Хитрые Способы, Как Сайты Вмешиваются в Вашу Онлайн-Приватность
Решения на основе данных позволяют поддерживать высокую прибыльность, минимизируя расходы на привлечение новых клиентов. Поэтому почти каждый онлайн-бизнес хочет следить за тем, что вы делаете в интернете. Это помогает им снизить цены, превращая вас в платежеспособного клиента.
Тем временем, мониторинг вышел из-под контроля, и правительства отреагировали более строгими законами о защите данных.
GDPR (Общий регламент по защите данных) Европейского Союза — самый известный в мире закон о защите данных, в основном из-за крупных штрафов по GDPR.
Несмотря на осведомленность о законе и риск штрафов, сайты продолжают отслеживать поведение пользователей в интернете вопреки GDPR.
Чтобы объяснить вам, как они это делают и как можно защититься от отслеживания, мы расскажем следующее:
- Что такое куки и технологии отслеживания
- Что GDPR говорит о них
- Как сайты и приложения пытаются незаметно закралить их на ваше устройство, нарушая законы
- Что делать, чтобы защитить себя
Вопреки угрозе значительных финансовых санкций, многие сайты продолжают следить за поведением пользователей, игнорируя требования GDPR.
В статье рассматриваются куки-файлы и другие методы отслеживания, анализируется, что именно об этом говорит GDPR, как веб-сайты стараются незаметно внедрить эти технологии в устройства пользователей, нарушая законодательные нормы, и предлагаются способы защиты личной информации.
Представлены также рекомендации по защите прав на данные в случае их нарушения.
Что Такое Куки и Другие Технологии Отслеживания?
Куки — это маленькие файлы, которые сайты или приложения отправляют на ваше устройство для сбора определенных данных. Позже эти данные обрабатываются.
Помимо куки, сайты часто используют пиксели для отслеживания (или веб-маяки), которые следят за тем, какие сайты вы просматриваете, на какие рекламы нажимаете и так далее. Они показывают владельцу сайта, кто что делал на сайте и когда.
Что касается вашей приватности, существует два типа куки:
- Необходимые куки. Эти куки необходимы для нормального функционирования сайта или приложения. Пример — куки, которые запоминают, что вы положили в корзину, пока ещё просматриваете интернет-магазин. Без таких куки корзина опустеет, если вы продолжите просмотр. Для этих куки разрешение не требуется.
- Нежелательные куки. Вот эти куки вам, возможно, не захочется видеть на своём устройстве. Сюда входят статистические куки, такие как Google Analytics, и рекламные куки, например, технологии отслеживания от Google и Facebook. Именно эти куки следят за вами.
Что Генеральный Регламент по Защите Данных (GDPR) Говорит о Куки?
Ты хочешь конфиденциальности в интернете, правда? Правительства вводят законы, которые штрафуют тех, кто не соблюдает твою онлайн-приватность.
GDPR не регулирует куки напрямую, но косвенно устанавливает правила для отслеживания пользователей в сети. Закон защищает твою прогулку по интернету и запрещает сайтам собирать твои данные без твоего ведома.
Самые заметные исключения — это законы США и Индии, согласно которым сайты могут следить за тобой без спроса. Только в Калифорнии и Неваде они обязаны сказать тебе, что следят, и предложить возможность отказаться, но это все.
Что касается GDPR и подобных законов, сайты должны просить твоего согласия для каждой цели отслеживания. Если ты разрешишь, это твой выбор. Если не разрешишь, они не должны засовывать куки в твое устройство.
Что Должны Делать Бизнесы по Поводу Куки?
Согласно GDPR, бизнесы должны получить твое явное согласие перед использованием куки.
Если ты согласен на их куки, они могут следить за тобой в сети. Они не должны следить за тобой, если ты не согласен, даже предоставляя тебе доступ к бесплатному контенту.
К тому же, они должны просить согласия определенным образом. Если они не соответствуют юридическим требованиям о том, как просить согласие, это все равно, что они его и не просили, даже если ты согласился на использование куки.
Твое согласие законно только если оно дано:
- Добровольно. Согласие считается добровольным, если ты сам решаешь принять или отклонить куки. Бизнесы не должны ставить пользователей перед выбором «либо-либо», например, привязывая согласие к условиям использования или используя «стены» с куки и так далее.
- Конкретно. Бизнесы должны просить отдельное согласие для каждой цели сбора и обработки данных. Если ты дал согласие на использование Google Analytics для аналитических целей, это не дает бизнесу права использовать те же данные в рекламных целях.
- Однозначно. Согласие дается только при подтверждающем действии со стороны пользователя. То есть, нажатии кнопки «ПРИНЯТЬ».
- Легко отозвать. Пользователю должна быть предоставлена возможность легко отозвать ранее данное согласие. Так, если пользователь просто нажал на баннер с куки для их принятия, ему должна быть предоставлена кнопка «ОТМЕНИТЬ» для отзыва согласия. Бизнес не должен требовать заполнения форм и отправки писем для отзыва согласия, данного таким образом.
Тем не менее, онлайн-бизнесы не всегда это делают.
Что Бизнесы Иногда Делают Вместо Этого?
Они становятся настолько креативными, насколько позволяют их юристы. Чаще всего используются следующие стратегии:
Считают, что ты принял куки, просто заходя на сайт
«Этот сайт использует куки. Просматривая этот сайт, вы соглашаетесь с использованием куки и принимаете нашу политику конфиденциальности».
Такая надпись на баннере с куки — довольно частое явление. И тут две большие проблемы:
- Принятие политики конфиденциальности — это абсурд. Политика конфиденциальности — это просто уведомление. Это документ, с помощью которого онлайн-бизнес информирует пользователя о своих практиках в области приватности. Здесь нет ничего, что нужно принимать. Это просто информация о том, как все устроено. Так что принятие политики конфиденциальности ничего не значит. В то время как принятие куки — это всё для бизнесов, которые хотят следить за тобой в сети.
- Если ты не нажал кнопку «ПРИНЯТЬ» для принятия куки, значит, ты не дал согласия на их использование. Просмотр сайта не является согласием.
Если они просят твоего согласия, ты можешь его дать, отказать или проигнорировать.
Если дашь согласие, они могут использовать куки.
Если откажешься или проигнорируешь, они не должны использовать куки. Если все же используют, нарушают твои права на приватность.
Используют «куки-стены»
Куки-стена — это баннер с куки, который не дает тебе доступа к контенту сайта или приложения, пока ты не согласишься с использованием куки и технологий отслеживания. Куки-стены — это незаконно.
Вот что такое куки-стена:
Она требует от пользователя принять куки или заплатить за доступ к контенту.
Некоторые сайты делают это по-другому, чтобы не нарушать закон. Они закрывают большую часть экрана баннером с куки, но не требуют принятия всех куки, чтобы убрать его с экрана. Ты можешь зайти в центр предпочтений и отклонить все куки. Это не нарушает закона, хотя и напоминает куки-стены.
Объединяют Условия использования с политикой конфиденциальности и согласием
Фразы вроде «Принимая эти Условия использования, вы принимаете нашу политику конфиденциальности и использование куки» противоречат закону. Это нарушает твои права на приватность, потому что конкретного согласия не запрашивается, но оно как бы навязывается вместе с принятием Условий использования.
Условия использования — это договор между сайтом или приложением и пользователем. Они регулируют твоё использование сайта или приложения. Если хочешь пользоваться приложением, должен согласиться с условиями, установленными владельцем приложения.
Однако принятие этих условий должно быть отдельно от принятия куки для онлайн-отслеживания.
Заранее отмеченные галочки
Согласие является конкретным, только если оно дано отдельно для каждой конкретной цели. Это означает, что бизнес должен запрашивать отдельное согласие для каждой конкретной цели использования куки.
Предположим, сайт, который ты посещаешь, использует куки для запоминания твоих предпочтений на сайте, инструмента аналитики для статистики и рекламного пикселя, чтобы рекламировать свои товары тебе в соцсетях. Позже это значит, что им нужно запрашивать отдельное согласие для каждого из них.
Баннер с куки может выглядеть так:
Но такой баннер с куки — незаконный. Переключатели не должны быть активированы. Это должно выглядеть вот так:
Теперь твоё согласие будет однозначным, потому что именно ты будешь переключать тумблер и нажимать кнопку «ПОДТВЕРДИТЬ МОЙ ВЫБОР». Всё, что меньше — против закона.
Игнорирование законов о защите данных
Некоторые онлайн-бизнесы вообще игнорируют GDPR. Действуют, как будто это их не касается. Они будут использовать куки для отслеживания тебя, даже рискуя получить штраф.
Некоторые из них даже не знают, что существуют GDPR и подобные законы, а некоторые надеются, что органы по защите данных их не заметят.
Какова бы ни была их причина, эти сайты не покажут тебе баннер с куки, запрашивая согласие. Они просто отправят куки прямо на твое устройство. Когда это происходит, или если происходит что-то из вышеописанного, ты, возможно, захочешь что-то предпринять, чтобы защитить свои права.
Как Защитить Себя?
Когда сайты ведут себя так, как описано выше, нарушаются твои права на данные. GDPR создан для твоей защиты, но сам ты должен взять ситуацию в свои руки и позаботиться о своей онлайн-конфиденциальности.
Если ты сталкивался с такой ситуацией, вот шаги, которые ты можешь предпринять, чтобы устранить нарушение:
Убедись, что GDPR действует
Нарушения конфиденциальности нет, если нет закона, предоставляющего тебе права на онлайн-конфиденциальность.
Если ты или онлайн-бизнес находитесь в государстве-члене Европейского Союза, тогда действует GDPR, и у тебя есть право на защиту.
Но сначала тебе нужно определить, какие законы предоставляют тебе такую защиту.
В общем, законы о защите данных применяются к:
- Бизнесам в их юрисдикции
- Лицам в их юрисдикции
- Любому человеку в мире, взаимодействующему с бизнесом из их юрисдикции.
В результате, бизнесам приходится соблюдать:
- Местные законы о защите данных при любом взаимодействии с пользователем из любой точки мира
- Законы страны пользователя при взаимодействии с этим конкретным пользователем.
Если бизнес и человек находятся в разных странах, то все законы, которые применяются к каждому из них, применяются и к их отношениям.
Чтобы определить, применяется ли GDPR к твоему случаю, используй следующую схему принятия решений:
Если ты пришёл к выводу, что «GDPR применяется», продолжай читать.
Проверь сайт на наличие куки
Сайт, который ты посетил, скорее всего, использует какие-то куки.
Если сайт приветствует тебя, упоминая куки, то на 100% уверен, что они их используют.
Если ты ещё не уверен, есть бесплатные сканеры куки в интернете, где ты можешь проверить, какие сайты их используют.
Вот несколько примеров:
Тебе нужно зайти на сканер, вставить URL сайта, который хочешь проверить, и нажать «СКАНИРОВАТЬ».
После этого сканер сделает своё дело и покажет результаты.
Подать запрос субъекта данных
Если применимые законы предоставляют тебе право подать запрос субъекта данных, это следующий шаг, который стоит предпринять.
Запрос субъекта данных — это запрос, который пользователи могут направить бизнесу, чтобы воспользоваться своими правами субъекта данных (пользователь является субъектом данных).
GDPR предоставляет тебе следующие права субъекта данных:
| У тебя есть право: | Что бизнес должен сделать по твоему запросу: |
| Узнать, собирает и обрабатывает ли бизнес твои персональные данные | Информировать тебя, собирают и/или обрабатывают ли они твои данные |
| Получить доступ к своим персональным данным | Предоставить тебе доступ ко всем категориям персональных данных, которые они о тебе имеют, а также цель и методы их сбора и обработки, получателей, срок хранения и так далее |
| Исправление | Исправить неточные данные, которые у них есть о тебе |
| Удаление твоих персональных данных (право быть забытым) | Удалить все данные, которые у них есть о тебе |
| Ограничение обработки | Ограничить обработку твоих данных согласно твоим указаниям (например, ты можешь разрешить им использовать твои данные для предоставления релевантного контента, но не для рекламы) |
| Перенос данных | Предоставить тебе файл или папку со всеми твоими данными, чтобы ты мог перенести их другому контролеру данных |
| Возражение против обработки данных | Прекратить обработку твоих данных согласно твоим указаниям |
| Не быть объектом автоматизированного индивидуального принятия решений, включая профилирование | Прекратить использование твоих данных в автоматизированном индивидуальном принятии решений, включая профилирование (в общем, удалить твои данные из своих алгоритмов) |
Ты можешь подать запрос субъекта данных для любого из этих прав, для их комбинации или для всех сразу. Это твои права, решать, как ими воспользоваться, тебе.
Компании обычно указывают способы подачи запросов в своей политике конфиденциальности. Но, как бы ты их не отправил, они обязаны его принять.
Поэтому лучше всего заглянуть в политику конфиденциальности. Если там ничего нет или сложно разобраться, напиши им на почту или воспользуйся контактной формой на сайте.
Согласно GDPR, у них есть 30 дней на ответ на твой запрос. Могут потребоваться ещё 30 дней, если твой запрос такой, что в течение первых 30 дней его сложно обработать.
Если ответа нет, пора обращаться в орган по защите данных.
Подать жалобу в компетентный орган по защите данных (DPA)
Есть два момента, когда можно подать жалобу в компетентный орган:
- До того, как ты отправил запрос субъекта данных. Хорошо удостовериться, что онлайн-бизнес нарушает твои права, прежде чем предпринимать дальнейшие шаги. Поэтому отправить запрос перед жалобой — в общем-то, хорошая идея.
Но бывают ситуации, когда ясно, что права нарушены, и нет смысла терять время.Например, если компания из ЕС приветствует тебя «куки-стеной», ясно, что они что-то делают не так. Вот тут можно сразу подавать жалобу.
- Когда бизнес не выполнил твой запрос субъекта данных. Невыполнение запроса — уже нарушение, и это может означать, что бизнес совершил целый ряд нарушений, о которых ты еще не знаешь. Здесь нужны действия с твоей стороны.
Подать жалобу в компетентный орган проще простого. Хотя у многих органов есть формы для жалоб на их сайтах, многие примут жалобу, отправленную как угодно.
Сложный момент здесь — понять, какой именно орган по защите данных компетентен в твоем случае. Но даже если ты ошибешься и подашь жалобу не туда, они откажут и скажут, куда обращаться. Так что в худшем случае потеряешь немного времени.
Компетентными органами в твоем случае являются:
- DPA в твоей стране
- DPA в стране, где зарегистрирован бизнес
- Если бизнес зарегистрирован за границей, страна, где у них есть представитель.
Вот список всех органов по защите данных ЕС, если дело касается GDPR.
Подать иск в суд
И наконец, ты можешь подать иск в суд для защиты своих прав в интернете, если пострадал от нарушений.
Главное, что стоит заметить: иск может быть успешным, только если ты пострадал, например, финансовые потери, ущерб репутации и так далее. Если бизнес использовал куки без твоего согласия, но это не причинило вреда, все, что ты можешь сделать — это административная процедура через орган по защите данных.
Итак, заключительные слова
Онлайн-бизнесы обожают персональные данные. Если у тебя есть свой интернет-бизнес, ты наверняка понимаешь, насколько ценна информация при принятии бизнес-решений. Поэтому не удивительно, что компании иногда переступают черту и нарушают законы.
Если это произошло с тобой, есть способы действовать.
Но помни, что действовать можешь только ты сам. Органы по защите данных (DPA) могут заметить или не заметить, что сайт нарушает законы. В конце концов, в каждой стране всего один DPA, а сайтов в мире — миллиарды. Отследить все их — нереальная задача.
Если хочешь защитить себя, то тебе самому нужно взять ситуацию в свои руки и разобраться с теми, кто нарушает твои права на конфиденциальность данных. У тебя есть все необходимые инструменты. Используй их.