Как избежать штрафов за куки и политику конфиденциальности
Лидогенерация — читать 4 мин.
В последнее время на российских и зарубежных сайтах часто встречаются всплывающие окна с уведомлением об использовании куки. Почему вдруг все обеспокоились об осведомлённости пользователей и что такое куки, рассказываем в этой статье.
Лена Бычкова
Главный редактор
20 марта
2019 г.
Что такое куки
Куки — это небольшие текстовые файлы со служебной информацией от сайтов, которые посещал пользователь.
Вот примеры того, что хранится в куки:
Куки не всегда затрагивают персональные данные посетителей сайта. Однако в этой статье мы поговорим именно о «персональных» куки, которые и стали причиной подобных уведомлений на сайтах.
Вот примеры того, что хранится в куки:
- личные данные для авторизации (например, логин, имя, email, пароль);
- пользовательские настройки сайта (язык и геоданные);
- тип устройства, с которого пользователь зашёл на сайт;
- товары в корзине и в избранном (если пользователь не авторизовался).
Куки не всегда затрагивают персональные данные посетителей сайта. Однако в этой статье мы поговорим именно о «персональных» куки, которые и стали причиной подобных уведомлений на сайтах.
Для чего нужны куки
Эти данные облегчают жизнь разработчикам сайтов, бизнесу, маркетологам и самим пользователям. Ниже примеры, как это происходит.
Бизнесу
Зная, как люди ведут себя на сайте, куда кликают, какие страницы посещают чаще других, бизнесу легче настраивать таргетированную и контекстную рекламу. Это помогает правильно распределять рекламный бюджет. Например, эффективнее показывать рекламу туров на Хайнань людям, которые уже интересовались Китаем и путешествиями. А владельцам сайтов проще вести аналитику и передавать отчёты о показах и кликах рекламодателям.
Пользователям
Куки значительно облегчают интернет-сёрфинг. Например, браузер сохраняет данные для авторизации, и пользователю не надо каждый раз вводить логин и пароль, чтобы полистать ленту в Instagram. А ещё можно в любой момент зайти в интернет-магазин и проверить, не упала ли цена на товар. И ещё один очевидный плюс: благодаря куки люди видят больше актуальной и полезной им рекламы.
Для чего сайты показывают уведомления об использовании куки
Ниже вы видите, как «Нетология» сообщает пользователю, что если он остаётся на сайте, то автоматически соглашается на передачу данных. Если человек закроет окошко и продолжит исследовать страницу, в следующий раз ему уже не покажут уведомление. Если пользователь почистит куки в браузере, то уведомление появится снова.
Таких примеров в интернете — тысячи. Так почему все решили установить подобные уведомления?
Чтобы избежать штрафа в РФ
Если кто-то докажет в суде, что сайт без спроса обрабатывал его данные, владельцу сайта придётся выплатить штраф до 75 тысяч рублей. Иногда дело может дойти и до блокировки.
Наверняка вы слышали об истории с LinkedIn. Его заблокировали в 2016 году за нарушение закона 152-ФЗ «О персональных данных». В LinkedIn использовали и передавали данные о местоположении и поведении пользователей на сайте без их согласия.
Самое интересное, что конкретного определения персональных данных в законе РФ нет. Первым делом на ум приходят ФИО, email, номер телефона и дата рождения. Однако в статье 3 закона № 152-ФЗ читаем такое весьма расплывчатое определение:
«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
Как показывает судебная практика в случае с LinkedIn, персональными данными считается в том числе история поведения человека на сайте, то есть куки.
А что, если вы просто собираете данные и никак их не используете? Считается ли это обработкой? Да. В законе говорится, что понятие «обработка» включает «сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».
Наверняка вы слышали об истории с LinkedIn. Его заблокировали в 2016 году за нарушение закона 152-ФЗ «О персональных данных». В LinkedIn использовали и передавали данные о местоположении и поведении пользователей на сайте без их согласия.
Самое интересное, что конкретного определения персональных данных в законе РФ нет. Первым делом на ум приходят ФИО, email, номер телефона и дата рождения. Однако в статье 3 закона № 152-ФЗ читаем такое весьма расплывчатое определение:
«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
Как показывает судебная практика в случае с LinkedIn, персональными данными считается в том числе история поведения человека на сайте, то есть куки.
А что, если вы просто собираете данные и никак их не используете? Считается ли это обработкой? Да. В законе говорится, что понятие «обработка» включает «сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».
Чтобы избежать штрафа в ЕС
В мае 2018 года в Европе вступил в силу GDPR (General Data Protection Regulation) — регламент об использовании персональных данных жителей ЕС.
Предыстория появления GDPR
В 2015 году Cambridge Analytica, лондонская компания, которая занимается политическими консалтинговыми услугами, провела сбор данных о предпочтениях 50 млн пользователей Facebook. Эта утечка персональных данных послужила причиной международного скандала и в том числе толчком к принятию GDPR. Он пришёл на смену более лояльному регламенту, принятому ещё в 1995 году. После этого на сайтах ЕС появились уведомления об использовании куки, например, как в британском интернет-магазине Farfetch:
Предыстория появления GDPR
В 2015 году Cambridge Analytica, лондонская компания, которая занимается политическими консалтинговыми услугами, провела сбор данных о предпочтениях 50 млн пользователей Facebook. Эта утечка персональных данных послужила причиной международного скандала и в том числе толчком к принятию GDPR. Он пришёл на смену более лояльному регламенту, принятому ещё в 1995 году. После этого на сайтах ЕС появились уведомления об использовании куки, например, как в британском интернет-магазине Farfetch:
Если говорить простыми словами, GDPR требует, чтобы все европейские компании прозрачно показывали пользователю, как они обрабатывают информацию о его поведении на сайте. В целом эти требования мало отличаются от российского закона о персональных данных. Главное отличие в том, что европейские компании обязаны рассказать пользователям об утечке данных в течение трёх дней. В России можно обойтись без уведомлений и просто как можно скорее устранить утечку.
Интересно, что если ваш сайт зарегистрирован в России, но вы обрабатываете персональные данные хотя бы одного человека из Европы, вы обязаны соблюдать этот регламент. Поначалу российские компании запаниковали и на всякий случай заблокировали любой трафик из Европы, чтобы разобраться во всём как следует. Позже они обновили политику обработки персональных данных и добавили уведомления об использовании куки для новых посетителей.
А что будет, если вы не выполните требования GDPR? Если это заметят, вам сделают либо предупреждение, либо обяжут выплатить штраф до 20 миллионов евро или 4% от годового оборота компании.
Интересно, что если ваш сайт зарегистрирован в России, но вы обрабатываете персональные данные хотя бы одного человека из Европы, вы обязаны соблюдать этот регламент. Поначалу российские компании запаниковали и на всякий случай заблокировали любой трафик из Европы, чтобы разобраться во всём как следует. Позже они обновили политику обработки персональных данных и добавили уведомления об использовании куки для новых посетителей.
А что будет, если вы не выполните требования GDPR? Если это заметят, вам сделают либо предупреждение, либо обяжут выплатить штраф до 20 миллионов евро или 4% от годового оборота компании.
Как обезопасить себя от штрафа за несоблюдение законов
Во-первых, добавить на сайт политику конфиденциальности. Если вы собираете контакты, то в форме добавьте фразу «Нажимая на кнопку, вы даёте согласие на обработку своих персональных данных» и ссылку на страницу с политикой конфиденциальности. Важно рассказать, какие данные вы собираете и для чего, например, как это сделал ЦУМ.
Во-вторых, добавить уведомление о том, что вы используете куки. Например, как у Asos:
Чтобы добавить это уведомление без привлечения разработчиков, попробуйте виджет LeadPlan. Он настраивается через функцию «Тонкая настройка» (hardcode mode) с помощью HTML и CSS. Напишите нам на почту, и мы поможем вам его запустить: contacts@leadplan.ru
Виджет предупредит посетителей об использовании куки. Вам будет доступна статистика работы этого инструмента (сколько раз и кому показывали уведомление). Если кто-то подаст на вас в суд за использование куки, вы сможете доказать, что уведомили пользователя о сборе данных. На случай, если человек пользовался сайтом без авторизации, его можно идентифицировать не только по email, но и по id браузера.
Пример формы, запущенной через LeadPlan:
Виджет предупредит посетителей об использовании куки. Вам будет доступна статистика работы этого инструмента (сколько раз и кому показывали уведомление). Если кто-то подаст на вас в суд за использование куки, вы сможете доказать, что уведомили пользователя о сборе данных. На случай, если человек пользовался сайтом без авторизации, его можно идентифицировать не только по email, но и по id браузера.
Пример формы, запущенной через LeadPlan:
Часто всплывающие уведомления о куки не попадают в поле зрения пользователя из-за блокировщиков рекламы. Разработчики LeadPlan следят за обновлениями фильтров и гарантируют, что ваш виджет увидит каждый посетитель.
Что важно запомнить и сделать
Куки — это служебная информация о поведении пользователя на сайте. И это входит в понятие «персональные данные». Поэтому, если вы используете куки, важно рассказать об этом посетителям сайта и показать, как и для чего вы это делаете. Вот пример, как может выглядеть политика конфиденциальности на сайте, где есть форма обратной связи.
Если вы привлекаете трафик из Европы, позаботьтесь о том, чтобы ваша политика конфиденциальности соответствовала требованиям GDPR.
Если вы привлекаете трафик из Европы, позаботьтесь о том, чтобы ваша политика конфиденциальности соответствовала требованиям GDPR.
Похожие статьи
LeadPlan | Лидогенерация | Маркетинг — читать 4 мин.
Лидогенерация — читать 7 мин.
Лидогенерация — читать 3 мин.