Относятся ли cookie-файлы к персональным данным согласно законодательству?

Что такое cookie-файлы простыми словами?

Cookie (куки) — это небольшие текстовые файлы, которые сайт автоматически сохраняет на устройстве пользователя (компьютере, смартфоне) при его посещении. Их главная задача — запоминать информацию о ваших действиях и предпочтениях.

В этих файлах может храниться:

• Данные для авторизации (логин, пароль в зашифрованном виде).

• Языковые настройки и валюта.

• Просмотренные товары или страницы.

• Данные о вашем устройстве (браузер, ОС).

• IP-адрес и местоположение.

• История кликов и переходов по сайту.

Когда вы переходите на страницу, сервер сайта считывает отправленный ему ранее cookie-файл и «узнает» вас, подстраивая контент под ваши нужды.

Какие бывают виды cookie?

Куки классифицируют по нескольким критериям, что важно для их правового регулирования.

1. По сроку жизни:

• Сеансовые (Session cookies): Существуют только в рамках одной сессии и удаляются после закрытия браузера.

• Постоянные (Persistent cookies): Сохраняются на устройстве в течение заданного времени (дней, месяцев, лет) и не удаляются после закрытия браузера.

2. По источнику:

• Собственные (First-party): Устанавливаются непосредственно тем доменом, который пользователь посещает.

• Сторонние (Third-party): Устанавливаются другими доменами (например, рекламными системами, аналитическими сервисами, виджетами соцсетей).

3. По целям использования:

• Технические (Необходимые): Обеспечивают работу сайта (корзина покупок, авторизация). Работают без согласия.

• Статистические (Аналитические): Помогают анализировать трафик и поведение пользователей (Google Analytics, Яндекс.Метрика).

• Маркетинговые (Рекламные): Используются для таргетирования рекламы и отслеживания эффективности рекламных кампаний.

Являются ли cookie персональными данными?

Короткий ответ: да, в большинстве случаев являются.

Чтобы это понять, обратимся к белорусскому законодательству. Основной регулятор в этой сфере — Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных».

Согласно ему, персональные данные — это «любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано».

Файлы cookie, особенно которые хранят уникальные идентификаторы, данные о местоположении, IP-адресе и истории поведения, позволяют выделить конкретного пользователя из массы и составить его цифровой профиль. Следовательно, они подпадают под это определение.

Что обязан сделать владелец сайта по закону?

Если ваш сайт собирает cookie, которые можно отнести к персональным данным (а это почти все, кроме строго технических), вы выступаете в роли оператора персональных данных и должны выполнить ряд требоватий.

1. Разработать и опубликовать Политику использования cookie

Это документ, в котором вы доступным языком объясняете:

• Какие типы cookie использует ваш сайт.

• С какой целью они собираются.

• Как долго хранятся.

• Передаются ли эти данные третьим лицам (например, Facebook, Google).

2. Получить действительное согласие пользователя

Это ключевое и обязательное требование. Простое использование сайта не считается согласием. Необходимо реализовать cookie-баннер (всплывающее окно), который:

• Появляется при первом посещении сайта.

• Содержит четкую информацию о сборе данных и ссылку на Политику.

• Дает пользователю реальный выбор: принять все cookie, отклонить все или настроить предпочтения (выбрать только необходимые типы).

• Фиксирует факт получения согласия.

Запрещенные практики:

• Предустановленные галочки в чекбоксах.

• Скрытый баннер или его отсутствие.

• Блокировка доступа к сайту, если пользователь отказался от необязательных cookie.

3. Обеспечить безопасность данных

Принятые cookie-файлы, как и любые персональные данные, должны быть защищены от несанкционированного доступа и утечек.

Штрафы за нарушение

Прямых публичных кейсов о штрафах именно за cookie в Беларуси пока немного. Национальный центр защиты персональных данных (НЦПД) чаще проводит проверки по более масштабным нарушениям. Однако отсутствие корректного cookie-баннера и политики конфиденциальности легко может стать одним из пунктов предписания, а в дальнейшем — поводом для административной ответственности.

Мировая практика показывает серьезность нарушений:

• Google и Amazon были оштрафованы во Франции на 60 и 35 млн евро соответственно за размещение рекламных cookie без согласия пользователя и за сложный механизм отказа от них.

• Суд в Нидерландах еще в 2015 году постановил, что cookie, позволяющие отслеживать поведение пользователя, являются персональными данными, даже без прямого указания ФИО.

Эти прецеденты задают тренд на ужесточение регулирования по всему миру, и Беларусь не исключение.

Выводы и рекомендации

1. Проведите аудит: Определите, какие именно cookie использует ваш сайт.

2. Разделите их: Выделите технические (не требующие согласия) и все остальные (статистические, маркетинговые — требующие согласия).

3. Разработайте документы: Подготовьте и разместите на сайте Политику использования cookie и Политику конфиденциальности.

4. Установите корректный cookie-баннер: Внедрите решение, которое запрашивает явное согласие и предоставляет пользователю выбор.

5. Храните доказательства согласий: Настройте запись факта получения согласия на вашей стороне.

Соблюдение этих правил не только убережет от потенциальных штрафов, но и повысит доверие пользователей к вашему ресурсу, демонстрируя уважение к их приватности.