Требования к файлам куки
IT-право

Согласие на обработку личных данных и файлы cookie [Новые требования EDSA 2020]

Европейским советом по защите данных (Europäischer Datenschutzausschuss – EDSA, European Data Protection Board – EDPB), 04.05.2020 были установлены важные требования, например в отношении сбора и использования файлов «cookie», так называемых набором данных «cookie стен» (Cookie-Walls). Теперь операторам веб-сайтов, возможно, придется по-новому организовать коммуникацию с пользователями на своих интернет-ресурсах для получения их согласия на передачу файлов «cookie».

Документ с рекомендациями и требованиями носит название «Руководящие принципы для обработки согласия» (Guidelines 05/2020 on consent under Regulation 2016/679 (GDPR), Version 1.1). Руководящие принципы разработаны в соответствии с Регламентом ЕС по защите данных (DS-GVO/GDPR).

Основное внимание операторов веб-сайтов акцентируется на соблюдении принципов защиты данных для обработки данных и на реализации форм согласия посетителей на обработку файлов «cookie», с соблюдением законодательства по защите данных.

В данной публикации рассмотрим наиболее важные пункты новых руководящих принципов.

1. Содержание руководства

Этими руководящими принципами EDSA/EDPB дополняет прежнее руководство по согласию в соответствии с правилом 2016/679 (wp259rev.01), принятое предшествующей организацией, Рабочая-Группа-Статьи-29 (Article 29 Data Protection Working Party). EDSA признал действие wp259rev.01 уже в 2018 году, в рамках Регламента ЕС по защите данных (DS-GVO).

В частности, новые руководящие принципы содержат важные и новые пояснения и разъяснения по следующим вопросам:

  • Выбор правовой базы для обработки данных.
  • Эффективность согласия субъекта данных при взаимодействии с так называемыми «стенками cookie».
  • Вопросы «Предполагаемого согласия» при прокрутке страниц веб-ресурсов.

Многие положения 33-страничного документа об эффективном согласии уже известны и поэтому среди экспертов по праву защиты данных являются повторяющимися. Тем не менее, Руководство является хорошим и обоснованным изложением всех требований.

2. Не допускается изменение выбранной правовой базы, в соответствии со ст. 6 п. 1 лит. а) DS-GVO

Европейский совет (EDSA/EDPB) по защите данных указывает, что в ст. 6 п. 1 DS-GVO есть несколько правовых основ для обработки персональных данных. На этом этапе EDSA подчеркивает, насколько важно продумать все последствия выбора правовой основы перед обработкой данных.

Это верно, так как контроллер больше не сможет заменить правовую базу обработки данных после начала обработки, если она основана на согласии. Согласно DS-GVO/GDPR, контролер обязан уведомить субъект личных данных, в том числе, о цели и о правовой базе обработки личных данных до их обработки, а также контролер должен придерживаться заявленной цели обработки.

Цитата (стр. 25):

123. Другими словами, контролер не может поменять согласие на другие законные основания. Например, не разрешается ретроспективно использовать базу законных интересов для обоснования обработки, когда возникли проблемы с действительностью согласия. В связи с требованием раскрыть законное основание, на которое контролер опирается во время сбора персональных данных, контролеры должны заранее решить, какова применимая законная основа.*

3. «Стена cookie»

Руководящие принципы содержат важный пункт по теме «стена cookie» (Cookie-Walls).

«Стенки файлов cookie» – это всплывающие предупреждающие окна на веб-ресурсах, которые содержат возможность для пользователя дать или не дать свое согласие на обработку файлов «cookie». Другими словами, они означают, что использование веб-сайта или онлайн-ресурса возможно лишь после дачи согласия на установку одного или всех файлов cookie.

Доступ к веб-сайту или онлайн-сервису не должен зависеть от согласия на установку файлов cookie. Добровольный характер такого согласия, по мнению EDSA/EDPB, здесь отсутствует.

Цитата (страница 12):

39. Для того, чтобы согласие было предоставлено свободно, доступ к услугам и функциональным возможностям не должен быть обусловлен согласием пользователя на хранение информации или получение доступа к информации, уже хранящейся, в терминальном оборудовании пользователя (так называемые «стенки cookie»).*

4. Нет эффективного согласия с помощью прокрутки или «скольжения» по веб-сайту или онлайн-ресурсу

В руководящих принципах уточняется, что ответственные лица должны организовать процесс представления согласия таким образом, чтобы субъект данных мог четко видеть, на что он дает свое согласие.

Согласно руководящим принципам, для этого требуется, чтобы акт предоставления согласия отличался от других действий, обычно применяемых при использовании веб-сайта.

В частности, просто продолжая использовать веб-сайт, например, прокручивая или «скользя» по веб-странице, нельзя дать эффективное согласие (ст. 6 п. 1 лит. a) DS-GVO и ст. 7 DS-GVO).

EDSA обосновывает это требование нормами преамбулы 32 Регламента по защите данных и указывает на очевидный аргумент, что отзыв согласия должен быть возможен так же просто, как и предоставление согласия. И такой способ отзыва нереален при прокрутке или быстрого «скольжения» по странице (Wischen).

Цитата (страница 19):

84. Контролеры должны разрабатывать механизмы согласия, которые будут понятные субъектам данных. Контролеры должны избегать двусмысленности и должны гарантировать, что действие, на которое дается согласие, можно отличить от других действий. Следовательно, простое продолжение обычного использования веб-сайта не является поведением, из которого можно сделать вывод о том, что субъект данных желает указать свое согласие на предлагаемую операцию обработки. […]

86. Пример 16. Исходя из подробного описания 32, такие действия, как прокрутка или перелистывание веб-страницы, или аналогичные действия пользователей, ни при каких обстоятельствах не будут соответствовать требованию четких и позитивных действий: такие действия может быть трудно отличить от других действий или взаимодействий пользователем и, следовательно, определение того, что было получено однозначное согласие, также будет невозможно. Кроме того, в таком случае пользователю будет трудно предоставить способ отозвать согласие таким же простым способом, как и предоставить его.*

5. Нельзя «нагружать» пользователей сайта декларациями о согласии

В очень коротком пункте EDSA указывает на важное требование:

большое количество запросов на веб-сайтах дать согласие нажатием или «прокруткой» может привести к ослаблению функции предупреждения этих запросов о согласии.

EDSA подчеркивает, что в соответствии с DS-GVO, ответственное лицо должно преодолеть эту проблему путем разработки новых способов ее решения. Тем не менее, не показано, каким образом это может быть реализовано.

В координации со своими консультантами из технической и юридической области, ответственные лица должны будут разработать соответствующие и подходящие для своих сайтов эффективные способы передачи согласия, если это не было сделано ранее.

Цитата (стр. 19)

87. В цифровом контексте многие службы нуждаются в личных данных для функционирования, поэтому субъекты данных получают множество запросов о согласии, которые требуют ответов посредством щелчков (по мышке) и ударов (по клавиатуре) каждый день. Это может привести к некоторой степени усталости от щелчков: когда встречается слишком много раз, фактический эффект предупреждения механизмов согласия уменьшается.

88. Это приводит к тому, что вопросы о согласии больше не читаются. Это представляет особый риск для субъектов данных, поскольку обычно требуется согласие на действия, которые в принципе незаконны без их согласия. DS-GVO возлагает на контролеров обязанность разработать способы решения этой проблемы.*

6. Срок действия согласия

Наконец, в EDSA подчеркивает, что нет конкретного срока действия согласия. Критериями для определения срока действия согласия являются обстоятельства, при которых это согласие было дано, например объем обработки данных и ожидания субъекта данных. Если ситуация с обработкой значительно изменится, согласие больше не будет действовать, в соответствии с руководящими принципами EDSA.

Следствием этого является то, что ответственное лицо должно получить новое согласие; в противном случае контроллер обязан прекратить обработку данных.

Цитата (страница 23):

110. В DS-GVO нет конкретных временных ограничений на срок действия согласия. Срок действия согласия зависит от контекста, объема первоначального согласия и ожиданий субъекта данных. Если операции обработки изменяются или значительно изменяются, то первоначальное согласие больше не действует. Если это так, то необходимо получить новое согласие.*

7. Заключение

  1. Новые руководящие принципы EDSA приносят еще большую ясность во многие вопросы защиты данных.
  2. Если ответственное лицо полагается на согласие в качестве правовой основы для обработки персональных данных (ст. 6 п. 1 лит. а) DS-GVO/DDPR), то одностороннее изменение правовой базы ответственным лицом не допускается.
  3. Использование «стен cookie» означает, что полученное согласие неэффективно, поскольку представление не является добровольным.
  4. Просто прокручивая или «скользя» по интернет-странице — согласие субъектов данных не может быть предоставлено эффективно.
  5. Ответственным лицам рекомендуется реализовать и соблюдать эти требования. При невыполнении рекомендаций, операторов и ответственных лиц могут наступить санкции. В частности, надзорные органы по защите данных объявили, что в 2020 году будут подготовлены планы действий, которые также будут включать мероприятия по контролю за соблюдением DS-GVO.

Документы

PDF: Руководящие принципы для обработки согласия (Guidelines 05/2020 on consent under Regulation 2016/679 (GDPR), Version 1.1) Европейского совета по защите данных, EDSA (European Data Protection Board, EDPD)

Дополнительные ссылки:

План действий Государственного комиссара по защите данных и свободе информации земли Рейнланд-Пфальц на 2020 год.

WERNER Rechtsanwälte Informatiker

Наша команда адвокатов будет рада проконсультировать по всем вопросам соблюдения законодательства охраны данных ЕС и оказать помощь в их реализации.

Автор немецкой версии: адвокат по ИТ-праву Kristina Dimitrova LL.M.

Немецкий источник.

Автор русской версии: адвокат по ИТ-праву Роман Пусеп.

* Перевод цитат из Guidelines 05/2020 on consent under Regulation 2016/679 (GDPR), Version 1.1 не является официальным.

Добавить комментарий