+7 (499) 550-80-03
4people@grfc.ru
    • Главная Аналитика и законодательство Экспертное мнение Интернет-технологии Что такое файлы сookies?  
    20 сентября 2022

    Что такое файлы сookies?  

    Тема: Интернет-технологии

    Нормативного определения сookies и детализации порядка их обработки отечественное законодательство не содержит. Различные толкования термина можно встретить в научной и популярной литературе.

    Ашманов И.С. и Касперская Н.И. определяют сookies как небольшие текстовые файлы, которые остаются в компьютерных устройствах пользователя после посещения сайтов и используются для дальнейшей идентификации пользователя.

    Гадельшин А.А. и Степанов М.М. называют сookies «видом данных о людях, которые не относятся к персональным данным», а их классификация, по мнению авторов, является предметом для дискуссии.

    Во многих источниках мы можем встретить в различных интерпретациях несколько теорий возникновения термина (cookies от англ. «печенье»). В частности, одна из них отталкивается от функции файлов по отслеживанию пользовательской активности, утверждая, что название «интернет-печенье» пришло из сказки о двух детях по имени Гензель и Гретель «Пряничный домик», по сюжету которой дети отмечали свой путь через темный лес, бросая на землю крошки печенья.

    Следующая версия о волшебном печенье Magic cookies – это программистский термин для обозначения короткого фрагмента данных или токена, передаваемых между программами. Файл часто использовался для идентификации определенного события или транзакции.

    И наконец, предположение о том, что после увольнения одного из программистов компании, в офисе стали происходить сбои компьютерной системы. И когда она полностью останавливалась, на экране отображалось сообщение: «Дайте мне печенье». Система не возвращалась в нормальное состояние, пока оператор не ввел слово «cookies».

    Сookies «один из многих видов следов, которые мы оставляем в интернете». Некоторые авторы полагают, что в эти файлы можно записать практически любую информацию о посетителе сайта: во сколько и с какого устройства человек заходил на страницу, какими товарами интересовался и так далее.

    При посещении любого сайта можно узнать, собирает ли он информацию о вас. Для этого достаточно открыть раздел настроек браузера «Конфиденциальность».

    Текстовая запись cookies содержит: имя файла, сохранённые данные, период хранения, домен сервера, создавшего файл, сведения о доступе к записям с помощью HTTP-соединения, место расположения документов, которым разрешён доступ к записям.

    Технически сookies значимы только для сервера, к которому пользователь обращается. В момент запроса сайт ищет подходящий cookies на устройстве пользователя, затем изучает сохранённую информацию и извлекает необходимые для сеанса данные. Так, в своём браузере вы вводите URL-адрес сайта, браузер отправляет соответствующий запрос на сайт и ищет на вашем устройстве файл cookies этого сайта. Если cookies присутствует, он отправляется вместе с URL-адресом на сервер сайта, а если файл не найден, то cookies не отправляется. Когда сервер сайта получает данные cookies, он может их использовать. При отсутствии cookies сервер идентифицирует пользователя как нового посетителя.

    Файлы cookies используются в веб-браузерах на протяжении многих лет, производители применяют содержащиеся в них сведения для показа рекламы, владельцы веб-сайтов – для оценки аудитории. Разработчикам cookies помогают обеспечивать более персонализированное посещение ресурса. Без данного технологического решения просмотр веб-страниц был бы менее удобным для пользователя, например, при каждом закрытии страницы потребовалась бы авторизация.

    Однако, несмотря на многочисленные плюсы, файлы cookies рассматриваются как инструмент для вторжения в частную жизнь, потому что содержащиеся в них сведения могут использоваться для создания так называемых «поведенческих профилей», которые запоминают ваши привычки в Интернете для показа определенного целевого контента.

    Также выделяют сторонние файлы cookies, которые устанавливаются иными доменами, нежели те, которые посещает пользователь. Они, как правило, администрируются третьими лицами, которым сайт (а не сам пользователь) направлял запросы при посещении интернет-сайта. Такие cookies могут быть необходимы для корректной работы ресурса, но в основном используются для того, чтобы третьи лица могли получить информацию о посещенных веб-страницах и для создания цифрового портрета пользователя, в том числе с целью рекламы.

    К ним относятся Super-cookies – файлы, которые хранятся у провайдера и недоступны пользователям. Они работают исключительно в их интересах, например, для обмена данными с рекламодателями и другими партнёрами. Формируются и отслеживают такие файлы даже если вы зашли в браузер в режиме «Инкогнито», но только в том случае, если вы до этого посещали сайт без средств сохранения конфиденциальности.

    К сторонним файлам возможно отнести и Evercookies – неудаляемые файлы (после удаления их восстанавливают программным способом и удаляют полностью таким же образом).

    При посещении сайтов пользователи соглашаются с использованием на них cookies, не задумываясь о их роли в формировании «цифровых следов» и сборе персональных данных.

    Нередко, стремясь скорее получить информацию, за которой пришли на сайт, пользователи сразу нажимают кнопку «Принять и закрыть», чтобы закрыть окно, препятствующее навигации по сайту.

    Даже если это означает разрешение на сбор неизвестного объема данных о пользователе с неизвестной целью. Антиподы кнопки «ОК» кнопки «Отказаться» или «Настроить» зачастую отсутствуют. В некоторых же случаях, администратор сайта, предвидя, что пользователь может и не нажать иконку о согласии, создает баннер, информирующий, что в случае продолжения навигации по сайту, вы соглашаетесь с правилами использования cookies.

    Массово в пользовательских соглашениях интернет-ресурсов можно встретить утверждение, что сайт «не персонализирует данные», т.е. не привязывает к конкретному пользователю.

    Однако некоторыми интернет-ресурсами собираются cookies, позволяющие идентифицировать пользователя. При этом во многих случаях сбор таких данных избыточен, то есть не оправдан целями их сбора и обработки. Кроме того, пользователь лишен возможности при первом посещении сайта знать о том, какую информацию накапливают cookies.

    Помимо отмеченного, информация, содержащаяся в cookies, нередко слабо защищена. При этом она представляет большой интерес для недобросовестных игроков в цифровой среде. Он продиктован возможностью направления пользователю навязчивой таргетированной (персонализированной) рекламы, в том числе теми участниками рынка товаров и услуг, к которым пользователь не обращался.

    При применении агрессивных технологий возможно завладеть cookies. Учитывая, что большинство IT-гигантов отошли от системы разрозненных сервисов и объединили их, получив возможность обработать большие данные из разных сервисов, при получении доступа к cookies, стало возможным узнать не только его покупательские предпочтения, но и фамилию, имя, отчество, когда и куда он ездил на такси, что он искал в магазине, какую еду заказывал на дом, какие фильмы смотрел, какие статьи читал и т.п.

    Многие пользователи отмечают, что, введя в поисковике запрос, связанный с покупкой какой-либо вещи, спустя некоторое время устройства заполняются рекламными объявлениями аналогичных товаров. Это и есть таргетированная реклама, которая сформирована на основании содержания ваших cookies.

    С учетом обозначенных проблем государства-участники «Конвенции о защите физических лиц при автоматизированной обработке персональных данных» (Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data CETS No.: 108, далее — Конвенция) уделяют немало внимания правилам использования cookies.

    Основным нормативных правовым документом в сфере обработки cookies является Генеральный регламент по защите персональных данных, принятый 27.04.2016 решением Европейского Парламента и Совета (General Data Protection Regulation (далее – GDPR). По сути, он представляет собой два документа: Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27.04.2016 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (далее – GDPR), и Директива № 2016/680 Европейского парламента и Совета Европейского Союза  о защите физических лиц при обработке персональных данных компетентными органами в целях предотвращения, расследования, выявления или уголовного преследования преступлений или исполнения уголовных наказаний, о свободном обращении таких данных, а также об отмене Рамочного Решения 2008/977/ПВД Совета ЕС.

    GDPR является наиболее полным актом о защите данных, однако его требования в части использования онлайн-идентификаторов достаточны общие – cookies упоминаются лишь дважды в тексте.

    Указано, что информация, получаемая с помощью cookies, может служить инструментом для формирования профиля пользователя и его идентификации, и в определении «персональных данных» указано на онлайн-идентификатор, содержащий характерные для идентифицируемого физического лица физические, физиологические, генетические, духовные, экономические и культурные факторы, а также факторы социальной идентичности.

    Анализ правоприменительной и судебной практики показывает значительное влияние Директивы 2009/136/ЕС Европейского парламента и Совета от 25.11.2009 (далее – Директива 2009/136/ЕС) в регулировании cookies. Правовой акт вносит поправки в Директиву 2002/22/ЕС об универсальном обслуживании и правах пользователей в отношении сетей и услуг электронных коммуникаций и Директиву 2002/58/ЕС об обработке персональных данных и защите конфиденциальности в секторе электронных коммуникаций (ePrivacy Directive, далее – ePD). При этом ePD, хоть и является официальным документом ЕС, но представляет собой набор базовых правил, которые государства-члены ЕС имплементируют
    в национальное законодательство.

    Так, статья 5 (3) ePD предусматривает обязанность государств-членов ЕС гарантировать, что хранение или получение доступа к информации, уже сохраненной на терминальном оборудовании абонента или пользователя, допускается только при условии наличия согласия заинтересованного абонента или пользователя, обеспеченного точной и полной информацией в соответствии с Директивой 95/46/ЕС.

    Пункт 66 ePD гласит, что третьи лица достаточно часто заинтересованы в размещении данных на устройстве пользователя или в получении доступа к ранее размещенным данным. При этом они руководствуются самыми разными причинами, как законными (при загрузке различных видов cookies), так и связанными с неправомерным вторжением в частную сферу (при установке шпионских программ или вирусов). Поэтому крайне важно, чтобы пользователи обладали ясной и полной информацией, когда их действия влекут такое размещение или предоставление доступа. Методы доведения до пользователя таких сведений и предоставления им возможности отказаться должны быть максимально удобными. Исключения должны ограничиваться случаями, когда техническое размещение данных и доступ к ним совершенно необходимы в легальных целях использования сервиса, явно запрошенного клиентом.

    Таким образом, ePD требует от владельцев интернет-сайтов определенных функциональных изменений в работе сайтов в части полного информирования посетителей о сборе данных и получения их явно выраженного согласия до оказания услуги.

    Попытка ужесточения использования персональных данных предпринята в 2017 году путем замены Директивы 2009/136/EC на Регламент ЕС о защите конфиденциальности в секторе электронных средств связи (ePrivacy Regulation (далее – ePR). В отличие от ePD, ePR предполагался как правовой акт прямого действия, который сразу же вступает в силу в качестве закона во всех государствах-членах союза одновременно.

    Первоначальный проект ePR преследовал целью дополнить и укрепить требования, сформированные GDPR, защитить пользователей онлайн-сервисов от спама и навязчивой рекламы, усилить контроль над персональными данными.

    Из нововведений ePR предусматривал возможность выражения согласия с помощью соответствующих настроек браузера или иного приложения. Так, выбор, сделанный конечными пользователями при установке общих настроек, будет иметь обязательную силу для любых третьих сторон и подлежать принудительному исполнению. Вопрос о разрешении использования cookies решался при первой установке браузера (или нового обновления). Пользователи должны выбрать, допускают ли они использование cookies и каких именно. Отзыв данного согласия должен быть возможен в любое время, а о возможности такой функции следует напоминать каждые 6 месяцев. Проект также обязывал рекламодателей раскрывать свои номера телефонов и использовать специальные префиксы, позволяющие идентифицировать рекламный звонок. Накладывался строгий запрет на «стены cookies» и спам – если пользователь не желает получать маркетинговые звонки или письма, то он должен быть внесен компанией в отдельный список.

    За нарушение вышеперечисленных норм предполагался штраф до 20 миллионов евро или до 4% от годового оборота оператора.

    Первоначально намерение состояло в том, чтобы ввести ePR в силу до 25.05.2018, то есть в тот же день, что и GDPR, но проект получил негативное отношение со стороны Совета Европы, несмотря на положительное заключение Европейского Парламента.

    Актуализированный текст проекта опубликован  21.02.2021 Советом Европы (pdf). В новой версии стены cookies не запрещены до тех пор, пока пользователю предоставляется эквивалентное предложение для услуги без использования файлов cookies. Возможность выражения согласия на обработку cookies детализирована через настройки браузера: если браузер настроен на прием определенных файлов cookies,но пользователь говорит «нет» – выбор имеет преимущественную силу.

    Планируется, что итоговый текст ePR будет принят в 2024 году.

    На основе указанных нормативных правовых актов файлы cookies по техническому аспекту можно классифицировать на четыре разные группы:

    • строго необходимые файлы cookies, которые используют с единственной целью предоставления запрошенной услуги (например, хранения товаров в онлайн-корзине) и они освобождены от требования получения согласия;
    • эксплуатационные файлы cookies, которые собирают информацию о том, как посетители используют веб-сайт (например, о посещениях страниц
      и скорости загрузки страниц); данные файлы также освобождены от требования получения согласия, поскольку не могут идентифицировать посетителя;
    • функциональные файлы cookies, позволяющие веб-сайту запоминать выбор, сделанный посетителями (например, имя пользователя
      и язык, и предоставлять улучшенные персонализированные результаты). Такие файлы обычно требуют согласия (на практике мы видим, что согласие у пользователя зачастую запрашивается, поскольку веб-сайт не размещает функциональные
      или рекламные файлы cookies);
    • целевые или рекламные файлы cookies, которые используются для показа более актуальной для пользователя рекламы, поскольку она основана на его интересах, даже если сам сайт не показывает рекламу (часто эти cookies являются сторонними файлами), такие файлы всегда требуют наличия согласия пользователя.

    Для содействия применению GDPR всеми государствами-членами на территории Союза функционирует Европейский комитет по защите данных (European Data Protection Board (далее – EDPB), который в числе прочего издает руководства по применению GDPR (далее – Руководство).

    Так, Руководство по применимости статьи 6(1)(b) GDPR в контексте предоставления онлайн-услуг субъектам данных от  09.04.2019  призвано помочь в определении правового основания обработки персональных данных при заключении с субъектами контрактов на оказание им онлайн-услуг, независимо способа их оплаты.

    В Руководстве изложены следующие положения, которые могут применены
    и к cookies:

    • сбор детальной информации о пользователе для улучшения сервиса должен осуществляться на иных основаниях, таких как легитимный интерес
      и согласие;
    • контракт с клиентом обычно не является основанием для демонстрации ему таргетированной рекламы, он имеет право возражать против прямого маркетинга;
    • отслеживание групп пользователей для демонстрации им определенного товара не является необходимым для исполнения контракта.

    В другом Руководстве (pdf) EDPB разъясняет, что стены cookies — баннеры, блокирующие доступ к контенту, пока пользователь не выразит согласие на обработку персональных данных, противоречат требованиям GDPR. Стены вынуждают пользователей принимать условия сбора данных, в то время как такое согласие должно быть добровольным.

    EDPB является независимым европейским органом, в котором также участвуют главы надзорных органов государств – членов ЕС, в функции которых также входит защита персональных данных в пределах подведомственной территории
    и в этой связи ими издаются толкования национальных норм права.

    В целом, стоит заметить, что по причине опосредованного действия Директивы 2009/136/ЕС в государствах-членах, нормы, определяющие обработку персональных данных, конкретизируются в национальных законодательных актах. Их анализ показал, что по состоянию на 2022 год все государства-члены ЕС включили требования ePD в свои законодательные акты, то есть требования унифицированы.

    Во Франции анализируемые правоотношения регулирует закон «Об информатике, файлах и свободах» от 06.01.1978 № 78-17 (далее – Закон № 78-17).

    Статья 82 Закона № 78-17 воплощает во французском законодательстве статьи 5 (3) Директивы 2002/58/EC «конфиденциальность и электронные сообщения», в которой, в частности, предусматривается обязательство запрашивать согласие пользователей интернета до любых операций записи или чтения файлов cookies и других устройств отслеживания. Пункт 2 названной статьи предусматривает, что согласие пользователя на использование файлов cookies и других средств отслеживания может быть результатом «соответствующих настроек» оборудования, используемого для подключения, или любого другого устройства, находящегося под единоличным контролем пользователя (в том числе программное обеспечение для веб-браузера).

    Вместе с этим национальный регулятор по защите персональных данных и информации Национальной комиссии по информатике и свободе (далее – CNIL) считает, что пользователи не могут давать согласие на использование cookies через настройки веб-браузера. В постановлении «О принятии руководящих принципов по применению статьи 82 Закона от 06.01.1978.» от 17.09.2020 № 2020-091, CNIL указывает, что доступное в настоящее время программное обеспечение для просмотра веб-страниц не позволяет пользователям выражать согласие, соответствующее стандарту GDPR (недостаточная предварительная информация, отсутствие возможности согласия для целей использования файлов cookie), и контроль для других технологий отслеживания отсутствует. В правовом акте также:

    • на оператора возложена обязанность демонстрации пользователю модуля настроек cookies на каждой странице ресурса;
    • запрещены предзаполненные чек-боксы уведомлений;
    • непрерывный просмотр веб-сайта или использование мобильного приложения (т.е. без какого-либо выбора со стороны пользователя) не моuen быть истолкованы как надлежащее согласие на обработку персональных данных, по умолчанию такие действия расцениваются отказом;
    • защите подлежат любые cookies, независимо от того, содержат ли они персональные данные или нет. Предварительное согласие пользователя не требуется на обработку тех cookies, единственной целью которых является осуществление или облегчение передачи сообщений по сети электронных коммуникаций или в случае крайней необходимости для предоставления услуг, явно запрошенных пользователем.

    В статье 8 постановления CNIL «Об электронных коммуникациях» от 24.08.2011 № 2011-1012 вводится прямой запрет на изучение рынков сбыта при помощи автоматизированных систем коммуникации, телекопирования или электронной почты, с использованием координат лица, который не выразил свое предварительное согласие на получение подобных данных электронным путем. Покупать маркетинговые списки с персональными данными у третьих лиц можно, если имеется соответствующее разрешение на передачу персональных данных от субъектов, содержащихся в списках, и обеспечивается надлежащая защита информации. Операторы Интернета, ответственные за обработку персональных данных, должны получить согласие пользователей, предварительно предоставив им ясную и полную информацию (в частности, цель и описание способов отказаться) до установки cookies.

    В Испании сфера обработки персональных данных подпадает под действие закона «Об услугах информационного общества и электронной торговле» от 11.07.2002 № 34/2002 (далее – Закон № 34/2002) и закона «О защите персональных данных и гарантии цифровых прав» от 05.12.2018 № 3/2018.

    Положения статьи 5 (3) ePD нашли отражение в статьях 11, 22 Закона № 34/2002, предписывающих запрет на отправку рекламных сообщений по электронной почте и иным эквивалентным средствам связи, которые ранее не были прямо разрешены адресатом. При этом, если поставщик услуги намерен использовать адрес электронной почты получателя для коммерческих сообщений, то требуется довести это намерение до сведения клиента и заручиться его согласием до начала процедуры отправки сообщений. За получателем закреплено право на отзыв такого согласия с корреспондирующей обязанностью отправителя обеспечить простые и бесплатные способы отзыва согласия.

    Надзор за выполнением требований законодательства при обработке персональных данных обеспечивает Agencia Española de Protección de Datos (далее – AEPD), которое в числе прочего правомочно разъяснять закон.

    В Руководстве AEPD по обработке cookies от 31.10.2020 сказано, что простой просмотр пользователем сайта не будет рассматриваться как законная форма сбора согласия. Следовательно, согласие пользователя должно быть явным и собираться с помощью полей активации или кнопок маркировки («я принимаю» или «я согласен») или с помощью любой другой формулы, которая требует прямых и недвусмысленных действий.

    В отличие от позиции CNIL в вопросе надлежащего способа получения согласия AEPD допустило возможность дачи согласия на использование cookies путем изменения настроек веб-браузера при условии, что пользователи отдельно выразили свое согласие для каждой из предусмотренных целей и им предоставлена идентификация соответствующих операторов данных.

    В Соединенном Королевстве Великобритании и Северной Ирландии, бывшем государстве-члене Европейского Союза, надзор осуществляется Управлением комиссара по информации (Information Commissioners Office (далее – ICO). Реализуя политику единообразного и адекватного применения норм, регламентирующих обработку персональных данных с практиками Европейского Союза, ICO издало руководство по использованию файлов cookies и аналогичных технологий, основанное на Правилах конфиденциальности и электронных коммуникаций (Privacy and Electronic Communications (далее – PECR), соответствующих ePD и имеющих приоритет над британским законом «О защите данных».

    Регулятор указывает, что принципы обработки персональных данных в равной степени распространяются не только на cookies, но и на иные аналогичные технологии, такие как JavaScript, CSS, API, плагины и пиксели отслеживания.

    Например, для легитимного использования отслеживающих пикселей во вложениях в электронную почту оператору данных требуется руководствоваться пунктами 6 и 22 PECR, гласящими, что отправка электронной почты в целях прямого маркетинга допустима, при совокупности следующих условий:

    • оператор получил контактные данные получателя этого электронного письма в ходе продажи или переговоров о продаже продукта или услуги этому лицу;
    • прямой маркетинг касается только аналогичных продуктов и услуг;
    • получено согласие получателя и одновременно предоставлена четкая и исчерпывающая информация о целях хранения или доступа к этой информации.

    В Федеративной Республике Германия нормы ePrivacy реализованы в разделе 25 закона «О защите данных и защите конфиденциальности в телекоммуникациях и телекоммуникациях» (pdf) от 01.12.2021 (TTDSG ).

    TTDSG в том числе регулирует вопросы обеспечения конфиденциальности и обработки онлайн-идентификаторов. Из анализа норм следует, что их обработка допускается, если конечный пользователь дал согласие на основе четкой и исчерпывающей информации. Информация о конечном пользователе и согласие должны быть предоставлены в соответствии с Регламентом (ЕС) 2016/679. Согласие не требуется, если единственной целью хранения или доступа к информации в терминальном оборудовании конечного пользователя является передача сообщения по телекоммуникационной сети общего пользования, или если хранение или доступ к информации на таком оборудовании абсолютно необходимы для того, чтобы поставщик телемедийной услуги мог ее предоставить, а услуга явно запрошена пользователем.  До вступления закона в силу, положения, относящиеся к cookies, а именно пункта 3 статьи 5 Директивы 2009/136/ЕС, не применялись в части толкования активных действий пользователя при навигации по веб-сайту в качестве надлежащего согласия на обработку персональных данных.

    В сущности TTDSG не налагает никаких новых обязательств в сравнении с GDPR. Скорее, TTDSG предоставляет разъяснения и большую правовую определенность при обработке (персональных) данных, например, в связи с cookies.

    Немецкий регулятор по защите данных (далее – DSK) после принятия нового закона обновила руководящий документ для поставщиков телекоммуникационных услуг по применению TTDSG. Среди прочих, схожих с руководствами других надзорных органов положений, выделяется норма о необходимости блокировки на время отображения баннера cookie, всех служб, которые потенциально собирают пользовательские данные.

    Со ссылкой на решение Суда ЕС от 01.10.2019 № C-673/17 по иску Федерации организаций потребителей Германии против Planet49 национальный регулятор указывает, что пользователи должны четко и активно соглашаться на использование файлов cookies на своем компьютере – поставщик должен сообщить о целях, сроках и способах обработки. Когда cookies передаются другим поставщикам, пользователи должны быть четко проинформированы об этом, а также иметь возможность возражать.

    Как видно из Руководства DSK, регулирование использования cookies достигается и соответствующей судебной практикой, причем не только формируемой высшим судебным органом ЕС.

    Решение по иску Федерации организаций потребителей Германии против Planet49 не является чем-то новым для судебных органов государств-членов ЕС. Указанный судебный акт подтверждает ранее сформированную позицию многих национальных судов. Аналогичные выводы, например, содержатся в решении Судебного трибунала Парижа от 09.04.2019 по делу Федеральной ассоциации потребителей Франции против Facebook*.

    Вместе с тем в другом судебном акте суд Франкфурта 27.06.2019 постановил, что согласие на обработку данных, связанное с одобрением получения рекламы, может считаться свободно предоставленным в рамках ст.7(4) GDPR, если такое согласие дается без «принуждения» или «давления» взамен на обещание скидки или участия в розыгрыше лотереи. По мнению суда, «потребитель может и должен сам решать, стоит ли участие в лотереях его данных».

    Одновременно с изложенным, ряд решений Суда ЕС имеют особую значимость, так как не только устраняют «эксцессы правоприменения», но и направлены на заполнение имеющихся правовых лакун.

    В частности, решение Суда ЕС, принятое в 2021 году (по делу Facebook* lreland and Оthers (C-645l19)), примечательно тем, что в нем разъяснены условия, при соблюдении которых национальные регуляторы одного государства вправе расследовать и обжаловать в судебном порядке действия нарушителя законодательства ЕС, если последний зарегистрирован в другом государстве Союза.

    Бельгийский надзорный орган принял в производство дело по факту нарушений сбора и обработки персональных данных со стороны Facebook*, чей европейский головной офис находится в Ирландии. Национальный регулятор Бельгии уличил IT-гиганта в отсутствии должного и полного информирования пользователей о манипуляциях, производимых с их персональными данными. Помимо сбора технических файлов cookies, соцсеть применяла различные технологии («фейсбук пиксели», «плагины» и т.п.), об использовании которых пользователи не знали, соответственно, не могли давать согласие, но они позволяли отслеживать активность пользователей в Интернете и степень воздействия на них появляющейся на веб-страницах рекламы.

    Суд постановил, что надзорный орган, не являющийся национальным регулятором государства регистрации юридического лица, вправе принять необходимые меры, чтобы пресечь правонарушение. При этом он должен действовать в соответствии с процедурами сотрудничества и согласованности, а, следовательно, наладить эффективный диалог с «основным» надзорным органом.

    Как упоминалось выше, нормативного определения сookies и детализации порядка их обработки отечественное законодательство пока не содержит. Вместе с тем это не означает, что обработка персональных данных с помощью текстовых файлов сookies не подпадает под действие Федерального закона «О персональных данных» от 27.06.2006 № 152-ФЗ (далее – Закон) ошибочна.

    Так, Закон определяет персональные данные как «любую информацию, относящуюся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных)». Следовательно, информацию, содержащуюся в сookie-файлах, при определенных условиях необходимо признавать попадающей под указанное определение, а значит подлежащей охране данным нормативным правовым актом. Эта позиция озвучена представителем Роскомнадзора во время проведения Дня открытых дверей 28.01.2021 года, приуроченного к Международному дню защиты персональных данных.

    При разрешении вопроса об относимости сведений из конкретных cookies к персональным данным необходимо учитывать специфику функционирования интернет-ресурса, поскольку файлы cookies только в совокупности с иными сведениями могут позволить персонализировать профиль пользователя в сети.

    Указанный подход подтверждается судебной практикой:

    Дело ОАО «Ростелеком»

    В ходе проверки Управления Роскомнадзора по Центральному федеральному округу установлено, что согласно договору между ОАО «Ростелеком» (Исполнитель) и ООО «ОБМР» (Заказчик), исполнитель обязуется организовать соединение между оборудованием исполнителя и оборудованием заказчика для получения статистической информации (совокупность сведений о просматриваемых активными пользователями web-страницах), а заказчик оплачивает указанные услуги.

    Исполнитель передавал заказчику сведения об абоненте и его поисковых запросах в сети Интернет, позволяющие прямо или косвенно идентифицировать пользователя как определенное физическое лицо (субъекта персональных данных): хэш-ID пользователя – уникальный идентификатор активного пользователя; время просмотра web-страницы; URL – стандартизированный способ записи адреса web-страницы в сети Интернет; HTTP referer один из заголовков запроса клиента протокола HTTP. Содержит URL источника запроса; User Agent часть HTTP запроса, начинающегося с «User-agent:» или «User-Agent.»; HTTP Cookies.

    Целью договора являлось получение заказчиком статистической информации, необходимой для оказания рекламных услуг.

    Требование о привлечении к ответственности по части 3 статьи 14.1 КоАП РФ за предоставление третьим лицам сведений об абонентах-гражданах без их согласия удовлетворено, нарушение оператором связи лицензионных требований и условий подтверждено.

    Решение Арбитражного суда города Санкт-Петербурга и Ленинградской области 
от 16 марта 2016 года по делу № А56-6698/2016; 
Постановление Тринадцатого арбитражного апелляционного суда 
от 01.07.2016 № 13АП-10775/2016 по делу № А56-6698/2016.

    Дело ПАО «МГТС»

    В ходе проверки Управления Роскомнадзора по Центральному федеральному округу установлено, что ООО «ОБМР» получало от ПАО «МГТС» на основании договора № 62104 от 29.08.2014 г. следующие сведения об абонентах (пользователях): случайный идентификатор (Cookies «UID») в HTTP-запросе пользователя, позволяющий отличить трафик пользователя от трафика других пользователей для получения списка его предпочтений; IP-адрес из IP-пакета HTTP-запроса пользователя, позволяющий получить географическое положение пользователя с точностью определения до названия населенного пункта; User-Agent HTTP-запроса пользователя, позволяющий получить модель устройства или типа браузера, используемого пользователем; время просмотра веб-страниц (HTTP-запроса пользователя), позволяющее оценить частоту, с которой пользователь проявляет те или иные предпочтения; URL-адрес и заголовок Referrer HTTP-запроса пользователя, позволяющее определить предпочтения пользователя; Hash-ID линии пользователя, позволяющий определить линии, абоненты которых выразили несогласие с обработкой данных.

    Требование о привлечении к административной ответственности за осуществление предпринимательской деятельности с нарушением требований и условий, предусмотренных специальным разрешением, удовлетворено, факт передачи ПАО «МГТС» другим лицам сведений об абонентах-гражданах без согласия последних документально подтвержден. Решение суда впоследствии обжаловано, однако вышестоящими инстанциями оставлено без изменения.

    Решение Арбитражного суда г. Москвы от 11.03.2016 г. по делу N А40-14902/16; 
Постановление Девятого арбитражного апелляционного суда от 23.05.2016 № 09АП-17574/2016 
по делу № А40-14902/16.

    Дело LinkedIn.

    Из протокола оценки содержания Роскомнадзором интернет-сайта, расположенного по адресам: http://www.linkedin.com, http://linkedin.com, следует, что при указании в запросе соответствующая интернет-страница отображается на русском языке, которая предусматривает не только сбор персональных данных граждан РФ, включая фамилию, имя, адрес электронной почты в соответствии с пользовательским соглашением, Политикой конфиденциальности и Политикой использования файлов cookies LinkedIn собираемых при регистрации на сайте, а также сбор и обработку контактных, платежных и биографических данных, но и получает также доступ к сведениям третьих лиц, не являющихся пользователями соответствующего интернет-ресурса, посредством синхронизации с электронной почтой и устройствами пользователей.

    Требование Роскомнадзора заключалось в признании незаконной деятельности интернет-ресурсов по сбору, использованию и хранению персональных данных граждан РФ, ограничении доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства РФ в области персональных данных; внесении доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты, в Реестр нарушителей прав субъектов персональных данных интернет-ресурса: http://www.linkedin.com, http://linkedin.com.

    Требования были удовлетворены, решение впоследствии обжаловано, однако вышестоящими инстанциями оставлено без изменения.

    Решение Таганского районного суда г. Москвы от 04 августа 2016 года; 
Определение Таганского районного суда г. Москвы от 09 декабря 2016 года; 
Апелляционное определение Московского городского суда от 24.04.2017 по делу № 33-15365/2017; 
Определение Московского городского суда от 10.11.2016 по делу № 33-38783/2016.

    Подход российских судов согласуется и с международной практикой. В частности, в соответствии с пунктом 30 GDPR физические лица могут быть связаны с сетевыми идентификаторами, предусмотренными их устройствами, приложениями, программными средствами и протоколами (IP-адреса, идентификаторы типа cookies или иные идентификаторы, оставляющие следы, которые (особенно в сочетании с уникальными идентификаторами и другой полученной серверами информацией) могут быть использованы для создания профилей физических лиц и для их идентификации).

    Итак, если cookies позволяют идентифицировать человека, то в соответствии с частью 1 статьи 9 Закона субъекту персональных данных необходимо принять решение о предоставлении его персональных данных и выразить согласие на их обработку свободно, своей волей и в своем интересе. Такое согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.

    Тем не менее не всеми операторами названные требования при обработке персональных данных с использованием cookies соблюдаются.  Например, в ряде случаев посетитель и (или) пользователь веб-сайта не уведомляется об использовании cookies, но при этом cookie-файлы, для использования которых требуется получение согласия субъекта на обработку его персональных данных, автоматически загружаются на устройство пользователя при переходе на веб-сайт.

    Используются всплывающие окна cookies, которые внезапно появляются на переднем плане визуального интерфейса. Баннеры, которые несколько отличаются, поскольку не появляются внезапно, а остаются постоянно видимыми вверху или внизу веб-страницы. В то время как всплывающие окна и баннеры позволяют посетителям получить доступ к исходной веб-странице до того, как они дадут согласие на использование файлов cookies, некоторые, применяют стены cookies — это окна, которые не разрешают доступ к содержимому веб-страницы до тех пор, пока не будет дано согласие. То есть, они вынуждают пользователей принять условия сбора данных, в то время такое согласие должно быть добровольным.

    Перечисленные практики не соответствуют требованиям Закона о свободном волеизъявлении субъекта персональных данных, поскольку предоставляемое им согласие на обработку персональных данных фактически является вынужденным, а не добровольным.

    Такое положение дел противоречит п. 5 ч. 1 ст. 6 Закона, в который в 2022 г. внесены поправки. В частности, неправомерными признаются положения, ограничивающие права и свободы субъекта персональных данных, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.

    С учетом изложенного представляется целесообразным:

    1. Для сookies, независимо от того, содержат они персональные данные или нет, сформулировать определение и установить правовое регулирование их использования.
    2. Законодательно сформулировать не только правила использования cookies, но и иных аналогичных технологий.
    3. Согласие на использование сookies и приравненных к ним технологий установить действенным: свободно предоставленным, конкретным, предметным, информированным, сознательным, однозначным и выраженным субъектом данных активным утвердительным действием.
    4. Активные действия пользователя, связанные исключительно с навигацией по веб-сайту, не расценивать в качестве согласия на обработку файлов cookies.
    5. Установить обязанность получать согласие на обработку cookies прежде, чем будут использованы любые сookies, кроме строго необходимых.
    6. Обязать организации в доступной форме и всесторонне информировать пользователей о деятельности по сбору данных с их устройств. Уведомление должно объяснять цель использования файлов cookies и указывать, какие действия будут свидетельствовать о согласии на их использование. Необходимо предоставлять пользователям информацию о видах файлах cookies, о продолжительности их действия, о доступе к ним третьих лиц, даже если согласие на их использование не требуется.
    7. Обеспечить пользователю простые и доступные способы дифференцированного согласия на процедуры обработки cookies
      в различных целях и такие же доступные средства отзыва согласия.
    8. Установить запрет под угрозой административной ответственности на массовое и неизбирательное получение, обработку и передачу пользовательских данных с использованием сookies и приравненных к ним технологий.

    *Facebook, Instagram и WhatsApp входят в Meta Platforms Inc., деятельность которой запрещена на территории РФ.

    Обзор подготовлен ведущими специалистами 
по юридическому сопровождению Сидоровой А.П. и Дмитриевым Е.С.
    Метки
    #Cookies #персональные данные
    Другие исследования
    Ключевые слова раздела
    #персональные данные #защита прав #мошеннические действия #Мошенники #цифровая безопасность #нарушение прав субъекта персональных данных #кредит #Интернет #вирусы #Социальные сети
    #Возраст цифрового согласия #Безопасность детей #Cookies #таргетинг #обработка персональных данных #Искусственный интеллект #МВД РФ #защита прав субъекта персональных данных #Генпрокуратура РФ
    показать все
     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.