Cookie-файлы и GDPR: какие ошибки совершают владельцы сайтов в погоне за соответствием?



    Cookie-файлы как персональные данные


    Проблема ужесточения требований в отношении использования cookie-файлов обсуждается с момента вступления в силу Европейского регламента о защите данных (далее GDPR), а так же публикации проекта изменений ePrivacy Directive (наиболее известной как «Положение о конфиденциальности и электронных коммуникациях»). Именно эти документы официально определяют cookie-файлы как персональные данные и предусматривают экстерриториальную ответственность, а также наложение колоссальных штрафов на владельцев сайтов за незаконное использование таких файлов. Мы уже проводили обзор штрафов за нарушение основных принципов GDPR, однако ни один из них не включал в себя нарушений, связанных с обработкой cookie-файлов. Зачастую, в отсутствие судебных практик и реальных наказаний, у представителей бизнеса создается ощущение защищенности, другими словами: «Пока гром не грянет – мужик не перекрестится». Но раскаты грома уже давно доносятся – одним из наиболее крупных штрафов за нарушение, связанное с установкой cookie, является штраф в 30 000 евро, выписанный в октябре 2019 года испанским органом по защите данных авиакомпании Vueling за отсутствие возможности для пользователя отказаться от установки сторонних cookie.

    В силу особенностей профессии, посещая различные сайты, невольно анализируешь их на предмет соответствия известным нормативно-правовым актам в области защиты персональных данных. В результате очередного такого анализа стало ясно, что в погоне за реализацией требований GDPR многие компании озаботились вопросом «наведения порядка» на своих веб-ресурсах. Однако по причине непонимания требований или же в отсутствие желания «портить» пользовательский интерфейс сайта, создается впечатление, что каждая вторая организация некорректно реализует политику использования cookie-файлов на своих ресурсах.

    Правила реализации политики использования cookie-файлов


    С точки зрения GDPR и ePrivacy, правила использования cookie-файлов ничем не отличаются от правил обработки всех остальных персональных данных и должны выполняться в случае, если на сайте используются какие-либо cookie, позволяющие сформировать профиль пользователя в сети. Однако это не касается:

    • cookie, строго необходимых для корректной работы сайта;
    • cookie, строго необходимых для предоставления онлайн-сервиса пользователю, например, когда пользователь заполняет онлайн-форму, использует корзину для покупок, или аутентифицируется на сайте для входа в систему предоставления онлайн-услуг

    Вернемся к правилам, их суть заключается в следующем:

    1. Установка cookie должна осуществляться только с предварительного согласия пользователя.
    2. Это согласие должно быть дано посредством четкого, подтверждающего выбор пользователя, действия, при этом если используется форма, в которой необходимо установить отметку в виде галки/флажка, такая отметка не может быть выставлена по умолчанию.
    3. Пользователю в четкой и понятной форме должна быть представлена информация о назначении cookie, целях установки, сроках действия, а также информация о третьих лицах, которым передаются пользовательские данные.
    4. Пользователь должен иметь возможность полного или частичного отзыва согласия в любое время.
    5. И что немаловажно для владельцев сайта – все согласия на установку cookie-файлов должны быть зафиксированы, ведь владелец сайта, являясь контролером или обработчиком, должен иметь возможность подтвердить факт получения согласия.

    Основные ошибки в реализации политики использования cookie-файлов или как делать не нужно


    Рассмотрим три примера неправильной реализации политики использования cookie-файлов, которые наиболее часто встречаются среди сайтов контролеров и обработчиков персональных данных.

    Пример 1. Баннер, предупреждающей, что, продолжая использовать сайт, вы даете согласие на использование cookie.

    Такая практика широко распространена как среди российских, так и среди европейских веб-ресурсов. В качестве примера рассмотрим сайт Итальянского магазина косметики. Согласно представленной на сайте политике обработки cookie, пользователю устанавливаются технические cookie, функциональные cookie и cookie сторонних маркетинговых кампаний.
    При этом дословный перевод предупреждения на баннере внизу страницы гласит: «Этот сайт использует технические, аналитические и сторонние файлы cookie для профилирования. Если вы выберете «Продолжить» или получите доступ к любому контенту на нашем сайте без определения вашего выбора, вы даете согласие на использование файлов cookie. Чтобы узнать больше и отказаться от согласия на установку cookie, нажмите здесь.»



    В данном случае нарушаются все правила, упомянутые ранее:

    1. Файлы cookie устанавливаются сразу в момент открытия сайта пользователем.
    2. Продолжение использование сайта или нажатие кнопки продолжить не является четким подтверждающим действием, так как пользователю не предоставляется право выбора, и он не может отказаться от установки cookie.
    3. Информация, представленная в политике использования cookie, не содержит в себе конкретных сроков хранения тех или иных cookie.
    4. Механизм отзыва согласия на установку cookie на самом сайте не предусмотрен, взамен этого предлагается отказаться от установки cookie посредством настроек браузера.
    5. Так как механизм получения согласия не предусмотрен, то и подтвердить, что такое согласие было получено, попросту, невозможно.

    Пример 2. Баннер с корректной формой получения согласия, который работает НЕ на всех страницах сайта.

    В качестве такого примера рассмотрим французскую версию сайта huppe.com.



    Баннер с согласием, представленный на сайте, соответствует рассматриваемым нами правилам, а руководство по защите данных, на которое присутствует ссылка в тексте, достаточно подробно описывает политику компании в отношении cookie-файлов. В русской версии баннер с согласием выглядит так:



    Однако если копнуть глубже и попробовать открыть не главную страницу сайта, а, например — получается магия.

    Магия заключается в том, что баннер, который, вроде, и отвечает всем требованиям, по факту не работает. Установка cookie, отличных от строго необходимых, не блокируется до совершения разрешающих действий, а значит, что и «отличником» сайту уже точно не быть. В данном случае из 5 правил, можно сказать о соблюдении только правил 2 и 3.

    Пример 3. Недостаточно прозрачная политика использования cookie

    Бывает и так, что компания озаботилась работающим механизмом получения согласия, однако упустила важную деталь – прозрачно предоставленную информацию о назначении конкретных cookie и сроках их хранения. Такая ситуация разворачивается на сайте castrol.com.



    Сайт имеет баннер согласия с возможностью управления отдельными cookie.



    И, что немаловажно, механизм блокировки работает:

    До получения согласия



    После получения согласия



    Однако, информация об использовании cookie содержит в себе слишком мало конкретики – не приведены ни перечень лиц, чьи сторонние cookie устанавливает сайт, ни сроки хранения хотя бы отдельных групп cookie на сайте. В таких случаях нарушается один из главных принципов GDPR — Прозрачности обработки, следовательно не выполняется и правило 3. Примером вполне прозрачной политики использования cookie является политика, опубликованная на сайте европейской комиссии.

    Кроме того, что рассмотренные примеры являются показательными с точки зрения распространённых ошибок в реализации требований европейского законодательства в области защиты данных и конфиденциальности, они также демонстрируют, что работа европейских регуляторов заставляет многих Контролеров и Обработчиков озаботиться вопросами соответствия требованиям. И если два года назад на подавляющем большинстве сайтов тема использования cookie вовсе не поднималась, то сейчас ситуация кардинально меняется, что не может не радовать пользователей, заинтересованных в получении контроля над своими данными – ведь, со слов Европейской комиссии по защите данных, именно для этого был разработан GDPR.

    Практика показывает, что в текущих реалиях владельцам сайтов, являющимся контролерами или обработчиками, остается два варианта:

    1. самостоятельно или с привлечением внешних специалистов обеспечить абсолютное выполнение установленных правил;
    2. отказаться от использования каких-либо cookie-файлов, кроме тех, что влияют на корректную работу сайта и предоставление основных услуг клиентам, как это реализовано на сайте Испанского агентства по защите данных.



    Ирина Лапуриди
    Специалист по защите информации, Акрибия
    Акрибия
    Совершенный подход к защите информации

    Комментарии 7

      –1
      самостоятельно или с привлечением внешних специалистов обеспечить абсолютное выполнение установленных правил


      наверно лучше самостоятельно, даже если и не абсолютное. GDPR проверка кукисов у вас на сайте показывает

      Cookies installed during the loading of pages are not strictly necessary. For EU users these cookies can be installed after obtaining prior consent (Rec. 30 and Rec. 32 of the GDPR):
      
      Cookie (Google Analytics): _gid; _ga;
      Cookie (Yandex Metrika): _ym_uid; _ym_isad; i; yabs-sid; yandexuid;
      
        +2
        Замечание по делу, но пока что нашей целевой (и даже случайной) аудиторией не являются субъекты из ЕС, поэтому для себя мы этот риск оценили и приняли. Сайт не был представлен в статье как эталонный образец выполнения требований по GDPR, но мы над этим работаем :)
          0
          вопрос ведь не в целевой аудитории. Даже случайный читатель Хабра из ЕС (по данным Alexa они несомненно существуют), кликнувший по ссылке на ваш сайт, должен увидеть баннер до установки необязательных cookie, иначе вы его отслеживаете без согласия и можете нарушать GDPR

          к вам без претензий и статья заслуживает внимания, просто часто вижу, что юридические компании кричат о многотысячных штрафах за нарушение GDPR, желая заработать на запугиваниях и страхах клиентов
            0

            Если подходить к GDPR формально, то в соответствии со статьёй 4 п. 1 куки (любые) сами по себе не являются персональными данными до тех пор пока их невозможно привязать к конкретному человеку, прямо или косвенно.


            Грубо говоря, если куки устанавливаются но вместе с ними не хранится как минимум IP адрес (который не всегда, но всё же может использоваться для идентификации конкретного человека) или имя и прочие возможности идентификации — то это уже не "персональные данные", и соответственно под действие GDPR не попадают.


            Если анонимус пришёл на сайт, получил рандомные куки, но сайт не использует и не сохраняет IP адрес (он и не нужен, на самом деле), при этом анонимус не оставляет на сайте свои личные данные — его невозможно идентифицировать.


            Да, кросс-трекинг возможен, и группа сайтов может определить что данный конкретный анонимус их посещает, но до тех пор пока нет возможности узнать кто это — это не персональные данные.


            Так что если сайт не имеет возможности регистрации, форм для фидбека с полями для персональных данных, и нигде не сохраняет IP — он в теории может ставить сколько угодно кук ничего не опасаясь и даже не показывая баннеров, по крайней мере если (в случае чего) сможет доказать что он действительно ничего не сохраняет.


            Вопрос о том а на самом ли деле сайт не сохраняет с куками IP и другие данные уже выходит за рамки GDPR и примерно похож на вопрос "А правда ли что сайт обрабатывает и хранит данные так как утверждает?".

              0
              Вопрос о том а на самом ли деле сайт не сохраняет с куками IP и другие данные уже выходит за рамки GDPR и примерно похож на вопрос «А правда ли что сайт обрабатывает и хранит данные так как утверждает?».


              выше речь шла скорее о кукисах Google Analytics и GDPR. Очевидно, что в аналитике IP фиксируется. Но даже со включенной функцией анонимности очищается только последний октет адреса, что лично я бы с большой натяжкой назвал анонимизацией

              думаю поэтому Google указывает на ответственность самих контроллеров

                0

                Для меня совершенно неочевидно что IP фиксируется, и если это не указано явно, логично предположить что нет. Если человек не владеет (лично) подсетью размером в который входит его адрес, при этом его данные открыты во whois, то при включенной функции анонимизации — его идентификация без помощи провайдера невозможна. Случаи когда у провайдера всего один клиент и его все знают тоже можно исключить.


                В любом случае владелец сайта не обязан ставить баннер "мы не собираем данные" — он обязан его ставить только в обратном случае, то есть отсутствие баннера предполагает отсутствие сбора, если у пользователя есть аргументированные сомнения ("ясно же что они пишут IP" не совсем аргумент) — он может подать жалобу куда следует.


                Не поймите меня неправильно, я противник сбора всяких данных без разрешения (и аналитики тоже), но в текущей редакции — нет баннера — нет сбора, и увы, обратное ещё придётся доказывать, независимо от того какие куки вы увидели после захода на сайт (если в них явно нет ваших IP, имени etc).

        0
        Отсюда встает больной вопрос, как по правилам описать куки яндекс-метрики и гугл-аналитикс. Ну и кому-то будут актуальны куки сетей: адсенс, РСЯ и т.п.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое