Европейский совет по защите данных (European Data Protection Board, EDPB) выпустил обновлённое руководство, касающееся правил согласия посетителей сайтов на обработку данных граждан; отмечается, что владельцы сайта не могут сделать доступ к контенту зависимым от согласия пользователя обрабатывать его cookies, пишет TechCrunch.
Cookies (буквальный перевод с английского – «печенье») – термин, которым обозначают файлы с данными о пользователе и его действиях на сайте. Эти файлы на компьютере пользователя оставляет сам сайт. В дальнейшем cookies применяются не только для демонстрации пользователю адресной («таргетированной») рекламы, они обеспечивают сбор разнообразных персональных данных, допускающих разнообразную (и не обязательно законную) обработку. Cookies, записанные при посещении одного сайта, могут использоваться и, как правило, действительно используются рекламными онлайн-сервисами (и другими сайтами) для получения данных о пользователе. После введения в действие европейского регламента о защите данных (GDPR) сайты при первом посещении требуют от пользователя разрешить запись cookies и в случае отказа могут не допустить на сайт.
В соответствии с GDPR согласие пользователя на обработку данных должно быть осознанным и ясно выраженным. Следовательно, предупреждение, которое при первом посещении сайта требует согласия на cookies в качестве «платы за вход», является, как отмечает издание, не только оксюмороном, но и противоречит закону.
В документе поясняется, что, когда содержимое сайта недоступно без того, чтобы пользователь не нажал кнопку «Принять файлы cookie», у человека нет реального выбора.
Также регулятор поясняет, что прокрутка или перелистывание страницы с согласием на обработку не может быть истолковано как согласие. В противном случае пользователь может случайно прокрутить страницу, что автоматически будет считаться согласием.
Отмечается, что сайт должен дать пользователям возможность отказаться от cookies даже после того, как было дано согласие на их обработку.
Штрафы за нарушение правил GDPR могут достигать 20 миллионов евро или 4% от мирового годового оборота компании, напоминает издание.
Новые правила последовали после того, как в прошлом году аналогичное решение принял Верховный суд ЕС. Согласно решению суда, операторы веб-сайтов не должны предоставлять пользователям «предварительно настроенные» варианты согласия на использование файлов cookie, а обязаны получать явное сознательное согласие пользователя на использование cookie, и «поэтому флажок, установленный по умолчанию, недостаточен».
В решении указывается, что компании должны получать отдельное утвердительное согласие пользователя для каждой цели использования файлов cookie, что они должны перечислять названия всех компаний, имеющих право использования технологии отслеживания, и что они должны указывать срок использования файлов cookie.
Запросы согласия на использование файлов cookie отвлекают пользователя, что приводит к игнорированию таких окон или выбору любой опции, позволяющей этому окну исчезнуть. Это хорошо для компаний – поскольку означает, что множество организаций могут продолжать собирать данные пользователей, которые неосознанно закрыли окно согласия или выбрали любую другую опцию.
