Cookie-файлы — это персональные данные или нет?
hoster.by регулярно проводит бесплатные бизнес-завтраки. На них мы затрагиваем разные темы. Например, вместе разбираемся в тонкостях закона «О защите персональных данных» или рассматриваем основные нарушения при хранении и обработке личной информации, которые допускают владельцы бизнесов и сайтов.
На этой неделе мы провели очередную бизнес-встречу, на которую пришли 20 представителей из разных сфер. В этот раз много говорили о cookie-файлах. Что к ним относится, а что нет? Считаются ли они персональными данными? Нужно ли защищать cookie по всем нормам закона? На все эти вопросы ответил ведущий юрисконсульт hoster.by Владислав Жавнерчик. Делимся его ответами.
Получается, когда вы совершаете какое-то действие на странице, веб-сервер записывает эту информацию в cookie-файл и отправляет этот набор данных на ваше устройство.
Во-первых, они позволяют вам эффективнее и быстрее перемещаться между страницами, так как запоминают ваше привычное поведение и предпочтения. Во-вторых, cookie широко используются владельцами сайтов для повышения эффективности работы их веб-ресурсов. В-третьих, они помогают подбирать релевантную вам рекламу в интернете.
1. Что такое cookie?
Cookie — это небольшие текстовые файлы с данными. Они автоматически размещаются на вашем компьютере или мобильном устройстве, когда вы посещаете какой-то сайт или пользуетесь приложением. Эти файлы хранят информацию о ваших предыдущих действиях на веб-ресурсе и умеют запоминать предпочтения, язык, валюту, размер шрифта, просмотренные страницы и товары, IP-адрес и местоположение, версию операционной системы и браузера, а также все ваши клики и переходы.Получается, когда вы совершаете какое-то действие на странице, веб-сервер записывает эту информацию в cookie-файл и отправляет этот набор данных на ваше устройство.
2. Для чего используются cookie?
Файлы cookie закрывают несколько функций.Во-первых, они позволяют вам эффективнее и быстрее перемещаться между страницами, так как запоминают ваше привычное поведение и предпочтения. Во-вторых, cookie широко используются владельцами сайтов для повышения эффективности работы их веб-ресурсов. В-третьих, они помогают подбирать релевантную вам рекламу в интернете.
3. Какими бывают cookie?
Файлы сookie можно классифицировать по нескольким критериям.
При этом в законе нет прямого упоминания cookie-файлов. Тем не менее, мы уже разобрались, что этот тип файлов так или иначе характеризует интернет-пользователя и содержит сведения о его геопозиции, поведенческие факторы на сайте и так далее. Получается, что cookie-файлы относятся к персональным данным и должны обрабатываться в соответствиями с требованиями закона.
- По сроку хранения. Cookie бывают сеансовыми и постоянными. Сеансовые — это временные файлы, которые истекают после закрытия браузера или завершения сеанса. Постоянные сохраняются на жестком диске до того момента, пока вы не удалите их сами или их не удалит сам браузер.
- По правообладанию. Бывают собственные и сторонние cookie. Собственные устанавливаются владельцем сайта, сторонние формируются внешними источниками. Например, сайтом рекламной системы.
- По цели. Здесь cookie разделяют на технические, эксплуатационные, статистические и маркетинговые. Технические помогают пользователю подключаться к сайту, ходить по его страницам, использовать разные опции, а также запоминать логин и пароль для входа. Владелец сайта благодаря ним может распознавать конкретного пользователя на своем ресурсе. Эксплуатационные позволяют подсчитывать количество сессий и источников трафика. По ним держатель сайта может измерять и повышать производительность своего веб-ресурса, а также понимать, какие страницы наиболее и наименее посещаемы. Статистические cookie применяются для анализа вашего поведения на сайте. Маркетинговые используются для управления рекламными пространствами и показа вам релевантных объявлений.
4. Главный вопрос: относятся ли cookie к персональным данным?
Чтобы ответить на это, обратимся к определению персональных данных. В Беларуси их защита регулируется законом № 99-З «О защите персональных данных» от 7 мая 2021 года. В нем персданные определяются как «любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано». Получается, что файлы cookie подпадают под это определение.При этом в законе нет прямого упоминания cookie-файлов. Тем не менее, мы уже разобрались, что этот тип файлов так или иначе характеризует интернет-пользователя и содержит сведения о его геопозиции, поведенческие факторы на сайте и так далее. Получается, что cookie-файлы относятся к персональным данным и должны обрабатываться в соответствиями с требованиями закона.
5. Что важно учесть компании, если она обрабатывает cookie-файлы?
Мы выяснили, что cookie-файлы относятся к персональным данным. Это значит, что владельцы сайтов должны реализовать набор организационно-правовых и технических мер по защите этой информации. Точно так же, как при обработке других личных данных своих клиентов.
В первую очередь держатель сайта, выступая в роли оператора персданных, должен подготовить Политику в отношении обработки cookie-файлов. Далее сообщить пользователю о том, что он собирает cookie, и дополнительно обозначить цели использования этих данных и кому они передаются.
Наверняка многие из вас видели плашку внизу сайта, которая просит согласиться с обработкой cookie-файлов. Это и есть уведомление о том, что сайт собирает и работает с такими данными.
Такой баннер должен всплывать при первом переходе пользователя на сайт или при первом входе в приложение. Уведомление должно содержать следующую информацию:
Мы выяснили, что cookie-файлы относятся к персональным данным. Это значит, что владельцы сайтов должны реализовать набор организационно-правовых и технических мер по защите этой информации. Точно так же, как при обработке других личных данных своих клиентов.
В первую очередь держатель сайта, выступая в роли оператора персданных, должен подготовить Политику в отношении обработки cookie-файлов. Далее сообщить пользователю о том, что он собирает cookie, и дополнительно обозначить цели использования этих данных и кому они передаются.
Наверняка многие из вас видели плашку внизу сайта, которая просит согласиться с обработкой cookie-файлов. Это и есть уведомление о том, что сайт собирает и работает с такими данными.
Такой баннер должен всплывать при первом переходе пользователя на сайт или при первом входе в приложение. Уведомление должно содержать следующую информацию:
- какие cookie-файлы собираются;
- с какой целью они собираются;
- сколько они будут храниться;
- передаются ли эти данные третьим лицам (например, Google или Facebook).
6. Есть ли примеры, когда компании штрафовали за нарушение работы с cookie-файлами?
В Беларуси громких кейсов, связанных конкретно с cookie-файлами, в публичном пространстве не было. Но это не значит, что их не существует. Дело в том, что Национальный центр защиты персональных данных рассматривает такого рода вопросы, с одной стороны, комплексно, а, с другой, не размещает развернутые результаты мониторинга публично. Тем не менее, за прошлый год из 50 проверок было вынесено 50 предписаний об устранении нарушений законодательства в области защиты персональных данных.
Но если обратиться к мировой практике, таких кейсов достаточно.
Например, французская Национальная комиссия по информатике и свободам граждан (CNIL) оштрафовала Google LLC, Google Ireland Limited и Amazon Europe Core на суммы 60, 40 и 35 млн евро соответственно. Причина одинаковая: когда пользователь посещал сайт, маркетинговые cookie-файлы отправлялись в его браузер еще до того, как он дал на это согласие. Также сайты не предоставляли исчерпывающую информацию о cookie-файлах и не объясняли, как посетитель может от них отказаться.
Еще один достаточно нашумевший случай произошел с Google в 2015 году. Компания собирала информацию об интернет-трафике пользователей через cookie-файлы, но посетители не знали об этом. Начался суд. Пользователи настаивали, чтобы Google привлекли к ответственности за нарушение порядка использования cookie. В итоге суд занял их позицию и отнес используемые файлы к персональным данным, так как они, даже не называя конкретного человека, позволяли выделить его из всей массы пользователей.
Но если обратиться к мировой практике, таких кейсов достаточно.
Например, французская Национальная комиссия по информатике и свободам граждан (CNIL) оштрафовала Google LLC, Google Ireland Limited и Amazon Europe Core на суммы 60, 40 и 35 млн евро соответственно. Причина одинаковая: когда пользователь посещал сайт, маркетинговые cookie-файлы отправлялись в его браузер еще до того, как он дал на это согласие. Также сайты не предоставляли исчерпывающую информацию о cookie-файлах и не объясняли, как посетитель может от них отказаться.
Еще один достаточно нашумевший случай произошел с Google в 2015 году. Компания собирала информацию об интернет-трафике пользователей через cookie-файлы, но посетители не знали об этом. Начался суд. Пользователи настаивали, чтобы Google привлекли к ответственности за нарушение порядка использования cookie. В итоге суд занял их позицию и отнес используемые файлы к персональным данным, так как они, даже не называя конкретного человека, позволяли выделить его из всей массы пользователей.
Дом и квартира
Строительство и ремонт
Работа и бизнес
Авто, мото, вело
Семья и дети
Шоппинг
Отдых и развлечение
Все для праздника
Здоровье и красота
Сделано в Витебске
Услуги в Витебске
Общая информация
Администрация
Экономика
Инвесторам
Туризм и отдых
Культура и искуство
Образование
Здравоохранение
Спорт
СМИ
