Мабуть, кожен, хто відкривав якийсь веб-сайт, стикався з ситуацією, що нав’язливий банер “погодитися» або «прийняти» файли cookie

Мабуть, кожен, хто відкривав якийсь веб-сайт, стикався з ситуацією, що нав’язливий банер “погодитися» або «прийняти» файли cookie

Мабуть, кожен, хто відкривав якийсь веб-сайт, стикався з ситуацією, що нав’язливий банер “погодитися» або «прийняти» файли cookie, який частково або повністю перекриває зміст матеріалу. Це дратує та бісить, інколи сильно.
Наприклад, сайти Washington Post або NewYork Times.
Впевнений, що більшість, не замислюючись, тисне нав’язливу кнопавку «ОК/прийняти/робіть шо хочете» заради такого жаданого контенту.
І це не правильно. Це нехтування своїми правами. Не шлях самурая.
Спочатку розкажу як має бути (чи не бути) по закону. А потім – що робити.
Отже, що з цього приводу каже закон.
Багато країн ЄС, керуючись законом Євросоюзу про захист персональних даних (GPDR) чітко роз’яснюють власникам веб-сайтів: файли cookies можна обробляти лише за явної згоди користувача, закриття віконця чи його ігнорування такою згодою не є, гортання сторінки вверх-вниз – також не є згодою, згодою є лише чітке натискання кнопки «Приймаю»; крім кнопки «приймаю» повинна бути опція «відмовитися» від збереження сайтом кукі-файлів користувача – і це обов’язково. За порушення усіх цих вимог – солідний штраф.
Шо з цього питання коїться в Україні.
Та все як завжди: закон – шо дишло.
Формально, згідно доволі розпливчастого, інколи неоднозначного і тому фактично непрацюючого Закону України «Про захист персональних даних», користувач (він же «суб’єкт персональних даних») має право «5) пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;» https://cutt.ly/YYnuLQy (стаття).
Але на практиці ані цей Закон, ані Уповноважений Верховної Ради з прав людини (він же Офіс Омбудсмена, який здійснює контроль за додержанням законодавства про захист персональних даних) – не дають чіткого роз’яснення чи є файли cookies персональними даними відвідувача сайту та чи повинні захищатися відповідно зо Закону про ЗПД, у тому числі власниками веб-сайтів. Я знайшов лише один натяк від Офісу Омбудсмена, що кукі скоріше є персональними даними:
«До персональних даних як відомостей чи сукупності відомостей про особу відносяться і такі спеціальні масиви даних, існування яких можливе тільки з використанням мережі Інтернет. Йдеться, перш за все, про файли cookies, ідентифікатори мережевого рівня, які використовуються для адресації пристроїв у мережі Інтернет (IP-адреси), дані геолокації та інше.» https://cutt.ly/0YnaR8s
Але крім статті до дня безпеки в Інтернет, ніякими нормативними документами питання cookies не роз’яснені, що дає право Офісу Омбудсмена нічого не робити по цій темі.
Національні незалежні регулятори багатьох країн-членів ЄС, а також Великої Британії вважають, що кукі-файли однозначно є персональними даними.
В Україні ж не все так однозначно.
І почати слід з того, що наш «регулятор» не є незалежним (як цього категорично вимагає GDPR), нормальних фахівців там немає, а щоб там працювати не вимагається навіть технічна освіта. Повноважень накладати штрафи за порушення ЗПД також немає, і за наявних умов це, скоріше, навіть добре. Наразі «контроль» відбувається так: представники омбудсмена складають протокол про порушення та направляє його до суду. За законом штраф – до 5100 грн. https://cutt.ly/LYndSYi
Але на практиці це 425 грн. штрафу та 384 грн. судового збору. Та і загалом, практика покарання порушників ЗПД в Україні взагалі-то досить дивна: численні повідомлення громадян про кричущі порушення – ігноруються, зате з усією пролетарської люттю караються безпорадні сільські ради: https://cutt.ly/tYns8pP
Про повну відсутність будь-яких повідомлень про обробку файлів cookies на сайтах державних установ немає сенсу говорити: їх немає навіть на ресурсах Президента України, Верховної Ради чи КМУ. Повний абсолютний нуль. Але в Україні вже давно нікого не дивує, що органи влади часто є найбільшим порушником власних законів.
Але ж не набагато краще також і на сайтах вітчизняних медіа, для яких веб-ресурс є чи не основним робочим інструментом, їхні сайти відвідують сотні тисяч читачів щодня.
Я глянув на веб-сторінки деяких найбільш популярних онлайн-видань і ось що можу сказати.
Взагалі не містять ніяких банерів про обробку файлів cookie: Європейська правда, Хвиля, Дзеркало Тижня, Радіо Свобода, Детектор Медіа, Українські новини, Депо, Фокус, День, InternetUA, Укрінформ, Ліга, Букви, Громадське, Кореспондент, Politeca.
Пропонують лише одну безальтернативну опцію “Погодитись” у стилі “вибір без вибору”: НВ, Дойче Велле (DW), ТСН, Сьогодні, Гордон.
Надає можливість відключити більшість опцій, але вручну: Главком. Довелося клацати десь хвилину. Ну хоч так.
Немношкоподебільному банер про файли кукі виглядає (і зовсім не функціональний) на сайті РБК-Україна. “Продовжуєчи переглядати … ви згодні..” – це незаконно, дарагійє расіянчики.
Деякі ресурси (Цензора, Hotline) ставлять гуглову капчу типу «тицни в усі картинки де є автобус». А потім ще раз. І такий квест інколи може займати кілька хвилин. Інколи у мене просто не вистачає терпіння і сайт просто закриваю. Ну хіба що матеріал дійсно резонансний та ексклюзивний і тому є сенс витратити на нього трохи нервів. Питання шкідливого трафіку та ботів можна вирішити якось менш радикально, як на мене.
Єдині, кого можу похвалити – Обозреватель. Є опція “Відмовитись”, але можна налаштувати також і вручну. Дякую, молодці. Ось так має бути у всіх. І ще Приватбанк молодець (хоча це банк, а не медіа, але все одно молодці).
Хочу дати дружню пораду нашим онлайн-медіа: будь ласка, зробіть як Обозреватель. Не чекайте протоколу омбудсмена та штрафу. Та хоча б просто з поваги до своїх читачів та їх персональних даних.
Також дам непрохану пораду усім серферам по новинним та іншим ресурсам, яким дороги свої персональні дані: всіляко уникайте бездумного натискання кнопки «погоджуюсь» чи аналогічної за змістом.
Шукайте кнопку «опції», відключайте все, що можна і тоді тисніть «прийняти обрані» або «зберегти мій вибір».
Наприклад, пошуковий сервіс Google постійно пропонує стартову сторінку «Перш ніж перейти в Пошук Google”, де розповідає як він буде використовувати файли cookie.
І там внизу є три опції, кожну з яких можна вимкнути. Це займає буквально п’ять секунд, і я не лінуюся завжди так робити. Вчергове ставлю себе у приклад.
Якщо ж банер «про cookie” закриває велику частину сайту, заважає читати зміст, пропонує лише опцію «погодитися” і без цього не дає нормально читати – закривайте, не читайте, світ клином на них не зійшовся. Якщо це український ресурс, а у вас є вільний час – можна поскаржитися омбудсмену, хоча навряд чи вони шось зроблять. Як, власне, будь-яка державна установа у нашій країні.
І до речі, наприкінці розкажу цікаву історію в тему: цього року громадська організація з захисту приватності NOYB та її лідер адвокат Макс Шремс (Max Schrems) у червні надіслали 560 скарг власникам веб-сайтів з 33 країн Європи щодо “хибних практик застосування cookie-банерів”. Ще 10 тисяч аналогічних скарг готувалося станом на червень. Зараз, мабуть, рахунок вже пішов на сотні тисяч. Для цього NOYB розробили інструмент, який автоматично виявляє сайти без належного кукі-банера та автоматично відправляє скаргу власнику.
Кожна така скарга містила повідомлення, що сайт не містить опції відмовитися від обробки cookie, а лише “погодитися”, що протирічить GDPR. Адже кожен користувач повинен мати можливість легко та чітко відмовитися, чого не було. Також власнику сайта давався місяць на усунення цього суттєвого недоліку, а також додавалися детальні інструкції як це можна зробити. У разі ігнору NOYB відправляє скрагу місцевому регулятору, який змушений реагувати. Так, в ЄС регулятори реагують на будь-які скарги, і штрафують, бо це їхня робота, оплачена платниками податків.
Скарги NOYB призвели до величезних штрафів проти Google (50 мільйонів євро), а також до розірвання договору про обмін даними між ЄС та США. Цю кампанію кукі-теророризування називають найбільш плідною за всю історію захисту приватності. Кому цікаво, можна почитати ось туточки: https://cutt.ly/xYmi44r
Тобто попри загрозу штрафів до 20 мільйонів євро або до 4% річного оберту – більшість веб-ресурсів в країнах ЄС не виконували (і не виконують) вимоги GDPR, зокрема стосовно банерів кукі. Уряди та відповідні уповноважені регулятори не поспішали якось це виправляти, хоча закон Євросоюзу (GDPR) вступив у силу ще з травня 2018 року. І тоді довелося втрутитися громадськості. Ефект перевищив усі сподівання. Тобто громада – це сила. Звісно, за умови наявності високо-мотивованих активістів, переконанні у своїй правоті та загальної підтримки суспільства. Та ще й законодавства.
Ні на що не натякаю (хоча насправді так), але просто маємо це на увазі. Не забуваємо.
І тейво. Бережіть свої персональні дані. Вони стають з кожним днем все ціннішими.
Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.