Перед тем, как запускать свой сайт или приложение, в котором вы собираетесь использовать cookies или иные идентификаторы (local storage, AAID, UDID и т.д.) устройств/сессии пользователя, необходимо выполнить требования законодательства о персональных данных.
Зачем? Во-первых, вы выстраиваете открытые и честные отношения со своими пользователями. Во-вторых, вы будете готовы к проверкам регуляторов. В-третьих, вы сможете избежать штрафов, которые могут достигать 4% годового оборота своей компании.
Давайте разберемся, как онлайн-идентификаторы связаны с защитой персональных данных.
Согласно ФЗ «О персональных данных» и GDPR куки-файлы и иные идентификаторы пользователя относятся к персональным данным, поскольку позволяют теоретически определить конкретного субъекта или выделить его среди других лиц.
Наиболее известным делом по рассматриваемой нами теме стал судебный спор Vidal-Hall v. Google (2015). Используя сookieы-файлы, компания Google осуществляла сбор информации об интернет-трафике пользователей. Заявители, не будучи осведомлены о незаконных действиях ответчика, настаивали на привлечении последнего к ответственности за нарушение порядка использования сookies – персональных данных, которые позволяют вычислить пользователей.
Суд занял позицию истцов и положительно ответил на вопрос об отнесении Cookie-файлов к персональным данным, так как они, «не называя прямо субъекта … позволяют выделить его из всей массы пользователей, следовательно, отвечают критерию идентификации»[1].
Следовательно, в отношении cookies и прочих идентификаторов необходимо соблюдать требования законодательства.
Для того, чтобы ориентироваться в соблюдении законодательства, нужно понимать различие между различными видами куки-файлов. Среди них выделяют:
Строго обязательные – файлы cookies, необходимые для просмотра содержимого сайта и получения доступа к его функционалу, например, корзине маркетплейса, сохраняющей выбранные пользователем товары даже при завершении им сеанса. Без них использование информационного ресурса невозможно.
Функциональные – cookies-файлы, ориентированные на адаптацию сайта к предпочтениям пользователя. Именно эти файлы запоминают выбранный пользователем язык, логин и пароль, а также другие параметры, повышающие эффективность взаимодействия пользователя с информационных ресурсом.
Статистические – файлы cookies, используемые исключительно для статистических целей. Тем самым разработчики могут настраивать сайт, ориентируясь на показатели периода активности пользователей, источники трафика, улучшать его функционал.
Маркетинговые – cookies, считывающие активность пользователя на информационном ресурсе, для генерации рекламного контента. Их использование не ограничивается владельцем сайта – они могут передаваться рекламодателям, дата брокерам и аналитическим центрам.
Поскольку идентификаторы являются персональными данными, их обработка (т.е. любые операции с ними) должны иметь законное основание. Таким основанием может выступать согласие субъекта, необходимость обработки этих данных для исполнения договора (например, сохранение данных о продуктовой корзине для совершения покупки), исполнение закона (например, запрет на обслуживание клиентов из определенных стран) или законный интерес оператора (выявление спаммеров или ботов).
Законодательство о связи или электронных коммуникациях может предус��атривать специальные условия для записи куки или иных присвоенных идентификаторов устройству. Так, европейская директива об электронных коммуникациях (e-Privacy Act) предписывает, что любая информация может быть загружена на устройство пользователя (браузер) только с его предварительного согласия. Из этого правила выделяются два случая, когда согласие пользователя не будет требоваться. Во-первых, это ситуация, когда установка куки требуется для установления или передачи сообщения через электронную сеть, а, во-вторых, случай, когда куки устанавливаются для предоставления доступа к услугам информационного общества (платформы за подписку, маркетплейсы и т.д.).
Строго обязательные куки, необходимые для, например, того, чтобы пользователь не выходил из личного кабинета при переходе ��о страницам или чтобы сайт запоминал согласие пользователя на установку кукис, подпадают под данные исключения, поэтому их можно устанавливать без согласия субъекта.
Остальные категории — т.е. функциональные, аналитические и маркетинговые могут устанавливаться только с согласия пользователя, а дальнейшая обработка — при наличии законного основания по законодательству о персональных данных.
Уведомление
Одна из главных обязанностей оператора персональных данных, т.е. вас, — уведомить пользователя о том, что вы собираете его персональные данные, а также для каких целей и кому передаете.
В идеале баннер должен всплывать при первом переходе пользователя на сайт / в приложении. В уведомлении должна содержаться информация о 1) собираемых куки-файлах и иных идентификаторах, 2) целях их сбора, 3) сроках хранения в памяти устройства,
4) третьих лицах, которым передают данные (например, Google или Facebook), а также возможность принять все идентификаторы, кастомизировать их выбор или полностью отказаться от них (помимо строго обязательных). Информацию можно также разместить на отдельной странице, к которой пользователь может перейти в любой момент своего сеанса, чтобы изменить настройки или узнать ответы на интересующие вопросы.
Касательно отказа от установки куки-файлов, необходимо помнить, что возможность отказаться должна быть так же доступна, как и согласиться. Нельзя делать прозрачным или вообще убирать на отдельную страницу функцию отказаться от куки. Именно за это Google поплатился на 200 млн. евро.
Куки-баннер или страница с настройками также не должны содержать иных «темных» паттернов, которые сбивают пользователей с толку — не стоит навязывать пользователю выбор куки при каждой смене страницы, а также прятать настройки в самые глубины сайта.
[1] Vidal-Hall v. Google // Inform’s Blog [Site]. URL (дата обращения: 18.04.2022 г.).
