Cookies и персональные данные. Требования к тем, кто хочет знать о своих клиентах больше
Как развивалось правовое регулирование отношений по сбору cookies, какие требования предъявляют к владельцам сайтов и как не нарушить законодательство, рассказываем в статье
Файлы cookies разработали и начали применять во всем мире еще в девяностые годы, но только в последнее десятилетие они приобрели такую большую популярность среди владельцев Интернет-ресурсов. Долгое время порядок получения данных cookies о посетителях сайтов в России не был регламентирован, но теперь все изменилось. О том, как развивалось правовое регулирование отношений по сбору cookies, какие требования предъявляют к владельцам сайтов и как не нарушить законодательство о персональных данных, рассказываем в статье.
1
Cookies – что это?
Cookies представляют собой файлы с данными о действиях пользователя на Интернет-сайтах: его логины и пароли, количество и частота посещений, выбор товаров и услуг – они могут также хранить сведения о вашем IP-адресе и электронном устройстве, с которого осуществляется вход на страницу. Такая информация необходима предпринимателям, чтобы анализировать свою клиентскую базу, Интернет-изданиям и блогерам – чтобы составить представление о вкусах аудитории; особенно востребованы cookies среди рекламодателей, поскольку, зная об активности пользователя, его конкретных действиях и предпочтениях, они имеют возможность размещать персонализированную рекламу.
Существуют два основных вида cookies:
- сессионные (возникают во время посещения сайта пользователем и удаляются в момент закрытия – например, информация о выборе Посетителя на предыдущей странице сайта, необходимая для того, чтобы избежать повторного ввода информации);
- постоянные (сохраняются браузером и после закрытия пользователем веб-сайта, к таким данным в том числе относятся: логин от учетной записи, посетительские настройки для определенного веб-сайта, помогающие вспомнить информацию о ранее совершенных действиях).
- сессионные (возникают во время посещения сайта пользователем и удаляются в момент закрытия – например, информация о выборе Посетителя на предыдущей странице сайта, необходимая для того, чтобы избежать повторного ввода информации);
- постоянные (сохраняются браузером и после закрытия пользователем веб-сайта, к таким данным в том числе относятся: логин от учетной записи, посетительские настройки для определенного веб-сайта, помогающие вспомнить информацию о ранее совершенных действиях).
Ранее сайты: как доступные только в России, так и открытые для пользователей из иностранных государств – могли свободно обрабатывать информацию из cookies в своих целях, не уведомляя об этом посетителя веб-страницы. Однако с течением времени законодательство стало меняться, а требования к использованию cookies – ужесточаться.
2
Первые изменения
Первым на появление cookies отреагировало европейское право. Европейский парламент и Совет Европейского Союза приравняли данные cookies к персональным данным и установили в их отношении режим конфиденциальности. Согласно позиции органов ЕС, пользователи должны иметь возможность отказаться от cookies, в связи с чем их необходимо информировать о такой возможности перед использованием веб-сайта. Предупредить о возможности отказа, а также запросить согласие пользователя должны наиболее удобным способом.
Так был задан вектор правовых изменений в области cookies. Сведения о действиях лица в Интернете приобрели статус конфиденциальной информации, на получение которой требуется специальное разрешение. Такой взгляд был еще раз сформулирован Европейским парламентом и Советом Европейского Союза уже в 2016 году.
Так был задан вектор правовых изменений в области cookies. Сведения о действиях лица в Интернете приобрели статус конфиденциальной информации, на получение которой требуется специальное разрешение. Такой взгляд был еще раз сформулирован Европейским парламентом и Советом Европейского Союза уже в 2016 году.
3
Правовой статус cookies в России
Долгое время правовой статус cookies в России оставался неопределенным. Ни законодательство, ни судебная практика не регламентировали порядок их обработки, пока Московский городской суд в деле социальной сети «LinkedIn Corporation» прямо не указал на то, что данные cookies относятся к персональным данным. Сайт компании LinkedIn был внесен в Реестр нарушителей прав субъектов персональных данных, а деятельность – в том числе по обработке cookies – была признана нарушающей права граждан на неприкосновенность частной жизни, личную и семейную тайну. Аналогичная позиция по cookies была затем изложена в постановлении Второго кассационного суда общей юрисдикции. Взгляд Московского суда также поддержали представители Роскомнадзора на семинаре 28 января 2020 года.
В связи с новым правовым статусом на действия с cookies стали распространяться правила, применимые к обработке персональных данных, а именно:
- Обработка cookies должна ограничиваться достижением конкретных, заранее определенных и законных целей;
- Хранение данных cookies должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки cookies;
- Обработка cookies осуществляется с согласия субъекта персональных данных на обработку cookies (за исключением ряда случаев, предусмотренных законом);
- Если организация или иное лицо, признаваемое оператором, обрабатывают сведения о гражданах, они обязаны принимать меры по защите персональных данных;
- По общему правилу при сборе персональных данных оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.
- Оператор должен принимать необходимые меры по удалению или уточнению неполных или неточных данных и др.
Операторами, в частности, признаются гражданин или организация, собирающие и обрабатывающие персональные данные (в том числе посредством cookies), определяющие цели их использования и проводимые с такими данными действия.
4
Оператор персональных данных – обязанности и ответственность
В Европейском Союзе необходимо уведомление о сборе и обработке cookie-файлов, которое играет информационную роль. Пользователь в свою очередь может предоставить отказ от сбора файлов cookie.
В России же владелец сайта (оператор) должен запрашивать у пользователя сайта согласие на обработку cookies. То есть владелец сайта должен обеспечить, чтобы пользователь нажал кнопку и подтвердил бы свое согласие на сбор и обработку cookie-файлов.
Как это можно сделать с минимальными потерями, чтобы не потерять клиентов и не заставить их заполнять множество форм и согласий?
Во-первых, отразить согласие на обработку cookies во всплывающем окне, которое возникает сразу при посещении сайта. Рекомендуется сделать его явным и интерактивным, то есть, чтобы пользователь сайта нажимал кнопку «ОК» или «Согласен».
Далее на веб-сайте прописать в общей политике обработки персональных данных информацию о сборе и обработке cookie-файлов. В этом документе вы указываете: данные о пользовательском устройстве, о местоположении устройства, параметры сессии и прочее, цели обработки, способ отказа от их обработки.
Имейте в виду, что документ, определяющий политику обработки персональных данных, обязательно должен быть и должен быть размещен на сайте. При этом отдельную политику обработки cookies можно не размещать.
В России же владелец сайта (оператор) должен запрашивать у пользователя сайта согласие на обработку cookies. То есть владелец сайта должен обеспечить, чтобы пользователь нажал кнопку и подтвердил бы свое согласие на сбор и обработку cookie-файлов.
Как это можно сделать с минимальными потерями, чтобы не потерять клиентов и не заставить их заполнять множество форм и согласий?
Во-первых, отразить согласие на обработку cookies во всплывающем окне, которое возникает сразу при посещении сайта. Рекомендуется сделать его явным и интерактивным, то есть, чтобы пользователь сайта нажимал кнопку «ОК» или «Согласен».
Далее на веб-сайте прописать в общей политике обработки персональных данных информацию о сборе и обработке cookie-файлов. В этом документе вы указываете: данные о пользовательском устройстве, о местоположении устройства, параметры сессии и прочее, цели обработки, способ отказа от их обработки.
Имейте в виду, что документ, определяющий политику обработки персональных данных, обязательно должен быть и должен быть размещен на сайте. При этом отдельную политику обработки cookies можно не размещать.
Таким образом, это может выглядеть примерно вот так:
«Мы используем cookie (файлы с данными о прошлых посещениях сайта) для удобства использования сайта. Я согласен с использованием cookies на условиях, указанных в Политике обработки персональных данных ([гиперссылка на документ])».
«Мы используем cookie (файлы с данными о прошлых посещениях сайта) для удобства использования сайта. Я согласен с использованием cookies на условиях, указанных в Политике обработки персональных данных ([гиперссылка на документ])».
Несмотря на то, что законодатель пока не успел отреагировать на изменения в судебной практике и сформулировать новые правовые тенденции в законе, ответственность за ненадлежащее исполнения обязанностей операторов в части обработки персональных данных существует. Штрафы за нарушение законодательства Российской Федерации в области персональных данных для юридических лиц варьируются от 60 000 до 100 000 рублей, а за повторное правонарушение – от 100 000 до 300 000 рублей.
Невыполнение обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ грозит для организаций штрафом от 1 000 000 до 6 000 000 рублей. Судебная практика уже знает примеры привлечения к административной ответственности, в том числе за невыполнение последней обязанности с использованием данных cookies.
Невыполнение обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ грозит для организаций штрафом от 1 000 000 до 6 000 000 рублей. Судебная практика уже знает примеры привлечения к административной ответственности, в том числе за невыполнение последней обязанности с использованием данных cookies.
5
Важно учитывать
Однако недавно появилась позиция Верховного Суда РФ, которая может изменить неоднозначную ситуацию по отнесению файлов cookies к персональным данным и таким образом к получению согласия на обработку cookies. Так Верховный суд признал, что номер телефона и e-mail не являются персональными данными без идентифицирующих данных физического лица. Под идентифицирующими данными понимается: полное ФИО, паспортные данные, ИНН, СНИЛС, дата, место рождения, др. Это связано с тем, что отдельно номер телефона и e-mail не обладают признаками неизменности и уникальности.
Таким образом, можно предположить, что сами по себе файлы cookies (без ФИО и иных данных) не будут являться персональными данным. В таком случае получать согласие на их обработку однозначно не понадобится.
Но пока это только позиция суда по конкретному делу.
Коняева Анна Юрьевна
Управляющий партнер / Директор петербургского офиса ЦПО групп
+7 (812) 603-45-25 (доб. 100)
+7 909 591-18-18
E-mail: boss@pravorf.ru
+7 (812) 603-45-25 (доб. 100)
+7 909 591-18-18
E-mail: boss@pravorf.ru
Читайте в разделе Правовая охрана персональных данных
Получить консультацию
Спасибо! Ваше сообщение получено