Всё о cookies в свете GDPR и не только

GDPR вступил в силу уже четыре года назад, однако его понимание и практика применения до сих пор развиваются (однако мои предыдущие статьи по-прежнему актуальны: первая, вторая). Как показывают последние новости, далеко не все преуспели в борьбе за соответствие – в январе французский регулятор выписал Google и Facebook серьёзные штрафы (на €150 млн и €60 млн соответственно) за нарушения законодательства в отношении cookies, причём для Google это уже второй штраф за них (предыдущий был на €100 млн).

Именно тема cookies постепенно становится "горячей": ей занялись не только регуляторы, но и активисты – например, прошлым летом прогремел случай noyb с массовой рассылкой жалоб.

Что говорят законы

Правила, действующие в отношении cookies, основываются частью на GDPR, частью – на ePrivacy Directive (идущий ей на смену ePrivacy Regulation уже несколько лет в статусе draft). В этой статье собрано текущее понимание этих правил для практического применения.

• GDPR говорит, что только некоторые cookies могут быть идентифицированы как персональные данные – те, что могут быть использованы для построения профилей физических лиц и, в конечном счёте, для их идентификации. Если бы cookies регулировались только положениями GDPR, законные основания (lawful bases) потребовались бы только для тех из них, которые могут помочь в идентификации физического лица и при этом не связаны с основным функционалом сайта (использование которого и является целью посещения – в терминах GDPR это считается контрактом). Например, согласие (consent) не пришлось бы получать ни на какие cookies настроек (показывать/не показывать что-то, сортировать так или эдак – они не могут облегчить идентификацию) и на любые cookies основного функционала, включая идентифицирующие пользователя. Так же GDPR допускает другие законные основания, помимо согласия – например, общественные интересы или законные интересы владельца сайта.

• ePrivacy Directive требует, чтобы все cookies за исключением строго необходимых обрабатывались одинаково – только согласие физического лица может быть законным основанием для сохранения на пользовательском устройстве cookies помимо строго необходимых. В отличие от GDPR, никакие другие законные основания не допускаются! Необходимыми считаются те cookies, без которых невозможно предоставление пользователю запрошенной услуги или которые требуются для соответствия законодательству, например, в части обеспечения безопасности.
  В черновике ePrivacy Regulation попытались немного смягчить это правило, добавив исключений, но это изменение совсем небольшое, да и сроки завершения этого долгостроя неизвестны.

• Обязанность получить согласие (consent) перед сохранением cookies означает обязанность соответствовать всем требованиям, налагаемым GDPR на согласие (а их немало – кратко можно ознакомиться в моей предыдущей статье). В том числе, это означает (и именно на этих требованиях погорели Google и Facebook в этот раз), что предоставление или не предоставление согласия должны быть одинаково простыми, так же как отзыв ранее предоставленного согласия в любой момент.

Как это должно выглядеть на практике

1. Выбор "принять только необходимые cookies" присутствовать должен обязательно – как вариант, в виде "принять выбранные" с отмечанием по умолчанию только необходимых.

2. Согласие для опциональных cookies не должно никаким образом быть предварительно выбрано.

3. Вариант "принять все cookies" не обязан присутствовать, но вам наверняка захочется его реализовать. Выделять каким-либо образом этот вариант в сравнении с "принять только необходимые" – незаконно!

4. Список необходимых cookies не должен включать те, без которых возможна корректная (функционально и юридически) работа сайта. Говоря проще, если какие-то cookies можно убрать, при этом сайт продолжит работать и владельца не накажут за нарушение какого-нибудь закона, значит эти cookies нельзя включать в необходимые.

5. Все cookies должны быть описаны простым понятным языком.

6. Все cookies должны быть осмысленно и честно категоризованы.

7. Настройки согласий на cookies должны быть легко доступны в любой момент.

8. Согласия должны логироваться – на что конкретно согласился, когда и кто (идентификатор).

Важно понимать, что несоответствие требованиям часто означает не "небольшую недоработку", а недействительность собранных согласий со всеми вытекающими.

Вариант от британского регулятора довольно хорош – иконка в углу экрана обеспечивает мгновенный доступ к настройкам cookies в любой момент.

Описания – аккуратно и по делу.

Когда cookies не просто cookies

Необходимо осознавать, что согласие на сохранение конкретной cookie – это просто согласие на сохранение этой cookie и ничего больше. Если за этим стоит функционал, связанный с передачей третьей стороне данных, которые могут быть идентифицированы как персональные – согласие на такую передачу не распространяется. С учётом широкого толкования понятия персональных данных в GDPR (кратко описано в моей первой статье), практически любая принесённая сторонним скриптом cookie несёт угрозу в этом аспекте.

Тонкий нюанс географии действия

В рамках разбирательства с маркетингом, могут ли они хоть в каком-то объёме сохранить отслеживание пользователей через Google Analytics и подобные сервисы, мне пришлось тщательно изучить "территориальный вопрос": должны ли мы использовать одинаковые правила для cookies для всех посетителей наших сайтов или мы можем запрашивать согласие на сохранение cookies только у посетителей из EU? Для компании не из Европы всё было бы просто – на не-европейцев не распространяются ни GDPR, ни ePrivacy Directive. А для европейских компаний (как наша) всё сложно – есть только маленький зазор между GDPR и ePrivacy Directive:

1. Как европейская компания, мы должны соблюдать GDPR в отношении любых физических лиц, что влияет только на cookies, которые напрямую содержат персональные данные или могут быть использованы для построения профилей физических лиц.

2. ePrivacy Directive применяется ко всем cookies, но только при нахождении конечного пользователя/терминала на территории ЕС.

Выглядит так, что у нас есть возможность не запрашивать согласие для cookies, которые не содержат персональные данные и не могут быть использованы для построения профилей физических лиц в случае, когда запрос приходит не с территории ЕС... Поскольку все cookies сторонних трекеров безусловно подпадают под GDPR, единственный способ использовать этот зазор заключается в реализации собственного трекера, тщательно выверенного для соответствия GDPR – в общем случае, это имеет мало смысла.

В заключение

Проблема cookies для сайтов, работающих на европейскую аудиторию, является очень актуальной – большинство ещё не оштрафованы только потому, что регуляторы не успевают их "обслужить". И хотя реализация идеального решения очень сложна (даже сайт Еврокомиссии нельзя считать образцом), имеет смысл приложить некоторые разумные усилия, чтобы привести свой сайт хотя бы к состоянию "ну мы правда старались". Если же ваш сайт бросает вызов властям, то рано или поздно они явятся – итог вам точно не понравится.

Любить коньяк и не любить GDPR – это нормально, но такой сайт – просто призыв оштрафовать, он грубейшим образом нарушает всё подряд.