Съгласие за бисквитки: какво всъщност изисква законът
Съгласието за бисквитки е едно от най-неразбираните изисквания в областта на дигиталната поверителност. Много компании смятат, че са в съответствие, само защото показват банер за бисквитки. Но банерът не е съгласие. Съгласието е конкретна правна концепция с точни изисквания — и неизпълнението на тези изисквания може да означава, че цялото ви събиране на данни е незаконно.
Правната основа
Съгласието за бисквитки стъпва на два правни стълба:
Член 5, параграф 3 от Директивата за електронна неприкосновеност (ePrivacy) установява изискването: съхраняването или достъпът до информация на устройството на потребителя изисква неговото съгласие, освен ако съхранението не е строго необходимо за услуга, изрично поискана от потребителя. Това е правилото, което конкретно урежда бисквитките.
Член 4, параграф 11 от GDPR определя какво означава съгласие: „„съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.“
Тези две разпоредби действат заедно. Директивата ePrivacy ви казва кога е необходимо съгласие (за несъществените бисквитки). GDPR ви казва как изглежда валидното съгласие. И двете условия трябва да бъдат изпълнени.
Петте изисквания за валидно съгласие
Изхождайки от член 4, параграф 11, член 7 от GDPR и Насоки 05/2020 на ЕКЗД относно съгласието, валидното съгласие за бисквитки трябва да отговаря на пет критерия:
1. Свободно изразено
Потребителят трябва да има истински избор. Съгласието не е свободно, ако:
- Достъпът е обвързан с условие за съгласие. Ако потребителят не може да използва уебсайта, без да приеме всички бисквитки („стена от бисквитки“), съгласието не е свободно изразено. ЕКЗД потвърди тази позиция, макар че някои национални органи по защита на данните допускат ограничени стени от бисквитки при определени обстоятелства — особено ако съществува реална алтернатива (например платена версия без бисквитки).
- Съществува значителна неравнопоставеност на силите. При отношения между работодател и служител или между държава и гражданин съгласието може да не е наистина свободно. За повечето уебсайтове това е по-малко относимо, но има значение за държавните услуги и интранет платформите.
- Отказът е значително по-труден от приемането. Ако „Приемане на всички“ е видим бутон, а „Отказ на всички“ изисква преминаване през настройки, съгласието не е свободно изразено. Италианският Garante и френската CNIL издадоха конкретни насоки, изискващи отказът от бисквитки да бъде толкова лесен, колкото и приемането им.
2. Конкретно
Съгласието трябва да бъде дадено поотделно за всяка отделна цел. Именно затова съществуват категориите бисквитки. Валидният механизъм за съгласие трябва да позволява на потребителите да приемат аналитичните бисквитки, като отхвърлят маркетинговите, или обратно. Обединяването на всички бисквитки в едно-единствено „приемане“ или „отказ“ не отговаря на изискването за конкретност — макар че предлагането на „Приемане на всички“ и „Отказ на всички“ като бързи опции наред с контроли по категории е допустимо.
3. Информирано
Преди да даде съгласие, на потребителя трябва да бъде съобщено:
- Кой поставя бисквитките (операторът на уебсайта и всякакви трети страни)
- Какво прави всяка категория бисквитки
- Колко дълго се съхраняват бисквитките
- Как да оттегли съгласието си
Тази информация трябва да бъде представена ясно и на разбираем език. Политика за бисквитките от 5000 думи, скрита зад три кликвания, не прави съгласието „информирано“ в никакъв смислен смисъл. Първият слой на вашия механизъм за съгласие трябва да съдържа достатъчно информация, за да може потребителят да вземе информирано решение.
4. Недвусмислено
Съгласието изисква ясно потвърждаващо действие. Потребителят трябва активно да направи нещо, за да изрази съгласие — да кликне бутон, да отметне поле, да превключи бутон.
Какво НЕ представлява недвусмислено съгласие:
- Предварително отметнати полета. Съдът на ЕС постанови окончателно по делото Planet49 (дело C-673/17, октомври 2019 г.), че предварително отметнатите полета не представляват валидно съгласие. Това важи за настройки за съгласие за бисквитки, при които категориите са отметнати по подразбиране.
- Продължаване на сърфирането. „Като продължавате да използвате този сайт, вие се съгласявате с бисквитките“ не е валидно съгласие. Простото превъртане или кликване върху връзка не е „недвусмислено указание“. Множество органи по защита на данните потвърдиха това, а насоките на ЕКЗД са изрични по тази точка.
- Настройки на браузъра. Разчитането на настройките на браузъра на потребителя като форма на съгласие е отхвърлено от регулаторите. Операторът на уебсайта трябва да получи съгласие директно.
- Мълчание или бездействие. Ако потребителят пренебрегне банера и продължи да сърфира, това не е съгласие. Не бива да се поставят бисквитки, докато потребителят не направи активен избор.
5. Предварително
Макар че не е посочено като отделен елемент в член 4, параграф 11 от GDPR, Директивата ePrivacy пояснява, че съгласието трябва да бъде получено, преди да бъдат поставени бисквитки. Именно това изискване много уебсайтове все още не изпълняват. Скриптове, които се задействат при зареждане на страницата — поставяйки аналитични и маркетингови бисквитки, преди потребителят изобщо да е видял банера за съгласие — нарушават това основно изискване.
От техническа гледна точка това означава, че несъществените скриптове трябва да бъдат блокирани, докато не бъде дадено съгласие. Простото показване на банер, докато бисквитките вече се поставят, не удовлетворява изискването за предварително съгласие.
Как изглежда валидното съгласие на практика
Съобразената с изискванията реализация на съгласие за бисквитки:
- Блокира всички несъществени бисквитки, преди потребителят да взаимодейства с механизма за съгласие.
- Представя ясен първи слой, който обяснява категориите използвани бисквитки, с опции за приемане или отказ на всяка категория.
- Предлага „Приемане на всички“ и „Отказ на всички“ с еднаква видимост — еднакъв размер, еднаква визуална тежест, еднакъв брой необходими кликвания.
- Не използва тъмни модели — без подвеждащи цветове на бутоните, без скрити опции за отказ, без объркващ език, без насочване към приемане.
- Води към подробна политика за бисквитките, която изброява всяка бисквитка по име, цел, продължителност и доставчик.
- Записва съгласието с времеви маркер и конкретните категории, които потребителят е приел или отказал.
- Задейства съответните скриптове само след като е дадено съгласие за тази конкретна категория.
Жизненият цикъл на съгласието
Съгласието не е еднократно събитие. То има жизнен цикъл, който вашата реализация трябва да поддържа:
Събиране
Първо посещение: показва се механизмът за съгласие, блокират се несъществените бисквитки, изчаква се действие от потребителя.
Съхранение
Когато е дадено съгласие, изборът на потребителя се съхранява в строго необходима бисквитка (за нея не е нужно съгласие, тъй като тя е необходима за спазване на предпочитанията за поверителност на потребителя). Съхранете също и запис от страна на сървъра като доказателство за съгласие.
Прилагане
При следващи зареждания на страници прочетете бисквитката за съгласие и задействайте само скриптовете, които съответстват на приетите от потребителя категории. Не показвайте банера отново — зачитайте съхранения избор.
Оттегляне
Член 7, параграф 3 от GDPR е изричен: „Оттеглянето на съгласието трябва да бъде също толкова лесно, колкото и даването му.“ Вашият уебсайт трябва да предоставя постоянен, лесно достъпен начин потребителите да променят предпочитанията си за бисквитки по всяко време. Често срещан подход е малка икона или връзка в долния колонтитул, която отваря отново интерфейса за управление на съгласието.
Подновяване
Съгласието не трае вечно. CNIL препоръчва подновяване на съгласието на всеки 13 месеца. ЕКЗД не е определил конкретна продължителност, но изисква съгласието да остане валидно и изборът на потребителя все още да отразява действителната му воля. Най-добрата практика е да се изисква повторно поне веднъж годишно или всеки път, когато използването на бисквитки се промени значително.
Промени
Ако добавите нови бисквитки, нови услуги от трети страни или нови цели, съществуващото съгласие може вече да не ги обхваща. От потребителите трябва повторно да се изисква да дадат (или откажат) съгласие за новото обработване.
Записи и доказателства за съгласие
Член 7, параграф 1 от GDPR гласи: „Когато обработването се извършва въз основа на съгласие, администраторът трябва да е в състояние да докаже, че субектът на данните е дал съгласие.“ За съгласието за бисквитки това означава, че трябва да поддържате записи за:
- Кога е дадено съгласието (времеви маркер)
- За какво потребителят е дал съгласие (кои категории са приети, кои отказани)
- Как е събрано съгласието (как е изглеждал механизмът за съгласие по това време — идентификатор на версия или екранна снимка)
- Кой е дал съгласие (обикновено анонимизиран идентификатор, а не името на потребителя)
Ако регулатор ви поиска да докажете, че конкретна бисквитка е била поставена с валидно съгласие, тези записи са вашата защита. Без тях нямате доказателство, че механизмът ви за съгласие работи — а тежестта на доказване е върху вас, а не върху регулатора.
Често срещани пропуски при съгласието
Въз основа на действия по правоприлагане в цяла Европа, това са най-често санкционираните пропуски при съгласието:
- Бисквитки, поставени преди съгласие. Аналитични и маркетингови скриптове, задействащи се при зареждане на страницата, преди потребителят да взаимодейства с банера.
- Липса на опция за отказ на първия слой. Изискване към потребителите да кликнат „Настройки“ или „Управление на предпочитанията“, за да откажат бисквитки, докато „Приемане на всички“ е незабавно достъпно.
- Предварително отметнати категории. Превключватели за съгласие, които по подразбиране са „включени“ за аналитика и маркетинг.
- Липса на начин за оттегляне на съгласие. След като банерът е затворен, няма начин потребителят да промени избора си.
- Стена от съгласие / стена от бисквитки. Блокиране на достъпа до съдържание, освен ако не бъдат приети всички бисквитки.
- Подвеждащ дизайн. Използване на зелено за „Приемане“ и сиво за „Отказ“, увеличаване на бутона за приемане или използване на объркващ език като „Продължи без приемане“ срещу „Приеми и продължи“.
Passiro сканира реализацията на съгласието за бисквитки на вашия уебсайт и проверява за тези често срещани пропуски, като ви помага да идентифицирате и отстраните пропуските в съответствието, преди да го направи регулатор.
Следва: кога точно се изисква съгласие? Отговорът включва няколко важни нюанса, включително освобождаването за строго необходими бисквитки и продължаващия дебат около аналитиката от първа страна.
В тази секция
Вашият уебсайт съответства ли на правилата за бисквитки?
Сканирайте уебсайта си безплатно и намерете всички бисквитки за минути.
Сканирайте бисквитките си безплатно