Испанское агентство по защите данных (AEPD) оштрафовало авиакомпанию Vueling Airlines LS на 30 тыс. евро за незаконное использование cookies. Компанию обвинили в том, она использует необязательные cookies без согласия пользователей, а политика использования cookies на сайте не предусматривает возможность отказаться от использования таких cookies. Авиакомпания же заявила, что пользователь даёт согласие на использование cookies, продолжая использовать сайт, и может отключить их использование в настройках браузера, а также отозвать согласие на их использование.
Регулятор установил, что такой тип согласия не является явным, и возможность запрета использования cookies через настройки браузера не означает выполнение требований закона. Размер штрафа в 30 тыс. евро был определён с учётом преднамеренного характера действий компании, длительности нарушения и количества затронутых пользователей. Такое решение регулятора соответствует недавнему решению Европейского суда от 1 октября 2019 года, из которого следует, что для использования cookies необходимо активное согласие пользователя, и согласие в форме заранее установленной отметки (“галочки”) не является законным.
Требования к использованию cookies по нормам GDPR
Агентство по защите данных при принятии решения ссылалось на местные законы Испании о защите данных, но фактически действия компании нарушают ст. 5 и 6 GDPR.
Можно выделить следующие ключевые требования к использованию cookies по нормам GDPR:
- у пользователя должна быть возможность отказаться от использования cookies, которые не требуются для функционирования сервиса, как до начала их использования, так и после;
- каждый тип cookies может быть принят или отклонен независимо от остальных, без использования одной кнопки с согласием на все типы cookies;
- согласие на использование cookies путём продолжения использования сервиса не считается законным;
- указание на возможность отключить cookies через настройки браузера может дополнять механизмы отказа от их использования, но отдельно не считается полноценным механизмом отказа;
- каждый тип cookies должен быть описан с точки зрения функционала и срока обработки.
Другие подходы к работе с cookies
В России регулирование cookies по ФЗ “О персональных данных” имеет свои особенности. Если считать cookies персональными данными, то для их использования требуется уведомление и согласие пользователя. Это может отрицательно сказываться на конверсии сайта либо полностью заблокировать работу отдельных инструментов аналитики. В отдельных случаях может считаться допустимым использование cookies без согласий и уведомлений. В любом случае, для каждой модели работы с cookies можно подобрать правовые механизмы с наименьшим влиянием на эффективность взаимодействия сайта и пользователя.
Наиболее прогрессивным подходом к работе с cookies является подход, при котором сайт не формально уведомляет пользователя об их использовании, а объясняет необходимость cookies и мотивирует добровольно дать согласие на их использование. Большинство пользователей даже не догадываются, что именно благодаря cookies они могут сохранить нужные данные при закрытии страницы сайта — заполненные формы или корзины с товарами интернет-магазинов.
Подход, при котором сайты стеснительно уведомляют пользователей о cookies и даже не пытаются запросить согласие, не даёт преимуществ ни сайтам, ни пользователям. У многих пользователей сайтов сложилось мнение, что использование cookies на сайте означает недобросовестное использование персональных данных, которое пользователи вынуждены терпеть, чтобы пользоваться сервисом. И редко бывает очевидным, что cookies работают на пользу не только владельца сайта, но и самого пользователя.