ПРАВО.ru
Инхаус
Михаил Ратушный, руководитель практики защиты персональных данных, Data Protection Officer «Интернет Решения» (Ozon)
28 декабря 2023, 10:09

Файлы cookie и персональные данные: терминология и основания для обработки

Файлы cookie и персональные данные: терминология и основания для обработки
Файлы cookie — базовый инструмент, без которого невозможно представить работу большинства сайтов. Их активное использование на практике и возникающие в связи с этим проблемы пользовательской приватности привели к росту регуляторных требований в этой сфере по всему миру. Изменения Федерального закона «О персональных данных» и появление все более «инвазивных» форм файлов cookie привели к выработке на практике специфических подходов к работе с такими файлами. Об этом рассказывает Михаил Ратушный, руководитель практики защиты персональных данных, data protection officer «Интернет Решения» (Ozon).

Что такое файлы cookie

Файлы cookies — это текстовые файлы небольшого размера, которые устанавливаются на пользовательское устройство (телефон, компьютер), когда пользователь посещает определенный интернет-ресурс (сайт или мобильное приложение) или совершает на нем какие-то действия (например, добавляет товары в корзину в интернет-магазине).

Даже если пользователь покидает ресурс, файлы cookie по умолчанию остаются сохраненными на устройстве, как бы «следуя» за пользователем. Это позволяет при возвращении или посещении таким пользователем других ресурсов «узнавать» его. Помимо простого распознавания модели пользовательского устройства, например чтобы отобразить интерфейс в нужном расширении под экран устройства, целями использования файлов cookie также могут быть: 

  • определение пользовательских предпочтений для показа рекламы; 
  • сбор статистики о взаимодействии пользователей с ресурсами для улучшения опыта использования ресурсов или для устранения различных возникающих ошибок.

Строго говоря, к персональным данным относятся не сами файлы cookie, а их содержимое — от простого пользовательского идентификатора (для входа на интернет-ресурс) до, например, номера телефона, адреса доставки или любых других «классических» персональных данных. Это вовсе не означает, что, переходя с одного ресурса на другой, тот автоматически получает персональные данные: как правило, порталы обмениваются специдентификаторами файлов cookie. Так, сайт А (рекламораспространитель) сообщает сайту Б (рекламодателю), что определенный пользователь пришел на ресурс Б через рекламный баннер, размещенный на сайте А. 

Cookiе-файлы на пользовательское устройство устанавливает владелец соответствующего интернет-ресурса. При этом владелец, с точки зрения законодательства о персональных данных, считается оператором, поскольку определяет цели обработки персональных данных и их состав, а также действия (операции) с персональными данными. Это применимо и в ситуациях, когда владелец интернет-ресурса использует сторонние файлы cookie (third-party cookies), то есть файлы cookie, формат и механика работы которых определены третьим лицом. Примером здесь могут выступать файлы cookie сервиса Google Analytics.

Правовое основание для обработки персональных данных, содержащихся в файлах cookie

Надлежащее основание для установки файлов cookie и, следовательно, обработки персональных данных должно зависеть от конкретной цели. 

Так, в случае с использованием так называемых технических, или «строго необходимых», файлов cookie (strictly necessary cookies) по общему правилу уместно полагаться на основания, не требующие согласия субъекта персональных данных. Это связано с тем, что технические файлы cookie направлены на обеспечение работы конкретного интернет-ресурса и предоставление пользователю необходимого уровня сервиса (например, для авторизации, навигации на сайте и подобного). 

Как следствие, наиболее подходящим основанием в этом случае будет п. 5 ч. 1 ст. 6 ФЗ «О персональных данных» (ФЗ № 152) — заключение и исполнение договора с субъектом персональных данных (например, пользовательского соглашения, устанавливающего правила и порядок использования интернет-ресурса).

Допустимость формата browse-wrap при акцепте технических файлов cookie

Однако ключевая проблема — момент акцепта такого соглашения: в частности, установка файлов cookie на устройство зачастую осуществляется в момент открытия интернет-ресурса, то есть до принятия пользователем каких-либо юридических документов. 

Владелец интернет-ресурса (оператор) в спорных ситуациях будет вынужден доказывать не только что пользователь (субъект персональных данных) ознакомился с размещенными на сайте положениями соответствующего договора, но и что принял такой договор путем совершения конклюдентных действий (например, в виде использования интернет-ресурса). За рубежом подобные соглашения именуются browse-wrap.

В спорной ситуации перспектив доказать свою правоту у оператора немного, даже если не брать в расчет сложность доказывания фактов (например, мог ли субъект персональных данных в принципе ознакомиться с договором и выразить свое несогласие с ним в какой-либо форме). Судебно-административная практика в России также свидетельствует скорее об отрицательном отношении к признанию действительности и заключенности таких соглашений (например, информация Роспотребнадзора от 5 ноября 2020 года «Об особенностях click-wrap-соглашений» в части того, каким требованиям должны удовлетворять интернет-договоры, чтобы признаваться заключенными). Наконец, п. 5 ч. 1 ст. 6 ФЗ № 152 прямо содержит запрет включать в договор положения, допускающие в качестве условия его заключения бездействие субъекта персональных данных.

«Законный интерес» как основание для обработки

Разумеется, есть и другое основание, предусмотренное п. 7 ч. 1 ст. 6 ФЗ № 152, — осуществление прав и законных интересов оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных. Однако оно также крайне неоднозначно, и в понимании Роскомнадзора должно применяться, только когда нет прочих оснований, указанных в ч. 1 ст. 6 ФЗ № 152. 

В России, в отличие от ЕС, отсутствует достаточная практика по вопросу применения п. 7 ч. 1 ст. 6 ФЗ № 152 к обработке технических файлов cookie. К сожалению, все это усиливает и без того высокую правовую неопределенность в вопросах поиска операторами корректного основания, вынуждая их при работе с файлами cookie использовать согласия (п. 1 ч. 1 ст. 6 ФЗ № 152), которые всегда могут быть отозваны субъектами персональных данных.

Особенности согласий на обработку персональных данных, содержащихся в файлах cookie

При этом в отношении файлов cookie, используемых для маркетинговых, аналитических или статистических целей, корректным основанием действительно выступает согласие. Дело в том, что обработка персональных данных в этой части напрямую не связана с предоставлением пользователям интернет-ресурсов какого-либо сервиса. Оператор собирает и использует данные для получения конкурентного преимущества на рынке (путем улучшения сервиса, продажи аналитики, привлечения рекламы и прочего).

Из сказанного следует любопытный парадокс: с одной стороны, российские операторы вынуждены получать согласия на обработку персональных данных, содержащихся в технических файлах cookie, поскольку иные основания «слабые» с учетом особенности работы таких файлов (установка на устройство независимо от акцепта со стороны пользователя). С другой — согласие должно быть дано свободно, волей субъекта персональных данных и в его интересе, а также удовлетворять критериям конкретности, предметности, информированности, сознательности и однозначности (ч. 1 ст. 9 ФЗ № 152). 

Сказанное означает, что формально согласие нельзя дать без активного волеизъявления пользователя (например, путем прожатия чекбокса или выбора соответствующей настройки в интерфейсе сайта). Однако среди российских интернет-ресурсов практически нет примеров, когда пользователю предлагается принять установку файлов cookie в какой-то определенной части. Чаще всего пользователя лишь уведомляют об использовании файлов cookie на интернет-ресурсе, сопровождая такое уведомление ссылкой на политику конфиденциальности или аналогичный документ, содержащий более подробные условия и цели использования таких файлов.

При этом владельцы интернет-ресурсов оперируют формулировками типа «продолжая пользоваться сайтом», «используя сайт» и подобные, чтобы подчеркнуть «активность» действий со стороны пользователя, который таким образом выражает свое согласие.

Реже встречаются опции «оставаясь» или «находясь». Причина нежелания оператора использовать такие слова заключается в том, что подобные фразы подчеркивают скорее пассивный характер поведения пользователя – он не совершает каких-либо действий, не использует сайт по назначению, то есть фактически бездействует, что, очевидно, не может быть формой выражения согласия.

Позиция Роскомнадзора

Приведенный формат получения согласия с позиции Роскомнадзора считается допустимым при условии обязательного уведомления пользователей об условиях, целях и способах использования файлов cookie и предоставления информации о том, как удалить файлы cookie с устройства (запретить их установку). Роскомнадзор также регулярно указывает операторам на необходимость упоминания в своих политиках и аналогичных документах, посвященных персональным данным, факта трансграничной передачи файлов cookie, если интернет-ресурс устанавливает файлы cookie от иностранных сервисов (например, ранее упомянутого Google Analytics).

Фокус Роскомнадзора явно смещается на такой критерий согласия, как информированность субъекта персональных данных. При этом возможностью отказа пользователя от дачи согласия считаются неиспользование интернет-ресурса или блокирование установки файлов cookie программными средствами на уровне пользовательского устройства (например, через браузер), что также свидетельствует о смешении института дачи согласия и института отзыва такого согласия.

Подобный подход, очевидно, неидеален с точки зрения защиты прав субъектов персональных данных, однако имеет существенные преимущества для оператора: возможность обрабатывать данные «по умолчанию» и отсутствие дополнительных операционных расходов на изменение архитектуры интернет-ресурса.

Чек-лист требований к владельцу интернет-ресурса, использующего файлы cookie

Особенность российского подхода заключается в довольно неоправданном «сужении» круга оснований для обработки персональных данных, когда речь идет о файлах cookie, до согласия. Причем на практике согласие субъекта персональных данных считается полученным даже без явных действий такого субъекта (например, в виде прожатия чекбокса) при одновременном соблюдении следующих условий:

  • информация об использовании файлов cookie представлена на «первом» уровне интернет-ресурса (например, на главной странице в виде всплывающего окна) и не требует от пользователя неоправданного поиска (так, эта информация не должна быть спрятана в «подвале» сайта, если для доступа к нему требуется долго пролистывать сайт);
  • пользователь ознакомлен с условиями использования файлов cookie, которые включают в себя как минимум сведения о целях их использования, категориях таких файлов и способах их удаления (отключения). 

Задача оператора — обеспечивать максимальную прозрачность в работе с файлами cookie, а значит, предоставлять исчерпывающую информацию о них субъектам персональных данных. В отдельных случаях это также означает уведомление субъектов о трансграничной передаче файлов cookie и их содержимого. Чем больше файлов cookie устанавливается и чем больше целей оператор преследует, тем более детальную информацию ему необходимо раскрывать.