Comments 62
А что изменилось с тем что было слово метрических программ ?
Вполне возможно до принятия соглашения не отдавать запросы "метрическим программам", т. е. обработчики Goodle/Yandex и др. можно вызывать только при наличии "согласия".
Вопрос только в том, что классические HTML-snippets, предлагаемые теми же Yandex или Google, такого поведения не поддерживают; требуется дополнительный код. Кто его будет писать?
Чисто в теории, кто-то может и написать очередной plugin для WordPress или другой CMS, реализующий подобные требования, но такое ещё должен найти (если будет искать) человек, обслуживающий сайт.
Все верно сказали. Классические сниппеты явно нельзя использовать. Только динамическое подключение джаваскриптом сайта. Писать такое пару строк.
Когда дают согласие на куки, то можно в localstorage записать инфу. Далее, проверяем при загрузке страницы если такая пометка в localstorage имеется, то динамически добавляем теги скриптов с метриками.
Кто его будет писать?
Оштрафованные будут писать.
все сайты используют метрические программы и файлы cookie (хотя бы сессионные)
Вообще-то нет. С чего им их использовать, если никакие данные о посетителе не нужны?
С чего им их использовать, если никакие данные о посетителе не нужны?
А ну как понадобятся!
Нет, не понадобятся. Вы троллите.
Нет, не понадобятся.
Моё почтение, мсье Нострадамус!
Коль не куки, так ip собираются и по любому записываются сервером в логи. Проблема не в этом, а в логике натягивания совы на глобус. Все эти нелепые выводы следуют лишь из одного сомнительного утверждения, что куки и ip сами по себе, без контекста, без дополнительных данных, являются ПД. При такой логике невозможно законно взять согласие, как ни крутись.
да это ппц вобще. по такой логике ("любимого" РосКомПОЗОРА) у нас вобще всё подряд является ПДн. даже цвет трусов. без привязки к всему остальному.
у нас вобще всё подряд является ПДн. даже цвет трусов. без привязки к всему остальному.
А это, кстати, прямо следует из сабжевой логики.
Например, вы снаружи своего магазина повесили видеокамеру, чтобы обозревать крыльцо и его окрестности. Мимо проходят прохожие... вот прошел человек в красной куртке... А вы взяли у него согласие на обработку ПД? Нет? Значит, нарушение... Ведь этого человека в красной куртке теоретически можно отследить и идентифицировать, если поднять на ноги полицию, милицию, записи со всех видеокамер по пути его следования... Ведь именно так объясняют, почему ip является ПД, не так ли?
PS:
И я не уверен, что это логика РКН. Пока этой логикой юристы балуются.
Не всё. Домофонщики требовали полный адрес с указанием квартиры что бы выдать ключ от подъезда, написал в РКН жалобу что требуют ПДн, а РКН ответил что полный адрес не ПДн, фамилию же не спрашивают, а так ХЗ кто живёт в квартире.
Что касается куков, то обоснование отнесения к ПДн это то что Яндекс их считает таковыми, если не изменяет память.
Что касается куков, то обоснование отнесения к ПДн это то что Яндекс их считает таковыми, если не изменяет память.
Ну, Яндекс массово собирает реальные перс. данные и имеет возможность сопоставить выдаваемые куки с реальными личностями. Поэтому в данном случае логично, считать куки... нет не персональными данными, но средством их обработки или средством обезличивания.
Так и не только на сайтах такая проблема. Согласия на обработку ПД сначала формируются в компьютере, только потом подписываются на бумаге. Поэтому данные изначально обрабатываются без согласия, а потом человек на бумаге ставит подпись. А если не поставит? Поэтому самые правильные согласия это те, в которых ПД вписаны собственноручно самим человеком.
P.S. В начале ковида ходил анекдот. В аптеку нельзя без маски, поэтому самую первую маску ты должен добыть в честном бою на улице...
ip собираются и по любому записываются сервером в логи
Здесь интересное противоречие. С одной стороны, сервер провайдера записывает в свои логи IP-адрес. С другой стороны, владелец сайта не имеет доступа к этим логам и не видит IP-адрес.
Там еще этот ip проходит по цепочке маршрутизаторов, также урлы передаются ДНС-серверам... Все они должны согласие брать, прежде чем пакеты передавать? С кого? Абсурд это всё, в общем.
владелец сайта не имеет доступа к этим логам и не видит IP-адрес
Что за странный хостинг? Все он видит.
Я бы сформулировал так: почти все, кроме тех, кого либо вообще не волнует посещаемость, либо тех, кому достаточно self-hosted аналитики.
прямо и лога запросов у вебсервера нет?
подтверждаю, моя онлайн-игра не использует куков: https://dwdung.netlify.app/
Если пользователь удалит куку из браузера, куда можно подать на него жалобу за препятствие исполнению закона, который обязывает хранить персональные данные 6 месяцев?
Требование к хранению собранной информации о пользователе предъявляется же к администратору сайта.
Здравствуйте! Закон не обязывает владельца сайта (оператора персональных данных) хранить данные пользователя, обрабатываемые метрическими программами. Если пользователь изменит настройки браузера, то это его право.
Насколько я помню, куки по мнению РКН персонифицируют пользователя. По этой причине всю информацию связанную с сессией надо хранить. Понятное дело, что куки разные бывают: одни для персонификации, другие для сохранения настроек отображения сайта и т.п. Но я не увидел нигде: законодатель разделяет эти понятия или нет. Как кому-то потом рассказывать какие у нас куки.
Если не так, то буду рад. Если есть ссылки на нормативную базу, буду только рад.
Лично я не понимаю - что творится в мире!
Как эти всплывающие окна с предупреждением о куках помогут сделать что-то полезное?
Какие цели решает роскомнадзор?
Мое личное мнение - это не нужное и вредное.
Вредное потому что съедает дополнительное время и энергию.
90% согласий на обработку ПДн собираются "чтобы было", как и почти все остальные документы, они нужны для защиты от проверяющих.
Согласен целиком и полностью! Это требование абсолютно бессмысленно съедает сотни тысяч человеко-часов в год. На мой взгляд, целесообразнее было бы сделать так: пользователя должны предупредить, что есть такая штука как cookies, которые потенциально могут использоваться для сбора данных, на этапе подключения к Интернету, а дальше, если он этого не хочет, уже его зона ответственности принять меры против этого.
Ох, согласен, пусть на операторов связи лучше батон крошат.
Оффтопик.
Осторожно, простыня! Как получить согласие у неизвестного звонящего до его звонка?
3 Прочие условия
3.1 Продолжая пользоваться услугами связи по абонентским номерам после 25.01.2024 г.,
Абоненты @ соглашаются с описанными выше изменениями услуг «Мой помощник», «Голосовая
почта», «Автоответчик» и предоставлении функционала Голосового ассистента Миа.
3.2 При несогласии с данными условиями, Абонент вправе отказаться от них, обратившись в
службу поддержки оператора, набрав USSD-команду * 519 * 0 # (правильная команда * 155 * 493 * 1 # ) или отключив в Личном кабинете.
Иное означает полное и безоговорочное согласие Абонента на пользование услугой на
обновленных условиях.
3.3 Принимая описанные выше изменения услуг «Мой помощник», «Голосовая почта»,
«Автоответчик» Абонент:
подтверждает свое ознакомление и согласие с настоящими Правилами;
подтверждает свое согласие на получение Функционала в соответствии с условиями,
изложенными в настоящих Правилах;
подтверждает факт выполнения всех требований, предъявляемых настоящими Правилами
к Абоненту и абонентскому оборудованию, а также принимает на себя обязательство
следовать этим требованиям в период использования Функционала;
дает согласие на обработку Оператором данных, полученных Оператором в
автоматическом режиме от технических средств Оператора;
поручает Оператору исключительно на том абонентском номере, на котором
предоставляется Функционал, производить запись, хранение, использование,
расшифровку и передачу в личный кабинет Абонента в мобильном приложении «Мой @ »
аудиозаписей диалогов и их текстовой расшифровки и отправку части текстовой
расшифровки диалога в SMS на том абонентском номере, на котором предоставляется
Функционал, произведенных автоматизированным машинным способом (без участия
человека), в целях надлежащего предоставления Абоненту Функционала;
понимает и соглашается, что во время обработки входящих вызовов в случае, если Абонент не
принял входящий вызов при использовании Функционала, такой вызов переадресовывается на
Голосового ассистента, осуществляется соединение с вызывающим абонентом. Соединение с
Голосовым ассистентом является ответом оборудования, заменяющего Абонента в его отсутствие.
Голосовой ассистент ведет диалог со звонящим абонентом на основе заранее подготовленных
шаблонов. После завершения соединения аудиозапись диалога и его текстовая расшифровка,
произведенная автоматизированным машинным способом, направляются в личный кабинет
Абонента в мобильном приложении «Мой @ »/и при технической возможности отправит часть
текстовой расшифровки в SMS. Прослушивание аудиозаписей возможно исключительно с
абонентского номера, который был указан при регистрации в мобильном приложении «Мой @ » и
на который подключен Функционал;
разрешает Оператору анализировать входящие звонки для выявления среди них на основе
собственных алгоритмов звонков, определяемых как подозрительных, построения
диалога исходя из имеющихся шаблонов и возможности завершения таких звонков;
подтверждает, что получил согласие от звонящих ему абонентов на аудиозапись разговоров, а также их последующую текстовую расшифровку, анализ и обработку автоматизированным машинным способом;
соглашается, что Функционал, любые его элементы и составные части предоставляются
«как есть» («as is») и Оператор не может гарантировать полное отсутствие технических
ошибок и сбоев;
соглашается, что Оператор может приостанавливать работу Функционала для проведения
тестирования, профилактических, ремонтных или иных производственных работ без
предварительного уведомления Абонента;
принимает и соглашается, что Оператор не несет ответственности за возможный
причиненный Абоненту ущерб, вызванный противоправными действиями третьих лиц, а
также за действия самого Абонента с использованием Функционала.
Абонент самостоятельно несет ответственность перед третьими лицами за свои действия,
связанные с использованием Функционала, в том числе, если такие действия приведут к
нарушению прав или законных интересов третьих лиц
А ещё каждый раз добивает.
Оператор вправе в одностороннем порядке изменить Период предоставления Функционала,
указанный в п. 1.5. настоящих Правил, а также его условия предоставления Функционала.
Оператор информирует Абонентов об изменении Периода и условий предоставления
Функционала путем размещения информации на сайте https:// в срок не позднее 5
календарных дней до даты изменения срока.
Некомпетентность и безумие.
Нет, кроме как потратить время (и по раздражать) пользователя и чутка времени на разработку заодно. Ведь cookie храниться браузером, на стороне клиента, а значит на стороне клиента и только на стороне клиента принимается решение, что с этой печенкой делать - сохранять, игнорировать или что ещё.
Никаких, подозреваю, что РКН просто списал про печеньки у евробюрократов с их GDPR.
Что за воду я только что прочитал? Кусок википедии плюс закона.. а проблематика заголовка то будет решена? Что делать то, если пользователь не разрешил?))
Мне кажется, такие черновики нужно хранить в одноименном разделе, чтобы никто не видел и карму не минусил)
Итак, все сайты используют метрические программы и файлы cookie (хотя бы сессионные). Это значит, что метрические программы собирают персональные данные пользователя уже при первом посещении сайта.
Роскомнадзор относит сведения, собираемые метрическими программами, к персональным данным.
Имхо, это ложный посыл, из которого следуют ложные выводы.
Те судебные решения и ответы РКН, что я видел, всё же касались кук и метрических программ в контексте обработки реальных персональных данных, но не самих по себе кук.
Давайте, подумаем логически. Кука - это текстовая строка, которую сайт сохраняет в браузере посетителя. Не посетитель передает инфу сайту, а сайт передает инфу посетителю. Так же, как это делает гардеробщик в театре, выдавая вам номерок в обмен на пальто.
Никакие это не персональные данные сами по себе. А вот если посетитель оставил на сайте свои ФИО, номер телефона, адрес и пр., то в этом случае с помощью присвоения ему номера можно технически отслеживать действия этой (уже идентифицированной!) персоны. В этом случае уже можно рассматривать куки (и не только их), как техническое средство сбора и обработки ПД.
Таким образом, сабжевой проблемы имхо не существует. Пока не собраны реальные ПД, когда человек только зашел на сайт, кука никак не может его идентифицировать. Т.е. нет и сбора ПД на этом этапе.
А если следовать вашей логике, то никакая казуистика (и всплывающие плашки) вам не помогут - нарушение уже произойдет, а плашкой вы лишь подтвердите нарушение.
Давайте начистоту, большинство сайтов показывают всплывашку про кукис просто от балды. Практически нигде нет реального обработчика для наличия/отсутствия согласия. Я, к примеру, видел сайты, которые даже не запомниают выбор, а показывают эту всплывашку каждый раз, даже если выбрать опцию принятия.
Чтобы эта всплывашка имела смысл — это ж умного программиста нанять надо, чтобы он смог правильно закодировать. А он, сцуко, за миску риса не согласен — денюх хочет! /s
это ж умного программиста нанять надо
В банках вроде как должны быть такие. Но... из принципа и любопытства «А что будет» долго не нажимала на очередную всплывашку с запросом «согласия на обработку данных» в веб‑кабинете банка, что, впрочем, не мешало пользоваться кабинетом, попап только сиротливо маячил внизу страницы. Потом мне надоело его видеть, «согласилась». Сейчас думаю, надо было скрыть его через кастомный CSS, чтобы и далее «смотреть, что будет». Однако... не знаю, среагировали бы безопасники на внедрение чужеродного CSS, пусть даже пользовательского, на страницу или нет...
Жители ЕС вполне легально могут устроить очень много боли владельцу сайтов где это не работает за нарушение GDPR.
В логах сервера все равно останутся данные куда ходил пользователь с каким IP, и с каким агентом, понятно что куки нужны иногда для авторизации например, а что тут такого? По закону Яровой вообще всё хранится много лет, включая записи с камеры вашего домофона... и если хочется анонимности, есть специальные браузеры дакдакго например, и много альтернатив, как можно прятать трафик, но это все полумеры, лучше не включать интернет)
Недавно встретила попап запроса согласия на куки, в котором чекбокс‑кнопки в обоих состояниях — on/off — имели одинаковые цвета — так, что, хоть ползунок и двигается туда‑сюда, не понять, когда включено, а когда выключено. Пришлось лезть в DevTools...
Выглядели примерно так:
UPD: сделала не очень удачный пример — тут видно, что Work немного темнее, но в том попапе реально было трудно различить цвета переключателей.
данные получены - потому что он уже дал на это разрешение где то где эти днные заполнялись - иначе бы они вам не отрравлялись - так что все ок
Подобный баннер это профанация чистой воды, как вы сами и описали. Иллюзия выбора. К тому же на этих баннерах всегда кнопки типа:
Огромная кнопка "Да, я люблю котят, бабушку, демократию, поэтому согласен поделиться куки"
Малюсенькая "Нет, я террорист, экстремист, эксгибиционист и отказывают дать файлы куки"
Может ли пользователь декларативно аннулировать все оферты в одностороннем порядке?
Допустим он на публичной странице вывешивает декларацию намерений и публичный договор согласно которого он дает запрет на любые способы электронной обработки своих данных всем кроме белого списка, а все последующие механические способы согласия на сбор и обработку объявляет недействительными и единственный способ подтверждения своего согласия объявляет только бумажный персональный договор с живой подписью. Так как он владелец и источник своих персональных данных, то его полномочия прямы и очевидны. Что будет с правмочностью сбора данных сайтами и сервисами?
Опубликуйте также пользовательское соглашение в подвале сайта, чтобы пользователь в любой момент мог с ним ознакомиться.
А потом сделайте бесконечный скролл ленты на главной
Пользователь не дал согласие на использование cookie и метрических программ, но информация о нём получена: что делать