Законы ЕС о файлах cookie и их влияние на ваш бизнес

«На этом сайте используются файлы cookie» — это выражение хорошо знакомо большинству пользователей Интернета. Cookies существуют уже некоторое время, но некоторые пользователи и операторы веб-сайтов до сих пор не могут понять, что именно они делают и каковы законы о защите данных и конфиденциальности, которые их регулируют. Недавно ЕС внес ясность в этот вопрос, выпустив в 2009 году всеобъемлющее руководство, в котором говорится, что все страны-члены ЕС должны предоставить лицам, проживающим на территории ЕС, право отказаться от использования файлов cookie для защиты их конфиденциальности в Интернете. Теперь операторы веб-сайтов должны предоставлять услугу отказа, по крайней мере, когда речь идет об отслеживании файлов cookie. Европейский суд также подтвердил это в недавнем постановлении: пользователи должны дать активное согласие перед установкой файлов cookie.

В мае 2018 года вступил в силу Общий регламент по защите данных, который изменил порядок работы многих нормативных актов в отношении хранения конфиденциальных пользовательских данных на территории ЕС. Оно также распространяется на предприятия США, поскольку применяется к местоположению человека, просматривающего ваш сайт, а не к местоположению самого сайта. Фактически, новый регламент ePrivacy, проект которого ЕС официально представил 10 января 2017 года, должен был стать юридически обязательным в то же время. Когда речь идет о применении файлов cookie, он рассматривается как подробное дополнение к GDPR, однако его разработка застопорилась. Европейский парламент пока не смог согласовать проект, а это значит, что закон не вступит в силу в обозримом будущем. По этой причине Директива ЕС о cookie останется в силе. Но каково текущее состояние этого закона? В этой статье мы подробно рассмотрим, что такое куки, и обсудим, что новые правила ePrivacy означают для использования куки посетителями из ЕС, просматривающими ваш сайт.

Постановление Европейского суда — нетехнические файлы cookie подлежат согласию

В результате недавнего судебного разбирательства в Германии, которое в итоге дошло до Европейского суда, Европейский суд принял решение в пользу защиты данных, заявив, что в случае с настройками cookie должно иметь место согласие пользователя. Пользователь должен иметь возможность поставить галочку, чтобы дать согласие. Кроме того, суд постановил, что пользователи должны быть проинформированы об используемых файлах cookie. Операторы сайтов должны предоставлять информацию о том, как долго действуют файлы и с какой целью они хранятся.

После апелляции, в 2020 году Федеральный суд Германии вынес свой вердикт по данному вопросу и признал оператора азартных игр виновным в следующем:

Цитата

«Согласие пользователя, предусмотренное ответчиком в виде общего коммерческого условия, позволяющего получать информацию, хранящуюся на его терминальном устройстве посредством использования файлов cookie с предварительно установленным флажком, представляет собой необоснованную невыгоду для пользователя, как в соответствии с законодательством Германии, действовавшим на момент совершения оспариваемого действия, так и в соответствии с законодательством Германии, действовавшим на момент принятия решения.» — перевод с сайта Bundesgerichtshof

Решение суда показывает, что согласие пользователя должно быть активным, добровольным и должно происходить с информированной позиции. Это означает, что посетители веб-сайта должны быть обязаны сами ставить галочку в поле «Одобрить cookies» (активно). В то же время отсутствие согласия не должно мешать пользователю посещать сайт (добровольное согласие). Наконец, посетители должны иметь возможность понять, на что они соглашаются, отображая информацию понятным языком, не скрывая опции и не добавляя длинные юридические тексты (информированные). Судебные органы Германии также выступают против «темных шаблонов», когда веб-сайт создается как можно более неясным, чтобы навязать пользователю какое-либо условие (например, согласие на рекламные файлы cookie).

Пока неясно, какие последствия эти юридические вопросы будут иметь для американских операторов сайтов с немецкими посетителями, но всем, кто работает с сайтами с международными пользователями, рекомендуется быть в курсе текущей правовой ситуации с защитой данных в ЕС.

Cookies — это текстовые файлы, которые сохраняются браузером на вашем компьютере при загрузке веб-страницы. Текстовый файл состоит из данных о посещении вами веб-сайта и направлен на повышение удобства пользования: браузер запоминает данные для входа в систему и языковые настройки, ускоряя и упрощая работу с сайтом. Типичные данные cookie содержат заявление о сроке жизни текстового файла и случайно сгенерированный номер, уникальный для вашего компьютера. Данные cookie обычно хранятся анонимно, и данные, хранящиеся в текстовом файле, могут быть прочитаны только на веб-сервере, выдавшем cookie. Cookies, как правило, избегают личных данных, обычно требуя их только для входа в систему. Их главная обязанность — создание персонализированного, интерактивного онлайн-мира, каким мы его знаем сегодня.

Но, несмотря на удобство использования файлов cookie, многие критики считают их вторжением в частную жизнь. Cookies могут использоваться для создания так называемых «поведенческих профилей», которые используют ваши привычки в Интернете для показа определенной рекламы или определенного целевого контента. Это делается потому, что компаниям полезно иметь возможность показывать индивидуально подобранный контент в зависимости от того, посещает ли пользователь сайт впервые или в 100-й раз.третий раз.

В некоторых случаях файлы cookie остаются на вашем компьютере между посещениями страниц, собирая дополнительную информацию, чтобы составить более четкое представление о других ваших интересах. В таких случаях компании могут нацеливать рекламу даже при посещении внешних страниц, часто показывая специально подобранные изображения (например, пару обуви, которую вы рассматривали на их сайте, или новый кухонный прибор, который вы искали). Это неотъемлемая тактика для онлайновых компаний, борющихся с плотным рынком электронной коммерции. Однако есть опасения, что иногда файлы cookie могут использоваться не по назначению и предоставлять информацию о личном пользовании Интернетом неизвестным компаниям.

Правда о cookies для пользователей заключается в том, что вы не можете знать, как используются ваши данные без объяснения со стороны веб-сайта, который вы посещаете. И именно это является основной причиной революционных правил ЕС, принятых в 2011 году.

В 2002 году Европейский Союз инициировал принятие «Директивы о конфиденциальности и электронных коммуникациях», а в 2009 году были внесены дополнительные поправки, касающиеся использования файлов cookie. Несмотря на то, что директива подвергалась критике за ее структурированность и сложность интерпретации, ЕС установил крайний срок для принятия директивы всеми странами-членами к маю 2011 года.

Известная просто как «Закон о cookie», директива ЕС признает необходимость cookie для создания персонализированной онлайн-вселенной, которой мы наслаждаемся сегодня, но также ясно дает понять, что cookie могут рассматриваться как вторжение в частную жизнь, и что пользователи заслуживают права быть осведомленными о наличии cookie и их использовании. Некоторые файлы cookie, которые считаются «строго необходимыми для предоставления услуги, запрашиваемой пользователем», не нужно декларировать, поскольку они приносят гораздо больше пользы пользователю, чем компании. К ним относятся файлы cookie, используемые для отслеживания корзин в электронной коммерции и для хранения важной информации для входа в систему, необходимой пользователю.

Для использования большинства файлов cookie операторам веб-сайтов в ЕС теперь требуется разрешение пользователя. Это касается всех файлов cookie, которые не отвечают вышеупомянутому требованию «необходимости». Это означает, что рекламные файлы cookie для ретаргетинга, анализа и файлы cookie для социальных сетей теперь требуют разрешения от пользователя. Но основной вопрос, который возникает у многих компаний в связи с этими правилами ЕС, заключается в том, что руководство не разъясняет, как именно их следует применять. Существует неопределенность, когда речь идет о получении разрешения от посетителей сайта.

В 2020 году Германия рассматривает новый закон: закон о безопасности данных в телекоммуникациях и СМИ (Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG)), целью которого является объединение законов, касающихся данных. Однако на данный момент разработан только проект закона. В него могут быть внесены изменения. Закон содержит интересный пункт, касающийся файлов cookie: предложение предполагает, что файлы cookie, не являющиеся необходимыми для работы веб-сайта, могут быть автоматически отклонены. Таким образом, пользователям больше не придется принимать или отклонять декларацию о cookie при каждом посещении сайта.

Содержание действующих законов ЕС о файлах cookie

С помощью Директивы о файлах cookie Европейский Союз хочет обеспечить более надежную защиту персональных данных пользователей Интернета. В принципе, ЕС различает основные и неосновные файлы cookie:

  1. Технически важные файлы cookie: к ним относятся файлы cookie, которые абсолютно необходимы для функционирования веб-сайта, включая те, которые хранят данные для входа в систему, корзины покупок или выбора языка, так называемые сессионные файлы cookie (которые удаляются при закрытии браузера).
  2. Технически несущественные файлы cookie: в отличие от них, текстовые файлы, которые не только обслуживают функциональность веб-сайта, но и собирают другие данные, считаются несущественными файлами cookie. К ним относятся следующие:
    • отслеживающие файлы cookie, которые собирают данные о местоположении пользователя
    • Таргетинговые файлы cookie, которые адаптируют рекламные объявления к пользователю Интернета
    • Аналитические файлы cookie, которые предоставляют информацию о поведении пользователей Интернета на сайте
    • Cookies социальных сетей, которые связывают веб-сайт с такими платформами, как Facebook, Twitter и т.д.

Согласно Директиве о куки-файлах, основные куки-файлы могут быть установлены с самого начала, то есть без предварительного согласия пользователя. В отличие от этого, посетители сайта должны дать согласие до того, как в cookies будут сохранены несущественные данные. Таким образом, согласно общему пониманию, Директива ЕС о cookie требует так называемого opt-in решения для несущественных cookie.

  • Отказ от использования: Файлы cookie устанавливаются с самого начала, пользователи могут возражать против хранения данных только впоследствии.
  • Opt-in: файлы cookie устанавливаются не с самого начала, а только тогда, когда пользователь соглашается на хранение данных.
Примечание

Постановление Европейского суда всколыхнуло это различие. Согласно решению Европейского суда, обязательство о согласии также распространяется на неперсональные файлы cookie. Таким образом, вопрос о том, нужно ли теперь давать согласие на использование технически значимых файлов cookie, все еще обсуждается.

Какие изменения внесет регламент ePrivacy?

Предыдущие проекты Регламента ePrivacy предусматривали общий запрет на технически ненужные файлы cookie, за исключением того, что пользователи могут заранее согласиться на их использование. Первоначальный проект этого регламента касался исключительно веб-приложений. Проект, опубликованный 22 марта 2018 года, охватывает все виды машинной коммуникации, такие как приложения, электронная почта и сбор метаданных для VoIP-звонков. Он также охватывает межмашинную связь, например, связь M2M.

Регламент ePrivacy также должен представлять интерес для международных поставщиков услуг связи, в том числе из США. Регламент предусматривает, что правила применяются, как только терминал находится в пределах границ ЕС. При этом не имеет значения, где происходит обработка данных для контролируемой услуги.

Защита данных в США, например, несколько менее строгая. Поскольку сфера действия нового ePrivacy Regulation начинает действовать, как только терминал в Европе получает доступ к коммуникационным услугам, американским компаниям придется рассмотреть вопрос об использовании cookies для европейских пользователей и принять решение о том, запускать ли целевую рекламу, или же поставить перед пользователями платный экран.

В первом проекте Положения об электронной конфиденциальности предусматривалось, что производитель, как правило, должен предустанавливать в браузерах самые высокие настройки конфиденциальности. При работе с такой настройкой браузеры не принимали сторонние файлы cookie. В результате баннеры cookie, пользующиеся огромной популярностью, исчезли бы, поскольку пользователям пришлось бы активно выбирать, принимать ли им cookie при каждой установке программного обеспечения. Это требование было основано на принципе «Privacy by Design», как описано в GDPR. Однако более поздний дизайн несколько смягчил правила для настроек браузера. Теперь пользователи могут самостоятельно выбирать, разрешать ли им использование файлов cookie в зависимости от веб-сайта.

Запрет на соединение заявляет, что возможность доступа к веб-сайту не должна зависеть от того, соглашается ли пользователь на использование файлов cookie. Однако существуют законные цели, которые могут потребовать использования файлов cookie. Если, например, пользователю необходимо подтвердить подлинность транзакции при осуществлении банковских операций через Интернет или если он хочет воспользоваться корзиной интернет-магазина, использование файлов cookie необходимо. Если операторы веб-сайтов информируют пользователей, и они могут четко понять цель, согласие и использование может быть применено к файлам cookie.

Органом, ответственным за толкование и применение Закона о cookie в Великобритании, является Управление комиссаров по информации (ICO). ICO выбрало общую стратегию отказа от использования куки для операторов веб-сайтов Великобритании, что означает, что посетители сайта просто должны быть проинформированы о том, что используются куки. Многие из этих уведомлений о cookie появляются в виде баннеров в верхней или нижней части домашней страницы сайта, а некоторые не требуют прямого взаимодействия. Вот несколько примеров того, как некоторые известные веб-сайты отображают свои уведомления о cookie:

Channel 4

Channel 4 дает исчерпывающее объяснение того, что такое файлы cookie и как он их использует. Это отображается на панели в верхней части домашней страницы, сопровождается ссылкой на управление файлами cookie и полем «Принять & Закрыть». Это поле остается на своем месте, пока вы не нажмете кнопку «Принять и закрыть», но оно не сопровождает страницу, исчезая при прокрутке вниз.

F.A.

На домашней странице Футбольной ассоциации в нижней части экрана отображается баннер, поясняющий тип используемого файла cookie и время истечения срока его действия. Баннер следует за страницей по мере прокрутки, но как только вы нажимаете на любую ссылку на сайте, он исчезает, воспринимая ваш клик как согласие с политикой использования файлов cookie.

Rolls Royce

Rolls Royce предлагает мало информации о своей политике использования файлов cookie, кроме ссылки на отдельную веб-страницу. У них нет кнопки «Принять», вместо нее используется простой символ X. Их баннер появляется в верхней части главной страницы, перемещаясь вместе со страницей по мере прокрутки вверх и вниз, и остается на экране до закрытия, независимо от того, сколько разных страниц их сайта вы посетите.

Отель Chocolat

Hotel Chocolat использует юмористический подход к использованию файлов cookie, отображая небольшое окошко в левом нижнем углу экрана с шуткой, обыгрывающей двойное значение слова «cookie». Они также предлагают ссылку на свое руководство по использованию файлов cookie и символ X в углу поля, чтобы закрыть его, хотя он исчезает, как только пользователь нажимает на другую часть экрана.

То, в какой степени регламент ЕС ePrivacy повлияет на ваш бизнес в США, несколько неясно и допускает толкование. Простой юридический ответ заключается в том, что эти законы не будут иметь большого влияния, поскольку США не являются частью Европейского союза, поэтому в них действуют другие ограничения и рекомендации, когда речь идет о конфиденциальности в Интернете. Если у вас есть сайт или интернет-магазин в США с контентом, предназначенным для американских граждан, вам не нужно беспокоиться об ограничениях ЕС в отношении файлов cookie. Однако для американских операторов веб-сайтов с контентом, предназначенным для жителей ЕС, существует «серая зона».

Например, если у вас есть сайт, посвященный турниру по регби «Шесть наций», который проводится между Англией, Шотландией, Ирландией, Уэльсом, Францией и Италией, то вы, скорее всего, получите некоторое количество посетителей сайта из этих стран. Вполне возможно, что вы нарушаете законодательство ЕС, не раскрывая активно информацию о файлах cookie. И даже если это не так, важно помнить, что граждане ЕС, желающие посетить ваш сайт, теперь будут иметь более глубокое понимание и осведомленность о файлах cookie и их значении. Поэтому имеет смысл уведомить посетителей сайта, используя те же методы, которые мы предложили выше. Если вы предлагаете альтернативный веб-сайт для граждан ЕС, например, ирландскую версию вашего интернет-магазина, то вы должны следовать закону ЕС о cookie — и в любом случае вы должны придерживаться рекомендаций, изложенных в GDPR ЕС, для всех ваших сайтов, в случае если они будут доступны посетителям из ЕС.

Полный обзор ограничений на использование файлов cookie и других законов о защите данных в США вы можете найти на странице usa.gov privacy, security, and accessibility policies.

Файлы cookie становятся все более неотъемлемой частью повседневного использования Интернета. Без них операторы веб-сайтов не смогли бы предложить пользователям стилизованный и персонализированный контент, к которому мы все привыкли. Это даже было признано директивой ЕС о конфиденциальности, которая признала, что некоторые файлы cookie теперь необходимы для работы пользователей, например, информация для входа в систему и корзины интернет-магазинов. Однако другие файлы cookie, полезные для ретаргетинга и других форм дисплейной рекламы, могут расстраивать и раздражать пользователя, поэтому закон ЕС о файлах cookie разработан для повышения осведомленности пользователей о файлах cookie и предоставления им возможности отказаться от их использования и не отслеживать посещение сайта.

Операторам веб-сайтов следует внимательно следить за дальнейшим развитием событий, касающихся того, как будет развиваться Директива ЕС о cookie, поскольку правовая ситуация изменится с принятием нового регламента ePrivacy, даже если пока не совсем ясно, каким образом. GDPR в ЕС содержит дополнительные рекомендации по обеспечению безопасности персональных данных пользователей. Если регламент ePrivacy еще не имеет обязательной юридической силы, файлы cookie будут считаться относящимися к персональным данным, определенным в главе 1 GDPR — поскольку они собирают данные, которые делают пользователя идентифицируемым (идентификационные номера, профиль пользователя и т.д.).

С введением GDPR более строгие правила обработки и сбора персональных данных посетителей сайтов из стран ЕС будут действовать и в этой стране, и в вашем онлайн-бизнесе. Точное выполнение этих правил также сэкономит операторам веб-сайтов много работы, если «новая директива о cookie» в виде регламента ePrivacy вступит в силу в ближайшие несколько лет.

Совет

В следующем видеоролике показано, как удалить файлы cookie в браузере Chrome:

В целях защиты вашей конфиденциальности видео не будет загружаться, пока вы не нажмете на него.

Нажмите здесь, чтобы ознакомиться с важными юридическими оговорками.

Оцените статью
cdelat.ru
Добавить комментарий