Що говорить GDPR про файли cookie?

Файли cookie, IP-адреси та подібні онлайн-ідентифікатори прямо згадуються в Пункті 30 Преамбули Загального регламенту про захист даних (GDPR), де зазначено: “Фізичні особи можуть бути пов'язані з онлайн-ідентифікаторами [...], такими як IP-адреси, ідентифікатори файлів cookie або інші ідентифікатори, наприклад, мітки радіочастотної ідентифікації.” Ця класифікація підкреслює, що файли cookie, коли вони використовуються для ідентифікації осіб — прямо чи опосередковано — є персональними даними (GDPR, Пункт 30 Преамбули).

Основні висновки з юридичного та регуляторного аналізу включають:

• Файли cookie як персональні дані: GDPR визнає файли cookie персональними даними, коли вони можуть ідентифікувати користувача, навіть у поєднанні з іншими даними.
• Вимога щодо згоди: Стаття 6 та Пункт 32 Преамбули вимагають дійсної згоди перед розміщенням неосновних файлів cookie. Згода має бути вільно наданою, конкретною, поінформованою, та однозначною. Заздалегідь проставлені прапорці або бездіяльність не є згодою (Керівні принципи EDPB 05/2020).
• Прозорість: Вебсайти повинні чітко інформувати користувачів про типи та цілі використання файлів cookie перед отриманням згоди. Це включає:
  • Особу контролера даних
  • Точні цілі, для яких використовуються файли cookie
  • Залучених третіх сторін
• Право на відкликання згоди: Користувачі повинні мати можливість відкликати згоду так само легко, як вони її надали (Стаття 7(3) GDPR).
• Підзвітність: Організації повинні мати можливість продемонструвати, що було отримано дійсну згоду на використання всіх неосновних файлів cookie.

Емпіричні дослідження вказують на значні прогалини у дотриманні вимог серед вебсайтів, багато з яких не впроваджують механізми для гранулярної згоди, або використовують невідповідні моделі відмови (opt-out) (Degeling та ін., 2019). Регуляторні заходи посилили необхідність явних механізмів згоди (opt-in), особливо для файлів cookie відстеження та реклами.

Отже, згідно з GDPR, файли cookie, які можуть ідентифікувати особу, є персональними даними; тому їх використання суворо регулюється вимогами щодо поінформованої, явної згоди та прозорості. Недотримання цих вимог може призвести до значних штрафів, як свідчать нещодавні правозастосовні заходи в ЄС.