Согласие на обработку файлов cookie: новые разъяснения от European Data Protection Board

17 мая 2020

Файлы cookie остаются элементами той сферы обработки персональных данных, которую европейские законодатели не могут до конца урегулировать за отсутствия профильного документа, который бы регулировал надлежащий сбор и обработку персональных данных в сфере электронных коммуникаций. Принятие Е-Privacy Regulation, на которое возлагается большая надежда, откладывается уже два года. Именно этот факт побудил European Data Protection Board выдать новое разъяснение, которое бы помогло бизнеса разобраться с этим вопросом.

Почему согласие на обработку файлов cookie так важно

В предыдущих наших статьях мы писали о важности получения согласия на сбор как персональных данных в целом, так и на обработку файлов cookie, так как в соответствии с положениями General Data Protection Regulation, эти файлы являются персональными данными. Иногда самостоятельно, а иногда и в сочетании с другой информацией о физическом лице, файлы cookie могут стать основой для идентификации физического лица, осуществляющего определенные активности в сети Интернет.

В то время как E-Privacy Directive от 2002 года не дает возможности понять, в какой именно форме должно получаться согласие на сбор и использование файлов cookie, GDPR в общем предоставляет информацию о согласии, тем более, что оно касается персональных данных в целом, не акцентируя свое внимание именно на сфере электронных коммуникаций. Именно это обстоятельство ставит нас перед вопросом, как должно получаться согласие, и какую форму оно должно иметь.

В связи с этим, European Data Protection Board, в мае 2019 года, издал свое «мнение» (opinion 05/2019) относительно пересечения положений GDPR и E-Privacy Directive в вопросах обработки файлов cookie, а также четко очертил полномочия контролирующих органов, которые могут принимать соответствующие решения по этому вопросу.

Как следствие, контролирующие органы Великобритании (Guidance on the use of cookies and similar technologies, dated 3 July 2019) и Франции (Recommendation on the practical procedures for collecting the consent concerning operations of storing or gaining of access to information in the terminal equipment of a user, dated 14 January 2020) пытались урегулировать этот вопрос, предоставляя свои разъяснения и руководства, однако принципы, предусмотренные в этих документах не могут использоваться в качестве унифицированных инструментов для всех контроллеров и обработчиков персональных данных в ЕС и мире, потому как они применяются только на государственном уровне, в рамках юрисдикции соответствующего органа, который выдал конкретный документ.

Однако, оба органа, в своих разъяснениях, сошлись на том, что получение согласия на использование файлов cookie, когда это необходимо, не могут приобретаться через так называемый «soft opt-in», когда считается, что согласие получается автоматически, если пользователь продолжает пользоваться веб-ресурсом. Такая позиция контролирующих органов шокировала некоторых представителей бизнеса, так как алгоритм «soft opt-in» использовался в различных сферах бизнеса уже на протяжении долгих лет.

Особенность новых разъяснений EDPB

В результате таких непонятных процессов, побуждающих к возникновению противоречий в обществе, European Data Protection Board принял решение о предоставлении разъяснения (Guidelines 05/2020 on consent under Regulation 2016/679 dated 5 May 2020), которое бы прояснило вопрос получения согласия на сбор и обработку файлов cookie в рамках Европейского Союза до момента принятия и вступления в силу Е-Privacy Regulation.

Одними из основных аспектов, которые были подчеркнуты в разъяснении, настаивают на том, что:

  • доступ к целому или части веб-ресурса не должен быть запрещен, если физическое лицо — пользователь не согласилась с использованием его файлов cookie, поскольку отсутствие вариантов использования веб-ресурса, в таком случае, является основанием считать, что не обеспечивается принцип свободного предоставления согласия;
  • если требуется согласие на использование файлов cookie, «soft opt-in» уже не может считаться надлежащим предоставленной согласия, поскольку отсутствие формального процесса не позволяет ни определить однозначное действие физического лица — пользователя, ни предложить возможность отозвать или выделить свое согласие.

Эти трактовки подтверждают позиции как Французского контролирующего органа, так и контролирующего органа Великобритании, и снимают резонансные вопросы по использованию «soft opt-in» как закоренелого принципа получения согласия на обработку файлов cookie.

Кроме этого, EDPB в своих разъяснениях дает четко понять, что все компании, которые владеют веб-ресурсами и приложения, которые доступны для лиц, находящихся на территории Европейского Союза, должны:

  • иметь четкое понимание того, какие собственные файлы cookie или файлы cookie третьих лиц, используемых в рамках веб-ресурса или приложения;
  • оценить, какие файлы cookie, используемые в рамках веб-ресурса или приложения, существенно важны для оказания услуг, либо не являются такими. При этом, стоит отметить, что все файлы cookie, связанные с аналитикой или геолокацией, по своей природе, не следует считать существенно важными;
  • убедиться, что сбор и использование файлов cookie физического лица — пользователя не происходит до момента получения им информации об обработке компанией файлов cookie (например получения и ознакомления с cookie notice, который компания должна предоставить пользователю перед началом использованием веб-ресурса или приложения).

Вместе с тем, EDPB предсказал значительный объем требований относительно того, как должно предоставляться согласие, в частности в какой форме и в какой момент, а также требования о предоставлении возможности пользователям управлять файлами cookie, предоставив им удобный для этого интерфейс.

Вывод

В целом же, новые разъяснения помогут компаниям, которые подпадают под требования General Data Protection Regulation, правильно сориентироваться в вопросах получения согласия на обработку и управления файлами cookie до момента принятия нового регулирования, которое станет ключевым документом в отрасли.

Сейчас мы рекомендуем всем компаниям соблюдать разъяснений, предоставленных EDPB (Guidelines 05/2020 on consent under Regulation 2016/679) и обращаться к специалистам в профильной области бизнеса, ведь решения подобных вопросов, требует не абы каких профессиональных навыков и опыта.

Специалисты компании BSO Privacy Group с радостью вам помогут в этом.