Что такое CNIL и как его соблюдать?

1 октября 2020 г. Управление по защите данных Франции (CNIL) опубликовало пересмотренную версию своих рекомендаций 2019 г. в отношении файлов cookie и аналогичных технологий. Пересмотренная версия была опубликована с учетом положения GDPR о файлах cookie.

CNIL или Commission Nationale de l'informatique et des libertes (Национальная комиссия по информатике и свободе) — это французский административный регулирующий орган, уполномоченный обеспечивать соблюдение законов о защите данных во Франции. CNIL несет ответственность за соблюдение всех трех нижеприведенных законов в стране.

• Закон Франции о защите данных
• GDPR
• Директива об электронной конфиденциальности

Он также имеет право получать жалобы и налагать штрафы за нарушение законов.

Если ваш бизнес подпадает под одну из следующих категорий, вы обязаны ей соответствовать.

• Базируется во Франции и на французских территориях за границей.
• Собирает и/или обрабатывает персональные данные граждан и жителей Франции и французских территорий за границей.

Это те же принципы применимости, что и в GDPR.

Пользователь должен разрешить свое согласие с помощью четкого положительного действия (например, нажав «Я принимаю» на баннере файлов cookie). Бездействие пользователя, прокрутка или продолжение просмотра и т. д. не могут рассматриваться как согласие, и никакие файлы cookie, кроме необходимых, не должны размещаться на устройстве пользователя до тех пор, пока не будет получено явное согласие.

Пользователи должны иметь возможность отказаться от файлов cookie с той же легкостью, с которой они их приняли.

Пользователи должны иметь возможность легко и в любое время отозвать свое согласие на использование файлов cookie.

Прежде чем давать согласие, пользователи должны быть четко проинформированы о целях файлов cookie, а также о последствиях принятия или отклонения файлов cookie.

Предприятия, которые запрашивают согласие на использование файлов cookie, должны в любое время предоставить подтверждение действительного сбора свободного, осознанного, конкретного и недвусмысленного согласия пользователя.

Ниже приведена инфографика, которая даст вам краткое представление о требованиях соответствия CNIL.

Как CNIL, так и GDPR имеют схожие требования, когда речь идет о получении согласия пользователей на использование файлов cookie. Они такие, как показано ниже.

• Согласие должно быть дано свободно. Пользователь должен иметь возможность выбирать, давать согласие на использование файлов cookie или нет.

• Согласие должно быть конкретным. Вы должны получить согласие для каждой цели сбора данных. Это означает, что если вы получили согласие для аналитических целей, вам необходимо новое согласие на сбор данных в маркетинговых целях.

• Запрос согласия должен быть хорошо информирован. Это означает, что вы должны проинформировать пользователя о ваших правилах конфиденциальности в момент запроса. Сообщите им, что вы используете файлы cookie, и предоставьте им ссылку на вашу политику конфиденциальности.

• Согласие должно быть однозначным. Вы должны показать кнопку ПРИНЯТЬ и ОТКАЗАТЬСЯ. Показывать только кнопку ПРИНЯТЬ недостаточно. Пользователь должен иметь возможность предпринять позитивные действия на вашем сайте.

Хотя в соответствии с CNIL необходимо запрашивать явное согласие, он освобождает некоторые файлы cookie от разрешения без согласия пользователей. Ниже приведен список файлов cookie, освобожденных от сбора согласия.

• Файлы cookie, предназначенные для аутентификации в службе
• Файлы cookie, используемые для запоминания товаров в корзине на сайте электронной коммерции.
• Некоторые файлы cookie, предназначенные для сбора статистики трафика
• Файлы cookie, позволяющие платным сайтам ограничивать бесплатный доступ к образцу контента, запрашиваемому пользователями.
• Файлы cookie, сохраняющие выбор согласия пользователей
• Файлы cookie для настройки пользовательского интерфейса
• Файлы cookie языковых предпочтений

CNIL считает, что согласие должно исходить исключительно из положительного действия. Поэтому любое бездействие следует понимать как отказ от использования файлов cookie.

Ниже приведены два случая, когда вы можете установить файлы cookie на устройствах ваших пользователей.

• Пользователь выразил свое согласие на использование файлов cookie
• Файлы cookie относятся к исключенной категории (как указано в разделе выше).

В принципе, необходимо сохранить выбор, выраженный пользователем, будь то его согласие или его отказ. Таким образом, при просмотре веб-сайта им не придется переформулировать свой выбор от страницы к странице.

В общем, поэтому рекомендуется сохранить выбор, сделанный пользователем Интернета, чтобы не запрашивать его снова в течение определенного периода.

Срок хранения вариантов должен оцениваться в каждом конкретном случае (с учетом характера соответствующего веб-сайта или приложения и особенностей его аудитории). Как правило, хорошей практикой является сохранение выбора в течение 6 месяцев.

Стены файлов cookie — это конструкции веб-сайтов, которые требуют от пользователя принятия файлов cookie, прежде чем он сможет получить доступ к содержимому веб-сайта. В то время как правила 2019 года полностью запрещают использование файлов cookie. В результате судебного решения Франции, противоречащего закону, CNIL отредактировал свои Руководящие принципы, заявив, что законность стен cookie-файлов должна оцениваться в каждом конкретном случае.

Если используется стена cookie, пользователь должен быть четко уведомлен о невозможности доступа к контенту без согласия. В противном случае стена или баннер с файлами cookie должны вскоре исчезнуть, чтобы они не мешали пользователю в доступе к контенту и иным образом не побуждали пользователя дать согласие.

CNIL выдвинула как руководящие принципы, так и рекомендации. Руководящие принципы CNIL в отношении файлов cookie и других средств отслеживания информируют вас о применимом законодательстве, когда пользователь взаимодействует с Интернетом через интерфейс смартфона, компьютера, планшета и т. д.

Рекомендация предназначена для руководства заинтересованными специалистами в их процессе соблюдения. Он предлагает примеры практических методов получения согласия в соответствии с применимыми правилами, а также для выполнения требований, изложенных в статье 82 Закона о защите данных.

CNIL налагает штраф на организацию в случае нарушения GDPR или французского Закона о защите данных двумя способами.

• После подачи жалобы или сообщения о нарушении в CNIL
• После расследования, проведенного CNIL

В обоих случаях председатель CNIL может назначить докладчика из числа уполномоченных CNIL, за исключением членов ограниченного комитета, и обратиться к ограниченному комитету. Ограниченный комитет состоит из пяти уполномоченных CNIL и председателя, избираемого из их числа.

Инкриминируемая организация информируется, и в ходе письменной процедуры между докладчиком и организацией происходит обмен документами. Ограниченный комитет затем получает все документы.

В ходе процедуры инкриминируемая организация может быть заслушана, если докладчик сочтет это полезным. В этом случае письменный отчет подтвердит слушание.

Наказание может быть мониторинговым или немониторным. С точки зрения мониторинга, инкриминируемый бизнес или организация будут вынуждены выплатить сумму до 4% от общего мирового оборота или до 20 миллионов фунтов стерлингов, в зависимости от того, что больше. В немониторных условиях будет предупреждение, судебный запрет с периодическими выплатами штрафа и т.д.

Как было объявлено, по его оценкам, крайний срок соблюдения новых правил (опубликованных 1 октября) не должен превышать шести месяцев, то есть не позднее конца марта 2021 года.

Затем CNIL проведет проверки и примет меры принудительного характера. Как всегда, операторы также должны убедиться, что они соблюдают как Директиву о конфиденциальности, так и Общее положение о защите данных.

Вы можете упростить процесс соблюдения CNIL для своего веб-сайта WordPress с помощью плагина CookieYes GDPR Cookie Consent and Compliance Notice. Плагин упрощает управление файлами cookie благодаря мощному набору функций.

Плагин предоставляет вам следующие возможности.

• Автосканирование файлов cookie — плагин автоматически сканирует ваш сайт на наличие файлов cookie.
• Баннер согласия на использование файлов cookie. Вы можете создать и настроить баннер согласия в соответствии с требованиями, указанными в руководящих принципах законов.
• Опция детального согласия — запросите явное согласие на использование файлов cookie, информируя пользователей об использовании каждого типа файлов cookie на вашем веб-сайте.
• Журнал согласия на использование файлов cookie. Запишите согласие ваших пользователей с соответствующими данными, такими как согласие на использование файлов cookie, дата, время и т. д.
• Автоматическая блокировка скриптов — вы можете включить блокировку скриптов для файлов cookie от сторонних плагинов и сервисов.
• Генератор политики конфиденциальности — легко создавайте политику конфиденциальности/файлов cookie с нуля.

В связи с новым набором руководящих принципов, выдвинутых CNIL, у вас осталось не так много времени, чтобы следовать им. Итак, приступайте к соблюдению требований уже сегодня с подключаемым модулем CookieYes GDPR Cookie Consent and Compliance Notice.