Комментарии 17
О каких файлах вы все время пишете? Куки - это http-заголовок.
А как по-вашему, браузер хранит их? Собственным механизмом разметки бинарного пространства, предоставленном физическим носителем? Нет, это все лежит в файле того или иного формата. В процессе работы -- в оперативной памяти, а затем сохраняет в файл.
Функциональные cookie НЕ требуют согласия пользователя
Аналитические cookie МОГУТ не требовать согласия пользователя, если не передаются третьим сторонам и не используются самим Data Controller (т.е. сайтом) для создания профиля пользователя
По поводу дизайна баннеров - строгих и четко определенных правил все еще нет, а только рекомендации типа "избегайте темных паттернов и имейте совесть".
ePrivacy Act - это по сути детализация отдельных пунктов GDPR: если ваша ситуация не описана в GDPR, но есть в ePrivacy, то надо делать как написано в ePrivacy.
GDPR в Великобритании (называется Data Privacy Act) слегка другой, чем в ЕС, но на 90% совпадает. И там есть "свой" ePrivacy с аналогичной функцией - называется PECR.
Я на GDPR собаку съел, поэтому промолчать не смог. :)
Вопрос ребром: надо ли на сайтах в России ставить это всплывающее окно про куки (если вся аудитория сайта только в РФ)?
Или вместо окна-напоминания про куки можно ограничиться строчкой в пользовательском соглашении, ссылка на которое обычно стоит в футере сайта?
Я не знаком с российским законодательством в этом вопросе, но если ваш пользователь физически не находится в ЕС, то GDPR вас не касается. Правда, если у вас хостинг в ЕС, то касается. :) Иными словами - или пользователь или его данные должны быть физически в ЕС. Японец, сидящий в Нью Йорке на российском сайте, хостящемся в Дюссельдорфе, попадает под GDPR.
P.S. Мое личное мнение, что информирование пользователя о том, что вы собираете его данные и что вы потом с ними делаете - это как гигиена или культура: не повинность под угрозой расстрела, но хороший тон и карма.
(1) GDPR применяется, если (1) компания осуществляет свою деятельность на территории ЕС, либо (2) субъект персональных данных находится в ЕС, либо (3) компания предлагает товары / услуги в ЕС, либо (4) компания осуществляет мониторинг поведения субъектов в ЕС.
(2) При внесении поправок в 152-ФЗ российский законодатель ориентировался на европейское законодательство, в частности, на Конвенцию № 108, разъяснения рабочих групп и прочие документы.
(3) Всплывающее окно рекомендуется использовать. И об этом неоднократно заявлял наш регулятор.
(2) При внесении поправок в 152-ФЗ российский законодатель ориентировался на европейское законодательство, в частности, на Конвенцию № 108, разъяснения рабочих групп и прочие документы.
Поправки в закон вносятся посредством "закона о внесении изменений в закон". О каких законах, вносящих поправки в закон о персданных идёт речь, или хотя бы о поправках в какие статьи этого закона?
Согласно ФЗ «О персональных данных» и GDPR куки-файлы и иные идентификаторы пользователя относятся к персональным данным
Во-первых, столо бы напомнить про экстерриториальность GDPR, из-за чего "на всякий случай" его в ряде ситуаций соблюдают и на российских сайтах (ну или пытаются соблюдать в меру своего понимания GDPR).
А во-вторых, в соответствии с GDPR - таки да, а вот про российское законозательство пожалуйста поподробнее, откуда вы это взяли?.. Или просто "для усиления эффекта" дописано?
С сожалением вынужден отметить, что автор вводит в заблуждение, частично:
согласно именно 152-ФЗ куки не являются и не могут быть объектом персональных данных, поскольку не являются атрибутом конкретного физического лица (субъекта персональных данных), а только лишь User-Agent'a, который может использоваться неопределенным кругом субъектов персональных данных, и не могут, таким образом, использоваться для косвенного определения физического лица.
Есть только судебная практика последнего времени с отнесением кук к объектам ПД, но у нас (пока) не прецедентное право
Есть только судебная практика последнего времени с отнесением кук к объектам ПД, но у нас (пока) не прецедентное право
Более того, наверняка практика не высших судебных инстанций?
Кстати, нет сходу примеров такой практики?..
С сожалением вынужден отметить, что автор вводит в заблуждение, частично
Вообще да, т.к. тут проблема в экстерриториальности GDPR и недостаточной чёткости условий, когда сайт за пределами ЕС должен, а когда не обязан, им руководствоваться, а не в текущем российском законодательстве.
Спасибо за ваш комментарий)
По поводу отнесения cookie-файлов к персональным данным есть устойчивая позиция Роскомнадзора (Семинар 28 января 2020 г). Разъяснения РКН, не являясь источником права, тем не менее, имеют большое значение и учитываются операторами.
Судебная практика также относит куки-файлы к персональным данным, поскольку они могут быть использованы в качестве косвенного идентификатора лица при добавлении к ним дополнительной информации, что и является необходимым для определения персональных данных (Определение Московского городского суда от по делу № 33-38783/2016, Определение АСГМ по делу № А40-14902/2016-84-126). Указанные акты, хоть и не доходили до Верховного суда, но не отменялись в апелляции.
По поводу отнесения cookie-файлов к персональным данным есть устойчивая позиция Роскомнадзора (Семинар 28 января 2020 г). Разъяснения РКН, не являясь источником права, тем не менее, имеют большое значение и учитываются операторами.
Что характеризует не законодательство, а особенность ведения деятельности в России, где хозяйствующие субьекты чаще ориентируются не на законодательство, а на мнение регуляторов. Во множественном числе регуляторы потому, что это не единственная отрасль, где субъекты хозяйственной деятельности больше ориентируются на мнение регуляторов, чем на закон. Например, в контексте бухучёта - средний и малый бизнес скорее будет ориентироваться на мнение налоговой (или отсутствие мнения налоговой), чем пользоваться даже явно предоставленным законом правом. Да, это перестраховка, потому что затраты времени и денег на споры с налоговой обойдутся дороже даже в случае победы, но не характеристика законодательства.
Определённая логика тут есть - следование мнению регулятора позволит утверждать об отсутствии умысла в нарушении законодательства, что важно в случае уголовного или административного преследования. Хотя в случае гражданских споров эта логика уже не поможет, т.к. там вина часто вообще не имеет значения.
Судебная практика также относит куки-файлы к персональным данным, поскольку они могут быть использованы в качестве косвенного идентификатора лица при добавлении к ним дополнительной информации, что и является необходимым для определения персональных данных (Определение Московского городского суда от по делу № 33-38783/2016, Определение АСГМ по делу № А40-14902/2016-84-126). Указанные акты, хоть и не доходили до Верховного суда, но не отменялись в апелляции.
А потому нельзя утверждать, насколько эта практика соответствует закону (хотя я её еще конечно почитаю, спасибо). Кроме того, "поскольку у нас не прецедентная система" (tm), из наличия определённой тенденции в судах одних регионов - нельзя утверждать, что у других регионах не сложилась прямо противоположная тенденция (а такое - не редкость).
Кроме того, есть хороший пример - когда в стране в ряде регионов сложилась практика, когда суды в нескольких инстанциях подтверждали "сгорание" неиспользованных отпусков. Потом, правда, кто-то всё-таки сумел достучаться до высших инстанций (КС и ВС), и теперь мы точно знаем, что эта практика была незаконной. (Правда, раньше еще можно было в ЕСПЧ постучаться - это было реальнее, чем добиться, чтобы поданная в ВС жалоба попала на рассмотрение судебной коллегии ВС...) Но тем не менее - наличие устойчивой практики скорее характеризует судебную перспективу в соответствующих судах (и получения правоохранителями палок, если, конечно, на нарвутся на кого-то упорного, богатого и с хорошим юристом), чем законность этой практики.
p.s. Погдядел.
№ А40-14902/2016-84-126 - не о куках самих по себе, там шел анализ http-трафика (нешифрованного) и передача третьим лицам данных о трафике: "В рассматриваемом случае, ПАО «МГТС» передавал третьи лицам сведения, относящиеся к его абонентам (Хэш-ГОПользователя, время инициации запроса пользователем, адрес web-страницы, посещенной активным пользователем, HTTP referer (ссылка), User agent, coockie, src ip, src port, dst ip, dst port, геоидентификатор)."
Дело № 33-38783/16 - это дело о приземлении в РФ данных Линкедина. Там тоже дело не о куках, а о том, чтобы первичная копия персданных находилась на территории РФ (и злые языки уже тогда имели основания утверждать, а в силу законодательных инициатив уже этого года - кажется, что злые языки были правы: собирать данные на территории РФ надо было не для их защиты, а для того, чтобы "кто надо" имел возможность ими попользоваться; причём характер этих изменений таков, что то, за что привлекли к ответственности в № А40-14902/2016-84-126 выше - теперь вполне может оказаться законным).
Что нужно знать о cookies-файлах, чтобы не нарушить закон?