...

воскресенье, 14 апреля 2019 г.

Европейские регуляторы выступили против cookie-баннеров

В Европе пришли к выводу, что cookie-баннеры не соответствуют требованиям GDPR. Обсуждаем предысторию вопроса, делимся мнениями экспертов и смотрим на варианты развития ситуации.


/ Flickr / Carsten Schertzer / CC BY / Фото изменено

Предыстория вопроса


В 30 статье Общего регламента по защите данных ЕС сказано, что сайт обязан уведомлять пользователей об установке cookies, если с их помощью можно определить личность человека. В противном случае ресурс нарушает требования GDPR и ему могут выписать крупный штраф в соответствии с законом.

Считается, что можно не получать согласия пользователя, если cookies нужны для сохранения сессионных данных, воспроизведения видео- и аудиоконтента, балансировки нагрузки на сайте и работы сторонних плагинов социальных сетей. Однако формулировки довольно размыты и не всегда понятно, когда следует предупреждать пользователя об установке cookies.

Чтобы избежать проблем с GDPR, некоторые владельцы сайтов перестраховались и разместили так называемые cookie-стены (cookie walls). Это баннеры, которые блокируют доступ к контенту, пока пользователь не даст согласие на обработку ПД. Однако в начале марта регулятор в Нидерландах вынес постановление, в котором назвал cookies walls незаконными.

С чем связано такое решение


Решение стало ответом на многочисленные жалобы европейцев. За прошедший год в AP получили массу требований от пользователей проверить законность баннеров, блокирующих доступ к контенту.

Представители агентства по защите данных в Нидерландах (AP) заявили, что cookie-стены не соответствуют GDPR. Cookie walls вынуждают пользователей согласиться с условиями сбора данных, что противоречит требованиям GDPR. По закону, разрешение частных лиц на обработку персональной информации должно быть полностью добровольным.

Пока наказание за подобные практики не понесла ни одна компания. Однако в AP предупредили, что в ближайшие месяцы будут активно проверять все жалобы пользователей. Поэтому владельцам сайтов скорее всего придется отказаться от блокирующих баннеров.

Отметим, что решение нидерландского регулятора не первое в Европе. Еще в 2015 году (когда вместо GDPR действовала директива ePrivacy) бельгийская комиссия по защите данных выпустила рекомендации для владельцев сайтов, в которых запретила ограничивать доступ к контенту без разрешения на установку cookie.

Мнения


Позицию AP поддержали европейские юристы, которые специализируются на защите данных. Они отмечают, что пользователь должен давать свое согласие добровольно, а компания или сайт не имеют права оказывать на него какое-либо давление.
«Отмечу, что за подобную деятельность еще на старте GDPR упрекали Facebook. Компания добавила в приложение диалоговое окно, интерфейс которого многие критиковали за излишнее подталкивание пользователей к тому, чтобы дать свое согласие на обработку ПД и продолжить работу с сервисом, — комментирует Сергей Белкин, начальник отдела развития IaaS-провайдера 1cloud. — Тогда обошлось только критикой. Возможно, нидерландский прецедент сформирует другое отношение к подобным кейсам».

Не все европейские регуляторы оказались на одной стороне. В ноябре 2018 года дело о cookie wall рассматривало австрийское агентство по защите данных (RIS).

Одна из местных газет показывала посетителям сайта баннер с тремя вариантами. Пользователи могли согласиться на установку cookies и получить полный доступ к странице, отказаться и открыть ограниченный доступ или оплатить подписку и получить полный доступ без установки cookies. В RIS посчитали, что баннер не нарушает требований регламента, а частные лица предоставляют согласие на обработку данных добровольно.

Решение AP также не поддержали сами владельцы сайтов. В апреле жалобу за использование cookie wall подали против рекламной ассоциации IAB Europe — на её баннере расположена только одна кнопка с согласием на установку cookie. Представители организации отметили, что в регламенте нет прямого запрета на ограничение доступа к сайту, и раскритиковали регуляторов за отсутствие понятных правил работы с cookies.

В IAB не согласились и с тем, что их баннер нарушает право пользователей на доступ к контенту. Жалобу на организацию написал разработчик блокировщика рекламы, и поэтому IAB считает кампанию против своего сайта проявлением конкуренции.


/ Flickr / K-State / CC BY

Что дальше


Несмотря на последние разбирательства, в целом со вступлением GDPR в силу владельцы сайтов уменьшили количество cookie-файлов на страницах. Специалисты из Оксфордского университета анализировали данные о cookies на сайтах с апреля по июль 2018 года. В среднем за этот период сайты стали использовать на 22% меньший объем cookies.

До конца 2019 года в Европе примут новый закон — ePrivacy Regulation, цель которого защитить интернет-пользователей от спама и навязчивой рекламы. Одной из главных тем документа станут cookie-файлы. Так как политики ЕС настроены против блокирующих cookie-баннеров, есть вероятность, что новый закон их запретит.

Альтернативой для сайтов могут стать обычные всплывающие уведомления для посетителей страниц. Они не ограничивают доступ к контенту и дают возможность получить согласие пользователей. Такой вариант поддерживают и граждане ЕС — около 53% европейцев считают оповещения скорее обнадёживающими, чем надоедливыми.

Дополнительное чтение из нашего корпоративного блога:

Let's block ads! (Why?)

Комментариев нет:

Отправить комментарий