Cookie «попали» под GDPR

Привет всем!

GDPR не обошёл стороной cookie-файлы.

В абзаце 30 декларативной части GDPR прямо указано, что физические лица могут быть связаны с онлайн-идентификаторами [...], такими как адреса интернет-протокола, идентификаторы файлов cookie или другие идентификаторы [...]. Это может оставить следы, которые, в частности, в сочетании с уникальными идентификаторами и другой информацией, полученной серверами, могут использоваться для создания профилей физических лиц и их идентификации.

А если через cookie можно идентифицировать физическое лицо, то они (cookie) уже приобретают статус персональных данных, которые попадают под охрану GDPR со всеми вытекающими из этого последствиями.

Что такого в cookie и как мы можем идентифицировать физическое лицо через них?

Cookie - маленькие файлы с набором букв и цифр, которые автоматически скачиваются на ваш компьютер при посещении какого-либо веб-сайта.

Cookie запоминают ваши предпочтения и активность, например они знают, что вы положили в корзину покупок на сайте интернет-магазина, но не закончили оформления покупки. Не беспокойтесь, cookie напомнят вам о забытой в корзине покупке всплывающим баннером на стороннем веб-сайте.

Cookie фактически без явного вашего одобрения собирают информацию о вас и передают её третьим лицам, которые используют её по большей части в маркетинговых целях. таким образом, третьи лица обрабатывают ваши персональные данные.

Но, конечно, не все cookie можно отнести к персональным данным. К примеру, сеансовые cookie не остаются на хранение на вашем жестком диске и работают только в момент посещения вами сайта. При прекращении посещения такие cookie удаляются и не могут идентифицировать вас в будущем. А вот cookie, например, собирающие статистику, используемые в маркетинговых целях, идентифицирующие лицо для ведения чат-переписки через веб-сайт или помогающие указать логин на сайте, на котором вы ранее были зарегистрированы – это уже персональные данные.

Проблема cookie

Проблема cookie в том, что они загружаются на наш компьютер ДО того момента, когда мы дадим на это согласие. Если при заполнении формы с фамилией и именем мы может указать, что не согласны на обработку наших данных ещё до отправки формы с информацией, то cookie такого разрешения не спрашивают, а сразу попадают к нам в компьютер и готовы к работе.

Выход из ситуации

В настоящий момент можно сказать, что чёткой системы работы с cookie не существует, но принятие мер максимально приближённых к требованиям GDPR стоит осуществить. Что нужно сделать:

a) пользователь должен быть ясно уведомлен при посещении сайта об использовании cookie,

b) пользователь должен знать какие cookie и с какой целью используются;

c) пользователь имеет явную возможность отказаться от использования cookie.

Сейчас большинство сайтов имеет только кнопку «Согласен» на всплывающем окне с уведомлением об использовании cookie. Но этого недостаточно, так как реализовать возможность запрета на их использование довольно трудная процедура для обычного пользователя интернета. Вместо просмотра нужной информации на сайте придётся забираться в настройки браузера и искать «удалить», «запретить», «блокировать» cookie, что в конечном счёте, полагаю, 99% пользователей не делает.

Но не стоит отчаиваться, уже появились сервисы, позволяющие сделать процедуру согласия на обработку данных, полученных через cookie простой и доступной. Например, cookiebot.com

или clym.io