Суд ЕС выступил против cookies по умолчанию — предустановленных галочек быть не должно

    В Европе решили, что согласие на постановку cookies должно быть явным и запретили заранее устанавливать соответствующие галочки на баннерах. Есть мнение, что решение усложнит веб-серфинг и будет иметь далекоидущие последствия в правовом поле. Разбираемся в ситуации.


    Фото — Jade Wulfraat — Unsplash

    Что решил суд


    В начале октября Суд Европейского союза постановил, что на сайтах нельзя использовать предварительно заполненные чек-боксы, разрешающие постановку cookies в браузерах пользователей. В противном случае компании нарушают требования ePrivacy Directive и GDPR, которые обязывают получать явное согласие на обработку ПД.

    Дополнительно владельцев интернет-ресурсов обязали перечислять названия сторонних компаний, имеющих доступ к персональным данным посетителей, и указывать «время жизни» cookies. Суд также отметил, что действия, выполняемые пользователем на сайте (например, скачивание файла), нельзя расценивать как согласие на обработку ПД.

    Дело, по которому вынесли решение, завели в Германии еще в 2013 году. Тогда Федерация немецких потребительских организаций подала в суд на лотерейную компанию Planet49. На сайте последней имелись галочки, разрешающие постановку рекламных cookies. Суд Германии вел дело на протяжении четырех лет, но в 2017 году решил передать его Суду Европейского союза для подробного разбирательства.

    Здесь стоит отметить, что постановление не затрагивает cookies, на установку которых сайты по закону не обязаны спрашивать разрешения пользователей. Речь идет о cookies для сохранения сессионных данных, работы плагинов соц.сетей и загрузки видеоконтента.

    На что повлияет постановление


    Решение привлечет дополнительное внимание к проблеме безопасности персональных данных в интернете. Например, после вступления GDPR в силу европейские регуляторы зафиксировали рост числа обращений о нарушениях компаний — срыве сроков хранения ПД, их незаконной обработке или утечках. Существует мнение, что новое постановление Европейского суда приведет к аналогичной реакции. Однако есть и другая сторона медали. Некоторые пользователи все же стараются как можно скорее скрыть cookies-баннер, чтобы он не занимал полезное пространство на странице. Необходимость вручную проставлять галочки в нужных чек-боксах затруднит для них работу на сайтах — как минимум отнимет время.

    В любом случае владельцам сайтов придется менять подходы к обработке cookies и, возможно, ПД. Что интересно, новое постановление коснется и сайта самого Европейского суда. Как заметил один из резидентов Twitter, веб-ресурс организации не соответствует новым стандартам конфиденциальности.

    По словам Лукаша Олейника (Lukasz Olejnik), эксперта по информационной безопасности в Оксфордском университете, необходимость указывать срок действия cookies наложит на сайты дополнительные обязанности. Веб-мастерам придется следить, чтобы атрибуты max-age и expires, отвечающие за «время жизни» отслеживающих файлов, соответствовали информации на баннере.


    Фото — Pietro De Grandi — Unsplash

    Решение суда также создает важный прецедент. На него будут ориентироваться европейские регуляторы в разбирательстве аналогичных споров.

    При этом, как отметил Лука Тосони (Luca Tosoni), научный сотрудник Норвежского исследовательского центра компьютеров и права, новое постановление повлияет на обсуждение законопроекта ePrivacy Regulation. Он дополнит GDPR и ужесточит правила работы с cookies и персональными данными. Принять закон должны в 2020 году.

    Вопросы, которых суд не касался


    Суд Европейского союза пока не затрагивал вопросы, связанные с законностью cookie-стен (cookie walls). Это — баннеры, блокирующие доступ к контенту, пока пользователь не разрешит обработку персональных данных. Хотя в начале года нидерландский регулятор вынес постановление, в котором назвал cookie walls незаконными. Они вынуждают пользователей согласиться с условиями сбора данных, а это противоречит требованиям GDPR.

    Но решение регулятора в Нидерландах все еще может быть изменено Судом Европейского союза. К слову, этот вопрос он будет рассматривать в ближайшем будущем — во время слушаний по делу румынского интернет-провайдера Orange Romania.


    Оборудование нашего облака живет в трёх центрах обработки данных (ЦОД): Xelent/SDN (Санкт-Петербург), Dataspace (Москва) и Ahost (Алма-Ата).

    В частности, ЦОД Dataspace — это первый российский дата-центр, прошедший сертификацию Tier lll от Uptime Institute.


    Наши свежие хабрапосты:



    1cloud.ru
    286,61
    IaaS, VPS, VDS, Частное и публичное облако, SSL
    Поделиться публикацией

    Комментарии 15

      0

      Ну то есть теперь везде будет жирный неотключаемый баннер "Согласись на обработку ПД или уходи, потому что иначе мы тебя обслужить не можем". Чего добивались — совершенно неясно.

        +1

        Добивались того, чтобы "знали меру".
        Неотключаемый баннер, требующий установки рекламных cookies под угрозой "не обслуживания" — нарушение GDPR, где запрещено принуждение к не-essential, а essential должно иметь минимальный scope, в который нельзя включить "а у нас трекающая реклама — это essential".


        Да, тяжело. Нет, реформы происходят, и дикий рынок (survival of the wittiest) становится чуть менее диким.

          0
          Согласно GDPR нельзя ограничивать пользователя ответевшего нет в правах. Шантаж не пройдёт.
            –2

            Ну смотрите. Для использования сервисом нужно зарегистрироваться и оплатить. Чтобы зарегистрироваться и оплатить нужно использовать кукисы. То есть пользователь не может работать с сервисом не приняв куки.

              +2
              Ага, и как для этого вам нужны куки рекламные и сторонние?
                –3

                Так они требуют вообще любые не ставить, понимаете в чём дело. Даже тупо с токеном авторизации.

                  +3
                  Нет, сессионные куки — исключение(даже в статье же сказано), на сколько я понимаю. т.е. для функционала сайта этот закон на самом деле большой роли не играет. Ведь на основе сессионной куки можно что угодно держать у себя на сервере. А вот всякие гугл аналитики и яндекс метрики просто так теперь не смогут их записывать.
                    +1
                    Так они требуют вообще любые не ставить, понимаете в чём дело.
                    Извините, а где вы это прочитали?
                  0
                  Если пользователя не устроят условия сделки (витрина магазина с завышенными ценниками, грабительские подписки на некоторые продукты, безнадежно устаревшие статьи новостного сайта и т.п.), то ему не нужно ничего оплачивать и следящие куки собирать. Но ознакомиться с некоторой информацией необходимо.

                  «Закрываться баннером» не выгодно в первую очередь бизнесу — это означает отгораживание от новых клиентов. Придется аккуратнее раздавать куки, а ведь в этом и есть смысл закона — избавиться от злоупотреблений.
              0
              Скоро расширения по блокировке этих назойливых уведомлений обгонят по популярность uBlock.
                –1
                Да уже на многих сайтах — «Отключите блокировку рекламы, иначе мы вам ничего не покажем». Например, на сайте погоды rp5.ru, эпизодически, вместо значений, появляются строчки «блокировка рекламы», а сбоку таблицы баннер — «Нам трудно, мы зарабатываем на показе рекламы, а вы нам не даете заработать и мы вам ничего не покажем». Такой вот «шантаж».
                Кстати, насчет комментария «Закрываться баннером» не выгодно в первую очередь бизнесу". — Вы не поверите, но бизнес часто делают тупые бизнесмены! И бизнес у них такой же тупой — «Или вы разрешаете рекламу или идите ....»! (Копия системной политики власти многих стран. — Криминал порождает криминал).
                  0

                  вы точно о EU и GDPR, а не о диких порталах пост-совка?

                    0
                    Такое практиковал один русский сайт по оверлокингу, блокирован весь сайт если видел блокировщик. Как думаете что случилось?
                    Через пол года они сдались, когда видимо потеряли посещаемость. (или блокировщики научились обходить их скрипт)
                      0
                      У них там ещё печальнее получилось. Обычно, оверклогин.ру я посещал очень редко. Но когда гугль стал агрегатором новостей (гугль-новости), в ссылках на новости техники часто был этот сайт. После того, как по этим ссылкам я пару раз наткнулся на их блокирование из-за адблока, я просто занес их в черный список в своей памяти и перестал ходить по сылкам. И вот как-то обратил внимание, ссылок на этот сайт в новостях гугля больше нет! Я не знаю, запомнил ли гугль мои предпочтения. или он всем так перестал выдавать. Но сайт, да, не хило упал в рейтинге!
                      Гордыня и сердитость до добра не доводят!
                  • НЛО прилетело и опубликовало эту надпись здесь

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое