GDPR вступил в силу уже четыре года назад, однако его понимание и практика применения до сих пор развиваются (однако мои предыдущие статьи по-прежнему актуальны: первая, вторая). Как показывают последние новости, далеко не все преуспели в борьбе за соответствие – в январе французский регулятор выписал Google и Facebook серьёзные штрафы (на €150 млн и €60 млн соответственно) за нарушения законодательства в отношении cookies, причём для Google это уже второй штраф за них (предыдущий был на €100 млн).

Именно тема cookies постепенно становится «горячей»: ей занялись не только регуляторы, но и активисты – например, прошлым летом прогремел случай noyb с массовой рассылкой жалоб.
Что говорят законы
Правила, действующие в отношении cookies, основываются частью на GDPR, частью – на ePrivacy Directive (идущий ей на смену ePrivacy Regulation уже несколько лет в статусе draft). В этой статье собрано текущее понимание этих правил для практического применения.
-
GDPR говорит, что только некоторые cookies могут быть идентифицированы как персональные данные – те, что могут быть использованы для построения профилей физических лиц и, в конечном счёте, для их идентификации. Если бы cookies регулировались только положениями GDPR, законные основания (lawful bases) потребовались бы только для тех из них, которые могут помочь в идентификации физического лица и при этом не связаны с основным функционалом сайта (использование которого и является целью посещения – в терминах GDPR это считается контрактом). Например, согласие (consent) не пришлось бы получать ни на какие cookies настроек (показывать/не показывать что-то, сортировать так или эдак – они не могут облегчить идентификацию) и на любые cookies основного функционала, включая идентифицирующие пользователя. Так же GDPR допускает другие законные основания, помимо согласия – например, общественные интересы или законные интересы владельца сайта.
-
ePrivacy Directive требует, чтобы все cookies за исключением строго необходимых обрабатывались одинаково – только согласие физического лица может быть законным основанием для сохранения на пользовательском устройстве cookies помимо строго необходимых. В отличие от GDPR, никакие другие законные основания не допускаются! Необходимыми считаются те cookies, без которых невозможно предоставление пользователю запрошенной услуги или которые требуются для соответствия законодательству, например, в части обеспечения безопасности.
В черновике ePrivacy Regulation попытались немного смягчить это правило, добавив исключений, но это изменение совсем небольшое, да и сроки завершения этого долгостроя неизвестны. -
Обязанность получить согласие (consent) перед сохранением cookies означает обязанность соответствовать всем требованиям, налагаемым GDPR на согласие (а их немало – кратко можно ознакомиться в моей предыдущей статье). В том числе, это означает (и именно на этих требованиях погорели Google и Facebook в этот раз), что предоставление или не предоставление согласия должны быть одинаково простыми, так же как отзыв ранее предоставленного согласия в любой момент.
Как это должно выглядеть на практике
-
Выбор «принять только необходимые cookies» присутствовать должен обязательно – как вариант, в виде «принять выбранные» с отмечанием по умолчанию только необходимых.
-
Согласие для опциональных cookies не должно никаким образом быть предварительно выбрано.
-
Вариант «принять все cookies» не обязан присутствовать, но вам наверняка захочется его реализовать. Выделять каким-либо образом этот вариант в сравнении с «принять только необходимые» – незаконно!
-
Список необходимых cookies не должен включать те, без которых возможна корректная (функционально и юридически) работа сайта. Говоря проще, если какие-то cookies можно убрать, при этом сайт продолжит работать и владельца не накажут за нарушение какого-нибудь закона, значит эти cookies нельзя включать в необходимые.
-
Все cookies должны быть описаны простым понятным языком.
-
Все cookies должны быть осмысленно и честно категоризованы.
-
Настройки согласий на cookies должны быть легко доступны в любой момент.
-
Согласия должны логироваться – на что конкретно согласился, когда и кто (идентификатор).
Важно понимать, что несоответствие требованиям часто означает не «небольшую недоработку», а недействительность собранных согласий со всеми вытекающими.


Когда cookies не просто cookies
Необходимо осознавать, что согласие на сохранение конкретной cookie – это просто согласие на сохранение этой cookie и ничего больше. Если за этим стоит функционал, связанный с передачей третьей стороне данных, которые могут быть идентифицированы как персональные – согласие на такую передачу не распространяется. С учётом широкого толкования понятия персональных данных в GDPR (кратко описано в моей первой статье), практически любая принесённая сторонним скриптом cookie несёт угрозу в этом аспекте.

Тонкий нюанс географии действия
В рамках разбирательства с маркетингом, могут ли они хоть в каком-то объёме сохранить отслеживание пользователей через Google Analytics и подобные сервисы, мне пришлось тщательно изучить «территориальный вопрос»: должны ли мы использовать одинаковые правила для cookies для всех посетителей наших сайтов или мы можем запрашивать согласие на сохранение cookies только у посетителей из EU? Для компании не из Европы всё было бы просто – на не-европейцев не распространяются ни GDPR, ни ePrivacy Directive. А для европейских компаний (как наша) всё сложно – есть только маленький зазор между GDPR и ePrivacy Directive:
-
Как европейская компания, мы должны соблюдать GDPR в отношении любых физических лиц, что влияет только на cookies, которые напрямую содержат персональные данные или могут быть использованы для построения профилей физических лиц.
-
ePrivacy Directive применяется ко всем cookies, но только при нахождении конечного пользователя/терминала на территории ЕС.
Выглядит так, что у нас есть возможность не запрашивать согласие для cookies, которые не содержат персональные данные и не могут быть использованы для построения профилей физических лиц в случае, когда запрос приходит не с территории ЕС… Поскольку все cookies сторонних трекеров безусловно подпадают под GDPR, единственный способ использовать этот зазор заключается в реализации собственного трекера, тщательно выверенного для соответствия GDPR – в общем случае, это имеет мало смысла.
В заключение
Проблема cookies для сайтов, работающих на европейскую аудиторию, является очень актуальной – большинство ещё не оштрафованы только потому, что регуляторы не успевают их «обслужить». И хотя реализация идеального решения очень сложна (даже сайт Еврокомиссии нельзя считать образцом), имеет смысл приложить некоторые разумные усилия, чтобы привести свой сайт хотя бы к состоянию «ну мы правда старались». Если же ваш сайт бросает вызов властям, то рано или поздно они явятся – итог вам точно не понравится.

ссылка на оригинал статьи https://habr.com/ru/company/plesk/blog/675742/
Добавить комментарий