МОСКВА, 1 окт — РАПСИ. Общий регламент по защите данных (GDPR) требует от администрации интернет-ресурсов получения предварительного согласия пользователей для использования их персональных данных — так называемых cookie-файлов, следует из постановления Люксембургского суда.

Фабула дела

Вмешательство суда ЕС потребовалось в связи с поступившим обращением Федерального суда Германии, рассматривавшего спор между Федерацией потребительских организаций Германии и компанией Planet49.

В 2013 году Planet49 проводила на своей интернет-площадке лотерею, для участия в которой участник должен был ввести свое имя и адрес в соответствующую онлайн-форму. Под полями ввода были два «флажка».

Первый «флажок», не будучи предварительно отмечен, запрашивал пользовательское согласие на то, что некоторые спонсоры немецкой фирмы свяжутся с ними для ознакомления с коммерческими предложениями.

Второй «флажок», напротив, был предварительно включен, вследствие чего участники лотереи автоматически давали согласие на использование персональных cookie-файлов.

Национальная юрисдикция запросила у Люксембургского суда разъяснение о том, имело ли место нарушение со стороны Planet49 так называемой Директивы о конфиденциальности и электронных средствах связи (2002/58/ЕС) и Общего регламента по защите данных (2016/679, «GDPR»).

Позиция Люксембургского суда

Суд ЕС постановил, что всякий раз при попытке открыть страницу соответствующего сайта пользователь должен давать свое «активное согласие», прежде чем его веб-клиенту придет запрос от сервера на передачу cookie-файлов.

Запрос на получение соответствующего согласия, в свою очередь, должен быть четко артикулирован, а сам пользователь ознакомлен с условиями последующего использования своих персональных данных и доступа к ним третьей стороной.

Касательно ситуации с компанией Planet49, суд отметил, что созданные условия для участия в лотерее не позволяют сделать вывод о том, что участники действительно давали свое согласие на использование cookie-файлов.

Люксембургский суд напомнил, что законодательство ЕС направлено в первую очередь на защиту пользователей от любого вмешательства в их личную жизнь, в частности, от того, что подобные предустановленные «флажки» подразумевают сбор персональных данных без получения согласия в надлежащей форме.