Во избежание многомиллионных штрафов, веб-сайты украинских компаний, которыми может воспользоваться гражданин ЕС, должны соответствовать требованиям GDPR

С недавнего времени на различных сайтах очень часто можно встретить уведомления об использовании так называемых cookies-файлов (или просто cookies). Несмотря на перевод с английского, который предлагает Google, cookies-файлы не имеют ничего общего с печеньем.

Сookies-файлы — это небольшие текстовые файлы, которые скачиваются на ваш компьютер (или другой девайс) при использовании того или иного сайта. Сookies-файлы позволяют идентифицировать посетителя веб-сайта (а точнее — устройство, которое используется посетителем) и сохранить всю доступную информацию о таком посетителе. Именно благодаря cookies-файлам во время использования интернета мы видим рекламу о товарах и услугах, которые искали ранее.

Для кого-то это может показаться странным, но информация, содержащаяся в cookies-файлах, относится к категории персональных данных. Соответственно, на ее использование распространяется правовое регулирование, которое установлено в сфере защиты персональных данных.

С недавнего времени, а точнее с конца мая 2018 года, правовое регулирование в сфере защиты персональных данных было значительно ужесточено. Наверняка многие слышали о нашумевшем GDPR — Общем регламенте ЕС о защите персональных данных (Регламент), предусматривающем штрафы в размерах 10–20 млн евро.

Сфера действия Регламента в отдельных случаях может распространяться на субъектов хозяйствования, которые находятся и в Украине. В частности, нормы Регламента применяются к компаниям независимо от места их нахождения (в том числе за пределами ЕС) в случае, если такие компании совершают обработку персональных данных субъектов данных — граждан ЕС или же субъектов персональных данных, которые находятся на территории ЕС.

Поскольку содержание cookies-файлов представляет собой один из видов персональных данных, обрабатываемых при использовании интернет-ресурсов, сфера действия Регламента может выходить далеко за пределы ЕС.

Иными словами, если гражданин ЕС независимо от места его пребывания или же не гражданин ЕС, который правомерно находится на территории ЕС, использует веб-сайт какой-либо украинской компании, такая компания должна соответствовать требованиям Регламента.

Таким образом, многие предприниматели столкнулись с проблемой имплементации норм Регламента в деятельность своей компании.

Согласно регламенту

Прежде чем говорить о практических аспектах имплементации норм Регламента, нужно провести «домашнюю работу» и рассмотреть теоретические вопросы.

Регламент четко устанавливает правовые основании, в соответствии с которыми обработка персональных данных считается законной (статья 6 Регламента). Что касается cookies-файлов, то обработка содержащихся в них данных может совершаться на основании:

— согласия субъекта данных на обработку его персональных данных;

— в случае если обработка персональных данных необходима для достижения целей и законных интересов компании, обрабатывающей персональные данные.

К слову, те самые уведомления об использовании cookies-файлов и являются одним из способов получения согласия субъекта данных на обработку его персональных данных.

Так, Регламент предусматривает, что согласие субъекта данных должно соответствовать неким критериям, а именно:

— быть предоставлено субъектом свободно, что подразумевает существование реальной возможности выбора у субъекта данных: предоставлять свое согласие или нет;

— быть конкретным, то есть субъект данных предоставляет свое согласие на обработку его персональных данных для достижения четко установленной цели;

— субъект данных должен быть проинформирован обо всех обстоятельствах, имеющих решающее значение для совершения выбора относительно предоставления согласия;

— соответствовать форме недвусмысленного указания — субъект данных должен совершить активное действие, четко указывающее на его желание относительно обработки персональных данных.

Учитывая технические особенности cookies-файлов, можно говорить о том, что обработка этой категории персональных данных имеет свою специфику.

Во-первых, процесс обработки cookies-файлов начинается с момента посещения субъектом персональных данных какого-либо веб-сайта, использующего cookies-файлы. Именно в этот момент субъект данных должен предоставить свое согласие, которое будет соответствовать указанным выше требованиям.

Во-вторых, сама процедура получения согласия посетителя сайта (субъекта персональных данных) на обработку его персональных данных не всегда соответствует интересам владельца сайта. К примеру, любая ненужная нагрузка на посетителей сайта может «отпугивать» их от использования такого веб-ресурса. То есть любому посетителю сайта — потенциальному потребителю услуг владельца интернет-страницы — всегда будет интереснее тот сайт, который имеет удобный интерфейс без ненужной для посетителя информационной нагрузки. Что уж говорить о том, что в отдельных случаях некоторые функции сайта вообще могут не работать, если посетитель не предоставит согласия на использование cookies-файлов.

Такая специфика вызывает ряд вопросов, одним из лучших решений которых является применение уведомлений об использовании сайтом cookies-файлов. Как правило, такие уведомления представляются сайтом в виде «всплывающих окон» (так называемых popup menu), которые остаются активными во время всей сессии использования сайта до момента, пока посетитель не примет решение о предоставлении согласия.

В свою очередь, надлежащим образом оформленное «всплывающее уведомление» будет соответствовать приведенным выше критериям предоставления согласия, если:

— оно дает возможность посетителю сайта сделать выбор: предоставлять свое согласие на использование cookies-файлов или нет;

— содержание уведомления включает краткую информацию о конкретных целях использования cookies-файлов и других важных сведениях. Кроме того, такое уведомление может иметь ссылку на другую интернет-страницу, где указанная информация расписана более детально;

— уведомление имеет кнопку о согласии субъекта данных на использование cookies-файлов. Нажимая такую кнопку, посетитель сайта совершает активное действие, четко выражающие его желание на использование cookies-файлов.

Более того, при использовании «всплывающих окон», у посетителя сайта остается возможность продолжить работу с сайтом, не нажимая никаких кнопок во «всплывающем окне». В таком случае считается, что, продолжая работу с сайтом, его посетитель, будучи надлежащим образом проинформированным, соглашается с использованием cookies-файлов. Главное в таких случаях для владельца сайта — обеспечить постоянную активность таких уведомлений, то есть чтобы «всплывающее окно» присутствовало на мониторе посетителя после каждого обновления интернет-страницы или после перехода на другую интернет-страницу того же сайта.

Также важно, чтобы уведомление содержало текст, в котором говорится, что посетитель сайта проинформирован об использовании cookies-файлов и предоставляет свое согласие на такое использование.

Таким образом, использование «всплывающих уведомлений» будет соответствовать требованиям Регламента и минимизирует негативные последствия для владельца сайта.

Убрать лишнее

С практической точки зрения владельцу сайта необходимо совершить ряд организационных и технических действий.

Сначала владелец сайта должен проанализировать, какие именно cookies-файлы использует его сайт и для какой цели. Не важно, в какой форме будет происходить такой анализ: в форме глобального аудита всей деятельности компании или же в форме простой оценки работы сайта. Главное, чтобы в конечном результате владелец сайта четко понимал, какие именно cookies-файлы использует его сайт.

Далее необходимо определить, использует ли сайт (если использует, то какие именно) cookies-файлы, которые являются строго обязательными для работы сайта. Иными словами, это те cookies-файлы, которые несут минимальные риски для субъекта данных и без использования которых невозможна работа сайта в принципе. Обработка таких cookies-файлов может осуществляться на другом правовом основании — для достижения целей законных интересов компании (то есть без получения согласия от субъекта данных).

Одним из основных принципов Регламента является минимизация обработки персональных данных. Поэтому после определения полного перечня cookies-файлов, которые может использовать сайт, владелец сайта должен прекратить использование необязательных cookies-файлов.

Для имплементации норм Регламента в деятельность компании требуется комплексный подход, предусматривающий осуществление ряда организационных и технических действий.

В целом сегодня большинство сайтов имеют уведомления об использовании cookies-файлов. Но, как видим, не всегда такие уведомления соответствуют всем необходимым требованиям и, как следствие, не всегда будут считаться правовым основанием для обработки cookies-файлов.

СМИШКО Александр — юрист ЮФ Hillmont Partners, г. Киев