Что такое файлы cookie

Файлы cookies – это текстовые файлы небольшого размера, которые устанавливаются на пользовательское устройство (телефон, компьютер и т.д.), когда такой пользователь посещает определенный интернет-ресурс (сайт или мобильное приложение) или совершает на нем какие-то действия (например, добавляет товары в корзину в интернет-магазине).

Даже если пользователь покидает ресурс, файлы cookie по умолчанию остаются сохраненными в устройстве, как бы «следуя» за пользователем. Это позволяет при возвращении или посещении таким пользователем других ресурсов «узнавать» его. Помимо простого распознавания модели пользовательского устройства (например, чтобы отобразить интерфейс ресурса в нужном расширении под экран устройства), целями использования файлов cookie также могут быть определение пользовательских предпочтений (для показа рекламы), сбор статистики о взаимодействии пользователей с ресурсами (для улучшения опыта использования ресурсов или для устранения различных возникающих ошибок).

Строго говоря, к персональным данным относятся не сами файлы cookie, а их содержимое – начиная от простого пользовательского идентификатора (для входа на интернет-ресурс) и заканчивая, например, номером телефона, адресом доставки или любыми другими «классическими» персональными данными. Это вовсе не означает, что, переходя с одного ресурса на другой, тот автоматически получает персональные данные – как правило, порталы обмениваются специдентификаторами файлов cookie. Так, сайт А (рекламораспространитель) сообщает сайту Б (рекламодателю) о том, что определенный пользователь пришел на ресурс Б через рекламный баннер, размещенный на сайте А. 

Cookiе файлы на пользовательское устройство устанавливает владелец соответствующего интернет-ресурса. При этом владелец является оператором с точки зрения законодательства о персональных данных, поскольку определяет цели обработки персональных данных и их состав, подлежащих обработке, а также действия (операции) с персональными данными. Это применимо также и в ситуациях, когда владелец интернет-ресурса использует сторонние файлы cookie (third-party cookies), то есть файлы cookie, формат и механика работы которых определены третьим лицом. Примером здесь могут выступать файлы cookie сервиса Google Analytics.

Правовое основание для обработки персональных данных, содержащихся в файлах cookie

Надлежащее основание для установки файлов cookie и, следовательно, обработки персональных данных должно зависеть от конкретной цели. 

Так, в случае с использованием так называемых технических, или «строго необходимых» файлов cookie (strictly necessary cookies) по общему правилу уместно полагаться на основания, не требующие согласия субъекта персональных данных. Это связано с тем, что технические файлы cookie направлены на непосредственное обеспечение работы конкретного интернет-ресурса и предоставление пользователю необходимого уровня сервиса (например, для авторизации, навигации на сайте и т.д.). 

Как следствие, наиболее подходящим основанием в данном случае будет являться п. 5 ч. 1 ст. 6 Федерального закона «О персональных данных» (далее – ФЗ №152) – заключение и исполнение договора с субъектом персональных данных (например, пользовательского соглашения, устанавливающего правила и порядок использования интернет-ресурса).

Допустимость формата browse-wrap при акцепте технических файлов cookie

Однако ключевой проблемой является момент акцепта такого соглашения: в частности, установка файлов cookie на устройство зачастую осуществляется в момент открытия интернет-ресурса, то есть до принятия пользователем каких-либо юридических документов. 

Фактически владелец интернет-ресурса (оператор) в спорных ситуациях будет вынужден доказывать не только факт ознакомления пользователя (субъекта персональных данных) с размещенными на сайте положениями соответствующего договора, но и принятие такого договора пользователем путем совершения конклюдентных действий (например, в виде использования интернет-ресурса). За рубежом подобные соглашения именуются browse-wrap.

В спорной ситуации перспектив доказать свою правоту у оператора немного, даже если не брать в расчет сложность доказывания фактов (например, мог ли субъект персональных данных в принципе ознакомиться с договором и выразить свое несогласие с ним в какой-либо форме). Судебно-административная практика в России также свидетельствует, скорее, об отрицательном отношении к признанию действительности и заключенности таких соглашений (например, Информация Роспотребнадзора от 5 ноября 2020 г. «Об особенностях click-wrap-соглашений» в части того, каким требованиям должны удовлетворять интернет-договоры, чтобы признаваться заключенными). Наконец, п. 5 ч. 1 ст. 6 ФЗ №152 прямо содержит запрет включать в договор положения, допускающие в качестве условия его заключения бездействие субъекта персональных данных.

«Законный интерес» как основание для обработки

Разумеется, есть и другое основание, предусмотренное п. 7 ч. 1 ст. 6 ФЗ № 152, – осуществление прав и законных интересов оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных. Однако оно также является крайне неоднозначным и в понимании Роскомнадзора должно применяться только в том случае, когда нет прочих оснований, указанных в ч. 1 ст. 6 ФЗ №152. 

В России в отличие от ЕС отсутствует достаточная практика по вопросу применения п. 7 ч. 1 ст. 6 ФЗ №152 к обработке технических файлов cookie. К сожалению, все это усиливает и без того высокую правовую неопределенность в вопросах поиска операторами корректного основания, вынуждая их при работе с файлами cookie использовать согласия (п. 1 ч. 1 ст. 6 ФЗ №152), которые всегда могут быть отозваны субъектами персональных данных.

Особенности согласий на обработку персональных данных, содержащихся в файлах cookie

При этом в отношении файлов cookie, используемых для маркетинговых, аналитических или статистических целей, корректным основанием действительно выступает согласие. Дело в том, что обработка персональных данных в данной части напрямую не связана с предоставлением пользователям интернет-ресурсов какого-либо сервиса – фактически оператор собирает и использует данные для получения конкурентного преимущества на рынке (путем улучшения сервиса, продажи аналитики, привлечения рекламы и т.д.).

Из сказанного следует любопытный парадокс: с одной стороны, российские операторы вынуждены получать согласия на обработку персональных данных, содержащихся в технических файлах cookie, поскольку иные основания являются «слабыми» с учетом особенности работы таких файлов (установка на устройство независимо от акцепта со стороны пользователя). С другой – согласие должно быть дано свободно, волей субъекта персональных данных и в его интересе, а также удовлетворять критериям конкретности, предметности, информированности, сознательности и однозначности (ч. 1 ст. 9 ФЗ № 152). 

Сказанное означает и то, что формально согласие нельзя дать без активного волеизъявления пользователя (например, путем прожатия «чекбокса» или выбора соответствующей настройки в интерфейсе сайта). Однако среди российских интернет-ресурсов практически нет примеров, когда пользователю предлагается принять установку файлов cookie в какой-то определенной части. Чаще всего, пользователя лишь уведомляют о факте использования файлов cookie на интернет-ресурсе, сопровождая такое уведомление ссылкой на политику конфиденциальности или аналогичный документ, содержащий более подробные условия и цели использования таких файлов.

При этом владельцы интернет-ресурсов оперируют формулировками типа «продолжая пользоваться сайтом», «используя сайт» и т.д., чтобы подчеркнуть «активность» действий со стороны пользователя, который таким образом выражает свое согласие.

Реже встречаются опции «оставаясь» или «находясь». Причина нежелания оператором использовать такие слова заключается в том, что данные фразы подчеркивают скорее пассивный характер поведения пользователя – он не совершает каких-либо действий, не использует сайт по назначению, то есть фактически бездействует, что, очевидно, не может быть формой выражения согласия.

Позиция Роскомнадзора

Приведенный формат получения согласия с позиции Роскомнадзора считается допустимым при условии обязательного уведомления пользователей об условиях, целях и способах использования файлов cookie, а также предоставления информации о том, как удалить файлы cookie с устройства (запретить их установку). Роскомнадзор также регулярно указывает операторам на необходимость упоминания в своих политиках и аналогичных документах, посвященных персональным данным, факта трансграничной передачи файлов cookie, если интернет-ресурс устанавливает файлы cookie от иностранных сервисов (например, ранее упомянутой Google Analytics).

Фокус Роскомнадзора в данном случае явно смещается на такой критерий согласия, как информированность субъекта персональных данных. При этом возможностью отказа пользователя от дачи согласия являются неиспользование интернет-ресурса или блокирование установки файлов cookie программными средствами на уровне пользовательского устройства (например, через браузер), что также свидетельствует о смешении института собственно дачи согласия и института отзыва такого согласия.

Подобный подход, очевидно, не является идеальным с точки зрения защиты прав субъектов персональных данных, однако имеет существенные преимущества для оператора – возможность обрабатывать данные «по умолчанию» и отсутствие дополнительных операционных расходов на изменение архитектуры интернет-ресурса.

Чек-лист требований к владельцу интернет-ресурса, использующего файлы cookie

Особенность российского подхода в данном случае заключается в довольно неоправданном «сужении» круга оснований для обработки персональных данных, когда речь идет о файлах cookie, до согласия. Причем на практике согласие субъекта персональных данных считается полученным даже без явных действий такого субъекта (например, в виде прожатия «чекбокса») при одновременном соблюдении следующих условий:

  • информация о факте использования файлов cookie представлена на «первом» уровне интернет-ресурса (например, на главной странице в виде всплывающего окошка) и не требует от пользователя неоправданных действий по ее поиску (например, такая информация не должна быть спрятана от пользователя в «подвале» сайта, если для доступа к «подвалу» пользователь вынужден в течение длительного времени пролистывать содержание сайта), и
  • пользователь ознакомлен с условиями использования файлов cookie, которые включают в себя как минимум сведения о целях их использования, категориях таких файлов, а также способах их удаления (отключения). 

Задача оператора – обеспечивать максимальную прозрачность в работе с файлами cookie, а значит предоставлять полную и исчерпывающую информацию о них субъектам персональных данных. В отдельных случаях это также означает уведомление субъектов о трансграничной передаче файлов cookie и их содержимого. Чем больше файлов cookie устанавливается и чем больше целей оператор преследует, тем более детальную информацию ему необходимо раскрывать.