой же тупой — «Или вы разрешаете рекламу или идите ....»! (Копия системной политики власти многих стран. — Криминал порождает криминал).
Nikolai46
14.10.2019 21:01На сколько я понимаю что если галочку не ставить по умолчанию, то все 100% пользователей никогда её не нажмут (кроме парочки кто сделает это по ошибке). И что не зависимо от выбора пользователя, вы не имеете права менять поведение сайта.
Тогда какой смысл этого действа вообще? Пусть сразу запретят подобные cookies, вместо того чтобы городить какое-то представление, что как будто это пользовательское решение.
Посмотрел на сайт bbc.com, на одну страничку получил 337 запросов, с около 50-ти разных доменов. Большинство вообще не принадлежит и не контролируется bbc.com
Если я правильно понимаю, bbc.com будет отвественен за установку следящих cookies любым из этих доменов?
Тогда это означает глобальную консолидацию и перераспределение рынка рекламы.
bbc.com будет заключать соглашение с одним/двумя доверенными провайдерами, чтобы не попасть на бабки.
kekekeks
Ну то есть теперь везде будет жирный неотключаемый баннер "Согласись на обработку ПД или уходи, потому что иначе мы тебя обслужить не можем". Чего добивались — совершенно неясно.
amarao
Добивались того, чтобы "знали меру".
Неотключаемый баннер, требующий установки рекламных cookies под угрозой "не обслуживания" — нарушение GDPR, где запрещено принуждение к не-essential, а essential должно иметь минимальный scope, в который нельзя включить "а у нас трекающая реклама — это essential".
Да, тяжело. Нет, реформы происходят, и дикий рынок (survival of the wittiest) становится чуть менее диким.
roboter
Согласно GDPR нельзя ограничивать пользователя ответевшего нет в правах. Шантаж не пройдёт.
kekekeks
Ну смотрите. Для использования сервисом нужно зарегистрироваться и оплатить. Чтобы зарегистрироваться и оплатить нужно использовать кукисы. То есть пользователь не может работать с сервисом не приняв куки.
Am0ralist
Ага, и как для этого вам нужны куки рекламные и сторонние?
kekekeks
Так они требуют вообще любые не ставить, понимаете в чём дело. Даже тупо с токеном авторизации.
swelf
Нет, сессионные куки — исключение(даже в статье же сказано), на сколько я понимаю. т.е. для функционала сайта этот закон на самом деле большой роли не играет. Ведь на основе сессионной куки можно что угодно держать у себя на сервере. А вот всякие гугл аналитики и яндекс метрики просто так теперь не смогут их записывать.
Am0ralist
Free_ze
Если пользователя не устроят условия сделки (витрина магазина с завышенными ценниками, грабительские подписки на некоторые продукты, безнадежно устаревшие статьи новостного сайта и т.п.), то ему не нужно ничего оплачивать и следящие куки собирать. Но ознакомиться с некоторой информацией необходимо.
«Закрываться баннером» не выгодно в первую очередь бизнесу — это означает отгораживание от новых клиентов. Придется аккуратнее раздавать куки, а ведь в этом и есть смысл закона — избавиться от злоупотреблений.