Іспанське агентство захисту даних () оштрафувало авіакомпанію на 30 тис. євро за незаконне використання cookies. Компанію звинуватили, що вона використовує необов'язкові cookies без згоди користувачів, а політика використання cookies на сайті не передбачає можливість відмовитися від використання таких cookies. Авіакомпанія заявила, що користувач дає згоду на використання cookies, продовжуючи використовувати сайт, і може відключити їх використання в налаштуваннях браузера, а також відкликати згоду на їх використання.
Регулятор встановив, що такий тип згоди не є явним і можливість заборони використання cookies через налаштування браузера не означає виконання вимог закону. Розмір штрафу в 30 тис. євро було визначено з урахуванням навмисного характеру дій компанії, тривалості порушення та кількості порушених користувачів. Таке рішення регулятора відповідає недавньому від 1 жовтня 2019 року, з якого випливає, що для використання cookies потрібна активна згода користувача, та згода у формі заздалегідь встановленої позначки (“галочки”) не є законною.
Вимоги до використання cookies за нормами GDPR
Агентство захисту даних при прийнятті рішення посилалося на місцеві закони Іспанії про захист даних, але фактично дії компанії порушують ст. 5 та 6 GDPR.
Можна виділити такі ключові вимоги щодо використання cookies за нормами GDPR:
- Користувач повинен мати можливість відмовитися від використання cookies, які не потрібні для функціонування сервісу, як до початку їх використання, так і після;
- кожен тип cookies може бути прийнятий або відхилений незалежно від інших без використання однієї кнопки зі згодою на всі типи cookies;
- згода на використання cookies шляхом продовження використання сервісу не вважається законною;
- вказівка на можливість відключити cookies через налаштування браузера може доповнювати механізми відмови від використання, але окремо не вважається повноцінним механізмом відмови;
- кожен тип cookies повинен бути описаний з точки зору функціоналу та терміну обробки.
Інші підходи до роботи з cookies
У Росії регулювання cookies за ФЗ "Про персональні дані" має свої особливості. Якщо вважати cookies персональними даними, то для їх використання потрібне повідомлення та згода користувача. Це може негативно впливати на конверсії сайту або повністю заблокувати роботу окремих інструментів аналітики. В окремих випадках може вважатися допустимим використання cookies без згоди та сповіщень. У будь-якому випадку для кожної моделі роботи з cookies можна підібрати правові механізми з найменшим впливом на ефективність взаємодії сайту та користувача.
Найбільш прогресивним підходом до роботи з cookie є підхід, при якому сайт не формально повідомляє користувача про їх використання, а пояснює необхідність cookie і мотивує добровільно дати згоду на їх використання. Більшість користувачів навіть не здогадуються, що завдяки cookies вони можуть зберегти потрібні дані при закритті сторінки сайту — заповнені форми або кошики з товарами інтернет-магазинів.
Підхід, у якому сайти сором'язливо повідомляють користувачів про cookies і навіть намагаються запитати згоду, не дає переваг ні сайтам, ні користувачам. Багато користувачів сайтів склалася думка, що використання cookies на сайті означає несумлінне використання персональних даних, яке користувачі змушені терпіти, щоб користуватися сервісом. І рідко буває очевидним, що cookies працюють на користь не тільки власника сайту, а й користувача.
Джерело: habr.com