Яким має бути cookie банер? Огляд законодавств країн світу

У останні роки кількість cookie банерів на сайтах значно зросла. За їх допомогою отримується згода на використання cookies – невеликих текстових файлів, які застосовуються для покращення якості досвіду користувача та підтримки роботи сайту.

Основною причиною збільшення cookie банерів стало прийняття Загального регламенту про захист персональних даних (General Data Protection Regulation або GDPR), що передбачає наявність вільно наданої, конкретної, проінформованої та однозначної згоди для обробки особистої інформації.

Однак GDPR має обмежену територіальну дію та застосовується переважно у межах Європейського Союзу. У інших країнах світу є свої правила, що можуть як передбачати отримання дозволу на використання cookies через cookie банер, так і ні.

Нижче – наш аналіз законодавства країн світу про cookie банери та їх особливості.

 

1. США

 

Федеративний рівень

 

На федеративному рівні немає вимоги використання cookie банера.

 

Водночас, Закон про захист конфіденційності дітей в Інтернеті (COPPA) регулює роботу веб-сайтів, призначених для дітей віком до 13 років, і фактично забороняє відстежувати дітей через Інтернет без згоди їхніх батьків (§ 312.5). Відповідно до § 312.2 COPPA файли cookie вважаються персональною інформацією (а саме постійним ідентифікатором). Якщо ваш сайт призначений для дітей віком до 13 років або ви дійсно знаєте, що вони ним користуються – необхідно отримати верифікований дозвіл батьків на збір файлів cookie. Банер cookie не може перевірити згоду безпосередньо від одного з батьків, а не від дитини, а отже, він не може задовольнити цю вимогу.

 

Каліфорнія

 

Відповідно до статті 1798.140 (x) Закону Каліфорнії про конфіденційність споживачів (CCPA) файли cookie вважаються персональними даними (а саме – унікальним персональним ідентифікатором). CCPA не вимагає від веб-сайтів розміщувати cookie банер.

 

Однак, CCPA вимагає запровадження механізму, що дозволяє користувачу відмовитися від продажу файлів cookie (стаття 1798.120). Принцип відмови від використання (“opt-out” principle) означає, що веб-сайт може збирати інформацію про користувача, доки він не попросить припинити. Ви можете зробити лінк “Не продавайте мої особисті дані” в нижньому колонтитулі сайту, щоб дотриматися цієї вимоги.

 

Правильно складений приклад можна знайти за адресою https://www.stericycle.com/en-us: 

2. Європейський Союз

 

Європейський Союз (рівень організації)

Відповідно до Преамбули 30 (GDPR) файли cookie відносяться до персональних даних.

 

Згідно зі ст. 6 GDPR cookies можуть збиратися на підставі згоди користувача (для преференційних, аналітичних чи маркетингових cookies) або законного інтересу контролера (для необхідних cookies). В останньому випадку згода не потрібна.

 

Використання файлів cookie на веб-сайтах обумовлено попередньою згодою користувачів: спочатку користувачам має бути надана чітка та повна інформація відповідно до GDPR про цілі обробки даних, щоб вони могли дати свою згоду, а також їм повинен бути наданий простий спосіб відмовитися від обробки. Тобто cookie банер обов’язково потрібен.

 

Щоб згода була дійсною, вона має бути вільно наданою, конкретною та поінформованою (Преамбула 32 GDPR). Згода має передбачати будь-яку форму чіткої позитивної (схвальної) дії. Мовчання, наперед проставлені оператором галочки чи бездіяльність – не є згодою. Cookie walls, коли користувачі не можуть користуватися сайтом, поки не дадуть згоду на обробку cookies, а також банери, що не дозволяють зробити вибір – не відповідають вимогам GDPR. Також не рекомендується приховувати на cookie банері кнопку “відхилити” або “відмовитися” і не є гарною практикою робити цю кнопку менш помітною чи меншою, ніж кнопка “прийняти”.

 

Відповідний вимогам приклад cookie банера можна знайти на офіційному сайті Європейської комісії з питань захисту персональних даних (EDPB) https://edpb.europa.eu/edpb_en: 

Австрія

На національному рівні особливості використання файлів cookie встановлені Законом про телекомунікації, який поділяє їх на дві великі категорії: технічно необхідні (technically necessary cookies) та технічно непотрібні (technically unnecessary cookies).

Технічно необхідні cookies здебільшого використовуються для здійснення коректної роботи інтернет-мережі або надання послуги, яку запросив користувач (наприклад, для зберігання інформації про вміст кошику покупок чи здійснення авторизації на сайті). З іншого боку, технічно непотрібні cookies, за визначенням Австрійського управління із захисту персональних даних (data protection authority), використовуються для занотовування, аналізу та оцінки поведінки користувача на веб-сайтах.

Різниця між технічно необхідними та технічно непотрібними файлами cookie є важливою, тому що перші не вимагають отримання згоди для їх використання, у той час як для роботи других має бути надана вільна, конкретна, поінформована та однозначна згода відповідно до вимог GDPR.

Як уточнює Австрійське управління із захисту персональних даних, в Австрії відсутні жорсткі правила до дизайну cookie банерів. Наприклад, банер на сайті https://www.win2day.at відповідає вимогам GDPR, дозволяє користувачеві погодитися з використанням або відмовитися від усіх cookies, а також здійснити їх налаштування та дізнатися більше про Політику їх використання. 

Нідерланди

Як і в Австрії, основні вимоги до використання файлів cookie у Нідерландах встановлені у Законі про телекомунікації. За загальним правилом cookies потребують вільно наданої, конкретної та однозначної згоди згідно з вимогами GDPR (наприклад, шляхом активної дії через натискання кнопки на cookie банері).

У той же час, стаття 11.7а (3) Закону про телекомунікації передбачає ряд винятків, коли використання файлів cookie не потребує згоди користувача. Загалом такі винятки аналогічні австрійським та застосовуються, якщо cookies:

• використовуються з метою передачі інформації електронними мережами;
• необхідні для надання інформації, яку запросив користувач (сюди входить, наприклад, той самий вміст кошику покупок на сайті);
• необхідні для отримання інформації про якість або ефективність наданої послуги (якщо вона не має наслідків або має незначні наслідки для конфіденційності користувача).

За адресою https://www.umcutrecht.nl/nl розміщений cookie банер, що відповідає вимогам GDPR. Він надає можливість прийняти або відхилити використання cookies, а також містить як загальну інформацію про їх роботу, так і посилання на Політику використання файлів cookie.

Цікаво, що зараз Нідерландське управління із захисту персональних даних досліджує, чи є законним використання Google Analytics у аспекті застосування файлів cookies. Остаточне рішення ще не оприлюднено.

Франція

Французьке управління із захисту персональних даних (CNIL або Commission Nationale Informatique & Libertés) не тільки розробило гайдлайн про використання файлів cookie, але також і видало відповідні рекомендації, які містять додаткові роз’яснення та приклади (наприклад, зразки cookie банера або окремої іконки на сайті, що відповідають вимогам законодавства).

 

У цілому, cookies вимагають вільної, конкретної, поінформованої та однозначні згоди відповідно до положень GDPR. Однак, як і у інших країнах Європейського Союзу, у Франції існують винятки щодо файлів cookie, які необхідні для здійснення коректної роботи веб-сайту або надання послуг, що були запитані користувачами (наприклад, авторизації у мережі).

 

Cookie банер, що відповідає вимогам законодавства, (наприклад, на https://sf-cancers-enfant.com) надає можливість прийняти або відхилити усі файли cookie, здійснити їх налаштування, а також отримати додаткову інформацію, у тому числі завдяки посиланню на Політику їх використання. 

Цікавим є те, що Франція стала однією із перших країн, яка вказала, що використання Google Analytics не відповідає вимогам GDPR.

 Італія

Італійське управління із захисту персональних даних (Garante per la protezione dei dati personali) у 2021 році опублікувало гайдлайн щодо використання файлів cookie.

Цей гайдлайн поділяє cookies на дві категорії: технічні та нетехнічні. Технічні cookies необхідні для коректної роботи веб-сайту або надання послуг користувачам. У свою чергу, нетехнічні cookies застосовуються для відстеження дій чи повторюваних моделей поведінки. Аналогічно іншим країнам Європи, технічні файли cookie не потребують згоди користувача, у той час як нетехнічні навпаки – її вимагають.  

Гайдлайн також додатково встановлює вимоги до cookie банерів, їх розташування, розміру та механізму надання згоди. Зокрема, один із прикладів коректних cookie банерів на https://viaggio.italia.it/it/ надає можливість користувачам як обирати використання всіх, або лише необхідних cookies, так і керувати їх налаштуваннями. Окрім того, банер містить додаткову інформацію та посилання на Політику використання файлів cookie:

3. Велика Британія

У Великій Британії прийнято два основних акти, які регулюють використання cookies – це PECR та UK GDPR. За загальним правилом вони вимагають отримання згоди перед використанням cookies. При цьому вони також встановлюють ряд винятків, коли така згода не вимагається, зокрема тоді, коли cookies:

• необхідні для надання користувачу послуги, яка була ним запитана;
• використовуються для коректної передачі інформації електронними мережами.

У всіх інших випадках згода має бути надана відповідно до вимог UK GDPR та бути вільно наданою, чіткою, проінформованою та однозначною, отримано у формі заяви чи чіткої дії.

Така згода може бути надана з використанням cookie банера (наприклад, як на https://ico.org.uk), що надає можливість прийняти або відхилити всі файли cookie, а також містить додаткову інформацію з посиланням на Політику використання файлів cookie:

4. Бразилія 

 

Основний закон про захист персональних даних (Lei Geral de Protecao de Dados – LGPD) визначає персональні дані як “інформацію про ідентифіковану або фізичну особу, яку можна ідентифікувати”. LGPD не згадує конкретно cookies, але оскільки вони містять дані, що можуть певним чином ідентифікувати особу, cookies можуть підпадати під дію LGPD.

 

Відповідно до статті 7 LGPD персональні дані можуть збиратися, зокрема, на підставі згоди користувача або законного інтересу контролера. Дійсна згода визначається як “вільна, поінформована і недвозначна” (Стаття 5 LGPD). Це означає, що cookie банер потрібен і до нього застосовуються правила, схожі з GDPR.

 

Примітно, що Бразильське управління захисту персональних даних (ANPD) встановило, що cookie банер на урядовому порталі Gov.br https://www.gov.br/anpd/pt-br не відповідає вимогам LGPD. На банері вказано: “Ми використовуємо файли cookie, щоб покращити ваш досвід перегляду порталу. Використовуючи портал gov.br, ви погоджуєтесь з нашою Політикою використання файлів cookie. Для отримання додаткової інформації про те, як це робиться, перейдіть до Політики використання файлів cookie. Якщо ви згодні, натисніть ПРИЙНЯТИ”:

Така практика суперечить законодавчій вимозі щодо отримання згоди. ANPD рекомендувала: 1) забезпечити помітку кнопку, що дозволяє відмовитися від необов’язкових файлів cookie; та 2) за умовчанням деактивувати файли cookie, що використовуються на підставі згоди.

 

Дотримуючись цих рекомендацій, приклад відповідного cookie банера можна знайти на сайті https://dponapratica.com.br/, який надає основну інформацію про cookie та дозволяє їх налаштувати, відхилити або дозволити:

5. Австралія

Відповідно до Закону про конфіденційність 1988 року та Закону про спам 2003 року надання згоди на використання файлів cookie за допомогою cookie банера або будь-якого іншого механізму не вимагається.

У той же час, як правило, інформація про використання файлів cookie має бути розкрита на веб-сайті (наприклад, через окремий банер, як на https://www.itasca.com.au). Така вимога встановлена принципами конфіденційності з Закону про конфіденційність 1998, оскільки файли cookie можуть містити особисту інформацію, якщо з їх допомогою можна ідентифікувати певну особу. 

6. Канада

У цілому, законодавство Канади про спам (зокрема, CASL) не вимагає отримання згоди на використання файлів cookie (у тому числі через cookie банер).

Так, CASL визначає cookie як програму, на встановлення якої особа дає згоду, якщо є всі розумні підстави вважати, що вона погоджується з її встановленням. Положення статті є складними для розуміння, але у цілому вона означає, що користувач за замовчуванням погоджується із використанням усіх cookies. З іншого боку такі розумні підстави будуть відсутні, якщо особа, наприклад, вимкне використання файлів cookie у браузері.

Окрім CASl, cookies можуть регулюватися законодавством Канади у сфері захисту персональних даних, зокрема PIPEDA. Необхідно відмітити, що PIPEDA не надає чіткої відповіді, чи можуть файли cookie бути персональною інформацію, що потребує згоди на їх обробку. З іншої сторони – деякі файли cookie можуть використовуватись для ідентифікації особи.

Таким чином, хоча законодавство Канади передбачає наявність згоди на використання cookies за замовчуванням, застосування cookie банерів є більш ніж доцільним, оскільки в окремих випадках інформація файлів cookie може використовуватися для встановлення особи.

 

7. Мексика 

 

Гайдлайн із сповіщення про конфіденційність (Гайдлайн) містить визначення cookie та веб-маяків. Відповідно до пункту 31 Гайдлайну cookie є персональними даними та вимагають від веб-сайтів: 1) інформувати користувачів у момент доступу до веб-сайту за допомогою повідомлення або попередження, розміщеного на видному місці, про використання cookie; 2) що персональні дані були отримані за їх допомогою; 3) як cookie можуть бути відключені, якщо така технологія не є необхідною з технічних причин.

 

Обробка персональних даних здійснюється за наявності мовчазної чи явно вираженої згоди користувача відповідно до статті 8 Федерального закону “Про захист персональних даних, що знаходяться у приватних осіб” (Закон), за винятком випадків, передбачених статтею 10 Закону. Відповідно до цих документів використання файлів cookie здійснюється за наявності мовчазної згоди і банер cookie рекомендовано використовувати.

 

Приклад відповідного cookie банера можна знайти на сайті https://scouts.org.mx, який зазначає: “Ласкаво просимо до Scouts de México (scouts.org.mx)! Ми використовуємо cookies на цьому сайті, щоб покращити ваш досвід використання сайту. Для отримання додаткової інформації про нашу Cookie Policy натисніть тут. Продовжуючи користуватися нашим сайтом, ви даєте нам свою згоду на використання файлів cookie. Ви можете дізнатися більше про те, які файли cookie ми використовуємо, або відключити їх у налаштуваннях”.

8. Нова Зеландія 

 

Закон про конфіденційність не містить спеціальних положень щодо файлів cookie, і відсутня законодавча вимога отримувати згоду користувачів на їх обробку (тобто cookie банер не потрібний).

 

9. Туреччина

 

Закон про захист персональних даних № 6698 (LPPD) прямо не згадує файли cookie. Відповідно до статті 3 (1)(d) LPPD “персональні дані” означають будь-яку інформацію, що стосується ідентифікованої або такої, що може бути ідентифікована, фізичної особи.

 

Турецьке управління із захисту персональних даних (Kişisel Verileri Koruma Kurumu – KVKK) от щойно (у червні 2022 року) опублікувало гайдлайн (Гайдлайн) щодо файлів cookie, в якому зазначено, що положення LPPD застосовуються до файлів cookie. Про це йдеться ще і у рішенні KVKK від 27.02.2020 № 2020/1.

 

Відповідно до статті 5 LPPD персональні дані не можуть оброблятися без явної згоди суб’єкта даних, якщо немає жодної з умов, зазначених у статті 5 (2) LPPD (законний інтерес контролера є однією із них). Тобто використання необхідних файлів cookie може здійснюватися без згоди користувачів.

 

“Явна згода” означає вільно надану, конкретну та поінформовану згоду (Стаття 3(1)(a)). Таким чином, застосовуються правила, аналогічні GDPR. Відповідно до статті 5 (f) Комюніке про принципи та процедури, які слід застосовувати при виконанні зобов’язання з інформування – політика конфіденційності та процедури отримання явної згоди повинні бути розділені, що означає необхідність cookie банера.

 

У Гайдлайні зазначається, що явна згода не може бути нав’язана суб’єкту даних як попередня умова для надання онлайн-послуг, і наводяться деякі приклади невдалих cookie банерів. Приклад cookie банера, що відповідає вимогам законодавства, повідомляє про те, що на цьому сайті використовуються файли cookie, коротко описує типи файлів cookie, містить посилання на політику cookie та супроводжується трьома кнопками “Дозволити все”, “Заборонити все”, “Налаштування cookies”:

10. Швейцарія

Загалом, у Швейцарії поки не вимагається отримувати чітку згоду користувача для використання файлів cookie (зокрема, через cookie банер). Однак необхідно відмітити, що у 2020 році на федеральному рівні було прийнято комплексний Закон про захист персональних даних, який має набути чинності 01 вересня 2023 року.

Цей федеральний закон встановлює вимогу щодо отримання попередньої, вільно наданої, проінформованої та чіткої згоди користувачів для обробки персональних даних (у тому числі через файли cookie). Фактично він наближає законодавство Швейцарії до законодавства Європейського Союзу і обов’язково вимагає наявність відповідного cookie банера.  

 

11. Індія

В Індії відсутня законодавча база, що регулювала б використання файлів cookie. Окрім того, cookie також не вважаються персональною інформацією (як, наприклад, у країнах Європейського Союзу).

У цілому, отримання згоди на використання файлів cookie (у тому числі через cookie банер) не потрібне.

 

12. Китай

 

У китайському законодавстві немає згадок про файли cookie. Відповідно до статті 4 Закону про захист особистої інформації (PIPL) особиста інформація – це “всі види інформації, записаної електронними або іншими засобами, що стосується ідентифікованих або таких, що можуть бути ідентифіковані, фізичних осіб, не включаючи інформацію після анонімізації”. За цим твердженням файли cookie можуть бути віднесені до персональної інформації.

 

Відповідно до статті 13 PIPL, обробка персональних даних може здійснюватися лише на підставі: 1) отримання згоди фізичних осіб; … 6) інших обставин, передбачених законами та адміністративними актами. Тобто, на відміну від GDPR, законний інтерес не є однією з таких підстав. 

 

Згода на обробку персональних даних має бути надана фізичними особами за умови повної поінформованості, а також у результаті добровільного та явного вияву свого бажання (ст. 14).

 

Таким чином, cookie банер не є обов’язковим, але рекомендується.

 

Наприклад, на сайті https://www.honeywell.com.cn є гарний приклад cookie банера, в якому зазначено: “Ми використовуємо файли cookie для покращення роботи нашого сайту, для полегшення обміну інформацією в соціальних мережах та для пропонування реклами, що ґрунтується на ваших інтересах. Для отримання додаткової інформації, будь ласка, ознайомтесь з нашим Cookie Statement. Ви також можете налаштувати параметри cookies у своєму браузері. Будь ласка, зверніть увагу, якщо ви відхилите файли cookie, це може вплинути на функціональність та роботу сайту.” після чого йдуть кнопки “Налаштування cookies”, “Прийняти все” та “Відхилити все”:

 

13. Аргентина

 

Законодавство Аргентини не надає чіткої відповіді, чи необхідна згода та банер для використання файлів cookie, чи ні.

Але у той же час в Аргентині діє Закон про захист персональних даних, стаття 5 якого передбачає, що обробка таких даних є незаконною без вільної та усвідомленої згоди особи, здійсненої у письмовій формі або іншим способом.

При цьому до персональних даних належить будь-яка інформація, що ідентифікує або може ідентифікувати фізичну або юридичну особу.

Таким чином, якщо файли cookie містять інформацію, що ідентифікує або може ідентифікувати особу, вони можуть бути визнані персональними даними, обробка яких потребує згоди із використанням cookie банера. 

Через неточність законодавства cookie банери у Аргентині можуть бути різними – як такими, що відповідають жорстким умовам GDPR (зокрема на https://www.seidor.com/es-ar), так і такими, що їм не відповідають – наприклад, передбачаючи автоматичну згоду на використання всіх файлів cookie після натискання будь-якого посилання на веб-сайті без жодної можливості від них відмовитися (як на https://www.bureauveritas.com.ar).

14. Сінгапур

У Сінгапурі використання cookies врегульовано Законом про захист персональних даних (PDPA). Цей закон містить широке визначення поняття персональних даних, до яких можуть входити cookies, якщо за їх допомогою можна ідентифікувати особу.

У цілому PDPA вимагає отримання згоди для обробки персональних даних, що передбачає наявність cookie банера. Варто відмітити, що у Сінгапурі немає таких жорстких вимог до cookie банерів, як у Європі, і комплаєнтний банер може передбачати, наприклад, можливість прийняти всі файли cookie або обрати, які cookies, окрім необхідних, дозволяє користувач (як на https://go-aheadsingapore.com):

У деяких окремих винятках персональні дані в Сінгапурі можуть оброблятися на підставі згоди за замовчуванням (deemed consent) (включаючи згоду за замовчуванням шляхом повідомлення) або без згоди особи (на основі законного інтересу).

15. Японія

 

У квітні 2022 року набрав чинності змінений Закон про захист персональної інформації (APPI). Змінений APPI в Статті 2(7) визначає нову категорію, Personally Relatable Information (PRI), яка є інформацією про людей, що не відноситься до категорій персональної інформації, інформації про псевдонімну обробку та інформації про анонімну обробку. Файли cookie є PRI відповідно до Гайдлайну Комісії захисту персональної інформації (Гайдлайн).

 

Стаття 31 APPI вимагає попередньої згоди на передачу файлів cookie, якщо вони передаються третій стороні, яка має додаткові, пов’язані з файлами cookie дані, які в поєднанні з файлами cookie можуть стати персональною інформацією.

 

Сайтам, які передають маркетингові файли cookie третім особам, рекомендується розміщувати cookie банер. Відповідно до Гайдлайну, приклад відповідного cookie банера повинен зазначати: “Ми отримуємо історію перегляду веб-сторінок, зібрану за допомогою cookie файлів, від сторонніх платформ управління даними та їх аналізу, пов’язуємо її з вашими персональними даними та використовуємо для пропонування реклами та в інших цілях”, після чого слідує кнопка “Я згоден з вищевикладеним”.

 

 

16. Казахстан

 

Законодавство Казахстану прямо не регулює використання файлів cookie, а також не визначає їх як персональні дані. Однак, якщо cookies можуть бути використані для ідентифікації окремої особи, вони можуть підпадати під дію Закону Казахстану “Про персональні дані та їх захист”.

 

За загальним правилом, згідно зі статтею 7 цього Закону, збір та обробка персональних даних здійснюється на підставі згоди суб’єкта персональних даних або його законного представника. Така згода може бути отримана через cookie банер.

 

У цілому, законодавство Казахстану не має жорстких вимог до банерів, як, наприклад, в Європі. На практиці це означає, що cookie банери можуть не передбачати можливості відмовитися від cookies чи здійснювати їх налаштування (як на https://spubl.kz/kk) або будуть покладатися на згоду за замовчуванням, але із можливістю відмовитися від використання cookies (так званий “opt-out” principle, як на https://aix.kz)

Висновки

 

Якщо ви онлайн-платформа, яка веде бізнес у певній державі, ви повинні дотримуватись її законів про захист персональних даних, навіть якщо ви знаходитесь за межами цієї країни. Ця стаття показує, що кожна країна має свій унікальний підхід до файлів cookie і не завжди легко зрозуміти, де потрібна згода користувача на використання файлів cookie, і якщо потрібна, то як правильно її отримати.

 

Cookies надзвичайно корисні – вони можуть виконувати різні завдання, роблячи досвід користувача в інтернеті більш приємним і допомагаючи бізнесу розвиватися. Ми рекомендуємо проконсультуватися з досвідченим юристом, якщо у вас труднощі з розумінням своєї ситуації та виникають питання як правильно скласти cookie банер. Дотримання законодавчих вимог про захист персональних даних допоможе вам не лише уникнути штрафів, а й завоювати довіру користувачів завдяки чесному та прозорому підходу.