Британският регулатор издаде нови насоки за бисквитките

Както обеща на 28 юни, офисът на британския комисар по информацията (ICO), издаде нови насоки за използването на бисквитки

Според GDPR, съображение 30 „Физическите лица могат да бъдат свързани с онлайн идентификатори, предоставени от техните устройства, приложения, инструменти и протоколи, като адресите по интернет протокол (IP адреси) или идентификаторите, наричани „бисквитки“, или други идентификатори, например етикетите за радиочестотна идентификация. По този начин може да бъдат оставени следи, които в съчетание по-специално с уникални идентификатори и с друга информация, получена от сървърите, може да се използват за създаването на профили на физическите лица и за тяхното идентифициране.

Али Шах, ръководител на технологичната политика в IСO, представи новите указания за използването на бисквитки, издадени въз основа на Регламента за неприкосновеност на личния живот и електронните съобщения (PECR), така и на изискванията за получаване на съгласие според GDPR.

Променихме и механизма за контрол на „бисквитките“ на нашия уебсайт, за да отразим промените в новите ни насоки, казва Али Шах и посочва, че  актуализираните указания предоставят повече яснота и сигурност. Той развенчава и няколко мита, от които публикувам най-популярните:

Мит 1: Можем да разчитаме на подразбиращо се съгласие за използването на бисквитки

Факт: Не, не можете, защото стандартът за съгласие на GDPR е много по-висок, отколкото при предишното законодателство. Това означава, че подразбиращото се съгласие вече не е приемливо – независимо дали става въпрос за „бисквитки“ или за обработка на лични данни. На практика това означава:

  • вашите потребители трябва да предприемат ясни и положителни действия за съгласие с несъществени „бисквитки“;
  • Вашите уебсайтове и приложения трябва ясно да информират потребителите какви „бисквитки“ ще бъдат зададени и какво правят те – включително и бисквитките на трети страни;
  • Предварително отбелязани полета или еквиваленти, като например плъзгачи, които по подразбиране са „включени“, не могат да се използват за несъществени „бисквитки“;
  • вашите потребители трябва да имат контрол върху всички несъществени „бисквитки“; и
  • несъществените „бисквитки“ не трябва да се задават на landing страницата, преди да получите съгласието на потребителя.

Съгласието не се изисква за „бисквитките“, които са дефинирани като „строго необходими“ – тези, които са от съществено значение за предоставянето на заявената от потребителя услуга. Такива бисквитки трябва да са от съществено значение за изпълнение на искането им. Тези, които са просто полезни или удобни, но не са от съществено значение – или които са от съществено значение само за вашите собствени цели – ще изискват съгласие.

Всички несъществени „бисквитки“, включително „бисквитките“ на трети страни, които се използват за целите на онлайн рекламата или уеб анализа, изискват предварително съгласие според GDPR. Нашето ръководство обяснява по-подробно как това се отнася за бисквитките.

Мит 2: Аnalytics бисквитките са строго необходими и не се нуждаем от съгласие

Факт:  Аnalytics бисквитките не са част от функционалността, която потребителят изисква, когато използва онлайн услугата и изискват съгласие.

Мит 4: Можем да разчитаме на законен интерес, за да поставим „бисквитките“, така че не се нуждаем от съгласие

Факт: PECR винаги изисква съгласие за несъществени бисквитки, като например тези, използвани за целите на маркетинга и рекламата. За тези „бисквитки“ не може да се разчита на законен интерес.

Можете да споделите: