[Информационная безопасность] Cookie-файлы и GDPR: какие ошибки совершают владельцы сайтов в погоне за соответствием?

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
03-Июл-2020 15:32


Cookie-файлы как персональные данные
Проблема ужесточения требований в отношении использования cookie-файлов обсуждается с момента вступления в силу Европейского регламента о защите данных (далее GDPR), а так же публикации проекта изменений ePrivacy Directive (наиболее известной как «Положение о конфиденциальности и электронных коммуникациях»). Именно эти документы официально определяют cookie-файлы как персональные данные и предусматривают экстерриториальную ответственность, а также наложение колоссальных штрафов на владельцев сайтов за незаконное использование таких файлов. Мы уже проводили обзор штрафов за нарушение основных принципов GDPR, однако ни один из них не включал в себя нарушений, связанных с обработкой cookie-файлов. Зачастую, в отсутствие судебных практик и реальных наказаний, у представителей бизнеса создается ощущение защищенности, другими словами: «Пока гром не грянет – мужик не перекрестится». Но раскаты грома уже давно доносятся – одним из наиболее крупных штрафов за нарушение, связанное с установкой cookie, является штраф в 30 000 евро, выписанный в октябре 2019 года испанским органом по защите данных авиакомпании Vueling за отсутствие возможности для пользователя отказаться от установки сторонних cookie.
В силу особенностей профессии, посещая различные сайты, невольно анализируешь их на предмет соответствия известным нормативно-правовым актам в области защиты персональных данных. В результате очередного такого анализа стало ясно, что в погоне за реализацией требований GDPR многие компании озаботились вопросом «наведения порядка» на своих веб-ресурсах. Однако по причине непонимания требований или же в отсутствие желания «портить» пользовательский интерфейс сайта, создается впечатление, что каждая вторая организация некорректно реализует политику использования cookie-файлов на своих ресурсах.
Правила реализации политики использования cookie-файлов
С точки зрения GDPR и ePrivacy, правила использования cookie-файлов ничем не отличаются от правил обработки всех остальных персональных данных и должны выполняться в случае, если на сайте используются какие-либо cookie, позволяющие сформировать профиль пользователя в сети. Однако это не касается:
  • cookie, строго необходимых для корректной работы сайта;
  • cookie, строго необходимых для предоставления онлайн-сервиса пользователю, например, когда пользователь заполняет онлайн-форму, использует корзину для покупок, или аутентифицируется на сайте для входа в систему предоставления онлайн-услуг

Вернемся к правилам, их суть заключается в следующем:
  • Установка cookie должна осуществляться только с предварительного согласия пользователя.
  • Это согласие должно быть дано посредством четкого, подтверждающего выбор пользователя, действия, при этом если используется форма, в которой необходимо установить отметку в виде галки/флажка, такая отметка не может быть выставлена по умолчанию.
  • Пользователю в четкой и понятной форме должна быть представлена информация о назначении cookie, целях установки, сроках действия, а также информация о третьих лицах, которым передаются пользовательские данные.
  • Пользователь должен иметь возможность полного или частичного отзыва согласия в любое время.
  • И что немаловажно для владельцев сайта – все согласия на установку cookie-файлов должны быть зафиксированы, ведь владелец сайта, являясь контролером или обработчиком, должен иметь возможность подтвердить факт получения согласия.

Основные ошибки в реализации политики использования cookie-файлов или как делать не нужно
Рассмотрим три примера неправильной реализации политики использования cookie-файлов, которые наиболее часто встречаются среди сайтов контролеров и обработчиков персональных данных.
Пример 1. Баннер, предупреждающей, что, продолжая использовать сайт, вы даете согласие на использование cookie.
Такая практика широко распространена как среди российских, так и среди европейских веб-ресурсов. В качестве примера рассмотрим сайт Итальянского магазина косметики. Согласно представленной на сайте политике обработки cookie, пользователю устанавливаются технические cookie, функциональные cookie и cookie сторонних маркетинговых кампаний.
При этом дословный перевод предупреждения на баннере внизу страницы гласит: «Этот сайт использует технические, аналитические и сторонние файлы cookie для профилирования. Если вы выберете «Продолжить» или получите доступ к любому контенту на нашем сайте без определения вашего выбора, вы даете согласие на использование файлов cookie. Чтобы узнать больше и отказаться от согласия на установку cookie, нажмите здесь.»

В данном случае нарушаются все правила, упомянутые ранее:
  • Файлы cookie устанавливаются сразу в момент открытия сайта пользователем.
  • Продолжение использование сайта или нажатие кнопки продолжить не является четким подтверждающим действием, так как пользователю не предоставляется право выбора, и он не может отказаться от установки cookie.
  • Информация, представленная в политике использования cookie, не содержит в себе конкретных сроков хранения тех или иных cookie.
  • Механизм отзыва согласия на установку cookie на самом сайте не предусмотрен, взамен этого предлагается отказаться от установки cookie посредством настроек браузера.
  • Так как механизм получения согласия не предусмотрен, то и подтвердить, что такое согласие было получено, попросту, невозможно.

Пример 2. Баннер с корректной формой получения согласия, который работает НЕ на всех страницах сайта.
В качестве такого примера рассмотрим французскую версию сайта huppe.com.

Баннер с согласием, представленный на сайте, соответствует рассматриваемым нами правилам, а руководство по защите данных, на которое присутствует ссылка в тексте, достаточно подробно описывает политику компании в отношении cookie-файлов. В русской версии баннер с согласием выглядит так:

Однако если копнуть глубже и попробовать открыть не главную страницу сайта, а, например — получается магия.
Магия заключается в том, что баннер, который, вроде, и отвечает всем требованиям, по факту не работает. Установка cookie, отличных от строго необходимых, не блокируется до совершения разрешающих действий, а значит, что и «отличником» сайту уже точно не быть. В данном случае из 5 правил, можно сказать о соблюдении только правил 2 и 3.
Пример 3. Недостаточно прозрачная политика использования cookie
Бывает и так, что компания озаботилась работающим механизмом получения согласия, однако упустила важную деталь – прозрачно предоставленную информацию о назначении конкретных cookie и сроках их хранения. Такая ситуация разворачивается на сайте castrol.com.

Сайт имеет баннер согласия с возможностью управления отдельными cookie.

И, что немаловажно, механизм блокировки работает:
До получения согласия

После получения согласия

Однако, информация об использовании cookie содержит в себе слишком мало конкретики – не приведены ни перечень лиц, чьи сторонние cookie устанавливает сайт, ни сроки хранения хотя бы отдельных групп cookie на сайте. В таких случаях нарушается один из главных принципов GDPR — Прозрачности обработки, следовательно не выполняется и правило 3. Примером вполне прозрачной политики использования cookie является политика, опубликованная на сайте европейской комиссии.
Кроме того, что рассмотренные примеры являются показательными с точки зрения распространённых ошибок в реализации требований европейского законодательства в области защиты данных и конфиденциальности, они также демонстрируют, что работа европейских регуляторов заставляет многих Контролеров и Обработчиков озаботиться вопросами соответствия требованиям. И если два года назад на подавляющем большинстве сайтов тема использования cookie вовсе не поднималась, то сейчас ситуация кардинально меняется, что не может не радовать пользователей, заинтересованных в получении контроля над своими данными – ведь, со слов Европейской комиссии по защите данных, именно для этого был разработан GDPR.
Практика показывает, что в текущих реалиях владельцам сайтов, являющимся контролерами или обработчиками, остается два варианта:
  • самостоятельно или с привлечением внешних специалистов обеспечить абсолютное выполнение установленных правил;
  • отказаться от использования каких-либо cookie-файлов, кроме тех, что влияют на корректную работу сайта и предоставление основных услуг клиентам, как это реализовано на сайте Испанского агентства по защите данных.


Ирина Лапуриди
Специалист по защите информации, Акрибия
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_gdpr, #_informatsionnaja_bezopasnost (информационная безопасность), #_reguljator (регулятор), #_personalnye_dannye (персональные данные), #_blog_kompanii_akribija (
Блог компании Акрибия
)
, #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 03-Дек 22:57
Часовой пояс: UTC + 5