Новости о приватности

Являются ли баннеры cookie незаконными?

Реклама Google и Amazon, основанная на отслеживании, оказалась под ударом в ЕС. В знаковом решении Брюссельский апелляционный суд признал недействительными баннеры с согласием на использование cookie, созданные на основе Transparency & Consent Framework IAB Europe.

Are cookie banners illegal? Google's and Amazon's tracking-based advertising are under fire in the EU.

14 мая 2025 года Брюссельский апелляционный суд оставил в силе решение бельгийского Управления по защите данных (DPA) от 2 февраля 2022 года. В постановлении говорится, что Transparency & Consent Framework (TCF) IAB Europe - по сути, система, стоящая за баннерами cookie для размещения рекламы в режиме реального времени, - нарушает GDPR и, следовательно, является незаконной на всей территории Европейского союза. Но что это постановление означает для вас и раздражающих баннеров cookie, которые постоянно прыгают перед вашим лицом? Давайте разберемся в этом!

Технический стандарт, используемый рекламными компаниями для сбора согласия на GDPR в Интернете, является незаконным. Последствия могут быть огромными - как для СМИ, так и для гигантов индустрии, таких как Google, Amazon, Microsoft, X и других.

Решение бельгийского DPA

Бельгийский орган по защите данных APD постановил - и брюссельский апелляционный суд теперь подтвердил это - что центральный механизм для баннеров cookie нарушает Европейский общий регламент по защите данных (GDPR). Решение было принято в рамках так называемой одномоментной процедуры. Это означает, что оно распространяется на весь Евросоюз. Процедура основана на жалобе Ирландского совета по гражданским свободам и других европейских организаций по защите гражданских прав и потенциально может стать огромным ударом для европейской рекламной индустрии.

Подробнее о решении читайте здесь.

Сильный удар по индустрии данных

На основании этого решения баннеры с куки-файлами на основе TCF теперь незаконны во всей Европе , поскольку они нарушают GDPR на нескольких уровнях:

  • Недействительный сбор согласия (статьи 5(1)(a), 6 GDPR)
  • Отсутствие прозрачности (статьи 12-14 GDPR)
  • Недостаточная безопасность персональных данных (статьи 5(1)(f), 25, 32 GDPR).

Рекламодатели, оправдывающие отслеживание файлов cookie “законными интересами”, также нарушают GDPR. Суд однозначно отверг использование “законного интереса” в качестве правовой основы для торгов в режиме реального времени (RTB) и аналогичных форм онлайн-слежения из-за их серьезного риска для конфиденциальности. Таким образом, баннеры с куки, предлагающие переключатели законного интереса для отслеживания рекламы, являются незаконными .

Доктор Джонни Райан, директор по правовым вопросам Ирландского совета по гражданским свободам, сказал:

“Сегодняшнее решение суда показывает, что система согласия, используемая Google, Amazon, X, Microsoft, обманывает сотни миллионов европейцев. Технологическая индустрия пыталась скрыть свои огромные нарушения прав на данные за фиктивными всплывающими окнами согласия. Технологические компании превратили GDPR в ежедневную неприятность, а не в защиту людей”.

Таргетированная реклама в интернете работает следующим образом (упрощенное объяснение): Каждое посещение веб-сайта, использующего куки-трекинг для целевой рекламы, запускает аукцион среди поставщиков рекламы. Решение о том, какую рекламу увидит пользователь, принимается в течение нескольких миллисекунд на основе его профиля и некоторых других факторов (= торги в реальном времени).

Торги в реальном времени

Для того чтобы торги в реальном времени (RTB) работали, рекламные компании хотят знать многое о человеке, который в данный момент просматривает их сайт: Возраст, пол, интересы, посещаемые сайты, место жительства, покупательская способность и многое другое. Эти данные используются для показа наиболее подходящего объявления - того, на которое пользователь, скорее всего, нажмет.

Читайте здесь, почему мы в Tuta призываем полностью запретить таргетированную рекламу и почему мы считаем, что модель бизнеса, основанная на рекламе, должна умереть.

ВКЛЮЧИТЕ приватность одним нажатием.

Отслеживание без согласия?

Однако в соответствии с GDPR такое отслеживание разрешено только в том случае, если пользователь дает на это согласие. Прозрачность и согласие (Transparent and Consent Framework, TCF), разработанная рекламной ассоциацией IAB Europe, якобы требует такого согласия: Если пользователь нажимает на кнопку “принять cookies” или не возражает против того, что использование его данных отвечает законным интересам провайдера, TCF генерирует так называемую строку TC. Этот идентификатор служит основой для создания индивидуальных профилей. Затем профили используются для сопоставления с рекламой, которая будет показана. При этом TC-строка передается сотням и сотням партнеров в системе OpenRTB.

Вся рекламная индустрия (если говорить о таргетированной рекламе) основана на строке TC, что делает ее важнейшим стандартом в экосистеме онлайн-рекламы.

Как это решение повлияет на рекламную индустрию?

В 2022 году бельгийский APD принял знаковое решение - которое теперь подтвердил брюссельский суд - о том, что передача строки TC сотням партнеров является нарушением Общего регламента по защите данных. По мнению надзорного органа, система, используемая рекламодателями для сбора согласия на целевую рекламу в Интернете, не соответствует принципам законности и справедливости.

В своем постановлении бельгийский APD наложил штраф в размере 250 000 евро на рекламную ассоциацию IAB Europe, которая разрабатывает и управляет механизмом TCF. Кроме того, IAB теперь должна удалить уже собранные персональные данные, которые для рекламной индустрии стоят как золотая жила. Сколько? Это можно оценить по аналогичному решению, вынесенному в 2024 году в отношении Google, которое заставило технологического гиганта удалить данные пользователей, незаконно собранные в режиме инкогнито, на сумму 5 миллиардов долларов. Однако еще более значительными являются условия, которые бельгийский APD навязывает рекламной индустрии, чтобы продолжать использовать систему прозрачности и согласия.

Тысячи операторов веб-сайтов, почти все онлайн-медиа, а также крупные рекламные компании, такие как Google, Microsoft, Amazon, X и другие, используют этот механизм для передачи предполагаемого согласия пользователей на обработку их персональных данных в рекламных целях.

Хьелке Хийманс, председатель судебной палаты бельгийской APD , заявляет:

“Людям предлагают дать согласие, в то время как большинство из них не знают, что их профили продаются огромное количество раз в день для того, чтобы показывать им персонализированную рекламу. Хотя это касается TCF, а не всей системы торгов в реальном времени, наше сегодняшнее решение окажет серьезное влияние на защиту персональных данных интернет-пользователей. Порядок в системе TCF должен быть восстановлен, чтобы пользователи смогли вернуть контроль над своими данными”.

Даже если решение не затронет напрямую всю рекламную систему в Интернете, оно окажет серьезное влияние на защиту персональных данных пользователей, говорит Хийманс.

Почему это решение имеет большое значение?

Бельгийские органы по защите данных утверждают, что не только рекламные профили являются персональными данными, но и строка TC, которая используется для целевой рекламы, также должна считаться персональными данными. Эта строка может быть объединена с IP-адресом и, таким образом, сделать любого пользователя идентифицируемым.

В постановлении суда это совершенно ясно сказано:

Строка TC является персональными данными”. Как подтвердил CJEU в данном деле, это относится к тому, имеет ли IAB Europe к ней доступ или нет”.

Как следствие, IAB Europe нарушает GDPR, используя протокол TCF для генерации строк TC. Кроме того, согласие пользователей на отслеживание данных (cookies) является неэффективным, поскольку владелец сайта не имеет достаточных законных интересов, чтобы запрашивать такое согласие.

Власти утверждают, что законные интересы пользователей перевешивают законные интересы рекламных компаний из-за высокого риска, связанного с отслеживанием рекламы, основанной на торгах в режиме реального времени.

Кроме того, информация, предоставляемая пользователям при даче согласия, была слишком общей и расплывчатой, чтобы они могли понять характер и объем обработки своих данных, особенно учитывая сложность рекламы, основанной на отслеживании.

Итак, главный вопрос, который возникает в связи с обсуждением юридических деталей отслеживания, таков: Являются ли баннеры cookie незаконными ? Подобно вопросу о том, является ли Google Analytics незаконным в ЕС, ответ на него - и да, и нет .

Хотя многие текущие реализации баннеров cookie в ЕС в настоящее время являются незаконными - например, потому что они оправдывают отслеживание рекламы законными интересами или потому что они слишком расплывчаты в отношении того, какие данные собираются и почему, - использование баннеров cookie в целом не является незаконным в ЕС .

Но что это означает для будущего cookies?

Баннеры cookie стали настоящей помехой в Интернете, иногда даже такой же назойливой, как и сама реклама, которую люди могут блокировать с помощью блокировщиков рекламы, даже в Gmail. Больше всего в баннерах cookie людей раздражает то, что обычно очень просто “Принять все” - в то время как возможность “Отклонить все” часто не предоставляется. Однако эта процедура издателей - показывать только кнопку “Принять все” - сейчас также находится под огнем в Германии, так что, надеемся, кнопка “Отклонить все” скоро будет доступна повсеместно.

В любом случае, следуя нынешнему постановлению Брюсселя, издателям необходимо адаптировать использование баннеров cookie. Издатели должны:

  • Использовать подлинное согласие на использование отслеживающих файлов cookie (без предварительных галочек).
  • Предоставлять четкую и лаконичную информацию о том, какие данные собираются и зачем
  • Не полагаться на “законный интерес” в качестве основания для отслеживания рекламы.

Первое последствие? Новая кнопка Google “Отклонить все”.

Первым признаком того, что европейские власти стали более строго применять права клиентов, стало то, что компания Google наконец-то добавила кнопку “Отклонить все” на свои баннеры с файлами cookie.

Ist das alte Google-Cookie-Banner in Europa illegal? Google hat inzwischen eine Schaltfläche "Alle ablehnen" hinzugefügt. Ist das alte Google-Cookie-Banner in Europa illegal? Google hat inzwischen eine Schaltfläche "Alle ablehnen" hinzugefügt. Является ли старый баннер Google с файлами cookie незаконным в Европе? Google уже добавил кнопку “Отклонить все”.

Хорошие новости для любителей конфиденциальности

Для интернет-пользователей, которым важна защита данных, решение бельгийского DPA и Брюссельского апелляционного суда признать баннеры cookie незаконными в их нынешнем виде - очень хорошая новость.

Во-первых, потому что рекламные компании будут вынуждены удалить данные пользователей, собранные ими с помощью механизма TCF.

Во-вторых, что более важно, решение бельгийских органов по защите данных может привести к тому, что вся система персонализированной рекламы будет отменена.

Это может окончательно положить конец таргетированной рекламе.

Изображение телефона с логотипом Tuta на экране, рядом с телефоном, увеличенный щит с галочкой, символизирующий высокий уровень защищенности благодаря шифрованию Tuta.