Файлы cookie: правила использования «печенек»

Каждый из нас хотя бы раз видел в нижней части экрана компьютера или ноутбука уведомление о cookies и запрос согласия на их использование. Уведомление посетителей веб-сайтов об использовании cookies стало не только хорошей практикой, но и требованием как общеевропейского, так и национального законодательства европейских стран (и не только европейских). Это актуально для белорусских компаний — экспортеров, поскольку продвижение на зарубежных рынках часто требует соблюдения местного законодательства. Попробуем разобраться, что собой представляют cookies и какими они бывают, что требуется от владельца сайта для правомерного использования cookies.

Грабовская Надежда

Юрист и DPO Viplay Media

Воронкевич Сергей

Корпоративный тренер и консультант в сфере информационной приватности, основатель ООО «Дата Прайваси Офис»


6715 Shape 1 copy 6Created with Avocode.

Что такое cookie?

Куки или cookie — это маленький фрагмент данных, сохраняемый браузером на устройстве пользователя. Кукиз (cookies — во множественном числе) часто зашифрованы и расположены в папке браузера (в том числе браузера на мобильном устройстве).

Ранее кукиз хранились в виде отдельных файлов, но теперь это чаще записи в едином файле. Тем не менее в рамках данной статьи мы по-прежнему будем называть их «файлами» в силу сложившейся традиции.

Кукиз появляются на устройстве, когда браузер пользователя (так называемый «клиент») загружает определенный веб-сайт. Веб-сайт отправляет информацию в браузер, который затем создает куки на устройстве пользователя. Каждый раз, когда пользователь возвращается на тот же веб-сайт, браузер извлекает и отправляет куки на сервер веб-сайта обратно. Так веб-сайт «узнает» пользователя, который уже посещал этот сайт в прошлом.

Что делают cookies?

Файлы куки используются, например, чтобы:

— аутентифицировать пользователей;

— запоминать вход в аккаунт;

— отслеживать сеансы доступа пользователей;

— хранить настройки; 

— помочь пользователям эффективно перемещаться по веб-сайту; 

— предлагать наиболее подходящую информацию; 

— восстанавливать выполненные пользователем действия при просмотре веб-сайта;

— собирать статистическую информацию;

— собирать информацию в целях рекламы.

Сookies на любой вкус

Кукиз можно классифицировать по разным основаниям:

1) по типу владельца:

— кукиз первой стороны (first-party cookies). Они принадлежат непосредственно владельцу веб-сайта;

— кукиз третьих сторон (third-party cookies) — файлы куки, загружаемые другими ресурсами (сервисами, веб-сайтами), которые размещают рекламу, виджеты или другие элементы на странице веб-сайта;

2) по сроку хранения в браузере:

— «сеансовые» кукиз — сохраняются только на протяжении сеанса в браузере;

— «постоянные» кукиз — хранятся в браузере и после завершения сеанса (если их не удалить);

3) по назначению:

— строго необходимые кукиз. Они нужны для корректной работы веб-сайта (например, такие файлы куки позволяют интернет-магазинам сохранять товары в корзине). Эти кукиз, как правило, принадлежат первой стороне, но не все кукиз первой стороны строго необходимы. Для использования строго необходимых кукиз не требуется согласия пользователя, однако пользователю следует объяснить, что они делают и почему необходимы;

Справочно.
К строго необходимым кукиз относятся следующие:
а) кукиз, которые используются исключительно для передачи сообщений в сети электронной коммуникации (сети Интернет);
б) кукиз, которые абсолютно необходимы веб-сайту для предоставления услуги, запрашиваемой пользователем.

— кукиз предпочтений — позволяют веб-сайту запомнить варианты настроек (какой язык использовать для просмотра сайта, какие заданы имя пользователя и пароль, изменение размера текста, страницы с пользовательскими настройками и пр.) или активировать такие услуги, как публикация комментариев в блоге;

— статистические файлы куки/кукиз производительности — собирают информацию о том, как пользователь использует веб-сайт (например, какие страницы посещал, по каким ссылкам переходил); 

— маркетинговые файлы куки — отслеживают онлайн-активность, чтобы помочь рекламодателям предоставлять более релевантную рекламу или ограничивать количество просмотров рекламы. Эти файлы куки чаще всего постоянные и стороннего происхождения.

Пример cookie-баннера, позволяющего пользователю настроить использование кукиз, не относящихся к строго необходимым

Правила использования: что нужно знать белорусским компаниям

В ЕС вопрос использования файлов куки и аналогичных технологий регулируется Директивой Европейского Парламента и Совета Европейского Союза 2002/58/ЕС от 12 июля 2002 г. в отношении обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи (Директива о приватности и электронной коммуникации) и частично — Общим регламентом защиты персональных данных ЕС 2016/679 (GDPR), согласно которым необходимо:

1) уведомить пользователей, что на веб-сайте есть файлы куки (в том числе строго необходимые). Такое уведомление должно быть написано понятным языком и размещено в заметном месте на веб-сайте. Кроме того, нужно предоставить ссылку на страницу с политикой использования файлов куки или политикой приватности; 

Справочно.
Политика приватности (также уведомление о приватности) — документ, раскрывающий порядок и условия обработки персональных данных физических лиц, предназначенный для информирования этих лиц. В русскоязычных странах политику приватности часто называют «политикой конфиденциальности».

2) объяснить, что именно делают файлы куки и зачем;

3) до загрузки файлов куки на устройство пользователя получить согласие пользователя на сохранение такого файла на его устройстве (согласие на хранение строго необходимых кукиз не требуется).

Чтобы согласие было действительным, оно должно быть свободным, конкретным и активным (например, проставление галочки или щелчок по ссылке). Для согласия недостаточно простого продолжения использования веб-сайта. Чтобы согласие было дано свободно, у пользователей должны быть средства для включения или отключения файлов куки (кроме строго необходимых кукиз);

4) задокументировать и сохранить согласие, полученное от пользователей;

5) предоставить пользователям доступ к сервису, даже если они отказываются разрешить использование всех или определенных файлов куки; 

6) сообщить пользователям, как им отозвать свое согласие.

Рекомендация.
Пользователь может не дать свое согласие на загрузку файлов куки на устройство. В этой ситуации владелец сервиса все равно обязан предоставить пользователю доступ к сервису, в противном случае действия владельца сервиса будут рассматриваться как вымогательство согласия и манипулирование. Однако владелец сайта имеет право продолжать использовать строго необходимые кукиз — согласие на их использование получать не нужно.

Уведомление пользователей веб-сайта о наличии кукиз обычно осуществляется через всплывающие окна (баннер) или уведомления в верхних/нижних заголовках, которые включают информацию о кукиз либо предоставляют ссылку на страницу, где эта информация размещена. Документом, в котором описываются условия использования файлов куки, является отдельная Политика использования файлов cookie (Cookie Policy) или Политика приватности (Privacy Policy/Notice).

Помимо согласия на хранение кукиз, у владельца веб-сайта должно быть основание для обработки персональных данных, поскольку файлы куки могут использоваться для идентификации пользователей или содержать дополнительные сведения о лице и, следовательно, подпадают под действие GDPR. В соответствии с правилами GDPR любая обработка персональных данных должна иметь собственное основание (каждое основание имеет свою специфику). Обычно основанием для использования кукиз выступает согласие пользователя (ст. 6 (1a) GDPR). В случае использования строго необходимых кукиз основанием выступает договор между пользователем и владельцем сервиса (ст. 6 (1b) GDPR), например соглашение о предоставлении услуг интернет-магазина. Встречается подход, при котором использование статистических и других малорисковых кукиз пытаются обосновать наличием у компании легитимного интереса (ст. 6 (1f) GDPR), но он ставится под сомнение европейскими надзорными органами и поэтому использование согласия более предпочтительно.

Если ваш бизнес ориентирован на европейский рынок, рекомендуем ознакомиться с более подробными правилами и разъяснениями, касающимися использования кукиз. Кроме того, данные руководства могут быть полезны и владельцам сервисов, ориентированных на белорусский рынок, поскольку некоторые кукиз относятся к персональным данным (Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» вступает в силу с 15 ноября 2021 г.):
— «Кукиз и схожие технологии» — руководство британского Управления Уполномоченного по информации, доступно по короткой ссылке bit.ly/3w30aKF;
— «Об исключениях из принципа согласия на использование кукиз» — мнение Рабочей группы по вопросам защиты физических лиц в контексте обработки персональных данных, доступно по короткой ссылке bit.ly/3gjHgZs;
— «Сходства и отличия: британское Управление Уполномоченного по информации, французская Национальная комиссия по информатике и свободам, немецкие и испанские органы по надзору за защитой персональных данных пересмотрели руководства по использованию файлов куки» — сравнительный обзор подходов, доступен по короткой ссылке bit.ly/3itLAbg.

6715 Shape 1 copy 6Created with Avocode.
Последнее
по теме
• • •
Многие из нас любят сладкое, будь то шоколад, конфеты, зефир, халва и др. Глядя на красочные упаковки наших любимых сладостей, мы не задумываемся о том, какая работа и ка...
№ 9 сентябрь 2022
681
• • •
Анализируя форму, суть и правовое регулирование дистрибьюторского и дилерского договоров, следует отметить, что в ГК данные виды договоров не поименованы и специального р...
№ 5 май 2022
2997