03.11.2013

ЕС: рекомендации в отношении процесса получения согласия на использование куки-файлов и подобных технологий

Рабочая группа по вопросам защиты физических лиц при обработке персональных данных» (Working Party on the Protection of Individuals with regard to the Processing of Personal Data) была сформирована в соответствии со ст.29 Директивы Евросоюза  95/46/EC от 24 октября 1995 года по вопросам защиты персональных данных. Она также известна как «рабочая группа 29-й статьи» (Article 29 Working Party). 

Данная рабочая группа является независимым консультативным органов Евросоюза по вопросам защиты персональных данных и обеспечения неприкосновенности частной жизни. Её задачи установлены ст.30 Директивы 95/46/EC и ст.15 Директивы 2002/58/EC.

Группа формируется из представителей национальных регуляторов в сфере защиты персональных данных, а также представителей регулирующих органов Евросоюза и Европейской Комиссии  

«Рабочая группа 29-й статьи» (далее «рабочая группа») 2 октября 2013 года выпустила рабочий документ (см.http://www.huntonprivacyblog.com/wp-content/uploads/2013/10/wp208_en.pdf ), содержащий рекомендации в отношении процесса получения согласия на использование куки-файлов и подобных технологий в соответствии с требованиями законодательства Евросоюза.

Статья 5.3 пересмотренной Директивы 2002/58/EC по защите неприкосновенности частной жизни в электронной среде (http://www.huntonprivacyblog.com/wp-content/uploads/2013/10/02002L0058-20091219-en.pdf ) требует получать от пользователей Интернета согласие на хранение и/или доступ к куки-файлам и на использование аналогичных технологий. В соответствии с законодательством Евросоюза о защите персональных данных, согласие, чтобы быть действительным, должно удовлетворять определенным условия, как разъясняется во мнении Рабочей группы от 13 июля 2011 года (Working Party’s Opinion of July 13, 2011, http://www.huntonprivacyblog.com/2011/07/articles/article-29-working-party-opines-on-consent-requirements/ ) по поводу концепции согласия (т.е. согласие должно быть «недвусмысленным», «конкретным и информированным» и «данным свободно» «до начала обработки персональных данных»).

В «Рабочем документе» определены основные компоненты механизмов получения согласия на использование куки-файлов,  позволяющие выполнить эти условия в каждом из государств-членов Евросоюза.

В соответствии с «Рабочим документом», механизм получения согласия должен включать следующие элементы:

Конкретность информации

Когда требуется получить согласие, на сайте (т.е. на той веб-странице, на которой пользователи начинают свой сеанс просмотра сайта) для пользователей должны быть выведены ясные, исчерпывающие и хорошо заметные уведомления об использовании куки-файлов. Уведомление должно:

  • Описывать все типы используемых веб-сайтом куки-файлов и их назначение (включая куки-файлы от третьих сторон и/или доступ третьих сторон к данным, собранным в куки-файлах данного веб-сайта), и
  • Объяснять, как пользователи могут согласиться на использование всех или некоторых куки-файлов либо отказаться от него, и как они могут изменить эти установки в будущем.

Для полноценного информирования пользователей также следует включать такую информацию, как срок хранения куки-файлов (т.е. дата окончания срока их действия) и типичные значения.

Согласие следует получать до того, как куки-файли будут установлены или прочитаны

Согласно «Рабочему документу», это означает, что операторы веб-сайтов должны реализовать решение, при использовании которого на устройство пользователя никаких куки-файлов не устанавливается (кроме тех, которые не требуют согласия пользователя – например, тех, которые абсолютно необходимы для функционирования веб-сайта), пока пользователь не выразит на это своё согласие.

Активное поведение

По мнению Рабочей группы, согласие должно быть результатом подтверждающих действий или иного активного поведения пользователей, при условии, что они были проинформированы о последствиях своих действий или поведения. Пользователи могут выразить свое согласие, либо

  • нажав на кнопку или ссылку,
  • поставив «галочку» в поле, расположенном в пределах или вблизи места, где представлена информация об использовании куки-файлов
  • при помощи любого другого активного поведения, из которого оператор сайта может сделать однозначный вывод о том, что пользователь согласился.

В число инструментов, применяемых для получения согласия на использование куки-файлов, могут входить всплывающие окна (splash screens), баннеры или диалоговые окна. «Рабочий документ» напоминает, что настройки браузера могут выразить согласие пользователей только в ограниченном числе случаев (т.е. тогда, когда оператор веб-сайта может быть уверен в том, что пользователь был полностью проинформирован и сам активно настроил свой браузер).

Реальный выбор

«Рабочий документ» разъясняет, что веб-сайты не должны обусловливать возможность общего доступа к ним согласием на все куки-файлы. Пользователям должна быть предоставлена возможность реального выбора в отношении тех куки-файлов, которые не являются необходимыми для обслуживания на данном веб-сайте, а лишь приносят дополнительную пользу оператору сайта. В качестве примера в «Рабочем документе» рассмотрены сайты для электронной коммерции, и отмечено, что отказ дать согласие на  нефункциональные куки-файлы не должен препятствовать пользователю покупать товары на этих сайтах.

Пользователям также должен быть предложен реальный выбор в отношении отслеживающих куки-файлов (tracking cookies), которые обычно используется для анализа индивидуального поведения на сайтах и для создания на этой основе профилей, определения интересов пользователя и принятия решений, влияющие на людей индивидуальным образом.

Текст «Рабочего документа»  доступен по адресу http://www.huntonprivacyblog.com/wp-content/uploads/2013/10/wp208_en.pdf

 

Данная заметка, подготовленная компанией Hunton & Williams LLP, была опубликована 14 октября 2013 на блоге «Неприкосновенность частной жизни и законодательство в области информационной безопасности» (Privacy and Information Security Law blog).

Русский перевод в блоге Н. Храмцовской