ProHoster > Блог > Администрирование > Суд ЕС выступил против cookies по умолчанию — предустановленных галочек быть не должно
Суд ЕС выступил против cookies по умолчанию — предустановленных галочек быть не должно
В Европе решили, что согласие на постановку cookies должно быть явным и запретили заранее устанавливать соответствующие галочки на баннерах. Есть мнение, что решение усложнит веб-серфинг и будет иметь далекоидущие последствия в правовом поле. Разбираемся в ситуации.
В начале октября Суд Европейского союза постановил, что на сайтах нельзя использовать предварительно заполненные чек-боксы, разрешающие постановку cookies в браузерах пользователей. В противном случае компании нарушают требования ePrivacy Directive и GDPR, которые обязывают получать явное согласие на обработку ПД.
Дополнительно владельцев интернет-ресурсов обязали перечислять названия сторонних компаний, имеющих доступ к персональным данным посетителей, и указывать «время жизни» cookies. Суд также отметил, что действия, выполняемые пользователем на сайте (например, скачивание файла), нельзя расценивать как согласие на обработку ПД.
Дело, по которому вынесли решение, завели в Германии еще в 2013 году. Тогда Федерация немецких потребительских организаций подала в суд на лотерейную компанию Planet49. На сайте последней имелись галочки, разрешающие постановку рекламных cookies. Суд Германии вел дело на протяжении четырех лет, но в 2017 году решил передать его Суду Европейского союза для подробного разбирательства.
Здесь стоит отметить, что постановление не затрагивает cookies, на установку которых сайты по закону не обязаны спрашивать разрешения пользователей. Речь идет о cookies для сохранения сессионных данных, работы плагинов соц.сетей и загрузки видеоконтента.
На что повлияет постановление
Решение привлечет дополнительное внимание к проблеме безопасности персональных данных в интернете. Например, после вступления GDPR в силу европейские регуляторы зафиксировали рост числа обращений о нарушениях компаний — срыве сроков хранения ПД, их незаконной обработке или утечках. Существует мнение, что новое постановление Европейского суда приведет к аналогичной реакции. Однако есть и другая сторона медали. Некоторые пользователи все же стараются как можно скорее скрыть cookies-баннер, чтобы он не занимал полезное пространство на странице. Необходимость вручную проставлять галочки в нужных чек-боксах затруднит для них работу на сайтах — как минимум отнимет время.
В любом случае владельцам сайтов придется менять подходы к обработке cookies и, возможно, ПД. Что интересно, новое постановление коснется и сайта самого Европейского суда. Как заметил один из резидентов Twitter, веб-ресурс организации не соответствует новым стандартам конфиденциальности.
По словам Лукаша Олейника (Lukasz Olejnik), эксперта по информационной безопасности в Оксфордском университете, необходимость указывать срок действия cookies наложит на сайты дополнительные обязанности. Веб-мастерам придется следить, чтобы атрибуты max-age и expires, отвечающие за «время жизни» отслеживающих файлов, соответствовали информации на баннере.
Решение суда также создает важный прецедент. На него будут ориентироваться европейские регуляторы в разбирательстве аналогичных споров.
При этом, как отметил Лука Тосони (Luca Tosoni), научный сотрудник Норвежского исследовательского центра компьютеров и права, новое постановление повлияет на обсуждение законопроекта ePrivacy Regulation. Он дополнит GDPR и ужесточит правила работы с cookies и персональными данными. Принять закон должны в 2020 году.
Вопросы, которых суд не касался
Суд Европейского союза пока не затрагивал вопросы, связанные с законностью cookie-стен (cookie walls). Это — баннеры, блокирующие доступ к контенту, пока пользователь не разрешит обработку персональных данных. Хотя в начале года нидерландский регулятор вынес постановление, в котором назвал cookie walls незаконными. Они вынуждают пользователей согласиться с условиями сбора данных, а это противоречит требованиям GDPR.
Но решение регулятора в Нидерландах все еще может быть изменено Судом Европейского союза. К слову, этот вопрос он будет рассматривать в ближайшем будущем — во время слушаний по делу румынского интернет-провайдера Orange Romania.
Оборудование нашего облака живет в трёх центрах обработки данных (ЦОД): Xelent/SDN (Санкт-Петербург), Dataspace (Москва) и Ahost (Алма-Ата).
В частности, ЦОД Dataspace — это первый российский дата-центр, прошедший сертификацию Tier lll от Uptime Institute.