Ще е нужно изрично съгласие за използването на бисквитки
Общият регламент за защита на личните данни (GDPR) беше одобрен от Европейския парламент през април 2016 година и влиза в сила на 25 май. След тази дата бизнесът в Интернет коренно ще се промени. Регламентът ще има обхват, простиращ се отвъд Европа и всеки бизнес с европейска клиентела трябва да е в съответствие с GDPR.
GDPR споменава бисквитките единствено в основание 30:
Физическите лица могат да бъдат свързани с онлайн идентификатори, предоставени от техните устройства, приложения, инструменти и протоколи, като адресите по интернет протокол (IP адреси) или идентификаторите, наричани „бисквитки“, или други идентификатори, например етикетите за радиочестотна идентификация. По този начин може да бъдат оставени следи, които в съчетание по-специално с уникални идентификатори и с друга информация, получена от сървърите, може да се използват за създаването на профили на физическите лица и за тяхното идентифициране.
Патрик Ной, главен редактор на Hashed Out и мениджър на съдържанието за SSL Store, пояснява, че въпреки липсата на пълни споменавания в документа, може да се събере доста информация за това как трябва да се справи даден уеб сайт с «бисквитките» от това основание и други насоки, свързани с обработването на лична информация.
Като се има предвид, че «бисквитките» съдържат лична идентифицираща информация, те трябва да се разглеждат като лични данни. Въпреки някои твърдения, че те не съдържат достатъчно данни, за да идентифицират успешно дадено лице (много от бисквитките съхраняват имена, IP адреси, местоположение и друга информация), основание 26 на GDPR предоставя повече прозрение, като посочва, че данните, които могат разумно да се използват самостоятелно или заедно с други данни за идентифициране на дадено лице, следва да се разглеждат като лични данни. Така че, за всички намерения и цели, «бисквитките» се считат за лични данни.
Бисквитките, които не са «строго необходими», изискват съгласие по много правни рамки по целия свят. В това отношение GDPR има свое уникално определение за съгласие, предвидено в основание 32.
Когато потребител за първи път посети даден уеб сайт, «бисквитките» трябва да са деактивирани. Съгласието е единственото правно основание за използването на «бисквитки» и то трябва да е изрично.
Ако уеб сайт използва «бисквитки» за различни цели, трябва да се иска съгласие за всяка отделна цел. В член 7 (3) се посочва, че лицата трябва да имат правото да оттеглят съгласието си толкова лесно, колкото и даването му. Това може да се постигне с добре разработено съобщение за поверителност.
Съобщението, свързано с «бисквитката», трябва да съдържа:
- Информация за данните, които ще се събират с «бисквитката».
- Информация за това, за какво ще се използват тези данни.
- Opt-in бутон за включване, позволяващ на потребителя да даде съгласието си.
- Opt-out бутон за изключване (блокиране) на «бисквитката».
- Връзка към специална страница за поверителност с повече информация.
