Как должно быть запрошено согласие на использование файлов cookie согласно GDPR
В этом руководстве мы покажем вам, как веб-сайты должны запрашивать у вас согласие на использование файлов cookie, и что делать, если они нарушают ваши права.
Много лет назад, когда кто-то заходил в интернет, их данные стирались в момент прибытия на любой веб-сайт. Файлы cookie начинали собирать данные пользователей как можно скорее. Но это изменилось.
Европейский союз быстро попытался предотвратить это, приняв в начале 2000-х годов директиву о конфиденциальности электронных коммуникаций (ePrivacy Directive), которая несколько раз обновлялась.
Однако это не принесло желаемых результатов в необходимом масштабе, и ЕС пришел к решению ввести новый закон — Общий регламент по защите данных (GDPR).
Начиная с 2018 года, законы о файлах cookie стали более строгими, чем когда-либо, и штрафы за несоблюдение никогда не были такими высокими. Однако многие компании пока не соответствуют требованиям.
Орган по защите данных, скорее всего, не сможет преследовать каждый недобросовестный бизнес, поэтому вы должны полагаться на себя и защищать свои данные.
Вот почему вам нужно узнать, как должно быть запрошено согласие на использование файлов cookie.
Однако достигнутые результаты оказались не настолько эффективными, как ожидалось, что привело к принятию Общего регламента по защите данных (GDPR) в 2018 году.
Согласно GDPR, компании обязаны получать согласие пользователей перед применением файлов cookie, при этом регламент четко определяет критерии законного согласия.
Я также разъясняю сущность файлов cookie и объясняю, почему защита персональной информации имеет критическое значение. В завершение представлены примеры корректного и некорректного способов запроса согласия на использование файлов cookie со стороны компаний.
Что такое файлы cookie?
Файлы cookie — это небольшие текстовые файлы, которые веб-сайт или приложение отправляют на ваше устройство (ноутбук, смартфон, планшет), сохраняют их там и используют для сбора данных. Владельцы веб-сайтов или приложений, то есть контролеры данных, затем обрабатывают данные для своих собственных нужд.
Почему это важно для вас?
Файлы cookie собирают ваши персональные данные и передают их кому-то другому для обработки.
Это не обязательно означает, что вы понесете какой-либо ущерб; вы станете жертвой кражи личности.
Это просто означает, что ваши данные находятся в чужих руках, и у них есть к ним свободный доступ. Они могут обрабатывать данные с соблюдением законов, ничего не делать с ними или злоупотреблять ими. Вы никогда не знаете.
Что должны делать компании?
Компании обязаны запрашивать согласие пользователей перед внедрением файлов cookie на их устройства.
Использование файлов cookie без согласия является незаконным и нарушением GDPR. Кроме того, согласие должно быть запрошено и получено законным путем. Не все согласия равнозначны.
Компании, намеренно или нет, часто допускают ошибки в запросах на согласие. Короткий период действия GDPR привел к одному значительному решению Суда Европейского союза и подробным рекомендациям Европейской рабочей группы по защите данных (EDPB).
Решение суда широко известно как решение Planet49, где немецкая компания была оштрафована за незаконное сбор согласия.
Вы можете узнать больше о штрафах GDPR на связанной странице.
Конкретно они предоставляли пользователям предварительно отмеченные флажки вместо того, чтобы оставить отметку пользователей. Это не является позитивным действием. Таким образом, это нарушение закона.
Позитивное действие — это только одно из требований для законного согласия согласно GDPR, но это не единственное, о чем вам следует быть осторожным.
Требования GDPR к согласию на файлы cookie
GDPR требует, чтобы согласие было:
- Данным добровольно предоставлено
- Информированным
- Специфичным
- Однозначным
- Имеющим возможность отозвать согласие
Все эти пять требований должны быть выполнены для законного согласия.
Но что означает каждое из них, и как определить, если вам был предъявлен запрос, как следует?
Данным добровольно предоставлено
Согласие считается добровольным, если это было добровольным действием пользователя. Пользователь дал согласие по собственной воле, если:
- Их не заставили дать согласие насильственно. Веб-сайты, которые хотят вынудить пользователей дать согласие, часто объединяют согласие с Правилами использования. Это нарушает GDPR. Такое согласие не учитывается, так как оно не добровольное.
Помните: Веб-сайту всегда следует просить вас о согласии отдельно. - Им было запрещено получать доступ к контенту без согласия. Это называется «cookie-стеной» и является одним из подлых способов, которыми веб-сайты нарушают вашу конфиденциальность. Веб-сайт должен предоставить вам доступ ко всему контенту без получения согласия. Сюда не входит область для участников на веб-сайте, но и для нее также не требуются файлы cookie.
Помните: доступ к контенту не требует файлов cookie. Если кто-то запрашивает ваше согласие для доступа, они нарушают ваши права по GDPR. - Препятствуют пользователям отзывать согласие без последствий. Вы свободны давать согласие и свободны его отозвать. Это означает, что контроллер не должен навязывать негативные последствия за его отзыв.
Помните: Отзыв согласия — это право по GDPR. Если контроллер данных хочет вас от этого удержать, пришло время обратиться к органам власти.
Информированным
Согласие считается информированным, когда вас информируют о том, что произойдет с вашими персональными данными, если вы дадите согласие. Компании передают эту информацию через свои политики конфиденциальности.
Однако иметь политику недостаточно. Веб-сайт должен предоставить ссылку на политику на момент сбора данных, то есть на момент запроса согласия на использование файлов cookie.
Кроме того, политика должна четко указывать, что веб-сайт использует файлы cookie, почему они используются и какие данные с ними собираются. Без всей этой информации запрос на согласие является незаконным.
Следующий баннер — хороший пример выполнения этого требования. Они запрашивают согласие и предоставляют ссылку на политику конфиденциальности. Прежде чем дать согласие, вы можете нажать там и ознакомиться с их практиками конфиденциальности.
Тем не менее, читать политику конфиденциальности или нет — это ваше дело. Никто не обязывает вас читать ее, но закон предполагает, что вы прочитали ее, если вам был предоставлен легкий доступ к ней.
Помните: Веб-сайты должны предоставить вам информацию о том, что происходит с вашими данными, если они собираются файлами cookie. Эта информация должна быть предоставлена на понятном языке, таком, который легко понять.
Специфичность
Бизнесы должны получать отдельное согласие для каждой конкретной цели обработки.
Бизнес, который отслеживает аналитику веб-сайта и использует рекламные файлы cookie, должен запрашивать согласие для каждой цели отдельно. Объединенное согласие не считается.
Следующий баннер файлов cookie — хороший пример конкретного запроса. Баннер четко объясняет, почему веб-сайт использует файлы cookie и разъясняет цели обработки. Пользователь может предоставить согласие только на те цели, для которых он хочет, чтобы его данные были обработаны. Но они не обязаны давать согласие на все цели сразу.
Помните: Каждый баннер файлов cookie должен выглядеть как баннер выше. Количество запросов на согласие должно быть равно количеству целей обработки.
Однозначность
Согласие считается данной однозначно, если вы даете его своим действием. Вы, пользователь интернета, должны четко заявить, что вы согласны с использованием файлов cookie. Но баннер файлов cookie на веб-сайте должен это допускать.
Каждый баннер файлов cookie должен иметь кнопку «ПРИНЯТЬ», а также кнопку для отказа от файлов cookie. В некоторых случаях бизнесы могут предложить возможность отклонить файлы cookie в центре настроек файлов cookie, если таковой имеется.
Более того, вы должны установить флажки или включить переключатели, чтобы указать, что вы согласны с использованием файлов cookie.
Следующий баннер файлов cookie показывает, как запрашивать согласие у пользователей незаконно, потому что переключатели включены по умолчанию.
На следующем баннере переключатели выключены. Вы можете включить их, если хотите. Так вы даете согласие однозначно, и так бизнесы должны вас законно спрашивать.
Распространенной ошибкой, которую совершают веб-сайты, является предположение, что пользователи соглашаются на сбор данных, оставаясь на веб-сайте.
Их баннеры файлов cookie говорят: «Если вы продолжаете просматривать этот веб-сайт, это означает, что вы согласны с использованием файлов cookie.» Это не соответствует GDPR. Это явное нарушение прав пользователей на конфиденциальность.
Помните: Это вы должны предпринять утвердительное действие, чтобы дать согласие. Баннер файлов cookie не должен вам помогать. Он должен оставить это на ваше усмотрение.
Легко отзываемое
Бизнес должен позволить вам отозвать согласие так же легко, как вы его дали.
Если вы нажали на кнопку «ПРИНЯТЬ» для предоставления согласия, вам должно быть разрешено нажать на кнопку «ОТОЗВАТЬ» для его отзыва.
Бизнесы обычно размещают опцию отзыва в центре конфиденциальности. Это хорошая практика, так как она обеспечивает легкий доступ к осуществлению этого права.
Важно также отметить, что контроллер данных не должен связывать отзыв с наложением негативных последствий, если файлы cookie необходимы для предоставления некоторых функций.
Например, файлы cookie могут быть необходимы для запоминания ваших языковых предпочтений на веб-сайте, и имеет смысл получать худший пользовательский опыт из-за отзыва согласия.
Однако рекламные файлы cookie не связаны с функциональностью веб-сайта никаким образом, поэтому они не должны быть условием для получения лучшего пользовательского опыта.
Помните: Вы должны иметь возможность отозвать согласие так же легко, как вы его дали.