Как не превратить cookies в штраф?

Авторы: Дарья Сергеева, старший юрист, и Мария Калинчева, юрист практики интеллектуальной собственности/TMT Адвокатского бюро «Егоров, Пугинский, Афанасьев и партнеры»

С появлением Интернета у рекламодателей появились новые инструменты для оптимизации вложений в маркетинговые кампании. Так, с помощью сбора и анализа информации о пользователях и их действиях из всей аудитории компании выделяют целевую и транслируют рекламные объявления именно ей (так называемая, таргетированная реклама). Необходимые данные сайты получают, в частности, посредством записи IP-адреса, Hash-ID, User Agent, URL-адрес и Referrer HTTP пользователя, а также, используя специальные инструменты, например, файлы cookie.Сбор и обработка подобной информации напрямую затрагивает проблемы защиты персональных данных.

Самым сложным и, между тем, ключевым является вопрос о том, в каких случаях данные о пользователях признаются персональными. Действующее российское законодательство содержит широкое определение понятия «персональные данные» и прямо не регулирует особенности сбора и обработки данных, полученных из сети Интернет. Однако на практике суды уже сталкиваются с необходимостью его разрешения. Так, рассматривая дело, связанное с привлечением компании к ответственности за предоставление по договору третьему лицу такой информации как IP-адрес, Hash-ID, User Agent, cookie, URL-адрес и заголовок Referrer HTTP-запроса, суды пришли к выводу, что указанная информация позволяет косвенно идентифицировать пользователя как определенное физическое лицо (субъект персональных данных)[1].

Подробнее остановимся на использовании компаниями файлов cookie. Файлы cookie - небольшие текстовые файлы, передаваемые с сайта на компьютер пользователя, которые записывают и хранят информацию о действиях пользователя на сайте. Например, товары, добавленные в корзину, предпочитаемый язык и местоположение. Существуют различные виды файлов cookie. На портале компании Proton Technologies AG, посвященном Общему регламенту по защите данных (General Data Protection Regulation, GDPR), по цели обработки информации выделяются[2]:

(i) Необходимые для работы сайта, - позволяют корректно использовать функции сайта (например, сохранять товары в корзине пока пользователь совершает онлайн-покупки).

(ii) Функциональные, - позволяют веб-сайту запоминать выбор, который пользователь сделал в прошлом (например, логин и пароль для последующего автоматического входа в личный кабинет на сайте)

(iii) Статистические, - собирают информацию о том, как используется сайт, какие страницы посещаются. Их единственной целью является улучшение функций сайта. К статистическим cookies можно отнести файлы от сторонних аналитических служб, если они предназначены исключительно для использования владельцем посещаемого сайта.

(iv) Маркетинговые, - отслеживают онлайн-активность, чтобы помочь рекламодателям предоставлять персонифицированную рекламу.

Кроме того, выделяют основные файлы cookie, - создаются владельцами сайта, и сторонние файлы cookie, - сохраняются на компьютере пользователя третьими лицами (например, сервисом для предоставления веб-аналитики или рекламодателем). Если cookie содержат какой-либо уникальный идентификатор, то информация о посещениях различных сайтов может быть связана такой третьей стороной и на ее основе сформирован рекламный профиль пользователя. Использование сторонних cookie зачастую связано с неосведомленностью пользователей об участии иных сайтов и отсутствием информированного согласия на такую обработку данных.

В Европейском Союзе действует GDPR, который устанавливает[3], что физические лица могут быть определены через онлайн-идентификаторы их устройств, приложений и протоколов, например, через IP-адрес или идентификационные файлы, сохраняемые в системе посетителя сайта (cookie identifiers). Такие данные могут оставлять цифровые следы пользователя, которые, в сочетании с уникальными идентификаторами и иной информацией, могут быть использованы для создания профилей физических лиц и их идентификации. Таким образом, с точки зрения GDPR, информация, полученная с помощью файлов cookie может признаваться в качестве персональной, но лишь в совокупности с уникальными сведениями, позволяющими установить конкретное лицо.

Европейский подход в отношении файлов cookie представляется целесообразным и может быть принят как ориентир при толковании и дальнейшем развитии российского законодательства о персональных данных. Так, во-первых, следует принимать во внимание, что не все файлы cookie несут в себе угрозу причинения вреда правам и свободам пользователя, часть из них позволяют эффективно использовать сайты. Во-вторых, для признания информации о пользователях в качестве персональных данных необходимо прежде всего проанализировать вопрос о том, достаточно ли собранных сведений для установления конкретного пользователя. При этом, для применения обязанностей, установленных законодательством о персональных данных, сайту не обязательно знать ФИО, паспортные данные пользователя, СНИЛС и т.п., ключевое значение в Интернете имеют онлайн-идентификаторы.

Однако на сегодняшний день в большинстве случаев суды подробно не рассматривают вопросы, связанные с тем, когда совокупность сведений о пользователе онлайн-ресурса является персональными данными. В связи с этим увеличивается неопределенность и возникает риск привлечения компаний к ответственности в связи с осуществлением сбора и обработки информации о пользователях.

В целях соблюдения законодательства о персональных данных рекомендуется подходить к вопросу об использовании инструментов для сбора и анализа информации о пользователях и их действиях взвешенно, предварительно анализируя характер и цели собираемых сведений. Например, при использовании файлов сookie, необходимых для работы сайта, согласие пользователя на обработку персональных данных запрашивать не обязательно. Однако в политике использования cookie-файлов целесообразно указать, какие это файлы и с какой целью используются. Аналогичный подход к данному вопросу применяется и в Европейском Союзе.

Напомним, что в случае признания информации о пользователях онлайн-ресурсов персональными данными, к компаниям применяются обязанности операторов персональных данных, в частности требование о локализации обработки персональных данных граждан России. Со 2 декабря 2019 года введены специальные штрафы за нарушение данного правила. Сумма штрафа для компаний может составить от 1 до 6 млн. руб., а в случае повторного нарушения - до 18 млн. руб.

[1] Постановление Девятого арбитражного апелляционного суда от 23.05.2016 по делу N А40-14902/2016; Постановление Тринадцатого арбитражного апелляционного суда от 01.07.2016 по делу N А56-6698/2016.

[2] https://gdpr.eu/cookies/?cn-reloaded=1

[3] Recital 30

#cookie #персональныеданные #gdpr