Маркетинг
#статьи

С чем едят cookies. Технический и юридический ликбез для маркетологов

Какие бывают cookies? Как их правильно собирать? Считаются ли они персональными данными? Что думает Роскомнадзор? Разбираемся.

Иллюстрация: Катя Павловская для Skillbox Media

Элина Муханова

Юрист, консультант по защите персональных данных в компании «Б-152».

Сайт

Cookies — одна из главных технологий, на которых держится современный digital-маркетинг. Cookie-файлы нужны для таргетинга, персонализации, корректной работы сайтов. В статье мы разберём:


Что такое cookies и какие они бывают

Cookies — технология, которая позволяет интернет-ресурсам «узнавать» браузер пользователя. Когда вы вводите данные при авторизации, благодаря cookies сайт сам подтягивает логин и пароль. Это работает не только с личным кабинетом. С помощью cookies сайт может запомнить любую информацию о сеансе и использовать её при следующем визите пользователя.

Cookies хранятся на устройстве пользователя и содержат данные о посещённых ресурсах. Их используют для авторизации, хранения индивидуальных настроек для каждого пользователя, сбора статистики и отслеживания активности.

Cookies, или cookie-файлы, — фрагмент данных, который веб-сайт отправляет в браузер пользователя. Веб-браузер сохраняет эти файлы, а при повторном посещении того же интернет-ресурса отправляет их сайту обратно.

Есть четыре основных вида cookie-файлов:

  • Строго необходимые. Без них сайт будет некорректно отображаться в браузере. К ним относят файлы, которые используют для запоминания информации из форм ввода данных и товаров в корзине. Сюда же относятся файлы хранения технических данных для аудио и видеофайлов и информация о выбранном языке и шрифте.
  • Предпочтения — файлы, позволяющие сайту запоминать информацию, которая изменяет его вид: например, язык или регион пользователя.
  • Статистические — эти файлы помогают владельцу интернет-ресурсов понять, каким образом посетители взаимодействуют с веб-сайтом. Они позволяют собрать агрегированную обезличенную информацию по всем пользователям.
  • Маркетинговые — файлы, которые используют для отслеживания посетителей на веб-сайтах. С их помощью рекламодатель может узнать о предпочтениях пользователя и показать ему наиболее релевантную рекламу.

Почти любой браузер позволяет отключить передачу cookies. Однако это сделает невозможной работу с некоторыми сайтами. Например, с интернет-магазинами, где есть разграничение доступа.

Как собирать cookies в России и зачем нужно предупреждение

Отношение законодателей к cookies различается от страны к стране. В России сферу регулирует федеральный закон №152-ФЗ «О персональных данных». Он определяет персональные данные как «любую информацию, относящуюся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных)». Cookies подпадают под это определение.

При этом закон не содержит положения, которое бы прямо относило cookie-файлы к персональным данным. В начале 2021 года вопрос прояснил Роскомнадзор, причислив на онлайн-мероприятии cookie-файлы к персональным данным.

Заместитель руководителя службы Милош Вагнер тогда пояснил: cookies характеризуют интернет-пользователя — следовательно, они попадают в категорию персональных данных. Их сбор и обработка должны соответствовать требованиям закона №152-ФЗ. Однако это позиция Роскомнадзора, а не однозначная законодательная норма.

На Skillbox Media есть подробный гайд о персональных данных. Вместе с юристами мы рассказываем, как собирать, хранить и обрабатывать эти сведения.

Важно, что требования к cookies будут зависеть от типа данных. К персональным данным можно отнести файлы, которые формируют персонализированный профиль пользователя в Сети. Это может быть информация об интересах пользователя и его действиях на сайте. Но регулирование пока не касается cookies, строго необходимых для корректной работы сайта и оказания услуг.

В России нет специальных требований к согласию на обработку cookie-файлов. Достаточно опубликовать на сайте дисклеймер, который информирует посетителей сайта об использовании cookies. Предупреждение следует прописать в футере сайта или оформить отдельным баннером.

Пример корректного баннера. Скриншот: сайт компании «Б-152»

Скорее всего, законодательное регулирование cookies в России будет меняться. В следующем разделе мы посмотрим, какие требования в этой сфере предъявляют за рубежом.

Как собирают cookie-файлы в ЕС и США

Европейский союз. ЕС имеет наиболее развитое законодательство в сфере обработки cookie-файлов, а также самые строгие требования к их сбору. В ЕС существует Общий регламент защиты персональных данных (General Data Protection Regulation, GDPR). В нём говорится, что физическое лицо может быть связано с онлайн-идентификаторами, к которым относятся cookie-файлы. Таким образом, cookies признаются персональными данными.

В Европе действует запрет на преднаполненные чекбоксы для всех категорий cookie-файлов, кроме строго необходимых. Компания должна получить у пользователя согласие на обработку каждого отдельного вида cookies. В России такого жёсткого правила нет — одной кнопкой мы соглашаемся на обработку всех видов куки-файлов.

Отдельные тумблеры для каждого вида cookies на европейском сайте. Скриншот: TDC

В Европе посетители сайта могут вообще отказаться от использования cookie-файлов — это ещё одно отличие от России. Пользователю доступны кнопки согласия и отказа.

Пример корректного предупреждения о сборе cookies на европейском сайте. Скриншот: сайт OneTrust

Соединённые Штаты. В США нет единого закона, который бы регулировал обработку персональных данных во всех штатах. Закон принят в штате Калифорния, в Вирджинии и в штате Колорадо. Однако только в Калифорнии cookie-файлы прямо обозначены в тексте. Документ говорит о том, что cookies являются «уникальным идентификатором» наряду с веб-маяками, пикселями и другими схожими технологиями.

Также в США принят федеральный закон о защите конфиденциальности детей в интернете. Он касается детей младше 13 лет. Согласно документу, персональными данными являются постоянные идентификаторы, которые могут быть использованы для распознавания пользователя с течением времени на разных веб-сайтах. Примером такого идентификатора и является cookie-файл.

В Америке интересен документ COPPA — уже упомянутый закон о защите конфиденциальности детей в интернете. Согласно этому закону, любая организация должна получить верифицируемое родительское согласие на обработку персональных данных ребёнка младше 13 лет.

Для этого нужно использовать форму согласия. Её подписывает родитель. Он возвращает форму оператору по почте, факсу или скан-копией. Администраторы сайта могут созвониться с родителем и сверить его документы по базам данных личной информации. Данные родителя при этом должны быть удалены сразу после проверки.

Как не нарушить правила обработки cookies

В России отсутствует судебная практика, связанная с нарушением обработки cookie-файлов. Но в ЕС такие прецеденты были. Французский регулятор CNIL накладывал штрафы на Google LLC, Google Ireland Limited и Amazon Europe Core в размере 60, 40 и 35 млн евро соответственно.

Причина общая: когда пользователь посещал сайт, маркетинговые cookie-файлы автоматически отправлялись в его браузер до того, как он дал на это согласие. Плюс сайты не предоставляли исчерпывающую информацию о cookie-файлах и не объясняли, как посетитель может от них отказаться.

Как можно было бы избежать нарушения? Нужно было не отправлять cookie-файлы до активных действий посетителя сайта. Кроме того, следовало прописать в cookie-policy цели обработки, срок хранения cookie-файлов и способы отказа от них.

В Америке тоже были подобные прецеденты: компании нарушали требования COPPA. Федеральная торговая комиссия оштрафовала Google и YouTube на 170 млн долларов. Причина в том, что видеохостинг собирал персональные данные детей младше 13 лет без согласия их родителей. Затем эти данные использовали для показа таргетированной рекламы.

Чтобы избежать штрафа, нужно было запрашивать верифицируемое согласие родителей перед тем, как собирать персональные данные ребёнка на YouTube.

Что ждёт cookies в России?

В России до полноценного регулирования cookies пока не дошло. Однако Роскомнадзор уже представил однозначную позицию по cookie-файлам — они относятся к персональным данным и требуют должного регулирования.

Поэтому скоро могут появиться новые регулирующие документы или нынешние законы дополнят отдельными положениями. В дальнейшем именно они будут регламентировать обработку cookies.

Возможно, для России окажется подходящим решение с гранулированным согласием, действующее в некоторых странах ЕС: при нём пользователь даёт отдельное разрешение на сбор cookies каждого вида.

Регулирование будет зависеть и от развития технологий. Крупные интернет-корпорации планируют снизить роль cookies. Об этом активно говорят ещё с 2020 года, но радикальных изменений пока нет.

Например, Google с 2023 года планирует частично заменить cookies на свою технологию FLoC. В отличие от cookies, FLoC не позволяет идентифицировать пользователя и собирает обезличенные данные. Ещё один пример — First-Party Media Network от Criteo. Это база обезличенных данных о пользователях, доступная рекламодателям. Она позволяет решать те же задачи, что и сбор cookies.

Тем не менее исключить cookies из работы веб-сайтов совсем невозможно. А если от них и откажутся частично — скорее всего, новые технологии всё равно будет регулировать законодательство.

Что ещё почитать в Skillbox Media

Научитесь: Профессия Интернет-маркетолог Узнать больше
Понравилась статья?
Да

Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies 🍪

Ссылка скопирована