Може ли интернет без бисквитките
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Може ли интернет без бисквитките

Shutterstock

Може ли интернет без бисквитките

GDPR може да означава край на проследяването на потребителско поведение онлайн за рекламни цели, но това може да счупи много бизнес модели

5375 прочитания

Shutterstock

© Shutterstock


Статията е част от специалното издание на Капитал GDPR, посветено на новите правила за личните данни. Повече информация за изданието можете да видите тук. Може да го поръчате тук.

На новите правила за защита на личните данни все още се гледа като на сива зона, но в действителност регулацията е конкретна по доста въпроси. Не така стоят нещата обаче с един основен елемент на интернет бизнеса - т.нар. бисквитки (или cookies - бел.ред). Бисквитките са слонът в стаята на GDPR.

По принцип те са обект на друга европейска регулация - Директивата за неприкосновеността на личния живот и електронните съобщения (ePrivacy Directive). Тези правила предстои да бъдат преразгледани и до няколко години да влезе в сила нов вариант на регулацията. Технически това е вярно, но на практика бисквитките ще бъдат сериозно засегнати и от GDPR след едва два месеца.

Ако потърсите в Google какво предстои за използването на бисквитки след новите правила за защита на личните данни, бързо ще осъзнаете, първо, че липсва изобилие от информация, и второ, че няма особено добър технически анализ на проблема. Общото схващане е, че GDPR ще промени начина, по който се управляват бисквитките, и по-точно "бисквитките за проследяване". Ето и какво гласи съображение 30:

"(30) Физическите лица могат да бъдат свързани с онлайн идентификатори, предоставени от техните устройства, приложения, инструменти и протоколи, като адресите по интернет протокол (IP адреси) или идентификаторите, наричани бисквитки, или други идентификатори, например етикетите за радиочестотна идентификация. По този начин може да бъдат оставени следи, които в съчетание по-специално с уникални идентификатори и с друга информация, получена от сървърите, може да се използват за създаването на профили на физическите лица и за тяхното идентифициране."

Но как работят "бисквитките за проследяване"? Трета страна (обикновено рекламна мрежа) ви дава кратък софтуерен код, който да поставите на уебсайта си, например за да показвате реклама. Този фрагмент код обаче се свързва с "домашния" домейн (т.е. праща заявка до адреса на третата страна). Ако и преди мрежата е била използвана от даден компютър, тя вече е създала бисквитка. В случая с Facebook например те имат достъп до Facebook идентификатора ви, тъй като сте влизали в социалната мрежа. Въпросната бисквитка (заедно с идентификатора ви) се изпраща заедно със заявката до уебсайта на третата страна (в случая - Facebook). Заявката съдържа и всички детайли за съответния уебсайт. В крайна сметка се разпознава уникалният потребител (в случая с Facebook и Google идентифицирането става до ниво конкретен човек за разлика от други рекламни мрежи, при които се разпознават отделни, но анонимни хора).

Вашето поведение в даден уебсайт е лична информация. То се свързва с вашия идентификатор, който от своя страна е свързан с личния ви профил. Всичко това са лични данни. Кой е отговорен за събирането на данни за потреблението, т.е. кой е "администраторът"? Дали това е Facebook (или която и да е трета страна), която технически събира всичката тази информация? Не. Това е собственикът на уебсайта, тъй като данните за потреблението се получават на тяхната страница и той сам е поставил фрагмента от софтуерен код. В такъв случай той носи отговорността.

За каква отговорност става дума? До момента тя се ограничаваше до показването на безсмислени предупреждения от типа "този уебсайт използва бисквитки", от които никой не се интересува. Настоящата (стара) Директива за неприкосновеността на личния живот и електронните съобщения и нейните интерпретации виждат това за достатъчно. При тези условия, ако действията на потребителя еднозначно показват, че той няма нищо против бисквитките (т.е. продължи да използва уебсайта, след като види предупреждението), собственикът на уебсайта е защитен. С прилагането на GDPR това вече няма да важи - бисквитките значат събиране на лични данни и е нужно законово основание за обработката им.

Има два варианта за събиране на данни чрез "бисквитки за проследяване" - съгласието на потребителя или легитимен интерес. Би било трудно обаче да се докаже легитимен интерес - бисквитките не са нещо, което потребителят очаква по подразбиране, и не са задължителни, за да може собственикът на уебсайта да доставя услугата си. Възможно е вашият адвокат да успее да защити такъв вариант, но регулаторите вероятно не биха били твърде щастливи от това.

Другият вариант е "съгласие". При него трябва да попитате потребителите си изрично, т.е. с отделно поле с отметка, за разрешение да използвате "бисквитки за проследяване". Това поражда две сериозни последици - от техническа гледна точка и от гледна точка на използваемостта.

Техническият проблем е, че данните се изпращат чрез код, предоставен от трета страна в момента, в който уебсайтът се зареди и преди потребителят да може да даде своето съгласие. Това само по себе си би било нарушение. Разбира се, е възможно да накарате кодът да се задейства динамично след даване на съгласие, но това би предполагало известно занимание с javascript и невинаги ще работи, в зависимост от доставчика. Същевременно ще трябва да поддържате опцията за отказ по всяко време (която да "изключва" кода на третата страна). Това би изисквано допълнително програмиране вместо просто копиране на предварително зададен фрагмент код.

По-големият проблем обаче е ползваемостта. Докато предупреждението за използване на бисквитки можеше да се постави безобидно в долния край на уеб страницата, сега ще е нужен сериозен прозорец от типа "спрете света", който да пита за съгласието на потребителите, ако искате някой да кликне върху него. Разбира се, има вариант просто да поставите допълнително поле с отметка към съществуващото предупреждение за бисквитките, но не очаквайте някой да кликне върху него.

Оттук следват съществени въпроси. Например заслужава ли си да използвате бисквитки за проследяване? Заслужава ли си разработката на нова функционалност, заслужава ли си да прекъсвате потребителя агресивно заради това, заслужава ли си да внедрявате нова функционалност, при положение че че потребителят никога няма да натисне почти скрито поле с отметка? Особено предвид факта, че в момента Firefox блокира всички бисквитки за проследяване и е възможно и други браузъри да въведат подобна функционалност?

Това само по себе си е интересна тема. На практика Firefox вече е въвел най-стриктните изисквания на предстоящата промяна в ePrivacy директивата, която скоро ще се превърне в регулация (със задължителен характер, подобно на GDPR - бел.ред.). Други браузъри ще трябва да направят същото и въпреки че Google вероятно няма да е щастлив от факта, че ще трябва да блокира (чрез браузъра Chrome - бел.ред.) собствените си бисквитки. Надявам се браузърите са последват Firefox в защитата на потребителя от проследяване. В такъв случай проблемът ще изчезне от само себе си.

Струва ми се, че ще все по-малко ще си заслужава да използвате бисквитки за проследяване на уебсайта си. Те са съпроводени от нормативни изисквания, а носят твърде малко ползи. Да, чрез тях може да се проследи ангажираността към рекламите, но това може да се направи и по други начини, потенциално с по-малко софтуерен код. След като се приеме новата ePrivacy регулация, съгласието за използване на бисквитки така или иначе ще бъде възложено на браузърите. Но в момента няма как да знаем дали няма да има технически "надлъгвания" между браузъри и рекламодатели и дали все пак няма да е нужно допълнително усилие, за да се сдобиете с динамичното съгласие на потребителя за бисквитките за проследяване.

Възможно е да решим, че не си заслужава да се занимаваме с управлението на бисквитки за проследяване. Но имате ли такъв избор като собственик на уебсайт? Можете ли да спрете някоя рекламна мрежа да ги използва? (Не забравяйте, че вие сте отговорен дали се събират данни на потребители при посещение на вашия уебсайт.) В момента отговорът е не - не можете да се откажете от тази опция. Не може просто да сервирате рекламите. Това е част от сделката - вие получавате пари за реклами, които позиционирате на уебсайта си, но се съгласявате да участвате в голямата мрежа за проследяване. Потребителите може и да имат избор да се откажат (например Google AdWords позволява това). Вие като собственик на уебсайт нямате подобен избор. Facebook например има страница с препоръки, според която "вие се грижите за получаване на съгласие от потребителите". Но когато инсталирате плъгин с Like бутона на уебсайта си, няма вариант той да не изпраща данни на Facebook

Понякога може да не искате да сервирате реклами, а само да проследявате поведението на потребителя и конверсиите. Но дори да поискате съгласие от потребителя и включите подобен код на сайта си, можете ли да сте сигурен каква информация изпраща той? И за какво ще се използва? Ще се наложи да имате подобно познание, за да информирате своите потребители. "Съгласен ли сте да използваме бисквитките за проследяване на Facebook, за да събира данни за вашето поведение на нашия уебсайт" не звучи никак примамливо.

Какво можете да направите? Най-лесно би било изобщо да не използвате рекламни приставки на трети страни. Но това очевидно не е вариант, особено в медийната индустрия.

Нямам добър отговор на този въпрос, освен че регулаторите трябва да оказват натиск върху рекламните мрежи, за да предоставят възможност за отказ и ясно да разписват начина, по който използват данни. Това е задължително в рамките на GDPR. И докато собствениците на уебсайтове отговарят за данните на техните потребители, рекламните мрежи, които в този случай са в ролята на обработващи (тъй като им делегирате процесите по събиране на данни), също имат задължението да ви подпомогнат при изпълнението на вашите задължения. За това попитайте Facebook какво трябва да направите с техните бисквитки за проследяване. А когато регулаторът се появи на проверка след жалба от потребител, който е чувствителен на тема неприкосновеност на личните данни, поне ще може да докажете, че сте се опитали.

Моралният дебат за това дали е грешно да събирате данни за поведението на хората без тяхното информирано съгласие е прост. За това и не виня законодателя - той претворява етичния консенсус в закон. Въпросът става по-сложен, ако забраната за проследяване означава, че някои интернет услуги вече няма да са достатъчно печеливши и съответно не могат да съществуват. Има ли как и вълкът да е сит, и агнето цяло?

Какво са бисквитките

Бисквитките са много малък файл, който се изтегля на устройството ви при посещение на уеб сайт, който ги използва. Целите, за които се използват бисквитките, са най-различни - броене на посетители и тяхното поведение, целенасочена реклама, записване на потребителски предпочитания. В Европа техният статут е регламентиран в Директивата за неприкосновеността на личния живот и електронните съобщения (ePrivacy Directive). Тя се прилага спрямо всички държави членки, а уебсайтовете извън ЕС трябва да се съобразяват с нея, ако са насочени към потребителите от съюза.

Как работят бисквитките

Трета страна (обикновено рекламна мрежа) ви дава отрязък софтуерен код, който да поставите на уебсайта си, например за да показвате реклама. Този фрагмент код обаче се свързва с "домашния" домейн (т.е. праща заявка до адреса на третата страна). Ако и преди е била използвана от даден компютър, тя вече е създала бисквитка.

Какво GDPR казва за бисквитките

В GDPR виждаме бисквитки, споменати в чл. 30, в който се казва: Физическите лица могат да бъдат свързани с онлайн идентификатори на техните устройства, приложения, инструменти и протоколи, като например IP адреси, бисквитки, или други идентификатори, като например RFID. Това може да остави следи, които, особено когато се комбинират с уникални идентификатори и друга информация, получена от сървърите, могат да се използват за създаването на профили на физически лица и за идентифицирането им.

Какво трябва да се промени

Потребителите трябва да имат избор. Това, че използват даден уеб сайт, не означава, че са съгласни с всички видове бисквитки, които той ползва. Фраза "Използвайки този уебсайт, приемате бисквитки" (или нещо подобно), вече няма да е достатъчна - нито е информативна, нито дава избор. А подобно на всяко друго съгласие по GDPR, и това за бисквитките трябва да бъде ясно осъзнато действие. Това означава да попитате потребителя изрично дали е съгласен с бисквитките, т.е. с отделно поле с отметка. Важен момент е и възможността за отказ. GDPR ясно посочва, че субектът на данните трябва да може да оттегли съгласието си толкова лесно, колкото го е предоставил. В случая с бисквитките това обикновено означава, че потребителят би трябвало да може да отмени съгласието си чрез същото действие, чрез което го е дал.



GDPR – какво трябва да знаят фирмите за новия регламент за личните данни:
Бизнес доклад на Капитал


- Какво е GDPR и за кого се отнася
- Как да се приложи стъпка по стъпка
- Колко ще струва на компаниите
- Какви са новите маркетинг правила
- Кога трябва да се назначи служител за защита на данните
Поръчайте изданието »
На хартия или PDF

Статията е част от специалното издание на Капитал GDPR, посветено на новите правила за личните данни. Повече информация за изданието можете да видите тук. Може да го поръчате тук.

На новите правила за защита на личните данни все още се гледа като на сива зона, но в действителност регулацията е конкретна по доста въпроси. Не така стоят нещата обаче с един основен елемент на интернет бизнеса - т.нар. бисквитки (или cookies - бел.ред). Бисквитките са слонът в стаята на GDPR.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

0 коментара

Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

Още от Капитал

GDPR в 10 стъпки

GDPR в 10 стъпки

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK