Чи всі файли cookie потребують згоди?

Аналіз нормативно-правових баз показує, що не всі файли cookie підпадають під однакові вимоги щодо згоди. Директива про конфіденційність та електронні комунікації (ePrivacy Directive, Директива 2002/58/EC), яку часто називають «законом ЄС про файли cookie», чітко розрізняє суворо необхідні файли cookie та інші їх типи. Відповідно до статті 5(3), “згода не вимагається для технічного зберігання або доступу, що є суворо необхідним для законної мети надання конкретної послуги, явно запитаної абонентом або користувачем”.

Емпіричне дослідження практик вебсайтів підтверджує, що суворо необхідні файли cookie—ті, що потрібні для основних функцій, таких як керування сеансами, кошики для покупок та функції безпеки—зазвичай розгортаються без явної згоди користувача. Наприклад, токени автентифікації для входу та файли cookie для збереження кошика підпадають під цей виняток. Ці висновки узгоджуються з рекомендаціями, виданими регуляторними органами, зокрема Європейською радою із захисту даних (EDPB, 2020), яка зазначає:

• “Файли cookie, які є важливими для роботи вебсайту, не вимагають згоди”.

І навпаки, файли cookie, що використовуються для аналітики, реклами або персоналізації, не підпадають під цей виняток і, отже, вимагають попередньої інформованої згоди від користувачів. Це розмежування прямо підтримується статтею 6 GDPR, яка вимагає наявності правової підстави для обробки персональних даних, що додатково посилюється Преамбулою 30, яка визначає онлайн-ідентифікатори як персональні дані.

Огляд національних імплементацій (наприклад, британських Правил щодо конфіденційності та електронних комунікацій—PECR, рекомендацій французького CNIL) підтверджує послідовний підхід:

• Згода не є необхідною для основних файлів cookie.
• Згода є обов'язковою для неосновних файлів cookie (наприклад, для відстеження, профілювання).

Оцінки практичного впливу показують, що більшість вебсайтів тепер використовують банери cookie, які розрізняють основні та неосновні файли cookie, пропонуючи користувачам деталізовані налаштування. Такий підхід мінімізує ризики недотримання вимог та відповідає очікуванням регуляторів.

Отже, аналіз нормативних вимог та спостережувана практика підтверджують висновок:

• Суворо необхідні файли cookie звільнені від вимог щодо отримання згоди згідно із законодавством ЄС.
• Усі інші категорії файлів cookie вимагають явної згоди користувача перед їх розгортанням.

Це розмежування тепер є стандартною практикою у стратегіях дотримання вимог у юрисдикціях, що регулюються Директивою про конфіденційність та електронні комунікації (ePrivacy Directive) та GDPR.