1 November 2019

Штраф в 30 тыс. евро за незаконное использование cookies

Digital Rights Center corporate blogInformation SecurityResearch and forecasts in ITLegislation in ITFinance in IT


Испанское агентство по защите данных (AEPD) оштрафовало авиакомпанию Vueling Airlines LS на 30 тыс. евро за незаконное использование cookies. Компанию обвинили в том, она использует необязательные cookies без согласия пользователей, а политика использования cookies на сайте не предусматривает возможность отказаться от использования таких cookies. Авиакомпания же заявила, что пользователь даёт согласие на использование cookies, продолжая использовать сайт, и может отключить их использование в настройках браузера, а также отозвать согласие на их использование.

Регулятор установил, что такой тип согласия не является явным, и возможность запрета использования cookies через настройки браузера не означает выполнение требований закона. Размер штрафа в 30 тыс. евро был определён с учётом преднамеренного характера действий компании, длительности нарушения и количества затронутых пользователей. Такое решение регулятора соответствует недавнему решению Европейского суда от 1 октября 2019 года, из которого следует, что для использования cookies необходимо активное согласие пользователя, и согласие в форме заранее установленной отметки (“галочки”) не является законным.

Требования к использованию cookies по нормам GDPR


Агентство по защите данных при принятии решения ссылалось на местные законы Испании о защите данных, но фактически действия компании нарушают ст. 5 и 6 GDPR.

Можно выделить следующие ключевые требования к использованию cookies по нормам GDPR:

  • у пользователя должна быть возможность отказаться от использования cookies, которые не требуются для функционирования сервиса, как до начала их использования, так и после;
  • каждый тип cookies может быть принят или отклонен независимо от остальных, без использования одной кнопки с согласием на все типы cookies;
  • согласие на использование cookies путём продолжения использования сервиса не считается законным;
  • указание на возможность отключить cookies через настройки браузера может дополнять механизмы отказа от их использования, но отдельно не считается полноценным механизмом отказа;
  • каждый тип cookies должен быть описан с точки зрения функционала и срока обработки.

Другие подходы к работе с cookies


В России регулирование cookies по ФЗ “О персональных данных” имеет свои особенности. Если считать cookies персональными данными, то для их использования требуется уведомление и согласие пользователя. Это может отрицательно сказываться на конверсии сайта либо полностью заблокировать работу отдельных инструментов аналитики. В отдельных случаях может считаться допустимым использование cookies без согласий и уведомлений. В любом случае, для каждой модели работы с cookies можно подобрать правовые механизмы с наименьшим влиянием на эффективность взаимодействия сайта и пользователя.

Наиболее прогрессивным подходом к работе с cookies является подход, при котором сайт не формально уведомляет пользователя об их использовании, а объясняет необходимость cookies и мотивирует добровольно дать согласие на их использование. Большинство пользователей даже не догадываются, что именно благодаря cookies они могут сохранить нужные данные при закрытии страницы сайта — заполненные формы или корзины с товарами интернет-магазинов.

Подход, при котором сайты стеснительно уведомляют пользователей о cookies и даже не пытаются запросить согласие, не даёт преимуществ ни сайтам, ни пользователям. У многих пользователей сайтов сложилось мнение, что использование cookies на сайте означает недобросовестное использование персональных данных, которое пользователи вынуждены терпеть, чтобы пользоваться сервисом. И редко бывает очевидным, что cookies работают на пользу не только владельца сайта, но и самого пользователя.

Tags:GDPRcookiesперсональные данные
Hubs: Digital Rights Center corporate blog Information Security Research and forecasts in IT Legislation in IT Finance in IT
+21
16.8k 40
Comments 129