Хитрые Способы, Как Сайты Нарушают Твою Приватность в Интернете
Решения на основе данных помогают поднимать прибыль и оптимизировать расходы на привлечение новых клиентов. Поэтому почти каждый онлайн-бизнес хочет следить за тем, что ты делаешь в сети. Это помогает им снижать цены и превращать тебя в платежеспособного клиента.
Тем временем слежка вышла из-под контроля, и правительства отреагировали ужесточением законов о защите данных.
GDPR (Общий регламент по защите данных) Евросоюза — самый известный в мире закон о защите данных, в основном из-за крупных штрафов по GDPR.
Несмотря на знание закона и риск штрафов, сайты продолжают отслеживать поведение пользователей в интернете, нарушая GDPR.
Чтобы объяснить тебе, как они это делают и как ты можешь защитить себя от слежки, мы расскажем о следующем:
- Что такое куки и технологии отслеживания
- Что GDPR говорит на их счет
- Как сайты и приложения пытаются незаметно засунуть их на твое устройство, нарушая законы
- Что делать, чтобы защитить себя
Невзирая на угрозу внушительных штрафов, многие веб-сайты продолжают следить за действиями пользователей, тем самым нарушая положения GDPR.
Статья детализирует сущность куки и методов трекинга, разъясняет позицию GDPR по этому вопросу, рассказывает, каким образом сайты пытаются тайно разместить их на устройствах пользователей, противореча закону, и предлагает меры по обеспечению защиты личных данных.
Дополнительно приводятся советы о том, как обезопасить себя в случае нарушения прав на данные.
Что Такое Куки и Другие Технологии Отслеживания?
Куки — это маленькие файлы, которые сайты или приложения отправляют на твое устройство для сбора определенных данных. Позже эти данные обрабатываются.
Помимо куки, сайты часто используют пиксели для отслеживания (их еще называют веб-маяками), которые следят за тем, какие сайты ты посещаешь, на какие рекламы нажимаешь и так далее. Они показывают владельцу сайта, кто что и когда делал на сайте.
Что касается твоей приватности, куки бывают двух типов:
- Необходимые куки. Эти куки нужны для нормальной работы сайта или приложения. Пример — куки, которые помнят, что ты положил в корзину, пока продолжаешь просматривать интернет-магазин. Без таких куки корзина опустеет, как только ты продолжишь просмотр. Для этих куки разрешение не требуется.
- Нежелательные куки. Вот эти куки ты, возможно, не захочешь видеть на своем устройстве. Сюда входят куки для сбора статистики, например, Google Analytics, и рекламные куки, такие как технологии отслеживания от Google и Facebook. Именно эти куки следят за тобой.
Что Говорит GDPR о Применении Куки?
Ты хочешь сохранить приватность, когда сидишь в интернете. Правительства вводят законы, которые штрафуют тех, кто нарушает твою онлайн-приватность.
GDPR напрямую не касается куки, но косвенно устанавливает правила для отслеживания пользователей в сети. Законы защищают твою приватность и запрещают сайтам собирать информацию о тебе без твоего ведома.
Наиболее заметными исключениями являются законы США и Индии, согласно которым сайты могут следить за тобой без разрешения. Только в Калифорнии и Неваде они должны сообщить тебе, что следят, и дать возможность отказаться, но это и все.
Что касается GDPR и подобных законов, сайты должны получить твоё согласие на каждый вид отслеживания. Если ты согласен, это твой выбор. Если не согласен, сайты не должны «внедрять» куки на твое устройство.
Что Должны Делать Бизнесы в Отношении Куки?
Согласно GDPR, бизнесы должны получить твоё явное согласие перед использованием куки.
Если ты согласен на использование куки, они могут следить за тобой в сети. Они не должны это делать, если ты не дал согласия, даже если предоставляют тебе доступ к бесплатному контенту.
Более того, они должны запрашивать согласие определенным образом. Если они не соответствуют юридическим требованиям по способу запроса согласия, это равносильно тому, как если бы они его вообще не запрашивали, даже если ты согласился на использование куки.
Твоё согласие считается законным только если оно дано:
- Добровольно. Согласие считается добровольным, если ты сам выбираешь, принимать или отклонять куки. Бизнесы не должны заставлять пользователей попадать в ловушку, например, связывать согласие с условиями использования или использовать «стены» из куки и так далее.
- Конкретно. Бизнесы должны запрашивать отдельное согласие для каждой цели сбора и обработки данных. Если ты дал согласие на использование Google Analytics для аналитики, это не дает бизнесу права использовать эти же данные в рекламных целях.
- Однозначно. Согласие считается даным только после явного действия пользователя, например, нажатия кнопки «ПРИНЯТЬ».
- Легко отозвано. Пользователю должна быть предоставлена возможность так же легко отозвать ранее данное согласие. То есть, если пользователь просто кликнул на баннер с куки для принятия, должна быть предусмотрена кнопка «ОТМЕНИТЬ» для отзыва согласия. Бизнес не должен требовать форм и писем для отзыва согласия, данного таким образом.
Тем не менее, онлайн-бизнесы не всегда это делают.
Что Бизнесы Иногда Делают Вместо Этого?
Они становятся настолько креативными, насколько позволяют их адвокаты. Чаще всего они используют следующие стратегии:
Предполагают, что вы согласны с куки, просто заходя на сайт
“Этот сайт использует куки. Продолжая просмотр этого сайта, вы соглашаетесь на использование куки и принимаете нашу политику конфиденциальности.”
Встретить такую надпись на баннере с куки весьма и весьма вероятно. С этим утверждением две большие проблемы:
- Принятие политики конфиденциальности — это абсурд. Политика конфиденциальности — это просто уведомление. Это документ, с помощью которого онлайн-бизнес информирует пользователя о своих методах работы с конфиденциальностью. Здесь нечего принимать. Это просто информация о том, что уже и так есть. Так что принятие политики конфиденциальности ничего не значит. А вот принятие куки для бизнесов, которые хотят вас отслеживать, значит многое.
- Если вы не нажали кнопку “ПРИНЯТЬ” для принятия куки, вы не дали своего согласия на использование куки. Просмотр сайта не означает согласие.
Если они запрашивают ваше согласие, вы можете его дать, отказать или проигнорировать.
Если вы дадите согласие, они могут использовать куки.
Если вы откажетесь или проигнорируете, они не должны использовать куки. Если все же используют, это нарушение ваших прав на приватность.
Используют «стены» из куки
Стена из куки — это баннер с куки, который не позволяет вам получить доступ к контенту сайта или приложения, если вы не согласны на использование куки и технологий отслеживания. Такие стены незаконны.
Вот так выглядит стена из куки:
Она требует от пользователя принять куки или заплатить за доступ к контенту.
Некоторые сайты делают это по-другому, чтобы не нарушать закон. Они закрывают большую часть экрана баннером с куки, но не требуют принять все куки, чтобы убрать его с экрана. Вы можете перейти в центр предпочтений и отклонить все куки. Это не нарушает закона, хотя и похоже на стены из куки.
Совмещение Условий Использования с политикой конфиденциальности и согласием
Фразы типа «Принимая эти Условия Использования, вы соглашаетесь с нашей политикой конфиденциальности и использованием куки» — это нарушение закона. Это нарушает ваши права на конфиденциальность, потому что не запрашивает конкретного согласия, а заманивает вас на согласие, связав его с принятием Условий Использования.
Условия Использования — это договор между сайтом или приложением и пользователем. Они регулируют ваше использование сайта или приложения. Если вы хотите использовать приложение, вы должны согласиться с условиями, установленными владельцем приложения.
Однако принятие этих условий должно быть отдельно от принятия куки для онлайн-отслеживания.
Предварительно отмеченные галочки
Согласие является конкретным только тогда, когда оно дано отдельно для каждой конкретной цели. Это означает, что бизнес должен запрашивать отдельное согласие для каждой конкретной цели использования куки.
Предположим, сайт, который вы посещаете, использует куки для запоминания ваших предпочтений на сайте, инструмента аналитики для статистики и пикселя рекламы для продвижения своих товаров в социальных медиа. Позже это значит, что они должны запрашивать отдельное согласие для каждого из них.
Баннер с куки может выглядеть так:
Но баннер с куки выше является незаконным. Переключатели не должны быть активированы. Это должно выглядеть вот так:
Теперь ваше согласие будет однозначным, потому что именно вы будуте активировать переключатель и нажимать кнопку ПОДТВЕРДИТЬ МОЙ ВЫБОР. Всё, что меньше этого, является нарушением закона.
Игнорирование законов о защите данных
Некоторые онлайн-бизнесы просто игнорируют GDPR. Они действуют так, как будто это к ним не относится. Они будут использовать куки для отслеживания вас, несмотря на риск штрафа.
Некоторые из них даже не знают, что существуют GDPR и подобные законы, а некоторые надеются, что органы по защите данных не будут за ними охотиться.
Каковы бы ни были их причины, эти сайты не будут показывать вам баннер с куки, запрашивая согласие. Они просто засунут куки прямо в ваше устройство. Когда это происходит, или если происходит что-либо из описанного выше, вы, возможно, захотите что-то предпринять, чтобы защитить свои права.
Как Защитить Себя?
Когда сайты ведут себя так, как описано выше, ваши права на данные нарушаются. GDPR создан для того, чтобы защитить вас, но вы сами должны взять ситуацию под контроль и заботиться о своей онлайн-конфиденциальности.
Если вы сталкивались с такой ситуацией, вот что можно сделать, чтобы устранить нарушение:
Убедитесь, что GDPR применим
Нарушения конфиденциальности не может быть, если нет закона, который предоставляет вам права на онлайн-конфиденциальность.
Если вы или интернет-бизнес находитесь в государстве-члене Европейского Союза, GDPR применим, и у вас есть право на защиту.
Но сначала нужно определить, какие законы предоставляют вам такую защиту.
В общем, законы о защите данных применяются к:
- Бизнесам в их юрисдикции
- Лицам в их юрисдикции
- Любому человеку в мире, взаимодействующему с бизнесом из их юрисдикции.
В результате, бизнесам приходится соблюдать:
- Местные законы о защите данных при взаимодействии с пользователем из любой точки мира
- Закон пользователя в взаимодействии с этим конкретным пользователем.
Если бизнес и человек находятся в разных странах, то все законы, которые к ним применяются, применяются и к их отношениям.
Чтобы определить, применим ли GDPR в вашем случае, воспользуйтесь следующей схемой решений:
Если вы пришли к выводу, что «GDPR применим», читайте дальше.
Проведите сканирование сайта на наличие куки
Сайт, который вы посетили, скорее всего, использует куки.
Если сайт приветствует вас, упоминая куки, то на 100% уверен, что они их используют.
Если вы еще не уверены, в интернете есть бесплатные сканеры куки, где можно проверить, какие сайты их используют.
Несколько примеров:
Вам нужно перейти на сканер, скопировать и вставить URL сайта, который вы хотите просканировать, и нажать СКАНИРОВАТЬ.
Затем сканер сделает своё дело и предоставит результаты.
Подать запрос субъекта данных
Если соответствующие законы предоставляют вам право подать запрос субъекта данных, это следующий шаг.
Запрос субъекта данных — это запрос, который пользователи могут отправить бизнесу для реализации своих прав субъекта данных (пользователь является субъектом данных).
GDPR предоставляет вам следующие права субъекта данных:
| У вас есть право: | Что компания должна предоставить по вашему запросу: |
| Получить информацию, собирает ли компания и обрабатывает ли она ваши персональные данные | Информация о том, собирают ли и/или обрабатывают ли они ваши данные |
| Получить доступ к своим персональным данным | Предоставить вам доступ ко всем категориям персональной информации, которую они имеют о вас, целям и методам сбора и обработки, получателям, сроку хранения и т. д. |
| Исправление | Исправить неточные данные о вас |
| Удаление ваших персональных данных (право быть забытым) | Удалить все данные о вас |
| Ограничение обработки | Ограничить обработку ваших данных в соответствии с вашими инструкциями (вы можете разрешить им использовать ваши данные для предоставления вам актуального контента, но не для рекламы) |
| Перенос данных | Предоставить вам файл или папку со всеми вашими данными, чтобы вы могли перенести их другому контролеру данных |
| Возражение против обработки данных | Прекратить обработку ваших данных в соответствии с вашими инструкциями |
| Не быть объектом автоматизированного индивидуального принятия решений, включая профилирование | Прекратить использование ваших данных в автоматизированном индивидуальном принятии решений, включая профилирование (в основном, удалить ваши данные из своих алгоритмов) |
Вы можете подать запрос субъекта данных на реализацию любого из этих прав, комбинацию их или все сразу. Это ваше право, поэтому вы решаете, как его осуществлять.
Компании обычно указывают методы подачи запросов в своей политике конфиденциальности. Однако они обязаны принять ваш запрос, независимо от того, как вы его подали.
Итак, лучший способ — это ознакомиться с политикой конфиденциальности. Если там ничего нет или это сложно, отправьте им электронное письмо или свяжитесь с ними через форму контактов.
GDPR дает им 30 дней на ответ на ваш запрос. Они могут взять еще 30 дней, если ваш запрос делает сложным ответ в течение первых 30 дней.
Если вы не получили ответа в течение этого периода, пора обратиться в орган по защите данных.
Подать жалобу компетентному органу по защите данных (DPA)
Есть два момента, когда вы могли бы пожаловаться компетентному органу по защите данных:
- Перед тем как вы подадите запрос субъекта данных. Хорошо удостовериться, что интернет-компания нарушает ваше право на защиту данных, прежде чем предпринимать дальнейшие действия. Так что подача запроса перед подачей жалобы, как правило, хорошая идея.
Однако есть ситуации, когда совершенно очевидно, что ваши права были нарушены, и нет нужды терять время.Например, если компания из ЕС приветствует вас с сообщением о куки, очевидно, что они что-то делают неправильно. Вот когда вы могли бы подать жалобу в орган власти.
- Когда компания не выполняет ваш запрос субъекта данных. Невыполнение вашего запроса само по себе является нарушением, но это также может означать, что компания совершила ряд нарушений, о которых вы еще не знаете. Это требует действий с вашей стороны.
Подача жалобы компетентному органу максимально упрощена. Хотя многие органы имеют формы жалоб на своих сайтах, многие из них примут жалобу, поданную любым способом.
Сложная часть здесь — выяснить, какой орган по защите данных компетентен. Но даже если вы ошибетесь и подадите жалобу в неправильный орган, они отклонят вашу жалобу и скажут, куда обратиться. Так что в худшем случае вы потеряете немного времени.
Компетентными органами по защите данных в вашем случае являются:
- Орган по защите данных в вашей стране
- Орган по защите данных в стране, где зарегистрирован бизнес
- Если компания зарегистрирована за границей, страна, где у них есть представитель.
Вот список всех органов по защите данных в ЕС, если вы сталкиваетесь с GDPR.
Подача иска в суд
И, наконец, вы можете подать иск в суд для защиты своих прав на онлайн-конфиденциальность, если у вас есть какие-либо убытки из-за нарушений.
Так что важно заметить, что иск может быть успешным только если у вас есть убытки, такие как финансовые потери, ущерб репутации и другие. Если компания использовала куки без вашего согласия, но это не причинило вам ущерба, административная процедура через орган по защите данных — все, что вы можете сделать.
Заключительное слово
Интернет-бизнесы обожают персональные данные. Если у вас есть свой онлайн-бизнес, вы, скорее всего, понимаете, насколько ценны данные для принятия бизнес-решений. Поэтому неудивительно, что компании иногда переходят грань и нарушают законы.
Если это произойдет с вами, есть способы действовать.
Но нужно помнить, что только вы сами можете предпринять действия. Органы по защите данных могут заметить или не заметить нарушения со стороны веб-сайтов. В конце концов, в каждой стране всего один такой орган, а в мире миллиарды веб-сайтов. Отследить все их просто невозможно.
Если хотите защитить себя, делать это нужно именно вам. Берите ситуацию в свои руки и преследуйте тех, кто нарушает ваши права в области защиты персональных данных. У вас есть все необходимые инструменты. Используйте их.