Політика ЄС щодо файлів cookie: повний гайд

Серфінг в Інтернеті неможливо уявити без файлів cookie. Вони дозволяють сайтам запам’ятовувати наші уподобання та імена користувачів, не змушуючи нас щоразу входити в систему, інтернет-магазинам — відстежувати товари, які ми поклали в кошик, а бізнесу — оцінювати поведінку споживачів та вдосконалювати свої продукти та послуги. Багато в чому саме завдяки їм інтернет діє так, як ми цього очікуємо. При цьому файли cookie можуть створювати проблеми конфіденційності, і ЄС вважає за необхідне регулювати їх використання. У матеріалі — про те, кого стосуються вимоги, та як їх дотриматися.

Файли cookie, які розміщуються на сайтах з рекламною метою, можуть збирати інформацію про звички споживачів в інтернеті, бачити, які продукти вони переглядають і що купують.

Ці дані використовуються для демонстрування таргетованої реклами. Саме тому, якщо ви переглядали SSD-диски на маркетплейсі, подібні пропозиції можуть з’являтися у соціальних мережах чи онлайн-магазинах техніки.

Файли cookie корисні й для користувачів, і для власників сайтів: чим таргетованіша реклама, тим більше шансів, що по ній клацнуть. Можна сказати, що файли, що відстежують, — «менше зло», необхідне, щоб сайти залишалися безплатними.

З усім тим, багато хто вважає, що завдяки цим файлам занадто просто відстежувати поведінку користувачів в мережі та використовувати історії відвідувань в особистих цілях.

У 2011 році Європейський Союз погодився із цим. Влада вважає, що користувачі мають право знати, які файли cookie використовують відвідувані ними сайти та для яких цілей, а також мати можливість відмовитися від них, коли це необхідно.

У результаті Європейський парламент ухвалив Директиву 2009/136/ЄС, відому як Закон про файли cookie. Відповідно до неї, всі країни ЄС мають ухвалити закони, які вимагають від сайтів отримувати поінформовану згоду на те, щоб зберігати інформацію на комп’ютері відвідувача або пристрої з підтримкою інтернету та вилучати її.

Іншими словами, якщо сайт взаємодіє з користувачами з Європи та використовує файли cookie, йому необхідно повідомити їм, для чого використовуються ці файли, та отримати їхню згоду.

Законодавство ЄС щодо cookies

Закон про cookies з’явився як директива Європейського Союзу, спрямована на захист конфіденційності в інтернеті. З того часу деякі варіації цих заходів було вжито всіма країнами ЄС.

Закон про cookies зобов’язує власників сайтів, які використовують файли cookie, виконувати чотири дії.

Повідомляти кожного відвідувача про те, що сайт використовує файли cookie.
Надавати докладну інформацію про те, для яких цілей будуть застосовуватись дані з цих файлів.
Пропонувати кілька способів прийняти використання файлів cookie або відмовитись від нього.
У разі відмови переконатися, що файли cookie не зберігатимуться на пристрої користувача.

Які файли cookie не потребують згоди

Для деяких cookies, які необхідні для правильної роботи сайту, робиться виняток.

Наприклад, коли користувач інтернет-магазину додає товари в кошик, він очікує, що ці товари будуть там при оформленні замовлення. Цю можливість забезпечують файли cookie, і вони вважаються «необхідними».

З іншого боку, онлайн-магазин не зобов’язаний надавати індивідуальний досвід користувача та пропозиції. Файли cookie, які активують ці функції, не входять до категорії «суворо необхідних», і для них потрібно отримувати згоду користувача.

Файли cookie, які забезпечують функції безпеки для сайтів, де очікується високий рівень безпеки, таких як сайти онлайн-банкінгу, також вважаються необхідними.

Ось що йдеться в рекомендаціях ЄС щодо «суворо необхідних» cookies:

«Це не повинно перешкоджати будь-якому технічному зберіганню або доступу з єдиною метою здійснення передачі повідомлення мережею електронних комунікацій або як строго необхідне для того, щоб постачальник послуг інформаційного суспільства, явно запитаний абонентом або користувачем, надав послугу».

Якщо ви не впевнені, чи є ваші cookies “суворо необхідними”, варто звернутися до місцевих регуляційних органів – вони нададуть додаткову інформацію та рекомендації для конкретної країни.

Будь-який файл cookie, який не підпадає під визначення “суворо необхідного”, вимагає згоди, перш ніж ви зможете зберегти його на пристрої відвідувача.

Закон стосується не лише cookie

Насправді файли cookie не згадуються в самому регламенті. Існує безліч способів зберігання інформації користувача, і багато з них включають передачу файлів на комп’ютер, телефон або планшет користувача. Регламент не називає будь-якої технології явно, і це зроблено навмисно: щоб охопити всі варіанти, а також ті, які ще будуть створені.

То що це означає? Файли cookie – це найпоширеніша технологія, яка використовується для зберігання інформації користувача на його персональному пристрої. Саме тому цей закон часто називають Законом про cookies. Однак будь-яка інша технологія, яка зберігає інформацію в браузері користувача або деінде на його пристрої, повинна бути розкрита та отримати схвалення.

До них відносяться такі інструменти, як Flash та локальне сховище HTML5, обидва з яких зберігають інформацію локально аналогічно файлам cookie.

На кого поширюється закон

На всі сайти, які використовують файли cookie (їх власники можуть навіть не усвідомлювати цього).

Більшість сучасних систем керування контентом, таких як WordPress або Drupal, а також ПЗ для ведення блогів, форуми та багато інших вебдодатків використовують файли cookie для ідентифікації користувача, входу в систему або відстеження коментарів.

Інтернет-магазини застосовують файли cookie для всього – від кошика покупок до облікових записів користувачів та індивідуальних рекомендацій товарів.

Google Analytics, Google AdSense, AdWords, соціальні медіаплагіни (кнопки “Мені подобається”), вбудовані відеоролики YouTube або інший медіаконтент також можуть містити cookie.

Якщо ви не впевнені, чи використовує ваш сайт файли cookie, перевірити це можна за допомогою Google Chrome.

У браузері відкрийте Інструменти розробника (F12 для Windows та Cmd+Opt+J для Mac).
Перейдіть на вкладку Application. У розділі Cookies можна знайти потрібну інформацію.
Обов’язково завітайте на кожну сторінку і протестуйте всі можливі точки взаємодії: залиште коментар, увійдіть до системи, поставте позначку «Мені подобається» тощо.
Якщо розділ порожній, ймовірно, турбуватися нема про що. Однак якщо вдалося знайти файли cookie, настав час розглянути варіанти.

Як власнику сайту дотриматися закону

Правила ЄС не встановлюють конкретних вимог — швидше, це побажання високого рівня. Як їх дотримати, багато в чому залежить від власника сайту. Розглянемо кілька варіантів.

Не збирайте cookie

Це здається очевидним рішенням, але його не так легко реалізувати. Він підійде для простого статичного сайту. За допомогою браузера знайдіть сторінки з файлами cookie та видаліть код, який їх містить.

Однак, якщо на сайті є складніші елементи, доведеться врахувати, ніж пожертвувати в цьому процесі. Наприклад, ви ведете на ньому щоденний блог, а cookie потрібні для коментарів. Вимкнути коментарі лише для того, щоб не повідомляти своїх відвідувачів про файли cookie? Скоріш за все ні.

Додати вікно що спливає

Насправді немає конкретних інструкцій щодо того, як необхідно інформувати користувачів або яку саме інформацію їм необхідно надати. Проте є кілька загальноприйнятих підходів.

Насамперед повідомте користувачам, що сайт використовує файли cookie. Це можна зробити за допомогою спливаючого вікна, рядка заголовка або аналогічного елемента. На даному етапі формулювання може не бути докладним. Подробиці можна повідомити на іншій сторінці. Важливо те, що попередження існує і що воно включає можливість відмовитися від використання файлів cookie.

Приклад тексту: «Ми розмістили файли cookie на вашому пристрої, щоб допомогти зробити цей вебсайт кращим. Тут можна змінити налаштування файлів cookie. Інакше ми вважатимемо, що ви згодні продовжити».

У спливаючому вікні або рядку заголовка залиште місце для згоди або відмови користувача. Якщо попередження проігноровано, можна припустити, що користувач погоджується з умовами.

Отримайте згоду

Залежно від законодавства конкретної країни ЄС форма згоди користувача може бути різною. У деяких випадках потрібно натиснути кнопку «Згідний з використанням cookie», перш ніж отримати доступ до сайту.

Інший підхід – показати коротке повідомлення, що інформує про використання файлів cookie, зазвичай у рядку заголовка або іншому елементі, який не заважає доступу. Після закінчення заданого проміжку часу, який може становити лише кілька секунд, оголошення може зникнути. У цьому випадку мається на увазі, що якщо користувач залишається на сайті, він згоден.

При цьому Національна комісія у справах інформаційних технологій та прав людини (CNIL) Франції (на початку 2022 року оштрафувала Google та Meta через політику збору даних) наголошує, що згода має бути добровільною та явною.

Відомство вважає, що висловити згоду можна тільки через дію, наприклад, натиснувши кнопку і що власник сайту зобов’язаний у будь-який час довести, що користувач погодився.

Крім того, користувач повинен мати можливість відкликати згоду, причому з тією ж легкістю, що і дати його.

Доповніть «Правила та умови використання сайту»

Іноді спливаюче вікно заважає досвіду користувача, і тому деякі компанії включають інформацію про файли cookie в розділ, присвяченим правилам і умовам використання сайту. Це досить зручний та ненав’язливий метод, але він має ряд особливостей.

По-перше, користувачі повинні погодитись на використання файлів cookie. Зазвичай це робиться на етапі реєстрації чи входу до системи. Якщо веб-сайт не вимагає від користувачів реєстрації, цей варіант, ймовірно, не підійде.

По-друге, якщо умови використання cookie змінюються, не можна просто оновити чинні правила та умови використання сайту. Якщо користувачі сайту раніше вже дали згоду, необхідно повідомити їх про нові умови та знову отримати їхню згоду.

Використовуйте спеціальну програму

Існує безліч доступних програм та плагінів, які допомагають дотримуватися законів про файли cookie.

Залежно від свого функціонала вони можуть ідентифікувати cookie на сайті, створити докладний список того, як вони використовуються, проінформувати користувачів та отримати їхню згоду. Деякі програми можуть навіть оновлювати налаштування та інформування у міру зміни файлів cookie.

Коли потрібно запитувати згоду користувача

При першому відвідуванні сайту користувач повинен дозволити використання cookie. При повторних відвідуваннях вимагати згоди не потрібно (файли cookie дозволяють ідентифікувати повторних відвідувачів). Як тільки згода отримана, мається на увазі, що вона поширюється на кожен візит.

Крім того, не потрібно отримувати згоду кожного разу, коли змінюються файли cookie (за винятком випадків, коли спосіб використання інформації зазнав істотних змін — тоді потрібно ще раз запитати згоду користувачів).

Надання інформації про файли cookie

Незалежно від методу, який використовується для отримання згоди, власнику сайту необхідно надати детальну інформацію про типи файлів cookie, що використовуються, і про те, як вони використовуються.

Це можна зробити на окремій сторінці, у Політиці використання файлів cookie, у Політиці конфіденційності або Правилах та умовах використання сайту. У будь-якому випадку, ця інформація повинна бути доступна за посиланням на кожній сторінці вашого сайту.

Конкретних вимог до інформації немає. Рекомендований спосіб — докладно описати типи файлів cookie, що використовуються, і як застосовується інформація, яку вони не надають. Докладно описувати кожен окремий файл не варто: багато хто з них робить по суті те саме.

Важливо звернути увагу на будь-які сторонні cookie-файли, які можуть створити найбільші проблеми, пов’язані з недотриманням законодавства.

Хороша ідея описати, що таке файли cookie, хоча це і не обов’язково. Чим більше інформації надати відвідувачам сайту, тим комфортніше вони почуватимуться щодо cookie.

Після того, як на сайті розміщена вся необхідна інформація, регулярно перевіряйте сайт щодо змін та актуалізуйте інформацію про файли cookie.

Поширені питання

Що таке cookie?

Файл cookie — дуже маленький текстовий файл. При відвідуванні сайту сервер, на якому він розміщений, поміщає цей файл на комп’ютер користувача (зазвичай серед налаштувань браузера).

Як тільки файл cookie потрапляє на комп’ютер, він діє приблизно так, як і бонусна карта. При наступному відвідуванні цього сайту файл cookie повідомить сайту, хто ви такий, а також надасть будь-яку іншу інформацію, необхідну для персоналізації досвіду користувача.

Що саме повідомляє cookie залежить від сайту.

Якщо на ресурсі потрібно входити в систему, файл cookie дозволяє залишатися в системі або запам’ятовувати ім’я користувача.
Якщо сайт надає прогноз погоди, файли cookie дозволяють йому запам’ятовувати розташування користувача.
Сайти, які використовують рекламні файли cookie, можуть розміщувати інформацію про переглянуті або придбані товари, на підставі якої зображатиметься реклама.

Типи cookie

Існує три основні типи файлів cookie.

Сесійні – це тимчасові файли cookie. Вони зберігають інформацію про поточний сеанс, а потім видаляються під час закриття браузера. Часто вони дають змогу відстежувати товари в кошику інтернет-магазину або використовуються при доступі до сайту банку. Cookie цього типу з найменшою ймовірністю можуть викликати проблеми з конфіденційністю, і багато хто з них потрапляє в категорію «суворо необхідних».
Постійні файли cookie, що стежать, розміщуються на жорсткому диску пристрою і не видаляються при закритті браузера. Вони дозволяють розпізнавати користувача при вході на сайт, а також відстежувати його поведінку, щоб покращувати досвід користувача і будувати аналітику. При цьому вони можуть зберігатися протягом невизначеного проміжку часу і можуть бути використані з рекламною метою, а також передавати третім особам особисті або технічні дані. Найчастіше саме вони викликають проблеми конфіденційності.
Незалежні від браузера файли cookie діють часто як постійні, за винятком того, що вони не зберігаються браузером, а поміщаються у відповідні програмні файли. Це ускладнює їх видалення: для цього може знадобитися встановити окрему програму. Незалежні cookie є цінними для власників сайтів, оскільки їх можна використовувати для резервного копіювання традиційних даних файлів cookie. Таким чином, навіть якщо користувач видалить у себе cookie, сайт все одно зможе розпізнати його і надати той же досвід користувача. Звичайно, якщо на сайті використовуються незалежні від браузера файли cookie, власнику необхідно буде повідомити про це.

Блокування cookie

Всі сучасні браузери надають користувачам спосіб заблокувати cookie. Як правило, цей параметр можна встановити в налаштуваннях безпеки або конфіденційності, або вибрати у спливаючому вікні опцію “Не відстежувати”.

У деяких випадках браузери можуть бути налаштовані на автоматичне блокування різних типів файлів cookie. Chrome, наприклад, дозволяє користувачам скидати локальні дані при закритті браузера, заборонити сайтам розміщувати будь-які дані на комп’ютері або блокувати всі сторонні файли cookie.

Законодавство ЄС дозволяє орієнтуватися на ці налаштування, запитуючи згоду користувача. Однак їх підтримують не всі браузери й не варто будувати свою політику захисту даних виключно на них.

Що, якщо користувач заборонить збирання cookie?

Якщо відвідувач сайту не дає дозволу на cookie, власник має кілька варіантів обробки запиту.

Найпростіший варіант – нічого не робити. Просто повідомите користувачеві, що на сайті використовуються файли cookie. Наступний крок залежить від нього: залишити сайт або оновити налаштування браузера. Цей варіант передбачає найменшу кількість роботи для власника сайту, але не забезпечить найкращий досвід для користувачів.

Також можна повідомити користувачів, як оновити налаштування браузера: дати посилання на зовнішній ресурс або скласти власний посібник. Інформацію можна додати до спливаючого вікна, яке з’являється після відмови користувача, або додати до політики конфіденційності, список файлів cookie або окремою сторінкою.

Щоб спростити інтерфейс користувача, можна налаштувати сайт так, щоб він відключав файли cookie при відмові користувача або дозволити йому вибрати, який тип файлів зберегти, і відключити всі інші.

Такий підхід забезпечить найкращий загальний досвід користувача і найменшу ймовірність того, що користувачі просто покинуть сайт. Однак це, ймовірно, також призведе до більшого рівня відмов або часткової відмови. Для сайту, який значною мірою покладається на файли cookie для аналітики або отримання прибутку від реклами третіх осіб, це може виявитися не найкращим варіантом.

Які покарання чекають на власників сайтів

Строго кажучи, Закон ЄС про файли cookie не є законом. Тому вимоги та відповідні покарання встановлюються місцевими органами влади, і потенційні штрафи відрізнятимуться залежно від місця проживання власника сайту.

Найімовірніше, при порушенні місцеві регулятори зроблять одну з таких дій.

Запит додаткової інформації. Перш ніж місцевий регулятор почне надсилати запити на внесення змін, він може попросити власника надати додаткові дані: типи файлів, що використовуються, посилання на розділ сайту з інформацією про cookie та інше, що дозволить визначити, чи відповідає майданчик вимогам, чи їй необхідно докласти додаткових зусиль.
Запит на внесення змін. Якщо регулятор зафіксував порушення сайту, він попросить їх усунути. Це можна вважати дружнім попередженням: якщо на сайті ще немає вікна з попередженням про збір cookie, зараз саме час його зробити.
Примусове виконання. На цьому етапі місцевий регуляційний орган вимагатиме виконати конкретні дії протягом встановленого проміжку часу. Якщо власник не підкориться, то йому можуть бути пред’явлені кримінальні звинувачення.
Штрафи. Провини, які караються штрафом, та максимальна сума, варіюються залежно від країни. Для більш детальної інформації варто проконсультуватися з місцевим регуляційним органом. Рішення – переконатися, що сайт відповідає вимогам, щоб не довелося турбуватися про штрафи.

БІЛЬШЕ ЦІКАВОГО:

Джерело: PrivacyPolicies