Начало

Какво крият „бисквитките“

Интернет несъмнено е част от ежедневието на по-голямата част от гражданите и трудно бихме могли да си представим какъв би бил живота днес без него. Както в реалния свят, необходимо е и в дигиталния да се спазват определени правила и стандарти. Едно важните групи правила, които следва да се спазват, касае защитата на личните данни на физическите лица. В международен и национален план има редица нормативни актове, които регулират тази група обществени отношения. Несъмнено най-важният и актуалният от тях е РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО, наричан за краткост „Регламентът“. В съображение (1) защитата на физическите лица във връзка с обработването на лични данни е въздигнато като основно право, като се посочва, че член 8, параграф 1 от Хартата на основните права на Европейския съюз и член 16, параграф 1 от Договора за функционирането на Европейския съюз (ДФЕС) предвиждат, че всеки има право на защита на личните му данни.

Един от основните начини за събиране и обработване на лични данни в интернет е чрез т. нар. бисквитки (cookies). "Бисквитките" или "Cookies" са малки по размер текстови файлове, съхранявани в директориите на браузъра, използван от потребителя.

Съгласно съображение (30) от встъпителната част на Регламента, физическите лица могат да бъдат свързани с онлайн идентификатори, предоставени от техните устройства, приложения, инструменти и протоколи, като адресите по интернет протокол (IP адреси) или идентификаторите, наричани „бисквитки“, или други идентификатори, например етикетите за радиочестотна идентификация. По този начин може да бъдат оставени следи, които в съчетание по-специално с уникални идентификатори и с друга информация, получена от сървърите, може да се използват за създаването на профили на физическите лица и за тяхното идентифициране.

Съгласно съображение (43) от Регламента за да се гарантира, че е дадено свободно, съгласието не следва да представлява валидно правно основание за обработването на лични данни в конкретна ситуация, когато е налице очевидна неравнопоставеност между субекта на данните и администратора, по-специално когато администраторът е публичен орган, поради което изглежда малко вероятно съгласието да е дадено свободно при всички обстоятелства на конкретната ситуация. Смята се, че съгласието не е дадено свободно, ако не се предоставя възможност да бъде дадено отделно съгласие за различните операции по обработване на лични данни, макар и да е подходящо в конкретния случай, или ако изпълнението на даден договор, включително предоставянето на услуга, се поставя в зависимост от даването на съгласие, въпреки че това съгласие не е необходимо за изпълнението.

От посочените по-горе текстове на Регламента следват няколко основни извода от гледна точна на бисквитките:

1. За всички бисквитки, извън необходимите за функционирането на сайта, потребителят следва да даде съгласие;
2. Когато се използват само необходими бисквитки потребителят трябва да бъде само уведомен, като не е необходимо неговото съгласие;
3. Във всеки сайт, използващ бисквитки, независимо какви, следва да има обща информация за бисквитките, както и конкретна информация за бисквитките, използвани от сайта;

Съгласието за бисквитките следва да бъде дадено свободно, без потребителят да бъде притискан или въвеждан в заблуждение чрез трикове на дизайна;

Проучване на практиките в България

За да проверим, как се прилагат изискванията на Регламента относно бисквитките, проучихме 87 български интернет страници представляващи разнообразни тематични категории - сайтове за онлайн пазаруване, развлечение, доставчици на обществени услуги, спортни сайтове, сайтове с образователна насоченост, сайтове на общини и сайтове на банки.

Изследването използва анализ със специализиран софтуер и преглед на информацията в сайта и търси отговор на следните въпроси:

• Използва ли сайта бисквитки извън необходимите за функционирането на сайта?
• Изисква ли сайтът съгласие за използване на бисквитките?
• Налице ли е уведомяване за използването на бисквитки?
• Достатъчна ли е степента на информираност на потребителя относно употребата на бисквитки?
• Налице ли е точен и ясен дизайн, който да не е подвеждащ или заблуждаващ?
• Съществува ли възможност за промяна или оттегляне на съгласието?

В резултат на анализа на събраната информация за бисквитките установявихме следното:

1. По критерия „Използва ли сайта бисквитки извън необходимите за функционирането на сайта?“

Бе установено, че от всички сайтове, обект на изследването – 87 на брой, само 5 (5.75 %) от сайтове използват единствено стриктно необходими бисквитки или изобщо не използват бисквитки, а 82 (94.25 %) освен стриктно необходими бисквитки използват и бисквитки за предпочитания, статистически бисквитки, маркетингови бисквитки и некласифицирани бисквитки.

2. По критерия „Изисква ли сайтът съгласие за използване на бисквитките?“

От сайтовете, които използват бисквитки извън необходимите за функционирането на сайта – общо 82, само 2 сайта (2.5 %) изискват съгласие за използване на бисквитките, а останалите 80 сайта (97, 5 %) не изискват такова или формално изискват съгласие, но в действителност използват бисквитките и преди такова да е предоставено.

3. По критерия „Налице ли е уведомяване за използването на бисквитки?“

Този критерии касае най-вече банерите, които се появяват при посещението в сайта. Бе установено, че от всички сайтове, обект на изследването – 87 на брой, 26 (29.88 %) сайта не уведомяват потребителя за използването на бисквитки или го уведомяват по такъв начин, който е равнозначен на неуведомяване. Три от сайтовете (3.45 %) уведомяват потребителя, но не по напълно точен и коректен начин и не отговарят напълно на стандарта за уведомяването. 58 (66,67 %) от сайтовете уведомяват потребителя за използването на бисквитки.

4. По критерия „Достатъчна ли е степента на информираност на потребителя относно употребата на бисквитки?“

Този критерии касае това доколко в информацията в самия банер за бисквитките, в политиката за бисквитките на сайта или по друг начин сайтът дава достатъчна информация какво са общо бисквитките и информация за конкретните бисквитки, които използва сайта. Бе установено, че от всички сайтове, обект на изследването – 87 на брой, само в 22 сайта се съдържа достатъчно информация за потребителя относно употребата на бисквитки, в два от сайтове се съдържа информация, но тя е недостатъчна или неточна, а в 63 от сайтовете липсва достатъчна информираност на потребителя относно употребата на бисквитки.

5. По критерия „Налице ли е точен и ясен дизайн, който да не е подвеждащ или заблуждаващ“

Относно два от сайтовете, обект на изследването, които изобщо не изпозлват бисквитки, този въпрос е ирелевантен. За всички други сайтове – 85 на брой, този въпрос е относим. Бе установено, че от всички сайтовете, използващи бисквитки, били обект на изследването (85 броя), само в два от сайтовете (2, 35 %) е налице точен и ясен дизайн, който да не е подвеждащ или заблуждащ, един от сайтовете бе квалифициран (1, 17 %) като такъв с недостатъчно ясен дизайн, който може да заблуди или подведе потребителя, а всички останали 83 сайта (97,6 %) няма достатъчно точен и ясен дизайн, налице е опасност потребителите да бъдат заблудени. От тези 83 сайта много често се иползват трикове на дизайна, които притискат потребителя да направи определен избор.

6. По критерия „Съществува ли възможност за промяна или оттегляне на съгласието?“

Този въпрос е относим само към 82 сайта от попадащите в изследването общо 87 сайта, тъй като 5 от сайтовете или не използват никакви бисквитки, или не използват бисквитки извън стриктно необходимите. Следва да се уточни, че се касае за възможност тази промяна или оттегляне да се направи чрез опция в самия сайт, а не чрез настройките на браузъра, които да бъдат въведени от потребителя. Така се дава възможност например ако потребителят е дал съгласието си за всички бисквитки да се върне да оттегли съгласието си за маркетинговите бисквитки. Бе установено, че от всички сайтовете, за които е относим този въпрос – 82, в 5 (пет) (6,10 %) от сайтовете съществува ясна и точна система за промяна или оттеглянето на съгласието, която успешно работи. В четири от сайтовете (4, 88 %) бе констатирано, че съществува възможност за оттегляне на съгласието, но тя не е достатъчно ясна и/или се намира трудно от потребителя чрез опциите в сайта и това го затруднява изобщо да се информира за нейното съществуване. Във всички останали сайтове – 71 (89,02 %) или не функционира такава система, или тя функционира по такъв начин, че е изключително трудно използваема от потребителя при полагането на нормална грижа и усилие от негова страна.

Какви са нашите изводи?

Почти никой от изследваните сайтове не спазва всички изисквания на европейския законодател по отношение на бисквитките. Мнозинството от сайтовете – обект на изследване изискват съгласие само формално, но в действителност използват бисквитки и преди да са получили такова. Използват се прийоми, чрез които се цели заобикаляне на изискването за съгласие, като например предварителнo включване на отметки за дадено съгласие, както и активиране на съгласие за използване на бисквитки в хипотеза на „законен интерес“. Много от сайтовете предвиждат банер за бисквитки, който само уведомява потребителя за наличието на такива, без да изисква съгласие.

Често се пренебрегва и изискването за възможност потребителят да оттегли съгласието си по всяко време.

Почти няма сайт, който не използва трикове на дизайна, които могат да подведат потребителя да даде своето съгласие и/или по друг начин да го въведат в заблуждение относно използваните на сайта бисквитки.

По-голяма част от сайтовете спазват изискването за достатъчна степен на информираност относно използваните от сайт бисквитки. Следва обаче да се има предвид, че в разрез с изискванията на Регламента, в мнозинството от случаите тази информация не е предоставена на потребителя предварително, преди той да даде съгласие.

Нашата оценка

Резултатите от проучването са тревожни, особено предвид факта, че сред прегледаните сайтове много голяма част от тях са на търговци с добра репутация и на публични институции, които биват посещавани от хиляди хора ежедневно. Резултатите ясно показват, че почти всички собственици на интернет сайтове в България третират ограниченията по отношение на използването на бисквитки като формалности, които могат лесно да се заобикалят. Поради тази причина е необходимо да се обърне внимание на обществеността, че изискванията на Регламента съвсем не се изчерпват с предвиждането на банер и политика за бисквитките. Надяваме се настоящото проучване да е първа важна стъпка към постигането на тази цел. Следващата стъпка предполага активизирането на компетентните регулаторни органи и по-специално Комисия за защита на личните данни

Илюстрации на някои от прилаганите практики:

Предварително включени отметки за „законен интерес“:

Липса на други опции, освен приемане на бисквитките:

Поставяне на приемането на бисквитките като условие за достъп до сайта:

Уведомление за автоматично съгласие с бисквитките при използването на сайта:

Дизайн, подвеждащ към съгласяване с бисквитките:

Добра практика: