Як налаштувати cookie-банер, коли йдеш в Європу. Юридичні поради

Усім привіт, мене звати Аріна Костіна, я юристка Axon Partners. У цій статті я описала проблемні питання cookie-банерів, на які варто звернути увагу розробникам, що створюють вебпродукти для Європейського союзу. Досліджувати це питання мені допомагала колега Любов Микієвич.

Для початку поговорімо про історію змін та нововведень. Цього року європейський регулятор (Європейська рада із захисту даних, більш відомий як EDPB) нарешті оприлюднив звіт по допустимих cookie-банерах. Чому нарешті? Бо над звітом у 8 сторінок, в якому члени робочої групи сформулювали, які практики є прийнятними, а за які бізнесу може дістатися на горіхи, регулятор працював майже півтора року. І от, тепер наглядові органи готові ці напрацювання впроваджувати.

Чому з’явився звіт по cookie-банерах

Доволі цікава першопричина звіту по cookie-банерах. Відома своєю роботою у сфері приватності організація None of Your Business (NOYB) рандомно перевірила 10 000 найвідвідуваніших вебсайтів на дизайн та характеристики cookie-банерів. Результатом стали 700+ скарг до наглядових органів країн-членів ЄС, які врешті EDPB спрямувала в одну робочу групу.

NOYB — організація відома, бо зносила не лише cookie-банери, але і договір про передачу даних Єврокомісії з урядом США. А факт корисний, бо наочно дає відповідь на питання «чи помітять, якщо почнемо працювати, як є». З великою ймовірністю — так, помітять.

За недотримання вимог щодо банерів, компанії неодноразово отримували значні штрафи. У 2019 році наглядовий орган Іспанії оштрафував Vueling Airlines на 30 000 євро, бо компанія не дала користувачам можливість відмовитися від cookies, а тільки залишила загальні пояснення про налаштування браузера. У 2020 році той самий наглядовий орган оштрафував Twitter на 30 000 євро за банер, що не містив жодної інформації про те, як керувати налаштуваннями cookies на платформі. У 2022 році наглядовий орган Франції оштрафував Google і Facebook на 150 мільйонів та 60 мільйонів євро відповідно. Обидва штрафи отримані за неможливість так само легко відмовитись від cookies, як їх прийняти на вебсайтах: google.fr, youtube.com і facebook.com.

Тож якщо ваша компанія не хоче закладати в бюджет окремий рядок витрат на штрафи і судові спори через cookie-банери, пропонуємо ознайомитись з тим мінімумом вимог, що погодив європейський регулятор після того, як NOYB навантажили наглядові органи своїми скаргами. Нижче розглянемо головні проблемні моменти на банерах — та як їх варто налаштувати.

1. Кнопка «відхилити» на банері: варто чи ні

Коли банер містить кнопку «прийняти», на тому ж «рівні» банера має бути і кнопка «відхилити»

Закони ЄС передбачають отримання згоди на використання cookies. Саме цю мету і переслідують cookie-банери — зафіксувати згоду. Згода не вимагається, лише якщо cookies використовуються для того, щоб передати дані через мережу або для підтримки функціонування вебсайту. Тож не дивно, що найперше, про що нагадав регулятор: толерувати не будуть жодні cookies, які вимагають згоду користувача (аналітика, маркетинг), але встановлені без дійсної згоди.

При цьому, звіт вказав на розбіжності в думках наглядових органів в питанні про те, чи буде вважатись згода дійсною без опції у вигляді кнопки «відхилити» на cookie-банері. А чи достатньо наявності інших кнопок, які дозволяють користувачам отримати доступ до додаткових параметрів (наприклад — «cookie settings»), де зрештою cookies можна відхилити?

«Переважна більшість» наглядових органів постановила, що кнопка «відхилити» повинна бути присутньою на банері на тому ж «рівні», де і кнопка «прийняти». Інакше не буде гарантій, що користувачу буде так само легко відмовитись від cookies, як їх прийняти. Або у користувача взагалі не буде розуміння, що cookies можна не приймати.

Звіт не назвав, хто ті країни з меншості, які не визнають порушенням відсутність кнопки «відхилити». Чи не зміниться їхня позиція, поки справа дійде до вас — гарантій нема. Тому при виході на європейський ринок не рекомендуємо грати в рулетку, а радимо орієнтуватись на підхід більшості.

2. Попередньо проставлені «пташки»

Cookie-банери не повинні містити кнопок із заздалегідь проставленим вибором за користувача

Регулятор нагадує, що попередньо проставлені прапорці не призводять до дійсної згоди користувача на несуттєві cookies. За цим коротким реченням стоять гори усталеної практики, що включає вказівки EDPB і судову практику Суду справедливості ЄС.

Зокрема, Суд підкреслює, що згода може зробити обробку даних законною за умови, що людина дала свою згоду «однозначно». Вимогу «однозначності» здатна задовольнити лише активна дія. Бо інакше на практиці неможливо об’єктивно встановити, чи дійсно користувач дав згоду тим, що не зняв попередньо проставлену «пташку», і чи ця згода була поінформована. Цілком імовірно, що користувач не став читати інформацію, що супроводжує попередньо вибраний «пташкою» пункт, або навіть не помітив цю позначку, перш ніж далі взаємодіяти з вебсайтом.

3. Оманливі посилання

А точно треба саме кнопку «відхилити»? Посилання на додаткові параметри не досить?

Посилання достатньо, але якщо воно дуже схоже на кнопку:) Насправді, проблема у наглядових органів не з кнопкою і не з посиланням, а з тим, щоб користувачу було зрозуміло, що у нього є вибір відмовитись від несуттєвих cookies. Тому до кнопки менше претензій, з нею ніби усе зрозуміло. А от посилання на додаткові параметри можна спеціально зробити оманливими: ось вибір є, а ось його вже нема.

Зокрема, до такого висновку робоча група дійшла, розглядаючи приклади банерів, що оскаржувались NOYB. Це приклади або прямого посилання на відхилення, захованого десь у тексті банера, або посилання на інші опції, крім як «прийняти», розміщені поза банером.

Зрештою у звіті вказано, що власники вебсайтів таки можуть відображати опцію відхилити cookies через «посилання». Та лише, якщо воно привертає увагу користувача до цієї альтернативної опції і чітко відображається на банері (і бажано саме на банері, а не будь-де на сторінці).

4. Кольори кнопок та контрасти

Гра з кольорами — продовження теми «оманливості»

У звіті зазначається, що певні кольори кнопок та їхні контрасти на банері можуть зробити більш видимою і «привабливою» кнопку «прийняти всі». Так не можна.

Також вказано, що неможливо створити єдиний узагальнений стандарт банера за кольором та контрастом. Тому EDPB погодив, що наглядові органи будуть оцінювати окремо по кожному банеру, чи обрані кольори та контраст не вводять в оману. А саме, в оману на предмет того, що відмова по несуттєвих cookies неможлива. Адже отримана таким чином згода користувача буде радше ненавмисною, а отже, недійсною.

Члени робочої групи змогли виокремити єдину ситуацію, в якій точно буде порушення. Це випадок, коли лише текст кнопки «прийняти» є читабельним, у той час, як кнопки з будь-якими іншими опціями мають мінімальний контраст між текстом і фоном. Тим самим банер явно ошукує користувачів.

Такий підхід EDPB залишає досить простору дизайнерам. Головне, щоб текст усіх кнопок банерів був виразним і зрозумілим з першого погляду. Також рекомендуємо не робити різними контрастними кольорами кнопки «прийняти» та «відхилити». Краще зробити їх одного кольору, щоб вони не відрізнялись між собою.

5. Законний інтерес

Законний інтерес не є підставою використовувати cookies

У EDPB трохи здивувались креативним підходам використання «законного інтересу» як підстави встановлення cookies і подальшої обробки отриманих даних.

Так, робоча група загально нагадала, що встановлення несуттєвих cookies потребує згоди. Посилатися на законний інтерес як правову основу для використання cookies не є правильним. Крім того, якщо дані на початку зібрані без згоди, то будь-яка їхня подальша обробка не відповідатиме вимогам GDPR.

Навіть якщо дані зібрані правильно, звіт уточнює, що власник вебсайту не може покладатись на законний інтерес як підставу для подальшої обробки даних з метою «створення персоналізованих профілів» або «вибору персоналізованої реклами». В таких випадках, на думку EDPB, не існує жодного законного інтересу, який би переважив права користувачів.

Щоправда, робоча група обережно зазначила, що дискусію може бути відновлено і кожен випадок буде розглядатись окремо. Та поки виглядає, що шанси «оцінки законних інтересів» як підстави обробки даних аналітики чи маркетингу стрімко зменшуються.

6. Невідповідна класифікація

Забороняється вказувати як необхідні cookies, які насправді мають інше призначення

Ніби вимога проста, якби не одне але. Як зазначає EDBP, навіть визначивши, які cookies є необхідними, надалі складно підтримувати їх перелік актуальним, бо на практиці характеристики cookies можуть часто змінюватись.

Автори у звіті вказують, що хоч існують різні інструменти для аналізу cookies, але вони не обов’язково здатні правильно класифікувати та перевірити їхнє призначення. Зазвичай у таких інструментів добре виходить лише скласти перелік. Тому, хоч наглядові органи і будуть користуватись цими третіми сервісами для перевірок, від власника вебсайту вони очікуватимуть за запитом актуальніший перелік та оцінку класифікації. Тож варто мати ці документи напоготові.

Наостанок, EDPB все ж дає невелику підказку і залишає посилання на Висновок WP29 від 2012 року. Цей документ пояснює критерії оцінки «необхідності» cookies. Зокрема, вказує, що необхідні cookies — це ті, що дозволяють власникам вебсайтів зберігати вибір налаштувань користувача щодо послуги.

7. Доступна можливість відкликати згоду

Можливість відкликати згоду має бути такою ж простою, як і її надання.

Власники вебсайтів мають створити легкодоступну можливість для користувача відкликати свою згоду в будь-який час. Наприклад, пропонується це зробити за допомогою кнопки, що зависає, або постійно видимого значка, що повертає до розділу «cookie settings».

Водночас автори звіту не примушують власників вебсайтів до якогось конкретного рішення. Тож дати можливість відкликати згоду ви можете тим шляхом, який найбільше симпатизує вашому веброзробнику. Кожен випадок наглядові органи аналізуватимуть окремо.

Погляд у майбутнє

Цитуючи класиків, «сьогодні в завтрашній день не всі можуть дивитися». Але ми спробуємо.

Консолідований документ з висновками щодо важливих спірних питань розставив деякі крапки над «і» та трохи зменшив невизначеність й плутанину щодо того, які методи варто використовувати у cookie-банерах.

Однак, як підкреслив європейський регулятор: хоча пропозиції звіту є корисними, вони можуть бути недостатніми через потенційні додаткові вимоги, встановлені національним законодавством кожної окремої країни.

Виглядає так, що тенденція до суворіших вимог до банерів збережеться і увага до них якийсь час буде прикута. Однак, проактивний підхід до останніх побажань EDPB може допомогти компаніям меншими втратами пережити увагу будь-якого європейського наглядового органу. Тож рекомендуємо враховувати всі описані рекомендації при створенні cookie-банера для вашої компанії.

P.S. Так, ми знаємо, що на ілюстрації до статті допущено дві помилки. Ми лишили ці «пасхалки» навмисно, щоб перевірити вашу уважність, а заразом привітати тих, хто схильний критикувати банер, не читаючи матеріал ;)

👍ПодобаєтьсяСподобалось7
До обраногоВ обраному6
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Цікаво, чи можна зробити десь у браузері налаштування, щоб ці кляті банери не вилазили на кожному сайті?

Для цього є плагіни

Цікаво коли до законотворчих органів ЄС попадуть адекватні айтішники та ініціюють відміну цієї маячні.

Та вони намагаються digital-strategy.ec.europa.eu/...​icies/eprivacy-regulation
Останні пропозиції від 2017
Simpler rules on cookies: the cookie provision, which has resulted in an overload of consent requests for internet users, will be streamlined. The new rule will be more user-friendly as browser settings will provide an easy way to accept or refuse tracking cookies and other identifiers. The proposal also clarifies that no consent is needed for non-privacy intrusive cookies that improve internet experience, such as cookies to remember shopping-cart history or to count the number of website visitors.
Але якось тяжко йде з оновленням ePrivacy Directive

в аду гореть придумавшему эти банеры

Далі буде: баннеры в играх и мобильных приложениях, на смарт часах и стиральных машинах :)

Там вони по суті вже є ,) згода надається, коли встановлюється додаток і ви клацаєте accept

на ілюстрації до статті допущено дві помилки

Хм, по ідеї:
1. Не вистачає чекбоксів за категоріями які сервіси прийняти, в ЄС юзер має явно це вибрати.
2. Те що мова кнопок і тексту банера різна, але це не точно :)
3. Опечатка в Reject all, що може робити його менш привабливим для юзера.

ви ще не зауважили, що гіперлінк на слові сookies policy в картинці не клікабельний, скільки не тиснеш ;)

Чи є якісь готові JS бібліотеки щоб просто підклбючити і вони робили все що повязано з цим банером?

Цікаво, але питань менше не стало :)
В яких випадках має бути цей банер?
Ось у мене є веб сайт. Користувач може зареєструватися і залогінитися. Тобто є банальний кукіс для ведення сесії. Для цього треба згода?
Також при логіні є галочка «запамятати мене» яка ставить кукіс на 2 тижні. Чи треба для цього згода?

Також на сайті є AdSense щоб показувати рекламу. Адсенс має якісь кукіси? Як питати згоду і чи можна адсенсу вказати «юзер не хоче кукіси, не став кукіси».
І ще є Google Analytics. Він напевно також має кукіси? Як це контролювати?

Насправді, все набагато складніше ніж в цій статті, кажу як людина що працює на проекті де намагаємся зробити універсальне рішення для кукі банерів і їх менеджменту :)

GDPR це далеко не все, якщо на ваш сайт зайде хтось з Каліфорнії, то там інший закон — CCPA — і баннер має робити геть інше, і буде мати інший вигляд. І цих законів стає все більше в різних країнах, через років 5 самому це підтримувати буде нереально.

Для цього треба згода?

Є Essential cookies, без яких сервіс не може працювати, їх можна не чіпати, але юзер має про них знати.

І ще є Google Analytics. Він напевно також має кукіси? Як це контролювати?

Ось таке зазвичай треба блочити ще до того як воно поставить свої кукіси. Тобто, ми маємо виявляти, які скрипти створюють кукіси, які ми по дефолту не дозволяємо, і їх блочимо. Якщо юзер натиснув Accept, то розблокуємо.

А ще є картинки або айфрейми які теж кладуть кукіси, їх теж треба блочити..

храни все данные из кук на серваке, а вместо авторизации используй фингерпринт

а що то за фінгерпринт такий?

Ну це я догадався. Але яку саме технологію використовувати щоб не можна було підробити? є щось надійне?

галочка «запамятати мене» не має бути чекнутою. в профілі запамятованого юзера має бути кнопка «забути мене».

Тому EDPB про Висновок WP29 від 2012 і нагадало ec.europa.eu/...​n/files/2012/wp194_en.pdf
Там якраз про то, чи банальні кукіз чи ні

Підписатись на коментарі