Европейский совет по защите данных (EDPB) опубликовал обновленные руководящие принципы, касающиеся правил онлайн-согласия на обработку данных. В них говорится, что отказ от cookies не должен быть причиной для закрытия сайта от пользователя, а скроллинг страницы не может считаться согласием на данную политику.
Согласно регламенту о защите данных (GDPR), предложение об использовании cookies должно быть четким и информативным, а доступ на сайт должен осуществляться даже в случае отказа. В обновленных принципах говорится, что, когда содержимое сайта скрыто, а пользователь видит лишь кнопку «Принять файлы cookie» на так называемой платформе управления согласием, у него нет реального выбора.
Там же говорится, что скроллинг или свайп страницы могут работать как согласие на обработку данных, только если последовательность этих действий и их последствия четко прописаны на странице. В противном случае пользователь может выполнить случайное действие, что автоматически будет считаться согласием, но отменить его будет уже невозможно. Как отметили в EDPB, «такие действия, как прокрутка или перелистывание веб-страницы или подобная активность пользователя, ни при каких обстоятельствах не будут удовлетворять требованию четких и позитивных действий».
«Более того, в таком случае пользователю будет сложно предоставить способ отозвать свое согласие таким же простым способом, как и предоставить его», — отмечает регулятор.
Между тем Европейское бюро интерактивной рекламы, которое разрабатывает отраслевые стандарты, проводит исследования и оказывает юридическую поддержку индустрии онлайн-рекламы, в прошлом году использовало платформу согласия на cookie, если пользователи хотят просмотреть контент. Таким образом, пользователей лишили свободы выбора. Позднее, правда, оно обновило правила согласия на использование файлов cookie.
Новые требования основаны на прошлогоднем решении Европейского суда, который заявил, что для отслеживания файлов cookie требуется активное согласие. Чтобы не попасть под действие новых норм, компании теперь должны предоставлять четкий и точно обозначенный запрос на получение согласия пользователей и предлагать им такой же простой путь для отказа.
Зимой специалисты из Массачусетского технологического института вместе с институтами Великобритании и Дании выяснили, что лишь 11,8 % из 10 000 проверенных веб-сайтов «соответствуют минимальным требованиям, установленным на основе европейского законодательства». Так, чтобы усложнить отказ от отслеживания, они используют платформы управления согласием типа QuantCast, Cookiebot или TrustArc. Политику неявного согласия применяли в 32,5% случаев. В случае же отказа пользователям приходится выполнять несколько действий, чтобы найти запрещающую кнопку.
Такая политика, выяснили авторы исследования, увеличивает вероятность согласия пользователей на использование cookie-файлов примерно на 23%.
В целом, с момента вступления в силу закона ЕС о конфиденциальности данных 5 мая 2018 года регуляторы взыскали штрафов на общую сумму 114 млн евро. Зарегистрировано более 160 тысяч нарушений, причем, в 2019 году число сообщений о нарушениях выросло на 12,6%. Большинство из них пришлось на Великобританию, Германию и Нидерланды.
См. также: