Согласие на обработку файлов cookie что это
- делают сайт удобнее для пользователей;
- повышают стабильность его работы;
- отслеживают действия посетителей.
Начнем с удобства. Куки помогают сайту узнавать вас и «вспоминать» ваши настройки. Например, сайт для бронирования гостиниц может запомнить, оплату в какой валюте вы выбрали, а галочка «запомнить меня» в соцсети позволяет не вводить логин и пароль при каждом новом визите. Когда вы вернетесь на сайт, он обнаружит на устройстве свои куки, узнает вас и автоматически пустит в аккаунт.
Согласны на все
Стремясь скорее получить информацию, за которой пришли на сайт, пользователи часто сразу нажимают кнопку «ОК» или «Согласен», чтобы закрыть надоедливое окошко. Даже если это означает дать разрешение на сбор неизвестно кем и неизвестно каких данных. Возможно, кто-то и вчитывается в текст уведомления, но даже из них на страницу с настройками переходят немногие.
Для нашего эксперимента мы выбрали 32 веб-ресурса: десять из сферы масс-медиа, восемь принадлежат различным частным компаниям, четыре — культурным и спортивным организациям. Кроме этого, мы изучили четыре образовательных сайта, два правительственных и четыре из прочих категорий.
Мы решили пойти немного дальше и проверить, предлагают ли разработчики этих сайтов хоть какие-то варианты управления куки. Для этого мы изучили их политику конфиденциальности. Оказалось, что запретить собирать и использовать свои данные в теории можно. В зависимости от ресурса предлагается один из двух сценариев: либо обращаться напрямую в маркетинговые компании, с которыми сотрудничают его владельцы, либо писать его администраторам с просьбой не следить за вами. На практике это, мягко говоря, не самые удобные способы оградить себя от слежки.
Неприятный сюрприз заключался в том, что семь сайтов — около четверти от всех изученных — подкидывали пользователю куки сразу при входе. То есть посетитель еще даже не успел решить, согласен ли он принять все или желает сначала заглянуть в настройки, а ресурс уже о нем что-то записал.
Правила реализации политики использования cookie-файлов
С точки зрения GDPR и ePrivacy, правила использования cookie-файлов ничем не отличаются от правил обработки всех остальных персональных данных и должны выполняться в случае, если на сайте используются какие-либо cookie, позволяющие сформировать профиль пользователя в сети. Однако это не касается:
- cookie, строго необходимых для корректной работы сайта;
- cookie, строго необходимых для предоставления онлайн-сервиса пользователю, например, когда пользователь заполняет онлайн-форму, использует корзину для покупок, или аутентифицируется на сайте для входа в систему предоставления онлайн-услуг
- Установка cookie должна осуществляться только с предварительного согласия пользователя.
- Это согласие должно быть дано посредством четкого, подтверждающего выбор пользователя, действия, при этом если используется форма, в которой необходимо установить отметку в виде галки/флажка, такая отметка не может быть выставлена по умолчанию.
- Пользователю в четкой и понятной форме должна быть представлена информация о назначении cookie, целях установки, сроках действия, а также информация о третьих лицах, которым передаются пользовательские данные.
- Пользователь должен иметь возможность полного или частичного отзыва согласия в любое время.
- И что немаловажно для владельцев сайта – все согласия на установку cookie-файлов должны быть зафиксированы, ведь владелец сайта, являясь контролером или обработчиком, должен иметь возможность подтвердить факт получения согласия.
Выводы
Проблема ужесточения требований в отношении использования cookie-файлов обсуждается с момента вступления в силу Европейского регламента о защите данных (далее GDPR), а так же публикации проекта изменений ePrivacy Directive (наиболее известной как «Положение о конфиденциальности и электронных коммуникациях»). Именно эти документы официально определяют cookie-файлы как персональные данные и предусматривают экстерриториальную ответственность, а также наложение колоссальных штрафов на владельцев сайтов за незаконное использование таких файлов. Мы уже проводили обзор штрафов за нарушение основных принципов GDPR, однако ни один из них не включал в себя нарушений, связанных с обработкой cookie-файлов. Зачастую, в отсутствие судебных практик и реальных наказаний, у представителей бизнеса создается ощущение защищенности, другими словами: «Пока гром не грянет – мужик не перекрестится». Но раскаты грома уже давно доносятся – одним из наиболее крупных штрафов за нарушение, связанное с установкой cookie, является штраф в 30 000 евро, выписанный в октябре 2019 года испанским органом по защите данных авиакомпании Vueling за отсутствие возможности для пользователя отказаться от установки сторонних cookie.
В силу особенностей профессии, посещая различные сайты, невольно анализируешь их на предмет соответствия известным нормативно-правовым актам в области защиты персональных данных. В результате очередного такого анализа стало ясно, что в погоне за реализацией требований GDPR многие компании озаботились вопросом «наведения порядка» на своих веб-ресурсах. Однако по причине непонимания требований или же в отсутствие желания «портить» пользовательский интерфейс сайта, создается впечатление, что каждая вторая организация некорректно реализует политику использования cookie-файлов на своих ресурсах.
Не только куки
Все эти настройки, запреты и режимы предназначены для того, чтобы за нами не следили. С куками мы разобрались, но достаточно ли их настройки для полной защиты от отслеживания? К сожалению, нет: помимо них есть и другие способы следить за пользователями, причем их на удивление немало.
Для комплексной защиты от рекламной слежки существуют отдельные инструменты: к примеру, в Kaspersky Internet Security есть «Защита от сбора данных» — функция блокировки трекинга. В ходе эксперимента мы воспользовались решением, и оно то и дело сообщало о попытках слежки — даже при выключенных в браузере куках! — и блокировало их. Поэтому, чтобы гарантированно избавить себя от лишних глаз в Интернете, лучше использовать дополнительную защиту.
4. Управление файлами cookie
При первом посещении Сервисов во всплывающем окне (либо с помощью другого технического решения) вам может быть предложено выбрать типы файлов cookie, которые будут записаны на вашем устройстве . При этом, технические файлы cookie устанавливаются автоматически при загрузке страницы, если иное не указано в настройках браузера. Если вы одобрили использование файлов cookie, но потом захотели изменить свое решение, то сделать это можно самостоятельно удалив сохраненные файлы в Вашем браузере.
Если Вы одобрили использование файлов cookie на одном из сервисов Яндекса, это будет означать, что такое согласие дано вами для использования файлов cookie на всех Сервисах Яндекса.
3. Как долго файлы cookie хранятся на вашем устройстве
Яндекс использует сессионные файлы cookie, чтобы вам было удобнее работать с Сервисами. Например, при помощи файла cookie cookie_check , запоминаются данные вашей авторизации в Сервисах и при переходе в другую доменную зону уже не нужно заново проходить процесс авторизации. Срок действия сессионных файлов cookie истекает в конце сессии (когда вы закрываете страницу или окно браузера).
Яндекс также может использовать файлы cookie, которые сохраняются в течение более длительного периода, например, чтобы запомнить ваши предпочтения на Сервисах, такие как язык или местоположение. Срок хранения данных зависит от типа файлов cookie. Такие файлы cookie будут автоматически удалены после того, как выполнят свою задачу.
Яндекс использует информацию, содержащуюся в файлах cookie в течение сроков и на условиях, указанных в настоящей Политике, а также в Политике конфиденциальности.
5. Кто, кроме Яндекса, имеет доступ к информации, содержащейся в файлах cookie
Партнеры Яндекса также могут собирать информацию о пользователях с помощью файлов cookie или пиксельных тегов в рамках использования Сервисов. Использование файлов cookie и других технологий позволяет Яндексу и его партнерам анализировать активность при использовании Сервисов, подсчитывая количество посещений или показываярекламу, адаптированную под услуги Сервиса.
Информация, собранная с помощью файлов cookie, размещенных на вашем устройстве, может быть передана и доступна Яндексу и/или партнерам на условиях Политики конфиденциальности. Использование вне Сервисов собранной информации может быть предметом отдельных пользовательских соглашений, доступных на сайтах партнеров. Яндекс и/или партнеры могут также предоставить вам возможность отказаться от персонализации рекламы, в соответствии с законодательством и правилами, применимыми к таким продуктам и предложениям.
1. Что такое файлы cookie и для чего их использует Яндекс
Файлы cookie — это небольшие фрагменты данных со служебной информацией о посещении сайта, которые сервер отправляет на ваше устройство. Файлы cookie запоминают информацию о ваших предпочтениях, позволяют в более удобном для вас режиме просматривать посещенные сайты в течение определенного времени. Например, благодаря файлам cookie Сервисы предлагают вам просматривать информацию на том языке, которым вы обычно пользуетесь.
Яндекс использует файлы cookie для того, чтобы:
На основании данных, полученных с помощью файлов cookie, Яндекс разрабатывает наиболее полезный функционал для Сервисов, которыми вы пользуетесь, проводит статистические и маркетинговые исследования, исправляет ошибки в Сервисах и тестирует новые функции для повышения производительности Сервисов, персонализирует их и показывает наиболее релевантную для вас информацию.
Пробуем запретить куки в настройках браузера
Кстати, во многих браузерах есть режим инкогнито или приватного просмотра: когда он включен, куки загружаются, но автоматически удаляются сразу после закрытия окна инкогнито. Это полезно, если нужно зайти в Сеть с чужого компьютера, на котором вы не хотите менять основные настройки программы.
2. Какие файлы cookie использует Яндекс
Яндекс использует различные типы файлов cookie. Основная задача в их использовании - это обеспечить удобство вашей работы с Сервисами, поддерживать высокий уровень безопасности в их работе, вести подсчет аудитории, помогать в проведении оплат, переходах по страницам и прочее. Все файлы cookie Яндекса относятся к одному из следующих типов:
(i) Технические файлы cookie, которые необходимы для правильной работы и предоставления полного функционала Сервисов. Одними из самых распространённых технических файлов cookie, например, являются yandex_uid или session_id. Они устанавливаются автоматически и обеспечивают возможность аутентификации и последующей авторизации в Сервисах. Файлы сookie secure_session_id используются для авторизации пользователей и обеспечения безопасности учетных данных при проведении оплат.
(ii) Аналитические и маркетинговые файлы cookie, которые позволяют:
распознавать пользователей, подсчитывать их количество и собирать информацию, например, о произведенных операциях, посещенных страницах и просмотрах на Сервисах;
идентифицировать ваше аппаратное или программное обеспечение, например, тип браузера или устройство (с помощью cookie device_id);
собирать информацию о том, как вы взаимодействуете с Сервисами, например, приобретены ли услуга или продукт;
(iii) Прочие файлы cookie выполняют различные служебные функции и делают удобнее работу с сайтами и сервисами Яндекса. Эти файлы помогают запомнить состояние страницы, выбрать регион (например, с помощью файла cookie yandex_gid), сохранить персональные предпочтения, например, такие настраиваемые элементы сайта, как размер текста, шрифт (например, с помощью файла cookie font_loaded) и прочее.
Яндекс может применять веб-маяки (пиксельные теги) для доступа к файлам cookie, ранее размещенным на вашем устройстве. Их использование необходимо для анализа ваших действий при работе с Сервисами путем доступа и использования файлов cookie, хранящихся на Вашем устройстве, для сбора статистики о работе самих Сервисов или продуктов и утилит Яндекса.
Яндекс также использует Y-cookie – контейнеры, которые содержат множественные значения. Например, cookie-контейнер с именем ys сохраняет данные портала на время сессии (то есть пока вы не закрыли страницу или окно браузера). С помощью Y-cookie уменьшается количество cookie-файлов, обрабатываемых вашим браузером, и обеспечивается повышенная производительность при загрузке страниц, в том числе их более быстрая загрузка.
Отключение некоторых указанных типов файлов cookie может привести к тому, что использование отдельных разделов или функций Сервисов станет невозможным. Например, доступ к разделам Сервисов, для которых нужна авторизация, обеспечивается техническими файлами cookie и без их использования сайт может работать некорректно.
Основные ошибки в реализации политики использования cookie-файлов или как делать не нужно
Рассмотрим три примера неправильной реализации политики использования cookie-файлов, которые наиболее часто встречаются среди сайтов контролеров и обработчиков персональных данных.
Пример 1. Баннер, предупреждающей, что, продолжая использовать сайт, вы даете согласие на использование cookie.
Такая практика широко распространена как среди российских, так и среди европейских веб-ресурсов. В качестве примера рассмотрим сайт Итальянского магазина косметики. Согласно представленной на сайте политике обработки cookie, пользователю устанавливаются технические cookie, функциональные cookie и cookie сторонних маркетинговых кампаний.
При этом дословный перевод предупреждения на баннере внизу страницы гласит: «Этот сайт использует технические, аналитические и сторонние файлы cookie для профилирования. Если вы выберете «Продолжить» или получите доступ к любому контенту на нашем сайте без определения вашего выбора, вы даете согласие на использование файлов cookie. Чтобы узнать больше и отказаться от согласия на установку cookie, нажмите здесь.»
В данном случае нарушаются все правила, упомянутые ранее:
- Файлы cookie устанавливаются сразу в момент открытия сайта пользователем.
- Продолжение использование сайта или нажатие кнопки продолжить не является четким подтверждающим действием, так как пользователю не предоставляется право выбора, и он не может отказаться от установки cookie.
- Информация, представленная в политике использования cookie, не содержит в себе конкретных сроков хранения тех или иных cookie.
- Механизм отзыва согласия на установку cookie на самом сайте не предусмотрен, взамен этого предлагается отказаться от установки cookie посредством настроек браузера.
- Так как механизм получения согласия не предусмотрен, то и подтвердить, что такое согласие было получено, попросту, невозможно.
Баннер с согласием, представленный на сайте, соответствует рассматриваемым нами правилам, а руководство по защите данных, на которое присутствует ссылка в тексте, достаточно подробно описывает политику компании в отношении cookie-файлов. В русской версии баннер с согласием выглядит так:
Однако если копнуть глубже и попробовать открыть не главную страницу сайта, а, например — получается магия.
Магия заключается в том, что баннер, который, вроде, и отвечает всем требованиям, по факту не работает. Установка cookie, отличных от строго необходимых, не блокируется до совершения разрешающих действий, а значит, что и «отличником» сайту уже точно не быть. В данном случае из 5 правил, можно сказать о соблюдении только правил 2 и 3.
Пример 3. Недостаточно прозрачная политика использования cookie
Сайт имеет баннер согласия с возможностью управления отдельными cookie.
И, что немаловажно, механизм блокировки работает:
До получения согласия
После получения согласия
Однако, информация об использовании cookie содержит в себе слишком мало конкретики – не приведены ни перечень лиц, чьи сторонние cookie устанавливает сайт, ни сроки хранения хотя бы отдельных групп cookie на сайте. В таких случаях нарушается один из главных принципов GDPR — Прозрачности обработки, следовательно не выполняется и правило 3. Примером вполне прозрачной политики использования cookie является политика, опубликованная на сайте европейской комиссии.
Кроме того, что рассмотренные примеры являются показательными с точки зрения распространённых ошибок в реализации требований европейского законодательства в области защиты данных и конфиденциальности, они также демонстрируют, что работа европейских регуляторов заставляет многих Контролеров и Обработчиков озаботиться вопросами соответствия требованиям. И если два года назад на подавляющем большинстве сайтов тема использования cookie вовсе не поднималась, то сейчас ситуация кардинально меняется, что не может не радовать пользователей, заинтересованных в получении контроля над своими данными – ведь, со слов Европейской комиссии по защите данных, именно для этого был разработан GDPR.
Практика показывает, что в текущих реалиях владельцам сайтов, являющимся контролерами или обработчиками, остается два варианта:
- самостоятельно или с привлечением внешних специалистов обеспечить абсолютное выполнение установленных правил;
- отказаться от использования каких-либо cookie-файлов, кроме тех, что влияют на корректную работу сайта и предоставление основных услуг клиентам, как это реализовано на сайте Испанского агентства по защите данных.
Ирина Лапуриди
Специалист по защите информации, Акрибия
Люди не читают инструкций. Вы почти наверняка не читали лицензионное соглашение Windows, не читали лицензионное соглашение iTunes, не читали условия Linux GPL или любого другого программного обеспечения.
Это нормально. Такова наша природа.
Большинство нажимает «Согласиться» — и продолжает жить как ни в чём ни бывало. Никто ведь не читает политику конфиденциальности, верно?
Разработчик Конрад Акунга (Conrad Akunga) решил разобраться, какие конкретно условия предусмотрены соглашением об использовании. Для примера он взял новостной сайт Reuters. Это абсолютно произвольный пример, у большинства других сайтов тоже есть свои правила.
Вот эти правила:
Обратите внимание на полосу прокрутки. Дальше идёт продолжение.
Если вкратце, документ информирует пользователя о нескольких вещах:
- Что веб-сайт собирает и обрабатывает данные
- Что для этого он работает с различными партнёрами
- Что сайт хранит некоторые данные на вашем устройстве с помощью файлов cookie
- Что некоторые файлы cookie строго необходимы (определяется сайтом). Их нельзя отключить.
- Некоторые персональные данные могут быть проданы партнёрам для предоставления соответствующего контента
- Вы можете персонализировать рекламу, но не удалить её
Вы также не можете полностью отключить рекламу. Таким образом, ваш единственный выбор — либо смотреть рекламу, выбранную случайным образом, либо рекламу, которая, по мнению провайдера, может иметь к вам какое-то отношение.
И ещё один пункт о партнёрах, которым продаются ваши персональные данные. Список партнёров общий для всех сайтов, которые сотрудничают с IAB.
Кто же эти «партнёры»?
Если нажать на соответствующую кнопку, то появится следующее окно:
Обратите внимание, насколько маленький ползунок на полосе прокрутки. Наверное, там их сотни. Под названием каждой компании — ссылка на политику конфиденциальности.
Это не одна и та же ссылка, а разные! Каждая из них ведёт на уникальную политику конфиденциальности каждого партнёра. Сколько человек на самом деле пойдёт по этим ссылкам вручную, чтобы прочитать условия? Это просто нереально.
Конрад Акунга воспользовался инструментами разработчика Chrome, чтобы извлечь реальный список партнёров со ссылками на условия конфиденциальности каждого из них.
Скопированный список он вставил в VSCode — и получил огромный файл на 3835 строк, который после форматирования ( Alt + Shift + F ) разбился в чудовище на 54 399 строк.
Конрад написал программку, которая с помощью регулярных выражений извлекает нужные фрагменты данных — названия компаний с URL — и генерирует результат в формате Markdown по шаблону.
В результате получился список всех партнёров, и у каждой — свой уникальный документ c условиями конфиденциальности. Вот этот список: vendors.md.
В нём 647 компаний.
Очевидно, что никто не сможет ознакомиться со всеми этими условиями прежде, чем нажать кнопку «Согласиться», делает вывод автор.
Помните, что эти рекламные провайдеры предоставляют одни и те же услуги разным сайтам. Они однозначно идентифицируют браузер и устройство, поэтому могут анализировать и отслеживать ваши действия на разных сайтах для создания максимально точного профиля. На каждого якобы анонимного пользователя собираются большие объёмы данных.
На многих отечественных и зарубежных сайтах пользователи регулярно встречают запрос о своем согласии на использовании ресурсом файлов куки. Понятно, что подавляющее большинство посетителей ресурсов соглашаются, чтобы иметь возможность беспрепятственно использовать информацию, размещенную на таком сайте. Тем не менее, после нескольких подобных уведомлений они начинают здорово раздражать.
Сейчас у пользователей европейских сайтов появилась надежда на то, что уведомления такого рода в скором времени исчезнут с экранов компьютеров и телефонов. Европейская комиссия предложила ряд поправок, которые позволят уточнить методы использования владельцами сайтов данных своих пользователей. Эксперты оценивают инициативу Евросоюза, в целом, положительно. А пользователи могут быть довольны — порядком надоевшие «куки-банеры» с высокой степенью вероятности в скором времени будут убраны.
Считается, и небезосновательно, что файлы куки могут быть полезны пользователю. Сами эти файлы представляют собой небольшой фрагмент текста, который передается прямо в браузер с ресурса, посещенного пользователем. Это помогает интернет-сайту запомнить ряд предпочтений посетителей, включая язык и некоторые другие настройки. При следующем посещении пользователем этого же ресурса все настройки будут уже готовы, так что заново настраивать ничего не приходится.
Правда, информацию, предоставляемую файлами куки, используют не только владельцы сайтов, но и разного рода рекламные, маркетинговые компании и т.п. Часто такие данные владельцы сайтов передают третьей стороне, не предупреждая об этом пользователей. Кроме того, куки используются скриптами контекстной рекламы для показа информации рекламного характера, наиболее релевантной конкретному пользователю.
Европейская комиссия планирует обязать владельцев сайтов разъяснять пользователем, как их личная информация будет использоваться в дальнейшем, а также ужесточить законодательство относительно приватности данных пользователей. Согласно предложениям еврочиновников, посетители интернет-ресурсов смогут выбирать уровень защиты в настройках своих браузеров, включая такие обозреватели, как Google Chrome и Safari. Сайты будут получать уведомления о настройках браузера и загружать страницы соответствующим настройкам уровня приватности пользователя образом.
«Интернет пользователи не должны кликать по банеру каждый раз при посещении сайта. Они должны получать обыкновенное уведомление», — заявил Андрус Ансип, вице-президент Еврокомиссии. «Если даже вы установили высокий уровень защиты, это вовсе не значит, что вы не будете больше видеть рекламу. Будете, но это будет скучная реклама». По словам Андруса, в том случае, если пользователь понизит уровень настроек приватности, он станет получать более релевантную рекламу, что, по словам того же Андруса, «не всегда плохо». Он считает, что при возможности выбора — оставлять на сайте куки или нет пользователь выберет первый вариант.
Если же закон со стороны владельцев сайтов или рекламных компаний будет нарушен, это грозит штрафом в 10 миллионов евро или двумя процентами готового оборота. Так что, как видим, компаниям лучше прислушаться к мнению Европейской комиссии, иначе платить придется довольно много.
Тем не менее, есть у этого варианта развития событий и противники. В основном, это рекламные компании, которые считают сложной техническую реализацию задуманного. «Люди, которые думают, что „куки-баннеры“ раздражают, будут удивлены, если узнают, что лучшей альтернативны нет», — говорит Таунсенд Фихан (Townsend Feehan) глава Interactive Advertising Bureau в Европе. Эта компания лоббирует свои интересы, утверждая, что куки должны быть доступны для представителей рекламной индустрии.
«Без значительных улучшений предлагаемого документа, пользователи должны будут изменять уровень настроек на каждом гаджете, который они используют, и станут чаще сталкиваться с запросами на использование безобидных куки при посещении сайтов и работе с сервисами», — считает Фихан.
Тем не менее, Еврокомиссия не планирует что-либо менять значительным образом. Сейчас еврочиновники занимаются разработкой системы стандартов для сайтов в рамках политики General Data Protection Regulation, которая станет актуальной с мая 2018 года. Согласно предложениям, сайты, которые используют кастомизированную рекламу, должны каждые полгода запрашивать согласие пользователя на использование файлов куки.
Но это может повлечь за собой ту же проблему, которая наблюдается и сейчас — «усталость» пользователей от куки-банеров, которые сейчас буквально преследуют пользователей сайтов на каждом шагу. В течение последующих нескольких месяцев дискуссия, в которой принимают участие рекламодатели, владельцы сайтов, пользователи и государственные организации, будет продолжаться. Юристы должны подготовить финальный документ к маю 2018 года, после этого изменить что-либо будет крайне сложно.
Политика использования файлов cookie (далее — «Политика») применяется в дополнение к общей Политике конфиденциальности, которая распространяется на продукты и сервисы (далее — «Сервисы») ООО «ЯНДЕКС» и/или его аффилированных лиц (далее — «Яндекс»). Политика описывает типы файлов cookie, цели их использования и способы, с помощью которых можно от них отказаться.
Читайте также: