Європейська рада захисту даних оновила Інструкцію про згоду в частині використання файлів "cookies"

Новини ІТ
04.06.2020 80

Європейська рада захисту даних (англ. "European Data Protection Board" або "EDPB") 4 травня 2020 року прийняла нову редакцію Інструкції про згоду (англ. "Guidelines 05/2020 on consent under Regulation 2016/679", надалі – "Інструкція" або "Інструкція про згоду") та роз'яснила, як потрібно використовувати файли "cookies". 

Із новою редакцією Інструкції можна ознайомитись тут.

Інструкція про згоду – це офіційні правила, які обов'язкові для осіб, які є контролерами ("data controllers") або обробниками ("data processors") персональних даних суб'єктів даних ("data subjects") у розумінні GDPR на території ЄС. Інструкція підлягає застосуванню і у випадку, коли обробка чи збір даних здійснюються особою, що не знаходиться на території ЄС, проте персональні дані зібрані від суб'єктів, які знаходяться на території ЄС. Таким чином, вимоги Інструкції можуть бути застосовними і для українських компаній.

Інструкція визначає поняття "згода" (зокрема, на збір та обробку персональних даних) і була видана у квітні 2018 року у зв'язку із набранням чинності GDPR.

Необхідність у новій редакції Інструкції виникла у зв'язку з тим, що наглядові органи держав-членів ЄС, відповідальні за імплементацію GDPR, мали відмінний підхід до тлумачення поняття "дійсна згода". Особливо це стосувалося використання файлів "cookies" та інших технологій відстеження.

Наприклад, наглядові органи Франції та Великої Британії скасували правило, згідно з яким, за необхідності, згоду на використання файлів "cookies" можна отримати завдяки так званим "soft opt-in" і "cookie wall". 

Прикладом "soft opt-in" є ситуація, коли компанія надсилає своїм клієнтам без їх згоди маркетингові повідомлення про подібні товари та послуги, надаючи можливість відмовитись від отримання таких повідомлень в майбутньому. "Сookie wall" – це обмеження доступу до вебсайту для користувачів, які не згодні з усіма файлами "cookies" та подібними технологіями відстеження.

Оновлена версія Інструкції: підходи до згоди на використання "cookies"

EDPB переглянула свої попередні вказівки щодо двох наступних аспектів:

  • Доступ до інтернет-сервісу. З прийняттям змін доступ до інтернет-сервісу чи його частини не повинен бути заборонений, якщо користувач не надав свою згоду на використання файлів "cookies", оскільки відсутність варіантів вибору та достатньої інформації перешкоджає вільному та усвідомленому наданню згоди на використання "cookies"; та
  • Надання згоди шляхом "soft opt-in". Надання згоди шляхом "soft opt-in" не може вважатися дійсним, оскільки не передбачає формального процесу надання згоди та породжує невизначеність. "Soft opt-in" не дозволяє ані визначити однозначну дію користувача, ані запропонувати йому можливість відкликати або змінити свою згоду.

Таким чином, EDPB передбачила обов'язкову можливість для користувача ознайомитись із інтернет-сервісом перед тим, як надавати згоду на використання "cookies". EDPB також визначила те, що надання згоди має відбуватись за чіткою та зрозумілою процедурою.

Нові вимоги до сайтів та застосунків, доступних на території ЄС

У зв'язку із прийняттям нової редакції Інструкції усі сайти та застосунки, які доступні користувачам на території ЄС, тепер повинні відповідати таким вимогам:

  • Мати чіткий огляд усіх файлів "cookies", які використовуються на їх вебсайті. Для цього рекомендовано розробити та розмістити на вебсайті політику щодо використання файлів "cookies", де, зокрема, навести перелік тих файлів "cookies", які використовуються на сайті, порядок такого використання, його мету, права користувачів та інші важливі питання; 

  • Зазначати, які з файлів "cookies" є суттєво важливим для надання послуги або ж несуттєвими. Так, наприклад уся аналітика (зокрема, моніторинг вподобань користувача, часу, який він проводить на вебсайті) чи геолокація вважаються несуттєвими; та

  • Забезпечити для користувача можливість ознайомитись із інтернет-сервісом (або ж хоча б з його частиною) перед наданням згоди на використання "cookies".

Запит на отримання згоди має відповідати таким правилам:

  • У графічному інтерфейсі можуть використовуватись лише нейтральні графічні конструкції, тобто запит на отримання згоди, який пропонується до уваги користувачу, повинен мати лаконічний зовнішній вигляд і давати змогу зосередитись на змісті запиту;

  • У користувача повинні бути опції не тільки "підтвердити згоду" або "отримати більше інформації", а і "відмовити у наданні згоди" або ж "відтермінувати рішення"; та

  • У користувача повинна бути наявна можливість скасувати свою згоду у будь-який час.

 

За детальною інформацією звертайтесь до наших експертів:

Євгеній Дейнеко

Керуючий партнер

deyneko@everlegal.ua

 

Андрій Оленюк

Партнер

olenyuk@everlegal.ua

 

Долучайтесь до EVERLEGAL NewsBox, щоб отримувати актуальні юридичні інсайти щомісяця

We solve your legal issues
However complex they are
Wherever they occur
Whenever you need us