Нарушаваме ли GDPR със съгласието за бисквитки в сайта си?
Най-вероятно всички сте чували за „Общият регламент относно защитата на данните“ (ОРЗД), известен също с английското си съкращение GDPR (General Data Protection Regulation). Регламентът за защита на личните данни влиза в сила от 25 май 2018 г. и засяга компании не само от Европейския Съюз, но и всички, които обработват данни на граждани от ЕС.
Според регламента всички собственици на сайтове се задължават да събират и обработват лични данни съгласно него.
Въпреки че бисквитките са споменати в малката част от регламента, съгласието за използване на бисквитки в сайта е много важна част от спазването на GDPR от сайтовете с посетители от ЕС. Това означава почти всички. Това е така, защото един от най-често използваните начини за събиране и споделяне на лични данни онлайн е, чрез бисквитките в сайта. Затова и GDPR поставя специални правила за използването на бисквитки.
GDPR изисква уеб сайтовете да събират данни за посетителите само и единствено след тяхното изрично съгласие и то според специфичната цел на използване.
Съгласието за използване на бисквитки трябва да отговаря на следните изисквания според регламента:
- Преди всяко активиране на бисквитки трябва да се получи предварително и изрично съгласие от потребителя за това. Изключение правят бисквитките, които са необходими за функциониране на сайта като тези за сесия, например;
- Съгласието трябва да бъде подробно — потребителите трябва да могат да активират само някои бисквитки като могат да оставят други неактивни. Не трябва да бъдат принуждавани да се съгласяват за използването, или на всички, или на никакви;
- Съгласието трябва да бъде давано доброволно — не се допуска принудителното му налагане;
- Съгласието трябва да може да бъде оттеглено също толкова лесно, колкото и е дадено;
- Детайлите за съгласието трябва да бъдат разписани под формата на правен документ, който да е достъпен на сайта;
- Тези детайли трябва да бъдат обновявани всеки път, когато има промяна в използваните бисквитки.
Това съгласие обикновено се постига на сайта, чрез банер или диалог за бисквитки, който всички сте виждали в различни сайтове. Той трябва да позволява на потребителя да избира и да се съгласи с използването на определена категория бисквитки, когато посети сайта.
„Насоки 5/2020 относно съгласието в съответствие с Регламент 2016/679“ от май 2020 г. разяснява какво се счита за валидно съгласие в съответствие с GDPR. Документът сочи, че в диалога за съгласие на сайта не е позволено да има предварително отметнати полета за съгласие и скролването в браузъра от потребителя или оставането му на сайта не се считат за валидно съгласие за управление на лични данни.
Потребителите трябва да дадат, чрез ясно и утвърдително действие, съгласието си преди сайта да активира избраните бисквитки.
Дотук става ясно какво се изисква от нас като собственици на сайтове, за да можем да спазваме регламента. Информацията, че използваме бисквитки на сайта си не се счита за валидно съгласие. Още по-малко можем да използваме бисквитки без да сме взели такова съгласие от потребителя.
Какво са бисквитките и защо засягат GDPR?
Бисквитките са кратък текст, който се запазва от сайта в браузъра на потребителя. С тяхна помощ сайтът може да възстановява предишното си състояние за съответния потребител след повторно зареждане. Например, когато сме влезли с потребителско име и парола в сайт и сесията ни е все още активна след повторно зареждане на сайта. По подобен начин различни външни услуги за анализ или следене могат да поставят бисквитки в браузъра ни, за да ни идентифицират.
За да се запазят и разпознаят тези бисквитки в браузъра ни, те се запазват с уникален идентификатор наречен „Cookie ID“. И по-важното е, че този идентификатор се счита за лични данни.
Да, според GDPR, това са лични данни на потребителя.
GDPR изисква сайтът да събира лични данни от потребителите, само ако те са дали ясно и утвърдително съгласие и то за точно определени и легитимни цели. Това изискване означава, не само да знаем какви бисквитки и тракери се използват на сайта ни, но и защо са там.
- Откъде идват бисквитките — кой е техният доставчик?
- Какъв тип данни събират? Това лични данни ли са? Ако е така, дали взимаме предварително съгласие от потребителя за използването им?
- Каква е целта от събираните, чрез бисквитки, данни? За да се счита за законосъобразно съгласието, трябва да предоставим на потребителите точна причина за използването им. В противен случай съгласието им може да се счете за невалидно.
- Какъв тип са бисквитките? Трябва да предоставим техническа информация за какво използваме бисквитките.
- Колко дълго ще са активни — колко дълго ще останат в браузъра на потребителя?
Например, ако в сайта си имаме Google Analytics, той ще постави бисквитки в сайта ни. Това са бисквитки „от трети страни“, защото те идват от услугата на Google, а не от собствения ни сайт. Съответно, тези бисквитки са незадължителни и за тях трябва да поискаме изричното съгласие на потребителя, преди да можем да ги активираме.
Важно е да се отбележи, че като собственици на сайтове, нямаме голям контрол върху това какви бисквитки могат трети страни да поставят в браузъра на потребителите. Затова без тяхното изрично съгласие ние не можем да използваме или активираме самите услуги. Разбираемо е, че това е неприятно за маркетинг екипа, но… Законът си е закон и според GDPR отговорността за съгласието си е наша. Независимо че става дума за чужди бисквитки.
Типове бисквитки
Вече стана ясно, че почти няма шанс сайтът ни да не поставя бисквитки в браузъра на потребителя. Следователно, според GDPR, сме длъжни да ги управляваме. И то правилно.
Доста вероятно е на сайта ни да има повече от един тип бисквитки. Важно е да ги разграничаваме, защото изискванията на GDPR за различните бисквитки са различни.
За да спазим напълно GDPR трябва:
- Да знаем за всички бисквитки, които се използват на сайта ни;
- Да информираме потребителите за използваните бисквитки и тяхната продължителност, цел и източник;
- Да предоставим възможност за подробно съгласие — да дадем възможност за избор на едни бисквитки за разлика от други;
- Да дадем възможност потребителите да могат да оттеглят съгласието си толкова лесно, колкото са го дали;
- Да запазим съгласието по сигурен начин;
- Да изискваме ново потвърждение поне веднъж на 12 месеца, заради възможни възникнали промени.
Като функционалност на сайта ни това означава, че трябва да дадем възможност на потребителите да избират между няколко типа бисквитки според тяхното предназначение.
В съответствие с GDPR бисквитките могат да се разделят на четири категории:
- Необходими бисквитки — те най-често се използват от самия сайт, например като тези, които се използват за сесии, както споменахме по-горе. Те се считат като част от функционалността на сайта и затова за тях не се изисква изрично съгласие.
- Бисквитки за предпочитания — например изборът на потребителя за език или валута в сайта. Липсата им не пречи на функционирането на сайта.
- Бисквитки за маркетинг и статистика — обикновено са бисквитки поставени от инструменти на трети страни (но не винаги), които събират информация за посещението на потребителя.
- Други бисквитки на трети страни — от други услуги предоставени от трети страни като вградени видеа или карти, например.
Според GDPR, всички бисквитки, които не са строго необходими за функционирането на сайта, не трябва да бъдат активирани преди изричното съгласие на потребителя за специфичното им предназначение.
На пръв поглед, цялата тази регулация може да изглежда сложна, но когато го приложите, ще видите, че изискванията не са чак толкова трудни за изпълнение. Има доста готови приставки и услуги, които позволяват такава функционалност на сайта. Просто потърсете за Вашата платформа или попитайте разработчика на сайта.
Що се отнася до разписването на условията свързани политиката за бисквитки, имайте предвид, че те са строго специфични за всеки сайт и услуга. Същото важи и за условията за ползване и цялостната политика за поверителност. За тези документи е препоръчително да се консултирате с юрист.