У Європі вирішили, що згода на постановку cookies має бути очевидною і заборонили заздалегідь встановлювати відповідні галочки на банерах. Є думка, що рішення ускладнить веб-серфінг і матиме далекосяжні наслідки у правовому полі. Розбираємось у ситуації.
фото - - Unsplash
Що вирішив суд
На початку жовтня Суд Європейського Союзу , що на сайтах не можна використовувати попередньо заповнені чек-бокси, що дозволяють постановку cookies у браузерах користувачів. Інакше компанії порушують вимоги та GDPR, які зобов'язують отримувати явну згоду на обробку ПД.
Додатково власників інтернет-ресурсів зобов'язали перераховувати назви сторонніх компаній, які мають доступ до персональних даних відвідувачів, та вказувати час життя cookies. Суд також зазначив, що дії, які виконує користувач на сайті (наприклад, завантаження файлу), не можна розцінювати як згоду на обробку ПД.
Справу, за якою винесли рішення, завели у Німеччині ще 2013 року. Тоді Федерація німецьких споживчих організацій подала до суду лотерейну компанію Planet49. На сайті останньої були галочки, що дозволяють постановку рекламних cookies. Суд Німеччини вів справу протягом чотирьох років, але у 2017 році вирішив передати її Суду Європейського Союзу для детального розгляду.
Тут варто зазначити, що ухвала не торкається cookies, на встановлення яких сайти за законом дозволи користувачів. Йдеться про cookies для збереження сесійних даних, роботи плагінів соц.мереж та завантаження відеоконтенту.
На що вплине постанова
Рішення приверне додаткову увагу до проблеми безпеки персональних даних в Інтернеті. Наприклад, після набуття чинності GDPR європейські регулятори зафіксували зростання кількості звернень про порушення компаній — зрив термінів зберігання ПД, їх незаконну обробку або витік. Існує думка, що нова ухвала Європейського суду призведе до аналогічної реакції. Проте є й інший бік медалі. Деякі користувачі намагаються якомога швидше приховати cookies-банер, щоб він не займав корисний простір на сторінці. Необхідність вручну проставляти галочки в потрібних чек-боксах ускладнить їм роботу на сайтах — як мінімум забере час.
У будь-якому випадку власникам сайтів доведеться змінювати підходи до обробки cookies та, можливо, ПД. Що цікаво, нова ухвала торкнеться і сайту самого Європейського суду. Як один із резидентів Twitter, веб-ресурс організації не відповідає новим стандартам конфіденційності.
За словами Лукаша Олійника (Lukasz Olejnik), експерта з інформаційної безпеки в Оксфордському університеті, необхідність вказувати термін дії cookies накладе на сайти додаткові обов'язки. Веб-майстрам доведеться стежити, щоб атрибути max-age та expires, які відповідають за «час життя» файлів, що відстежують, відповідали інформації на банері.
фото - - Unsplash
Рішення суду створює важливий прецедент. На нього європейські регулятори у розгляді аналогічних суперечок.
При цьому, як Лука Тосоні (Luca Tosoni), науковий співробітник Норвезького дослідницького центру комп'ютерів та права, нова постанова вплине на обговорення законопроекту ePrivacy Regulation. Він GDPR і посилить правила роботи з cookies та персональними даними. Прийняти закон в 2020 році.
Питання, яких суд не торкався
Суд Європейського союзу поки що не торкався питань, пов'язаних із законністю cookie-стін (cookie walls). Це банери, які блокують доступ до контенту, поки користувач не дозволить обробку персональних даних. Хоча на початку року нідерландський регулятор , В якому назвав cookie walls незаконними. Вони змушують користувачів погодитись з умовами збору даних, а це суперечить вимогам GDPR.
Але рішення регулятора в Нідерландах все ще може бути змінено Судом Європейського Союзу. До речі, це питання він найближчим часом — під час слухань у справі румунського інтернет-провайдера Orange Romania.
Обладнання нашої хмари у трьох центрах обробки даних (ЦОД): Xelent/SDN (Санкт-Петербург), Dataspace (Москва) та Ahost (Алма-Ата).
Зокрема, ЦОД Dataspace - це , що пройшов сертифікацію Tier lll від Uptime Institute
Наші свіжі хабрапости:
Джерело: habr.com