От птичи поглед
Макар че ще си говорим за бисквитки, по всяка вероятност асоциацията в конкретния случай няма да предизвика толкова възторжени реакции. И това е напълно обяснимо – сигурно и на вас ви е омръзнало всеки път, когато понечите да отворите новинарския уебсайт или да си поръчате дълго бленувана стока, отново и отново да бъдете изправяни пред стени от бисквитки.
Какво всъщност означава понятието “cookie wall” и каква почва има то у нас? Понякога наричани и „проследяващи стени”, cookie walls представляват онези огромни информационни панели, които изискват от обикновения Интернет потребител да се съгласи с или да приеме настройките на бисквитките на даден уебсайт преди изобщо да е успял да се добере до съдържанието му.
Комисията за защита на личните данни е засегнала този въпрос съвсем бегло в последния информационен бюлетин, публикуван в началото на януари 2021 г. Бюлетинът отразява актуални новини и тенденции в областта на защитата на личните данни за периода ноември – декември 2020 г., измежду които е и прегледът на Изявление на Европейския комитет по защита на данните (“ЕКЗД”) относно Регламента за електронна поверителност (т. нар. ePrivacy Regulation) и бъдещата роля на надзорните органи и ЕКЗД. Приема се, че Регламентът за електронната поверителност не трябва да понижава нивото на защита, предлагана от настоящата Директива за електронната поверителност 2002/58/ЕО, а дори напротив – трябва да допълва Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО („Общ регламент относно защитата на данните”), като предоставя допълнителни силни гаранции за поверителност и защита на всички видове електронна комуникация. В тази връзка, Комитетът изразява съжаление за пропуснатата възможност да даде ясни насоки за регулация на т. нар. “cookie walls”.
В началото бе съгласието
Какъв всъщност е проблемът с използването на “cookie walls”? Въпросът има по-задълбочен генезис, който е свързан с това как съгласието като основание за обработване на лични данни се прилагана практика и на какви изисквания следва да отговори, за да е в съзвучие с разпоредбите на действащото законодателство.
Тук си заслужава да споменем емблематичното решение по дело C-673/17 (Planet49 GmbH срещу Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.) на Съда на ЕС.Делото, образувано по преюдициално запитване, отправено от Федералния върховен съд на Република Германия, е първото по рода си прецедентно съдебно решение на най-високо равнище в Европейския съюз след влизане в сила на Общия регламент относно защитата на данните, което специфично разглежда въпросите, касаещи съгласието на Интернет потребителите при използване на бисквитки и други проследяващи устройства. Без да навлизаме в дълбочина в конкретиката на казуса, следва да отбележим, че Съдът на ЕС приема, че даването на съгласие не е действително, когато съхраняването на информация или достъпът до информация, която вече е съхранена в крайното оборудване на потребител на Интернет сайт, с помощта на бисквитки, се позволява чрез предварително маркирано с отметка квадратче, от което потребителят трябва да премахне отметката, за да откаже съгласието си. Още повече, Съдът на ЕС приема, че в случая изобщо не е от значение дали обработваните данни представляват лични данни по смисъла на Общия регламент относно защитата на данните.
След приключване на производството пред Съда на ЕС, Федералният върховен съд на Република Германия приема в своето решение по дело Planet49 (I ZR 7/16), че използването на предварително маркирани с отметка квадратчета не може да послужи като годен метод за получаване на съгласие за използване на бисквитки, чрез които се обработват лични данни на физически лица. Необходимо е ясно и недвусмислено изразено посредством активно действие на потребителя негово съгласие за използването на такива бисквитки.
Импликациите на изложените до момента изводи не закъсняват.
Редица надзорни органи в рамките на ЕС понастоящем приемат, че скролването или разглеждането на уебсайт (т. нар. “implied consent” или “soft opt-in”) не може да бъде възприето като предоставяне на валидно съгласие за използване на бисквитки. Това тълкуване е в унисон с разбирането на регулатора по защита на личните данни на Обединеното кралство (Information Commissioner’s Office (ICO), дадено в Насоки за използването на бисквитки и подобни технологии от юли 2019 г. („Насоките на британския регулатор”), както и с Насоките на Европейския комитет позащита на данните от 4 май 2020 г. за съгласие по силата на Общия регламент относно защитата на данните („Насоките на ЕКЗД”). Британският регулатор отива по-далеч и уточнява, че това изискване касае изрично незадължителните бисквитки, а именно тези, които нямат решаващо отношение за функционирането на и достъпа до даден уебсайт или мобилно приложение.
Върху всички страни, които поставят бисквитки и използват проследяващи устройства, тежи задължението да бъдат в състояние да докажат, че са получили валидно съгласие от крайния потребител на съответната услуга. Това разбиране по същество не е ново и препотвърждава заложеното в чл. 5, параграф 2 от Общия регламент относно защитата на данните изискване за спазване на принципа на отчетност при събирането и обработването на лични данни на физически лица.
Интернет потребителите не следва да изпитват съществени неудобства в случаите, когато е налице липса на съгласие за използване на бисквитки и други проследяващи устройства или когато са оттеглили съгласието си. Достъпът до различните услуги и функционалности не трябва да бъде поставен в зависимост от получаването на съгласие за използване на бисквитки преди потребителят фактически да е получил достъп до съответното онлайн съдържание (което всъщност често се получава, когато дадена страница бъде „блокирана” от cookie walls), дори напротив – крайните потребители следва да имат възможността да получават достъп до даден уебсайт дори и в случаите, когато не са предоставили съгласие за използването на бисквитки.
Тези концепции са понастоящем възприети и от регулаторния орган по защита на личните данни на Република Франция (Националната комисия за информатика и свободи или накратко „Националната комисия”). С прилагането на Общия регламент относно защитата на данните възниква необходимостта от актуализиране и привеждане в съответствие с новата регулация на издадените през 2013 година насоки на френския регулатор относно задължението за получаване a priori на съгласие за извършване на всякакви операции по обработване на лични данни, съхранявани в крайни устройства на Интернет потребителите. Появата на актуализираните насоки на бял свят става факт на 4 юли 2019 година.
Френската (р)еволюция на бисквитките
Насоките на Националната комисия са атакувани пред Върховния административен съд на Република Франция от няколко професионални асоциации и съюзи в секторите за онлайн реклама, електронна търговия и медии. Изложени са редица аргументи против законосъобразността и целесъобразността им, като основният фокус пада върху твърдения за допуснати процедурни нарушения при приемането на Насоките; липса на компетентност на Националната комисия да издава насоки относно обработването на нелични данни, приравнявайки режима на обработване на нелични данни на обработването на лични данни и базирайки разбиранията са на насоките на ЕКЗД, които нямат задължителна и обвързваща правна сила; неправомерно ограничаване на свободата на предприемаческата дейност и свободата на информацията в следствие на въвеждането на забрана за използване на cookie walls.
Със своето решение от 19 юни 2020 г. съдът като цяло потвърждава тълкуванията и препоръките на Националната комисия относно използването на бисквитки и други проследяващи устройства. Върховният съд отменя разпоредба от Насоките в частта, касаеща въвеждането на абсолютна забрана за използването на cookie walls, които възпрепятстват достъпа на потребителите до уебсайт или мобилно приложение, ако не са предоставили съгласие за използването на бисквитки. Съдът счита, че извеждайки подобна обща и абсолютна забрана за използването на cookie walls от изискването за предоставяне на свободно, ясно и недвусмислено съгласие, Националната комисия е надхвърлила рамките на компетентността си. Въвеждането на подобна забрана е недопустимо, доколкото Насоките на френския регулатор представляват квазиправен инструмент, който няма задължителната и обвързваща сила на закон.
Следвайки постановяването на решението на Върховния съд, на 1 октомври 2020 г. Националната комисия приема изменени насоки относно използването на бисквитки и други проследяващи устройства. След щателни консултации и обществени обсъждания комисията издава и препоръка, предназначението на която е да даде повече практическа яснота по отношение на конкретните способи за получаване на съгласие от Интернет потребителите.
В резултат на проведеното съдебно производство отпада забраната за използване на cookie walls. Ако все пак се използват cookie walls, потребителите следва да бъдат информирани за последствията от своите избори и по-специално – за невъзможността да получават достъп до уебсайт или мобилно приложение, ако не предоставят своето съгласие. Националната комисия изразява своите резерви по отношение на законосъобразността на това разрешение и счита, че подобна практика е възможно да опорочи свободното предоставяне на съгласие от страна на потребителите, както и да постави под риск цялостната концепция за прозрачност при обработването на лични данни. Последното е особено валидно в светлината на изкушението потребителят да (не) може да получи така желания достъп до уебсайт или мобилно приложение.
Освен отпадането на забраната за използване на cookie walls следва да обозначим и по-важните и основни препоръки на френския регулатор, касаещи използването на бисквитки, чрез които се обработват лични данни:
- Физическите лица следва да бъдат осведомени за целите, за които ще бъдат използвани съответните бисквитки преди предоставяне на съгласие за използването им, както и следва да бъдат информирани за последствията от приемането или отказа за приемане на съответните проследяващи устройства.
- Потребителите следва още да бъдат информирани и за самоличността на всички трети лица, които възнамеряват да използват бисквитки в даден уебсайт или мобилно приложение. Нещо повече – администраторът на уебсайта или приложението трябва да предостави постоянен достъп до изчерпателен списък на тези трети лица, като го поддържа в актуален вид и го ситуира на лесно достъпно и видно за потребителя място на уебсайта. На свой ред, всички организации, които използват бисквитки, трябва да бъдат в състояние по всяко време да могат да предоставят доказателство за свободното, информирано и недвусмислено съгласие на потребителя за използването на бисквитките. Разбира се, ако има съществени промени в броя или идентичността на третите лица, които ще закачат бисквитки на крайното устройство на потребителя, за всеки конкретен случай следва отново да бъде потърсено съгласието на потребителите.
- Националната комисия счита, че по отношение на някои категории аналитични бисквитки не се прилага задължението за получаване на съгласие от потребителя, например при услуги, свързани с удостоверяване самоличността на физическо лице (т. нар. Authentication as a service (AaaS)); бисквитки, запомнящи съдържанието на потребителската кошница в онлайн магазин; бисквитки, използвани при изготвяне на анонимни статистики относно трафик и брой посещения на даден уебсайт или мобилно приложение; или бисквитки, които позволяват на платени сайтове да ограничават свободния достъп до част от съдържание, заявено от потребителя.
- Националната комисия възприема разбирането, че интерфейсът на даден уебсайт следва да позволява на потребителите полесен и достъпен за тях начин да предоставят съгласие за използване на всякакви бисквитки, както и да могат да откажат използването на бисквитки изобщо (“accept all” и “refuse all”). Тези бутони следва визуално да изглеждат еднакво, да бъдат еднакво лесно четими и видни за потребителя, така че да не съществува и най-малката възможност дизайнът и визията на едната опция да мотивират потребителя да избере нея вместо другата и с това да бъде компроментирана автентичността на направения избор. Наред с това, ако предоставянето на съгласие може да бъде осъществено посредством едно единствено кликване, то и отказът за предоставяне на съгласие следва да е също толкова лесно управляем, а не да остане скрит под няколко нива от настройки на поверителността на уебсайта/приложението. Тук като добър пример можем да посочим уебстраницата на регулатора по защита на личните данни на Обединеното кралство, която по изключително интуитивен и опростен начин дава възможност на потребителя по всяко време да управлява и променя настройките, касаещи използването на бисквитки.
- В случай, че субектът на данни не може да реши дали да предостави или да не предостави своето съгласие, следва да му бъде предоставена възможност въобще да не бъде изправян пред какъвто и да е избор. Единственото условие тук е на лицето да е била предоставена възможността да избере или да не избере използването на бисквитките. Аналогично на отказа за използване на бисквитки, при неупражняването на избор в крайното устройство на субекта на данните не може да бъдат използвани каквито и да е било проследяващи устройства, за наличието на които иначе би било необходимо съгласието на субекта на данните. Изглежда, че последиците от изричния отказ в този случай се приравняват на неупражняването на правото на избор на потребителя, макар по същество двете ситуации коренно да се различават една от друга.
- Администраторите на уебсайтове и мобилни приложения следва да съхраняват не само съгласието на потребителите за определен срок, но и потребителските откази, така че да не се налага потребителят да трябва да се съгласява или да отказва използването на бисквитки при всяко посещение на уебсайта или приложението. В тази връзка, Комисията предлага разумен 6-месечен срок за съхранение на съгласията и отказите.
- В случаите, когато проследяващите устройства позволяват препращане или връзка към уебсайтове, различни от посещавания уебсайт, съгласие за използването на бисквитки следва да бъде предоставено за всеки един от „допълнителните” уебсайтове.
С издаването на актуализираната версия на своите насоки Националната комисия дава 6-месечен срок на организациите за привеждане на дейността им в съответствие с новите правила, но не по-късно от края на месец март 2021 г.
За бисквитките на местна почва
Що се отнася до уредбата на национално равнище, към момента регулацията на бисквитките у нас продължава да е предмет на Закона за електронната търговия (ЗЕТ), а след 25 май 2018 година – и на Общия регламент относно защитата на данните, когато такива бисквитки служат за обработване на лични данни на физически лица.
Уредбата на национално равнище предвижда, че е достатъчно получателят на услуга на информационното общество да има възможност да откаже съхраняването или достъпа до информацията, която е налична в крайното устройство (така чл. 4а, ал. 1, т. 2 от ЗЕТ). Същевременно никъде в закона не фигурира изрично изискване за предоставяне на съгласие за използването на бисквитки, които обработват лични данни. Безспорно е, че съгласието е единственото възможно правно основание за използването на голяма част от бисквитките, чрез които се обработват лични данни. За такива случаи, докато не бъде официално прието предложението за ePrivacy Regulation, чиято задача е напълно да унифицира режима на обработване на лични данни на ползвателите на електронни съобщителни услуги на европейско равнище, приложение следва да намерят разпоредбите на Общия регламент относно защитата на данните.
Изображение: Pexels, CC0 (free to use license)
