Skip to main content

GDPR и бисквитки: пълно ръководство за съответствие

Общият регламент за защита на данните (GDPR) промени изцяло начина, по който уебсайтовете обработват бисквитки, след като влезе в сила на 25 май 2018 г. Макар че директивата за електронна поверителност (ePrivacy) е основният закон на ЕС, регулиращ бисквитките, GDPR се прилага винаги, когато бисквитките обработват лични данни — което на практика означава почти винаги. Разбирането как GDPR се прилага към бисквитките е от съществено значение за всеки уебсайт, който работи в Европейското икономическо пространство или е насочен към потребители в него.

Как GDPR се прилага към бисквитките

GDPR не споменава бисквитките поименно. Вместо това той регулира обработката на лични данни, определени в член 4, параграф 1 като всяка информация, свързана с идентифицирано или подлежащо на идентификация физическо лице. Съображение 30 от GDPR изрично посочва, че онлайн идентификаторите — включително идентификаторите на бисквитки — могат да се използват за създаване на профили на физически лица и за тяхното идентифициране. Това означава, че всяка бисквитка, съдържаща или свързана с уникален идентификатор, представлява лични данни съгласно GDPR.

На практика това обхваща почти всички бисквитки извън най-основните функционални. Аналитичните бисквитки, които присвояват уникален идентификатор на посетителя, рекламните бисквитки, които проследяват поведението при сърфиране, и дори сесийните бисквитки, свързани с потребителски акаунт, обработват лични данни и следователно попадат в обхвата на изискванията на GDPR.

Член 6: правно основание за обработка

Съгласно член 6 от GDPR всеки случай на обработка на лични данни изисква правно основание. За обработката, свързана с бисквитки, най-често се използват две основания:

  • Съгласие (член 6, параграф 1, буква а): Субектът на данните е дал съгласие за обработката за една или повече конкретни цели. Това е основното правно основание за повечето обработки на бисквитки, особено за аналитични, маркетингови и рекламни бисквитки.
  • Легитимен интерес (член 6, параграф 1, буква е): Обработката е необходима за целите на легитимните интереси на администратора, при условие че тези интереси не се преодоляват от правата и свободите на субекта на данните.

Основанието легитимен интерес е предмет на значителни спорове в контекста на бисквитките. Някои оператори на уебсайтове твърдят, че аналитичното проследяване обслужва легитимен интерес. Няколко органа за защита на данните обаче отхвърлиха този аргумент по отношение на бисквитки, които не са строго необходими. Френската CNIL, австрийската DSB и Европейският комитет по защита на данните (EDPB) заеха позицията, че за аналитичните бисквитки е необходимо съгласие и че легитимният интерес не може да служи като правно основание за поставянето на несъществени бисквитки на устройството на потребителя.

Насоки 05/2020 на EDPB относно съгласието посочват недвусмислено: „Скролването или продължаването на разглеждането на уебсайт не представлява валидно съгласие.“ Ерата на подразбиращото се съгласие за бисквитки приключи.

Член 7: условия за валидно съгласие

Член 7 определя условията, на които трябва да отговаря съгласието. За да бъде валидно съгласието за бисквитки съгласно GDPR, то трябва да бъде:

  1. Свободно изразено: Потребителят трябва да има реален избор. Съгласието не е свободно изразено, ако потребителят не може да го откаже или оттегли без неблагоприятни последици. Т.нар. cookie стени, които блокират достъпа до уебсайт, освен ако не се приемат всички бисквитки, са определени като несъответстващи от няколко органа за защита на данните, макар че правната обстановка варира според юрисдикцията.
  2. Конкретно: Съгласието трябва да бъде дадено за всяка отделна цел. Единичен бутон „Приеми всички“ без възможност за съгласие за конкретни категории не отговаря на това изискване.
  3. Информирано: Потребителят трябва ясно да бъде уведомен за какво дава съгласие. Това означава да се посочат бисквитките, техните цели, събираните данни и всички трети страни, участващи в процеса.
  4. Недвусмислено: Съгласието трябва да бъде дадено чрез ясно утвърдително действие. Предварително отметнати полета, мълчание или бездействие не представляват валидно съгласие.

Член 7, параграф 3 добавя ключово изискване: оттеглянето на съгласието трябва да бъде толкова лесно, колкото и даването му. Ако потребителят може да приеме бисквитките с едно кликване, той трябва да може да оттегли това съгласие със същата лекота. Банер за бисквитки, който откроява бутона „Приеми“, но скрива опцията за отказ в страница с настройки на няколко кликвания разстояние, не отговаря на изискванията.

Член 4, параграф 11: определение за съгласие

Член 4, параграф 11 определя съгласието като „всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му за обработване на свързани с него лични данни“.

Това определение се подкрепя от съображение 32, което гласи:

„Съгласието следва да бъде дадено чрез ясно утвърдително действие, което да представлява свободно изразено, конкретно, информирано и недвусмислено указание за съгласието на субекта на данните. Това може да включва поставяне на отметка при посещение на интернет уебсайт. Мълчанието, предварително отметнатите полета или бездействието не следва да представляват съгласие.“

Основополагащото решение по делото Planet49 на Съда на Европейския съюз (СЕС) от октомври 2019 г. (дело C-673/17) потвърди това тълкуване, като постанови, че предварително отметнатите полета не представляват валидно съгласие за бисквитки.

Задължения за прозрачност: членове 12–14

Членове 12 до 14 изискват администраторите на данни да предоставят информация относно обработката на данни в кратка, прозрачна, разбираема и лесно достъпна форма, използвайки ясен и разбираем език. За бисквитките това означава:

  • Вашата политика за бисквитки трябва да е написана на език, който обикновените потребители могат да разберат — а не с правен жаргон.
  • Информацията трябва да се предоставя в момента на събиране на данните (т.е. преди поставянето на бисквитките).
  • Потребителите трябва да бъдат уведомени за самоличността на администратора, целите на обработката, категориите данни, всички получатели, сроковете на съхранение и техните права.
  • Ако бисквитките се споделят с трети страни (като Google Analytics, Facebook Pixel или рекламни мрежи), тези трети страни трябва да бъдат идентифицирани.

Член 17: право на изтриване

Член 17 дава на субектите на данни правото да поискат изтриване на своите лични данни. В контекста на бисквитките това означава, че ако потребител поиска изтриване на данните си, всички лични данни, събрани чрез бисквитки, трябва да бъдат изтрити. Това включва аналитични профили, рекламни идентификатори и всякакви други данни, свързани с идентификатори на бисквитки.

За операторите на уебсайтове, използващи услуги за анализ или реклама от трети страни, това може да бъде особено предизвикателство, тъй като данните може да се съхраняват от третата страна. Вашите споразумения за обработка на данни с доставчиците на бисквитки от трети страни трябва да включват разпоредби за обработка на искания за изтриване.

GDPR срещу ePrivacy: кой се прилага и кога?

Връзката между GDPR и директивата за електронна поверителност (ePrivacy) може да бъде объркваща. Ето как те си взаимодействат:

  • Директивата за електронна поверителност (член 5, параграф 3) регулира съхраняването или достъпа до информация на устройството на потребителя. Тя изисква съгласие за всички бисквитки, освен за строго необходимите. Това е lex specialis (специалният закон) за бисквитките.
  • GDPR регулира последващата обработка на всички лични данни, събрани чрез бисквитки. Той осигурява рамката за това какво представлява валидно съгласие, за правата на субектите на данни и за задълженията на администраторите на данни.

На практика: директивата за електронна поверителност ви казва, че се нуждаете от съгласие, за да поставите бисквитка. GDPR ви казва как изглежда валидното съгласие, какво можете да правите с данните и какви права имат потребителите по отношение на тези данни. И двете се прилагат едновременно.

Органи за защита на данните и правоприлагане

Всяка държава — членка на ЕС, разполага с орган за защита на данните (DPA), отговарящ за прилагането както на GDPR, така и на националните разпоредби, транспониращи директивата за електронна поверителност. Тези органи имат правомощието да разследват жалби, да провеждат одити и да налагат глоби в размер до 4% от глобалния годишен оборот или 20 милиона евро, като се прилага по-високата стойност.

Правоприлагането, свързано с бисквитките, се ускори драстично от 2020 г. насам. Органите за защита на данните в цяла Европа преминаха от насоки и предупреждения към значителни глоби, което превърна съответствието относно бисквитките в реален бизнес риск, а не в теоретична загриженост.

Големи глоби по GDPR, свързани с бисквитки

Следните мерки по правоприлагане демонстрират реалните финансови последици от несъответствие относно бисквитките:

Компания Глоба Орган Година Ключов проблем
Amazon Europe 746 милиона евро CNPD (Люксембург) 2021 Несъответстващи механизми за рекламно проследяване и съгласие
Google LLC 150 милиона евро CNIL (Франция) 2022 Отказът на бисквитки не е бил толкова лесен, колкото приемането им
Facebook (Meta) 60 милиона евро CNIL (Франция) 2022 Липса на прост механизъм за отказ на бисквитки
Microsoft (Bing) 60 милиона евро CNIL (Франция) 2022 Бисквитки, поставени без съгласие, без лесен механизъм за отказ
TikTok 5 милиона евро CNIL (Франция) 2023 Отказът на бисквитки изисквал повече кликвания от приемането
Criteo 40 милиона евро CNIL (Франция) 2023 Неполучаване на валидно съгласие за проследяващи бисквитки
Vueling Airlines 30 000 евро AEPD (Испания) 2020 Липса на опция за отказ на бисквитки, само „приеми“

Тези глоби не се ограничават до големи корпорации. Малките и средните предприятия също бяха обект на мерки по правоприлагане, особено във Франция, Италия и Германия. Само CNIL издаде над 100 официални уведомления до уебсайтове от всякакъв размер относно съответствието с изискванията за бисквитки през 2021 г.

Практически контролен списък за съответствие с GDPR относно бисквитките

Използвайте този контролен списък, за да проверите дали вашият уебсайт отговаря на изискванията на GDPR за бисквитките:

  1. Идентифицирайте всички бисквитки, които вашият уебсайт поставя, включително тези, поставяни от скриптове на трети страни, като аналитични, рекламни и социални джаджи.
  2. Класифицирайте всяка бисквитка като строго необходима, функционална, аналитична или маркетингова/рекламна.
  3. Внедрете предварително съгласие за всички несъществени бисквитки. Никакви аналитични или маркетингови бисквитки не трябва да се задействат, преди потребителят да е дал съгласие.
  4. Представяйте изборите за съгласие справедливо. Опцията за отказ на бисквитки трябва да бъде също толкова видима и достъпна, колкото и опцията за приемане.
  5. Предлагайте гранулирано съгласие. Потребителите трябва да могат да дават съгласие за конкретни категории бисквитки, а не да бъдат принуждавани към избор „всичко или нищо“.
  6. Не използвайте предварително отметнати полета. Всички незадължителни категории бисквитки трябва да са неотметнати по подразбиране.
  7. Предоставяйте ясна информация за целта на всяка бисквитка, данните, които събира, кой има достъп до тях и колко дълго се съхранява бисквитката.
  8. Идентифицирайте третите страни. Посочете услугите на трети страни, които поставят бисквитки на вашия сайт (Google Analytics, Facebook Pixel, HubSpot и др.).
  9. Улеснете оттеглянето. Осигурете постоянен, лесно достъпен начин потребителите да променят предпочитанията си за бисквитки след първоначалното съгласие. Обичайни подходи са връзка във футъра или плаваща иконка.
  10. Съхранявайте записи за съгласието. Поддържайте дневник за това кога всеки потребител е дал съгласие, за какво е дал съгласие и коя версия на политиката за бисквитки е била в сила по това време.
  11. Спазвайте изборите за съгласие технически. Уверете се, че отказът от съгласие действително предотвратява поставянето на съответните бисквитки. Това изисква блокиране на скриптовете преди съгласие, а не просто изтриване на бисквитките след това.
  12. Поддържайте политика за бисквитки, която е актуална, точна и написана на разбираем език. Актуализирайте я всеки път, когато добавите нови бисквитки или услуги на трети страни.
  13. Обработвайте исканията на субектите на данни. Разполагайте с процес за отговор на искания за изтриване, който включва данни, събрани чрез бисквитки.
  14. Сканирайте редовно. Извършвайте автоматизирани сканирания на бисквитки поне веднъж месечно и след всяко внедряване, за да откриете нови бисквитки, въведени от актуализирани скриптове или добавки.

Съответствието относно бисквитките съгласно GDPR не е еднократно упражнение. То изисква постоянно внимание с развитието на вашия уебсайт, добавянето на нови скриптове и актуализирането на регулаторните насоки. Организациите, които го третират като непрекъснат процес, а не като поставяне на отметка, са тези, които избягват мерки по правоприлагане — и междувременно изграждат доверие с потребителите си.

Вашият уебсайт съответства ли на правилата за бисквитки?

Сканирайте уебсайта си безплатно и намерете всички бисквитки за минути.

Сканирайте бисквитките си безплатно