Як уникнути штрафів за GDPR при опрацюванні персональних даних за допомогою файлів cookies?

Cookie-файли стали невід’ємною частиною майже кожного веб-сайту. Враховуючи, що більшість компаній зараз ведуть свій бізнес через інтернет – питання законного збирання персональних даних за допомогою cookies стає дедалі актуальнішим. У цій статті ми розглянемо тенденції в розвитку європейського законодавства щодо регулювання cookies, за допомогою якого ви зможете зрозуміти, що потрібно і не потрібно робити задля того, щоб уникнути штрафів за порушення правил збору персональних даних за допомогою цієї технології. Ви також можете почитати щодо збору cookies та отримання згоди на обробку у наших попередніх статтях.

Чим є cookies

Першочергово cookies використовувались лише для підтримання роботи веб-сайтів, для розширення його функціональних можливостей та створення більш приємного досвіду використання для відвідувачів. Зараз cookies перетворились на маркетингову технологію, яку широко використовують за допомогою так званих third-party cookies (“кукі третіх сторін”).

Що це таке та яким чином відрізняється від first-party cookies, які використовуються безпосередньо сайтом, що ви відвідуєте (наприклад, кукі, що запам’ятовує, які товари ви додали в кошик, щоб вони не зникали після оновлення сторінки)?

Кукі третіх сторін використовуються сторонніми сайтами (тобто не тим, який ви дивитеся в певний момент) та дозволяють цій третій стороні збирати про вас інформацію щодо того, які саме сторінки на сайті ви відвідали, зазвичай у рекламних цілях. Така технологія дає змогу стежити за користувачем, коли він переходить з сайту на сайт, збирати або виводити з його активності інформацію про нього (наприклад, його чи її вік, місце проживання чи товари або послуги, які цікавлять відвідувача сайту. Ця інформація потім використовується, щоб створити профіль користувача та запропонувати йому саме ті товари, які він захоче купити.

Але ким є ці треті сторони? Зазвичай кукі третіх сторін використовують рекламодавці та соціальні мережі для моніторингу активності користувачів в Інтернеті та для подальшого таргетингу. Це корисно для рекламодавців, оскільки конкретні дані користувача можуть підвищити ефективність рекламної кампанії.Як приклад такого сервісу, що використовує кукі третіх сторін, можна згадати Google Ads.

Релевантна реклама чи невидимість для браузера?

В останній час йде мова про те, що такі технології слід заборонити, бо вони  втручаються в приватність користувачів інтернету. Проте, навіть із забороною third-party cookies такий вид маркетингу не зникне – існує багато альтернатив. Наприклад:

• Fingerprinting (“відбиток пальців”): технологія, що відслідковує технічні характеристики браузера користувача та за допомогою цих даних має змогу отримувати інформацію щодо нього майже так само, як і за допомогою кукіс.
• First-party cookies, які передають дані користувача до домену рекламодавця за допомогою URL-запитів.
• Single Sign-On (SSO): полягає у підключенні до великої кількості сайтів, програм або служб за допомогою одного спільного облікового запису (а отже – єдиного рекламного профілю) тощо.

 

Позиція регуляторів

Франція

Які правила очікуються стосовно використання таких технологій? Контролюючий орган Франції (CNIL) зазначає, що розробка альтернатив third-party cookies не повинна здійснюватися на шкоду права користувача Інтернету на захист його персональних даних та конфіденційності. Використовувати такі технології необхідно відповідно до принципів чинних нормативних актів, а саме GDPR, а також директиви про конфіденційність та електронні комунікації (відомої як «ePrivacy Directive»), метою якої є особлива увага до захисту комунікацій окремих осіб. Також, потрібно пам’ятати про те, що користувач повинен мати змогу надати згоду або відмовитись від відслідковування за допомогою cookies у вільній та поінформованій манері.

Італія

Італійській наглядовий орган (Garante per la protezione dei dati personali) також нещодавно випустив гайд стосовно захисту користувачів у контексті використання кукіс. Що було зазначено?

• Сайт повинен надавати інформацію для користувачів щодо будь-яких інших одержувачів їхніх персональних даних, а також щодо термінів зберігання інформації. Така інформація може надаватися кількома каналами і різними способами (наприклад, за допомогою спливаючих вікон, відео, голосових взаємодій тощо).
• Для файлів cookie, що використовуються для профілювання, необхідно отримати згоду користувача за допомогою чітко помітного банеру на веб-сторінці, за допомогою якого користувачам також має бути запропонована можливість продовжити перегляд без жодного відстеження, наприклад, закриваючи банер, натискаючи на хрестик, який має знаходитись у верхньому куті банеру.
• Повторний показ банеру при кожній новій сесії користувача, який раніше відмовився від використання кукіс, не має юридичних підстав та є зайвим і агресивним заходом.
• В черговий раз було вказано, що так звані cookie walls, тобто заборона доступу до певного контенту сайту через відмову від кукіс, є нелегітимним механізмом.

Люксембург

Люксембурзький наглядовий орган CNPD також висловив свою позицію щодо правил застосування cookies. Найголовніші моменти, які можна виділити окремо:

• Вимоги, що висуваються до використання кукіс також поширюються на трекери, що збирають персональні дані.
• В черговий раз було вказано, що на усі кукіс, окрім essential – потрібна згода користувача. В той же час, essential cookies – це ті, які необхідні виключно для передачі інформації по електронно-комунікаційній мережі з метою надання послуги, затребуваної користувачем.
• Необхідність отримувати згоду на кожну мету використання кукіс окремо та надання можливості користувачу відмовитись від кожного з видів кукіс.
• Відмову від згоди краще розміщувати в тому ж місці, де згода надається. Тобто, наприклад, в кукі банері може бути посилання на “Cookies settings”, де користувач може налаштувати використання кукіс веб сайтом щодо нього/неї. При цьому, термін використання отриманої згоди має не перевищувати 12 місяців, після спливання цього строку – потрібно отримувати нову згоду.
  
  

Комплаєнс: to be or not to be?

Перейдемо до найцікавішого! Чому потрібно дотримуватись усіх цих правил? Зараз наведемо декілька значних причин.

1. У грудні 2020 року CNIL оштрафував компанію Google LLC на 60 мільйонів євро та Google Ireland на 40 мільйонів євро за порушення GDPR і французького Закону про захист даних. Штраф накладено за розміщення рекламних файлів cookie на пристрої користувачів без попередньої згоди та без надання належної інформації про це.

Як цього можна було уникнути? Отримувати “вільно надану” згоду, а саме зробити так, щоб користувачам однаково легко було прийняти або відмовитися від кукіс: якщо ви можете надати згоду одним кліком, ви також повинні мати можливість відмовитися одним кліком.

 

1. 16 липня 2021 року орган із захисту персональних даних Люксембургу CNPD наклав на Amazon величезний штраф у розмірі 746 мільйонів євро GDPR, що є рекордним на сьогоднішній день. CNDP провів розслідування після звинувачень Amazon у таргетованій рекламі. Amazon не отримував «вільну» згоду від своїх користувачів на використання рекламних файлів cookie, у відповідності до правил отримання згоди, передбачених GDPR.

Як цього можна було уникнути? Спокуса отримати якомога більше даних, змушуючи користувачів погодитись на збір даних за допомогою кукіс, а також ускладнений процес відмови від них – все це в сукупності було причиною через яку Amazon отримав такий величезний штраф. Все, що було потрібно зробити – це збирати вільно надану, інформовану, недвозначну та явну згоду на cookies.

 

1. Другий за величиною штраф GDPR отримав Facebook у розмірі 60 мільйонів євро через те, що не отримав належної згоди на використання файлів cookie від своїх користувачів. Проблема тут в основному пов’язана з незрозумілим способом, яким Facebook надав змогу відмовитись від файлів cookie. У випадку Facebook, так само як і в кейсі Google, надати згоду на використання cookie було дуже просто: треба тільки натиснути кнопку «Прийняти», а відмовитися від них – складніше, що є порушенням вимог GDPR, щодо того, що користувачу має бути настільки ж легко відізвати згоду, наскільки легко було її надавати.

Як цього можна було уникнути? CNIL звернув увагу на те, що інтерфейс згоди Facebook для на використання файлів cookie не пропонував жодної опції, окрім «Прийняти файли cookie». CNIL відзначив, що такий варіант інтерфейсу створює плутанину, і що користувач може мати відчуття, що немає можливості відмовитися від використання файлів cookies. Задля дотримання вимог закону потрібно використовувати просту та зрозумілу мову, коли ви надаєте інформацію щодо використання даних користувача та його прав.

 

Які існують винятки? CNIL зазначає, що навіть інструменти, спрямовані на оцінювання аудиторії можуть в деяких випадках збиратись без згоди користувача. Що для цього потрібно?

• Мета збору даних повинна бути суворо обмежена оцінкою аудиторії сайту або програми (наприклад, вимірювання продуктивності сайту, виявлення проблем перегляду, оцінка необхідної потужності серверів тощо).
• Використовувати такі інструменти лише для отримання анонімних статистичних даних.

Що не можна?

• Звіряти отримані дані з іншими даними, або передавати дані третім особам.
• Відстежувати активність людини, яка використовує різні програми або переглядає різні веб-сайти впродовж такого перегляду та переходу між сайтами.

 

Більш того, CNIL зазначив загальні поради щодо використання подібних технологій з дотримання прав суб’єктів даних, а саме:

• інформуйте користувачів щодо використання таких відслідковуючих технологій, наприклад, у Політиці конфіденційності;
• життєвий цикл трекерів повинен не перевищувати 13 місяців та не подовжуватись автоматично під час нових відвідувань;
• інформація, що була отримана за допомогою таких індикаторів повинна зберігатися не довше 25 місяців;
• періоди зберігання та видалення повинні регулярно переглядатися задля того, щоб визначити чи справді таке зберігання необхідне саме на визначений строк.

Таким чином, при використанні cookies потрібно пам’ятати, що наразі діють достатньо суворі правила щодо законності їхнього збору та використання. Саме тому, потрібно дуже уважно ставитись до того, яким чином ви збираєте згоду на cookies, кому передаєте отримані дані та з якою метою їх використовуєте. Більш того, технології відслідковування користувачів Інтернету розвиваються надзвичайно швидко, тому важливо слідкувати за оновленням в їхньому законодавчому регулюванні, щоб убезпечити свій бізнес від фінансових санкцій з боку контролюючих органів.