Згода на обробку файлів cookie: нові роз’яснення від European Data Protection Board

17 Травня 2020

Файли cookie залишаються елементами тієї сфери обробки персональних даних, яку європейські законодавці не можуть до кінця врегулювати через відсутність профільного документу, який би регулював належний  збір та обробку персональних даних в сфері електронних комунікацій. Прийняття Е-Privacy Regulation, на яке покладається велика надія, відкладається вже протягом двох років. Саме цей факт спонукав European Data Protection Board видати нове роз’яснення, яке б допомогло бізнесу розібратися з цим питанням.

Чому згода на обробку файлів cookie така важлива

В попередніх наших статтях, ми писали про важливість отримання згоди на збирання як персональних даних загалом, так і на обробку файлів cookie, так як у відповідності з положеннями General Data Protection Regulation, ці файли є персональними даними. Інколи самостійно, а інколи і в поєднанні з іншою інформацією про фізичну особу, файли cookie можуть стати підґрунтям для ідентифікації фізичної особи, яка здійснює певні активності в мережі Інтернет.

В той час, як E-Privacy Directive від 2002 року не дає можливості зрозуміти, в якій саме формі повинна отримуватися згода на збір та використання файлів cookie, GDPR в загальному надає інформацію стосовно згоди, тим більше, що воно стосується персональних даних в цілому, не акцентуючи свою увагу саме на сфері електронних комунікацій. Саме ця обставина ставить нас перед питанням, як саме повинна отримуватися згода, та яку форму вона повинна мати.

У зв’язку з цим, European Data Protection Board, в травні 2019 року, видав свою «думку» (opinion 05/2019) стосовно перетинання положень GDPR та E-Privacy Directive в питаннях обробки файлів cookie, а також чітко окреслив повноваження контролюючих органів, які можуть приймати відповідні рішення щодо цього питання.

Як наслідок, контролюючі органи Великої Британії ( Guidance on the use of cookies and similar technologies, dated 3 July 2019) та Франції ( Recommendation on the practical procedures for collecting the consent  concerning operations of storing or gaining of access to information in the terminal equipment of a userdated 14 January 2020) намагалися врегулювати це питання, надаючи свої роз’яснення та керівництва, однак принципи, передбачені в цих документах не можуть використовуватися у якості уніфікованих інструментів для всіх контролерів та обробників персональних даних в ЄС та світі, по за як вони застосовуються виключно на державному рівні, в рамках юрисдикції відповідного органу, який видав конкретний документ.

Однак, обидва органи, в своїх роз’ясненнях, зійшлися на тому, що отримання згоди на використання файлів cookie, коли це потрібно, не можуть отримуватися через так званий «soft opt-in», коли вважається, що згода отримується автоматично, якщо користувач продовжує користуватися веб-ресурсом. Така позиція контролюючих органів шокувала деяких представників бізнесу, так як алгоритм «soft opt-in» використовувався в різних сферах бізнесу вже протягом довгих років.

Особливість нових роз’яснень EDPB

В наслідок таких незрозумілих процесів, що спонукають до виникнення протиріч в суспільстві, European Data Protection Board прийняв рішення про надання роз’яснення (Guidelines 05/2020 on consent under Regulation 2016/679 dated 5 May 2020), яке б прояснило питання отримання згоди на збір та обробку файлів cookie в рамках Європейського Союзу до моменту прийняття та набрання чинності Е-Privacy Regulation.

Одними з основних аспектів, які були підкреслені в роз’ясненні, наполягають на тому, що:

  • доступ до цілої або до частини веб-ресурсу не повинен бути заборонений, якщо фізична особа – користувач не погодилася з використанням його файлів cookie, оскільки відсутність варіантів використання веб-ресурсу, в такому випадку, є підставою вважати, що не забезпечується принцип вільного надання згоди;
  • якщо потрібна згода на використання файлів cookie, «soft opt-in» вже не може вважатися належно наданою згодою, оскільки відсутність формального процесу не дозволяє ні визначити однозначну дію фізичної особи – користувача, ні запропонувати можливість відкликати або виокремити свою згоду.

Ці трактування підтверджують позиції як Французького контролюючого органу, так і контролюючого органу Великої Британії, та знімають резонансні питання щодо використання «soft opt-in» як закоренілого принципу отримання згоди на обробку файлів cookie.

Окрім цього, EDPB в своїх роз’ясненнях дає чітко зрозуміти, що усі компанії, які володіють веб-ресурсами та додатки, які доступні для осіб, що перебувають на території Європейського Союзу,  повинні:

  • мати чітке розуміння того, які власні файли cookie або файли cookie третіх осіб, використовуються в рамках веб-ресурсу або додатку;
  • оцінити, які файлів cookie, що використовуються в рамках веб-ресурсу або додатку,  є суттєво важливим для надання послуг, або не є такими. При цьому, варто наголосити, що всі файли cookie, пов’язані з аналітикою чи геолокацією, за своєю природою, не слід вважати суттєво важливими;
  • переконатися, що збір та використання файлів cookie фізичної особи – користувача не відбувається до моменту отримання ним інформації про обробку компанією файлів cookie                     ( наприклад отримання та ознайомлення з cookie notice, який компанія повинна надати користувачу перед початком використанням веб-ресурсу або додатку).

Разом з тим, EDPB передбачив значний об’єм вимог щодо того, як саме має надаватися згода, зокрема в якій формі та в який момент, а також вимоги щодо надання можливості користувачам управляти файлами cookie, надавши їм зручний для цього інтерфейс.

Висновок

Загалом же, нові роз’яснення допоможуть компаніям, які підпадають під вимоги General Data Protection Regulation, правильно зорієнтуватися в питаннях отримання згоди на обробку та управління файлами cookie до моменту прийняття нового регулювання, яке стане ключовим документом в галузі.

Наразі, ми рекомендуємо всім компаніям дотримуватися роз’яснень, наданих EDPB ( Guidelines 05/2020 on consent under Regulation 2016/679 ) та звертатися до спеціалісті в профільній галузі бізнесу, адже вирішення подібних питань, потребує не аби яких професійних навиків та досвіду.

Будьте compliance!