Уже скоро, будет 3 года с момента вступления в действие требований GDPR. Но многие вопросы так и остались не до конца прозрачными в трактовках и требованиях и еще менее простыми в применении.
Остановимся на вопросе soft opt-in.
Контролирующие органы
Великобритании (Guidance on the use of cookies and similar technologies, dated
3 July 2019) и Франции (Recommendation on the practical procedures for
collecting the consent concerning operations of storing or gaining of access to
information in the terminal equipment of a user, dated 14 January 2020)
пытались урегулировать этот вопрос, предоставляя свои разъяснения и
руководства, однако принципы, предусмотренные в этих документах не могут
использоваться в качестве унифицированных инструментов для всех контроллеров и
обработчиков персональных данных в ЕС и мире, потому как они применяются только
на государственном уровне, в рамках юрисдикции соответствующего органа, который
выдал конкретный документ.
Однако, оба органа, в
своих разъяснениях, сошлись на том, что получение согласия на использование
файлов cookie, когда это необходимо, не могут приобретаться через так
называемый «soft opt-in», когда считается, что согласие получается
автоматически, если пользователь продолжает пользоваться веб-ресурсом. Такая
позиция контролирующих органов шокировала некоторых представителей бизнеса, так
как алгоритм «soft opt-in» использовался в различных сферах бизнеса уже на
протяжении долгих лет.
В результате таких
непонятных процессов, побуждающих к возникновению противоречий в обществе,
European Data Protection Board принял решение о предоставлении разъяснения
(Guidelines 05/2020 on consent under Regulation 2016/679 dated 5 May 2020),
которое бы прояснило вопрос получения согласия на сбор и обработку файлов
cookie в рамках Европейского Союза до момента принятия и вступления в силу
Е-Privacy Regulation.
Одними из основных
аспектов, которые были подчеркнуты в разъяснении, настаивают на том, что:
- доступ к целому или части веб-ресурса не должен
быть запрещен, если физическое лицо - пользователь не согласилась с
использованием его файлов cookie, поскольку отсутствие вариантов
использования веб-ресурса, в таком случае, является основанием считать,
что не обеспечивается принцип свободного предоставления согласия;
- если требуется согласие на использование файлов
cookie, «soft opt-in» уже не может считаться надлежащим предоставленной
согласия, поскольку отсутствие формального процесса не позволяет ни
определить однозначное действие физического лица - пользователя, ни
предложить возможность отозвать или выделить свое согласие.
Эти трактовки подтверждают позиции как Французского контролирующего органа, так и контролирующего органа Великобритании, и снимают резонансные вопросы по использованию «soft opt-in» как закоренелого принципа получения согласия на обработку файлов cookie (детальнее).
В то же время такие компании как PWC успешно устанавливают куки не зависимо от согласия пользователя при посещении сайта. Учитывая, что это одна из больших мировых аудиторских компаний, которая сама консультирует по вопросам GDPR, выглядит данная ситуация несколько странной.
