Як (не) використовувати cookies

З файлами cookies мають справу майже всі. Власники веб-сайтів хочуть трекати шлях користувачів на своїй платформі, щоб користування сайтом було більш персоналізованим для кожного. Користувачі ж сьогодні знають, що cookies в Інтернеті – це зовсім не печиво, а постійне клікання галочки «я погоджуюсь з файлами cookies» стало звичним.  

Cookies і персональні дані

Cookies нерозривно пов’язані з персональними даними та їх безпекою. Яким чином? Дуже просто:  використання файлів cookies на веб-сайті – це один із найпоширеніших способів збору та передачі персональних даних в Інтернеті.

Тому під час використання цих файлів на своєму веб-сайті вкрай важливим є аналіз ризиків. 

У ЄС вимоги щодо збирання та обробки персональних даних встановлені GDPR. Тому, якщо компанія використовує cookies на своєму сайті для обробки персональних даних користувачів з ЄС (або ж сама компанія здійснює діяльність з ЄС), їй треба бути GDPR-compliant. 

Case study

Добре вчитися на помилках, але краще все ж не на своїх. Тож у цій статті розглянемо те, як не варто використовувати cookies, на конкретному кейсі. 

Що ж сталося? У листопаді 2020 року французький DPA – Commission nationale de l’informatique et des libertés (CNIL) – оштрафував відомий супермаркет Carrefour France на 2 250 000 євро та однойменний французький банк на 800 000 євро. 

Передісторія полягає в тому, що CNIL отримав декілька скарг на зазначені компанії та здійснив відповідні перевірки у 2019 році. Французький DPA виявив недоліки в процедурі обробки даних клієнтів і потенційних користувачів компаній. На підставі цієї перевірки спеціальний орган CNIL, відповідальний за введення санкцій, вказав, що компанії не виконали свої зобов’язання, передбачені GDPR. Розглянемо їх детальніше: 

• Порушення належного інформування осіб за статтею 13 GDPR

Так, CNIL зазначав, що інформація, що надавалася користувачам сайтів супермаркету та банку, не була ані достатньо доступною (доступ до інформації був занадто складний і містив багато іншої інформації), ані легко зрозумілою (інформація була написана загальними та неточними висловлюваннями, іноді з використанням надто складних формулювань). Крім того, така інформація була неповною: не вистачало інформації щодо тривалості збереження даних. 

Що ж до сайту супермаркету, то на ньому також не було надано достатньої інформації щодо передачі даних за межі ЄС та правової основи для їх обробки.

Висновок №1: інформація щодо cookies, яку ви розміщуєте на своєму сайті, повинна бути доступною візуально (наприклад, банер на сайті з необхідною інформацією), а також повинна бути викладена мовою, зрозумілою для очікуваного користувача сайту. 

Щодо передачі даних за межі ЄС – у такому випадку користувач має право знати про таку передачу та,  відповідно, про гарантії з боку контролера щодо захисту цих даних.  

• Порушення, пов’язані з файлами cookies за французьким законодавством – стаття 82 французького Закону про захист даних.

CNIL зазначив, що, коли користувач заходив на сайти компаній, кілька файлів cookies автоматично розміщувалися на його девайсі до вчинення користувачем будь-яких дій. Оскільки багато з цих файлів cookies використовувалися для реклами, обов’язковою мала бути попередня згода користувача. 

Висновок №2: згода користувача з розміщенням на його девайсі файлів cookies – це найбільш розповсюджена правова основа, яка дозволяє сайту обробляти персональні дані осіб.  

GDPR у статті 4 (11) визначає згоду (consent) як будь-яку вільно надану, конкретну, поінформовану, однозначну вказівку суб’єкта даних, яка означає його згоду на обробку його персональних даних.

Тож не забувайте про обов’язок отримати таку згоду (та сама галочка «я погоджуюся з використанням файлів cookies» або ж інше зрозуміле формулювання).  

Чи можна заздалегідь проставляти таку галочку в cookies notice, що пропонується користувачам на сайті? Суд Європейського Союзу у своєму рішенні від жовтня 2019 року каже, що ні. Так, заздалегідь проставлена галочка не становить дійсну згоду (valid consent). Крім того, Суд зазначив, що власник сайту повинен інформувати користувачів щодо періоду зберігання файлів cookies та щодо того, чи мають треті особи доступ до таких cookies.   

Ще один кейс: іспанський DPO в 2019 році санкціонувало Vueling Airlines на 30 000 євро за те, що в користувачів веб-сайту компанії не було можливості переглянути сторінку, не прийнявши файли cookies, та в користувачів не було можливості відмовитися від файлів cookies. 

Тож згода користувача повинна бути:

• отримана перед розміщенням файлів cookies і початком відстеження поведінки користувача;
• вільно наданою; 
• точною та явно, недвозначно вираженою;
• може бути відкликаною користувачем у будь-який момент без обґрунтування та негативних наслідків.

Ідеальний варіант – дозволити користувачу обирати, які способи використання файлів cookies він бажає активувати під час користування сайтом, а які – ні. 

• Невиконання зобов’язання обмежити термін зберігання даних відповідно до статті 5.1.e GDPR

Повернемося до кейсу Carrefour. Також DPA вказав, що одна з компаній не дотримувалась встановлених нею ж періодів зберігання даних. Так, дані про понад 28 мільйонів клієнтів, які були неактивними протягом 5-10 років, зберігались як частина програми лояльності. 

У той час як термін, що був встановлений самою компанією для зберігання даних про клієнтів після останньої покупки, становить 4 роки.

Висновок №3: термін зберігання персональних даних користувачів сайту не може становити «вічність» – такий період повинен бути обмеженим. 

Стаття 5(1)(е) GDPR закріплює принцип, за яким персональні дані мають зберігатися не довше, ніж це необхідно для цілей їх обробки. Виняток – це зберігання персональних даних довше у зв’язку з архівацією такої інформації, якщо це становить суспільний інтерес, інтерес для наукових, історичних, статистичних досліджень. 

• Порушення зобов’язання сприяти реалізації прав (стаття 12 GDPR)

CNIL зазначив, що одна з компаній вимагала (з деякими винятками) підтвердження особи для будь-якого запиту на реалізацію прав цієї особи. DPA вважає, що таке систематичне прохання не було виправданим, оскільки сумнівів щодо особистості людей, які реалізують свої права, не повинно було бути. Крім того, компанія не змогла обробити декілька запитів на реалізацію прав у строки, передбачені GDPR.

Висновок №4: згідно зі статтею 12(6) GDPR контролер може вимагати надання додаткової інформації, необхідної для підтвердження особи суб’єкта даних тільки тоді, коли він має обґрунтовані сумніви щодо особистості такої фізичної особи.  

• Недотримання прав, передбачених статтями 15, 17 та 21 GDPR та L34-5 Кодексу поштового та електронного зв’язку Франції

Так, по-перше, компанія не відповіла на кілька запитів людей, які бажали отримати доступ до своїх персональних даних. 

По-друге, у декількох випадках компанія не видалила дані на вимогу користувачів, коли це було потрібно. 

По-третє, компанія не взяла до уваги декілька запитів людей, які заперечували проти отримання реклами за допомогою SMS чи електронної пошти, зокрема, через технічні помилки. 

Висновок №5: 

1. Користувач сайту як суб’єкт даних має право доступу до своїх персональних даних. Так, суб’єкт даних має право отримати від контролера інформацію щодо обробки своїх персональних даних (зокрема, щодо того, які категорії даних обробляються, з якою метою та протягом якого часу; чи застосовуються механізми автоматичної обробки даних, профайлинг тощо). Це право передбачено статтею 15 GDPR.
2. У суб’єкта даних є так зване «право бути забутим» («right to be forgotten»), передбачене статтею 17 GDPR. Так, користувач має право подати запит на видалення своїх персональних даних власником сайту, і таке видалення здійснюється без зайвої затримки.
3. Суб’єкт даних має право в будь-який час відмовитися від отримання реклами. Це одна із варіацій права на заперечення («right to object») відповідно до статті 21 GDPR. Так, якщо дані обробляються для цілей прямого маркетингу, суб’єкт даних має право в будь-який час подати таке заперечення. 

Ця історія, однак, завершилася happy end-ом – компанії дослухалися до порад CNIL та привели свою діяльність у комплаєнс із GDPR та іншими вимогами законодавства.  

Висновок

У разі використання файлів cookies на Вашому сайті, Ви як контролер зобов’язані обробляти персональні дані користувачів законно, справедливо та прозоро (тобто згідно з вимогами GDPR). 

Для цього необхідно притримуватися, зокрема, таких основних правил, які дозволять ефективно захистити персональні дані користувачів:

• сповіщати користувачів про використання на сайті файлів cookies та мету такого використання;
• ця інформація повинна надаватися зрозумілою мовою для кожного користувача та повинна візуально виділятися; 
• необхідно отримати згоду користувача на використання файлів cookies (яку він може відкликати в будь-який момент);
• необхідно забезпечити користувача можливістю отримати інформацію про його персональні дані та можливістю відмовитися від обробки його персональних даних.