Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
Перед тем, как запускать свой сайт или приложение, в котором вы собираетесь использовать cookies или иные идентификаторы (local storage, AAID, UDID и т.д.) устройств/сессии пользователя, необходимо выполнить требования законодательства о персональных данных.
Зачем? Во-первых, вы выстраиваете открытые и честные отношения со своими пользователями. Во-вторых, вы будете готовы к проверкам регуляторов. В-третьих, вы сможете избежать штрафов, которые могут достигать 4% годового оборота своей компании.
Давайте разберемся, как онлайн-идентификаторы связаны с защитой персональных данных.
Согласно ФЗ «О персональных данных» и GDPR куки-файлы и иные идентификаторы пользователя относятся к персональным данным, поскольку позволяют теоретически определить конкретного субъекта или выделить его среди других лиц.
Наиболее известным делом по рассматриваемой нами теме стал судебный спор Vidal-Hall v. Google (2015). Используя сookieы-файлы, компания Google осуществляла сбор информации об интернет-трафике пользователей. Заявители, не будучи осведомлены о незаконных действиях ответчика, настаивали на привлечении последнего к ответственности за нарушение порядка использования сookies – персональных данных, которые позволяют вычислить пользователей.
Суд занял позицию истцов и положительно ответил на вопрос об отнесении Cookie-файлов к персональным данным, так как они, «не называя прямо субъекта … позволяют выделить его из всей массы пользователей, следовательно, отвечают критерию идентификации»[1].
Следовательно, в отношении cookies и прочих идентификаторов необходимо соблюдать требования законодательства.
Для того, чтобы ориентироваться в соблюдении законодательства, нужно понимать различие между различными видами куки-файлов. Среди них выделяют:
Строго обязательные – файлы cookies, необходимые для просмотра содержимого сайта и получения доступа к его функционалу, например, корзине маркетплейса, сохраняющей выбранные пользователем товары даже при завершении им сеанса. Без них использование информационного ресурса невозможно.
Функциональные – cookies-файлы, ориентированные на адаптацию сайта к предпочтениям пользователя. Именно эти файлы запоминают выбранный пользователем язык, логин и пароль, а также другие параметры, повышающие эффективность взаимодействия пользователя с информационных ресурсом.
Статистические – файлы cookies, используемые исключительно для статистических целей. Тем самым разработчики могут настраивать сайт, ориентируясь на показатели периода активности пользователей, источники трафика, улучшать его функционал.
Маркетинговые – cookies, считывающие активность пользователя на информационном ресурсе, для генерации рекламного контента. Их использование не ограничивается владельцем сайта – они могут передаваться рекламодателям, дата брокерам и аналитическим центрам.
Поскольку идентификаторы являются персональными данными, их обработка (т.е. любые операции с ними) должны иметь законное основание. Таким основанием может выступать согласие субъекта, необходимость обработки этих данных для исполнения договора (например, сохранение данных о продуктовой корзине для совершения покупки), исполнение закона (например, запрет на обслуживание клиентов из определенных стран) или законный интерес оператора (выявление спаммеров или ботов).
Законодательство о связи или электронных коммуникациях может предусматривать специальные условия для записи куки или иных присвоенных идентификаторов устройству. Так, европейская директива об электронных коммуникациях (e-Privacy Act) предписывает, что любая информация может быть загружена на устройство пользователя (браузер) только с его предварительного согласия. Из этого правила выделяются два случая, когда согласие пользователя не будет требоваться. Во-первых, это ситуация, когда установка куки требуется для установления или передачи сообщения через электронную сеть, а, во-вторых, случай, когда куки устанавливаются для предоставления доступа к услугам информационного общества (платформы за подписку, маркетплейсы и т.д.).
Строго обязательные куки, необходимые для, например, того, чтобы пользователь не выходил из личного кабинета при переходе по страницам или чтобы сайт запоминал согласие пользователя на установку кукис, подпадают под данные исключения, поэтому их можно устанавливать без согласия субъекта.
Остальные категории — т.е. функциональные, аналитические и маркетинговые могут устанавливаться только с согласия пользователя, а дальнейшая обработка — при наличии законного основания по законодательству о персональных данных.
Уведомление
Одна из главных обязанностей оператора персональных данных, т.е. вас, — уведомить пользователя о том, что вы собираете его персональные данные, а также для каких целей и кому передаете.
В идеале баннер должен всплывать при первом переходе пользователя на сайт / в приложении. В уведомлении должна содержаться информация о 1) собираемых куки-файлах и иных идентификаторах, 2) целях их сбора, 3) сроках хранения в памяти устройства,
4) третьих лицах, которым передают данные (например, Google или Facebook), а также возможность принять все идентификаторы, кастомизировать их выбор или полностью отказаться от них (помимо строго обязательных). Информацию можно также разместить на отдельной странице, к которой пользователь может перейти в любой момент своего сеанса, чтобы изменить настройки или узнать ответы на интересующие вопросы.
Касательно отказа от установки куки-файлов, необходимо помнить, что возможность отказаться должна быть так же доступна, как и согласиться. Нельзя делать прозрачным или вообще убирать на отдельную страницу функцию отказаться от куки. Именно за это Google поплатился на 200 млн. евро.
Куки-баннер или страница с настройками также не должны содержать иных «темных» паттернов, которые сбивают пользователей с толку — не стоит навязывать пользователю выбор куки при каждой смене страницы, а также прятать настройки в самые глубины сайта.
[1] Vidal-Hall v. Google // Inform’s Blog [Site]. URL: https://inforrm.org/2015/03/31/case-law-vidal-hall-v-google-distress-damages-can-be-awarded-under-s-13-dpa-without-pecuniary-loss-and-misuse-of-private-information-is-a-tort-lorna-skinner/ (дата обращения: 18.04.2022 г.).