Отговаря ли българският закон на европейските изисквания?
Макар и много актуална в момента, темата с бисквитките не е нова за правото и бизнеса в България. Особено след влизането в сила на GDPR са изписани множество статии, разясняващи едни или други аспекти на законността на бисквитките. Продължава да цари объркване обаче по един добре познат на професионалните среди в България въпрос.
Трябва ли задължително да искаме съгласие преди да инсталираме бисквитки, или е достатъчно потребителят да може да се откаже от тях след това? Европейският съюз казва “да” – съгласието е първо, но българският Закон за електронната търговия (ЗЕТ) не урежда такова изискване. Това разминаване в уредбата на европейско и национално ниво повдига въпроса какво всъщност трябва да направим, за да бъдат бисквитките ни законосъобразни?
В ЗЕТ е транспонирана по неточен начин Директива 2009/136/EC, уреждаща използването на бисквитки, което създава разминаване между режима у нас и другите държави членки. След влизането в сила на GDPR правният режим на бисквитките, обработващи лични данни, се уеднакви. Не всички бисквитки обаче събират лични данни и затова към момента все още съществува разлика в правната уредба на европейско ниво.
Защо има разлика между уредбата на бисквитките?
Правилата относно използването на бисквитки са уредени на европейско ниво в Директива 2009/136/EC, по-известна като “EU Cookie Law”. С нея се изменя Директива 2002/58/ЕО (Директива за правото на неприкосновеност на личния живот и електронни комуникации) и се създават правила, които за първи път изрично уреждат режима на бисквитките в Европейския съюз.
За разлика от регламентите, директивите не създават преки права и задължения за гражданите на ЕС, а трябва да бъдат въведени от държавите членки в националното им законодателство. В България изискванията на Директива 2009/136/EC са въведени в Закона за електронната търговия и по-конкретно в чл. 4а от ЗЕТ, озаглавен “Съхраняване на информация в крайното устройство на потребителя и достъп до нея”. Именно поради различните подходи в транспонирането на директивата, на европейско ниво се създават някои съществени разлики между правилата за биксвитките.
Основни изисквания за бисквитките в ЕС:
Директива 2009/136/EО изрично въвежда задължение за държавите членки да:
гарантират, че съхраняването на информация или получаването на достъп до информация, вече съхранявана в крайното оборудване на абоната или ползвателя, е позволено само при условие, че съответният абонат или ползвател е дал своето съгласие след получаване на предоставена ясна и изчерпателна информация в съответствие с Директива 95/46/ЕО, inter alia, относно целите на обработката.”
Това означава, че основните изисквания относно бисквитките са две:
- да бъде получено съгласието на потребителя;
- да му бъде предварително предоставена ясна информация за целите на обработката.
Следва да се отбележи, че Директива 95/46/ЕО, към която препраща цитираният член 5, параграф 3 от Директивата за бисквитките, е отменена с Общия регламент за защита на личните данни (GDPR). Това означава, че на субектите трябва да бъде предоставена по ясен начин информация относно целите на обработката в съответствие не с Директива 95/46/ЕО, а с чл. 13 от GDPR (така и чл. 4а ал. 1 т. 1 от ЗЕТ).
Степен на хармонизация в държавите членки:
Законите в европейските държави не са в абсолютен синхрон относно подробностите, свързани с уредбата на бисквитките – в някои от тях т.нар. “cookie walls” са забранени, други пък уреждат максимален период на съхранение на събраните данни. Въпреки разликите, следните няколко проблема са разрешени по еднакъв начин във Великобритания, Франция, Германия и Испания, така че да отговарят на изискванията на Директива 2009/136/EC:
- Ако се изисква съгласие на субекта, то трябва да бъде конкретно, информирано и свободно дадено преди съответното действие да започне (т.е. преди инсталирането на бисквитките и събирането на данни).
- Това, че потребителят продължава да използва уебсайта след като информиран, че на него се използват бисквитки, не е равнозначно на съгласие.
- Съгласие за бисквитки не може да бъде получено чрез съгласие с общите условия на уебсайта.
- Съгласието трябва да бъде дадено за всяка отделна цел, за която бисквитките се използват (т.е. да бъде гранулирано).
- Потребителят трябва да може да идентифицира всички страни, които обработват данните му (напр. да са изброени в списък в Cookie Policy на сайта).
Кога трябва да се иска съгласие?
Не всички бисквитки се третират еднакво – за различните видове съществуват различни изисквания за законосъобразност. Общото правило, което се е наложило в ЕС, е следното: не се изисква съгласие само за онези бисквитки, които са абсолютно необходими за функционирането на даден уебсайт.
Този извод е потвърден от Работната група по член 29 е нейното Становище 4/2012. В становището са класифицирани седем категории бисквитки, които могат да бъдат освободени от изискването за информирано съгласие, при условие че не се използват за допълнителни цели. Това са например бисквитки за автентификация, бисквитки за сигурност, user-input бисквитки (session-id), както и други видове изцяло технически бисквитки, които си изискват от определени компютърни системи.
За всички останали видове бисквитки, които не са стриктно необходими за осъществяване на онлайн комуникация (напр. бисквитки за таргетиране, персонализация и анализ на потребителско поведение), e необходимо да бъде дадено съгласието на потребителите. Примери са за това са най-често използваните Facebook Pixel, Google Adsense, Google Analytics. А ако с тях се събират и лични данни (какъвто е най-честият случай), то тогава съгласието трябва да бъде свободно дадено, информирано, изрично и категорично.
С какво се различава България?
Текстът на Директивата за бисквитките и становищата на експертните групи са категорични – съхраняването на информация или получаването на достъп до информация чрез бисквитки е позволено,само при условие че потребителят е дал своето съгласие след получаване на предоставена ясна и изчерпателна информация относно целите на обработката. Това означава, възприетият на европейско ниво модел за съгласие за съхраняване на бисквитки е opt-in, т.е. съгласието не се предполага, а трябва да бъде предварително дадено и то с активни действия.
Според чл. 4а, ал. 1 на ЗЕТ доставчикът на услуги на информационното общество може съхранява информация или получава достъп до информация, съхранена в крайното устройство на получателя на услугата, при условие че на потребителя е предоставена:
- ясна и изчерпателна информация по чл. 13 от GDPR и
- възможност да откаже съхраняването или достъпа до информацията.
Задължението за предоставяне на информация за целите на обработването е възпроизведено в чл. 4а, ал. 1 т. 1 на ЗЕТ, но българският законодател не предвижда изискване да бъде получено предварително съгласие на потребителя. Според ЗЕТ достатъчно е потребителят да бъде уведомен при първото посещение на уебсайта, че на устройството му ще бъдат инсталирани бисквитки. Ако той има възможност след това да промени настройките на браузъра си и да органичи използването им, то бисквитките ще бъдат законосъобразни. Това означава, че българският законодател е възприел opt-out модела за съхранение на бисквитки, т.е. предварително съгласие не се изисква, стига потребителят да има възможност да откаже.
По този начин се стига до изначално различие в правилата за законосъобразност на бисквитките в България и Европа. Изискването за предварително дадено съгласие, което стои в основата на европейската практика във връзка с правилата за бисквитките, се оказва напълно липсващо в ЗЕТ.
Как се съотнася ЗЕТ с GDPR?
Общият регламент за защита на личните данни (GDPR) регулира дейностите, свързани с обработването на лични данни – всяка информация, която може да идентифицира даден субект. В контекста на бисквитките това е например – IP адрес, online ID, device ID или данни за местоположение. Всички бисквитки за маркетинг, таргетинг, анализ на поведение, които по подразбиране събират лични данни, трябва да отговарят на изискванията не само на ePrivacy Directive, но и на GDPR.
С влизането в сила на Общия регламент, режимът на бисквитките, обработващи лични данни в ЕС, се уеднакви. Това означава, че независимо от уредбата в чл. 4а на ЗЕТ, за обработването на лични данни чрез бисквитки е необходимо правно основание. Това основание при условията на бисквитки за анализ на потребителско поведение може да бъде единствено съгласие. То трябва да отговаря на всички изисквания на GDPR и свързаната практика на съда – да е активно, изрично, информирано и получено преди обработването.
В чл. 4а от ЗЕТ не е въведено изискване за съгласие, защото той урежда по общ начин всички технологии, с които се съхранява информация на крайното устройство на потребителя, независимо дали с тях се обработват лични данни или не. Това могат да бъдат бисквитки, но и други технологии. Накратко, правилата на GDPR се прилагат за бисквитки, обработващи лични данни, а ЗЕТ – за бисквитки и други подобни технологии, които събират нелични данни.
Без предварително отбелязани кутийки:
Практиката на Съда на Европейския съюз (СЕС) допълнително помага за хармонизацията на правилата за бисквитки в ЕС, като от важно значение е решението по дело C-673/17 от 1 октомври 2019 г., по-известно като “Planet 49”. С решението си СЕС внесе допълнителни разяснения относно изискванията за съгласието по смисъла на Директива 2009/136/EC и GDPR.
Според разпоредбите на GDPR съгласието на субекта на данни е валидно, ако е дадено с активни действия. СЕС с решението си разяснява, че предварително отбелязаните кутийки (pre-ticked box) не са валиден начин за получаване на съгласие за активиране на бисквитки. Това означава, че за да бъдат бисквитките законосъобразни, потребителите трябва активно да ги изберат като сами да отбележат кутийката за съгласие за инсталирането на бисквитки според съответните целите, за които се използват.
Още повече, т. 2 от решението изрично постановява, че членовете, уреждащи съгласието в Директива 2002/58, изменена с Директива 2009/136, и в GDPR не трябва да се тълкуват по различен начин в зависимост от това дали информацията, която се съхранява или консултира на крайното оборудване на потребител на интернет сайт, представлява или не лични данни. С това решение се подчертава именно некоректното транспониране на Директивата за бисквитките в българския закон.
ePrivacy Regulation
Различието в режима между Европа и България едва ли ще продължи задълго. Още пред 2017 год. Европейската комисия внесе предложение за приемането на Регламент за неприкосновеността на личния живот и електронните съобщения (ePrivacy Regulation или ePR), който да уреди по единен начин на европейско ниво отношенията, които към момента са в обхвата на Директива 2002/58/ЕО.
Идеята на Европейската комисия е правилата на ePR да действат паралелно с разпоредбите на GDPR и заедно да създадат пълна и единна рамка на защита на неприкосновеността на данните в Европейския съюз. По този начин уредбата на бисквитките, обработващи лични и нелични данни, ще бъде напълно хармонизирана на европейско ниво. Засега обаче предложението на ЕК все още не е прието и най-вероятно предстои да бъде изменено още няколко пъти преди да бъде гласуван окончателния текст на ePR.
Заключение:
Докато планираният ePR не влезе в сила, компаниите ще трябва да се съобразяват с разнообразната уредба на бисквитките в държавите членки. Ако бизнесът ви се развива и извън пределите на страната, е важно да бъдете запознати с разликите между изискванията за законосъобразност. Най-често използваните бисквитки (Facebook Pixel, Google Analytics и т.н.) са изключително полезни именно защото събират лични данни на потребителите. Ако искате да ги използвате законосъобразно, е необходимо да спазвате изискванията на GDPR, независимо от opt-out режима на българското законодателство.