Три месяца спустя: как GDPR повлиял на работу c cookies

    Европейский регламент по защите данных — GDPR — вступил в силу три месяца назад. За это время объем cookie на европейских новостных сайтах сократился примерно на четверть.

    Сегодня рассказываем, как новые требования отразились на работе сайтов.


    / фото Neil Conway CC

    Требования регламента


    Согласно пункту 30 Европейского регламента, информация, получаемая с помощью cookie-файлов, может служить инструментом для формирования профиля пользователя и его идентификации. Таким образом, cookie приобретают статус персональных данных.

    Поэтому GDPR требует владельцев сайтов получать обязательное согласие пользователя перед установкой cookie. До введения регламента многие сайты не спрашивали на это разрешения — показывался простой баннер с уведомлением. И считалось, что пользователь автоматически соглашается получить cookie, если продолжает работу с сайтом.

    После введения GDPR этого оказалось недостаточно. Теперь на всплывающем окне пользователь обязан отметить, что согласен принять cookie-файлы. Также владелец сайта должен рассказать, как используются cookie, как они обрабатываются и кому эта информация может быть передана. Также нужно предоставить посетителю возможность отказаться от использования конкретных cookie.

    Все это прописывается в политиках конфиденциальности сайта. Ссылка на эти политики должна содержаться во всплывающем окне с оповещением.

    Идея такого подхода — сделать процесс работы с cookie-файлами более прозрачным. Так пользователь получает всю информацию сразу, и ему не нужно самостоятельно удалять нежелательные cookie в настройках браузера.

    Как GDPR повлиял на сайты


    Аналитики Reuters сравнили данные о количестве используемых cookie европейскими сайтами за апрель и июль 2018 года (то есть до вступления GDPR в силу и после). Согласно результатам исследования, в среднем объем cookie на новостных порталах сократился на 22%. Объем cookie, используемых сайтами Великобритании, уменьшился на 45%. Во Франции этот показатель упал на 32%, в Германии — на 6%.

    Интересен тот факт, что в Польше по каким-то причинам количество cookie, наоборот, выросло на 22%. Это единственное европейское государство с изменением в большую сторону.

    По данным отчёта, серьезно снизился процент cookie, используемых для оптимизации работы сайтов. Меньше всего изменения коснулись cookie-файлов социальных сетей.

    В отличие от европейских сайтов, ряд сайтов США, которые работали на европейском рынке, решили не обновлять правила конфиденциальности и механизмы обработки cookie.

    Как только GDPR вступил в силу, больше тысячи новостных американских порталов просто заблокировали доступ посетителям из ЕС.

    Среди них есть сайты популярных изданий — Los Angeles Times, The Chicago Tribune, The Sun Chronicle и др. Пользователям из Европы показывается сообщение об ошибке. Это решение имеет очевидные репутационные риски и означает потерю части аудитории. Более того, как считают некоторые, такое поведение — негласное признание вины в неправомерной обработке ПД. Однако в основе такого подхода, скорее всего, лежит финансовая составляющая.

    Американские организации пошли на такой шаг из-за нежелания вкладывать средства в проработку новых политик и внедрение новых решений. Небольшой трафик пользователей из Европы не окупит деньги, потраченные на соответствие нормам GDPR.

    Как работать с cookie по GDPR


    Количество сайтов, запрашивающих согласие на использование cookie-файлов, выросло после введения GDPR. При этом форма уведомления на разных сайтах отличается.


    / фото Helen Harrop CC

    Сейчас в GDPR нет какого-либо единого алгоритма работы с cookie-файлами. Но можно принять ряд мер, которые бы полностью удовлетворяли требованиям регламента. Вот несколько из них:

    • Уведомить посетителя сайта об использовании cookie. При выборе формулировки за основу можно взять пример из интернет-справочника ЕС: «Этот сайт использует cookie. Узнайте больше о том, как «название организации» использует файлы cookie и как изменить настройки». Всплывающее окно с такой формулировкой появляется после открытия сайтов газет The Guardian, The Sun и The Daily Telegraph.
    • Проинформировать какие cookie и с какой целью используются. На сайте Forbes подробно описано, зачем нужна каждая cookie и как выбор пользователя отразиться на функциональности сайта.
    • Предоставить возможность выбора cookie, которые пользователь разрешает установить. Например, выбрать отдельные cookie можно на сайте Oracle. Для этого в каждом случае нужно отметить флажок «да/нет». Обязательные cookie запретить нельзя, но есть подробная информация по каждой из них.
    • Дать возможность пользователю отказаться от cookie. На сайте Fortune можно изменить список используемых cookie-файлов в любой момент, нажав на небольшой виджет Cookie Consent в углу страницы.



    P.S. Материалы по теме из нашего блога об IaaS:




    Что мы делаем по этой теме в ИТ-ГРАД: Облако ФЗ-152IaaSPCI DSS хостинг


    ИТ-ГРАД
    110.39
    vmware iaas provider
    Share post

    Comments 23

      +13
      > такое поведение — негласное признание вины

      феноменальная логика.
      — чтобы работать с нами, принесите справку о том, что вы не рептилоид. справки выдаются с часу до двух раз в неделю после дождя и стоят кучу денег
      — ну нафиг, мы просто не будем с вами работать
      — Ааа!!! так и знали! вы рептилоид!
        +2
        Хм. Ну у нас так 99% госорганизаций работает
        +13
        Вся эта мышиная возня вокруг кук выглядит как-то подозрительно и немного абсурдно. На мне, как на конечном пользователе, это идиотское нововведение отразилось тем, что теперь мне каждый третий сайт выдает окно о том что он использует куки.

        Почему они при этом не возбуждаются на localStorage я не понимаю.
          0

          самая популярная технология. И помимо local Storage есть ещё несколько.

            0
            Cookie отправляются на сервер с каждым http запросом, а localStorage лежит у клиента и может вообще никуда не передаваться — в таком случае и разрешения не надо.
              0
              А может и передаваться с каждым запросом тоже. Кроме запроса на загрузку SPA. Не вижу принципиальной разницы, с точки зрения закона.
                0

                Cookies передаются автоматически, остальные заголовки устанавливаются скриптами умышленно.

            +9

            Эта тупость с куками выводит из себя.


            Считаю что уведомление должно выводится на стороне браузера, нативно, а не в перекрывающем блоке страницы. Причем выводится оно пускай по-умолчанию, но чтобы была возможность подтверждать cookies для всех сайтов автоматически, если я этого захочу. Может сделать для кук похожий механизм как сейчас в браузерах работает запрос на геолокацию?

              0
              У меня возникла идея написать расширение под Firefox.
                0
                но чтобы была возможность подтверждать cookies для всех сайтов автоматически, если я этого захочу.
                Но ведь… это и так уже есть в браузере?
                Заголовок спойлера
                image
                  0
                  Да, поразмыслив я понял что фигню выше написал. Учитывая что данные с пользователей можно получить множеством других способов, эти законы суета ради суеты.
                  0
                  Т.е. надо установить у клиента куки, разрешающую работать с куки.
                  +1
                  Правильно выше написали — все это мышиная возня, многие крупные сайты уже используют browser fingerprint, что дает им более точную идентификацию пользователя.
                    0
                    Так куки это часть технологии насколько я её понимаю.
                    0
                    Нифига это не мышиная возня… Если раньше компания могла, пользуясь своим технологическим превосходством, спокойненько засаживать пользователю по самые… эти, то теперь компания если и делает так, то из подтишка и уже не с нахальной мордой «а что ты мне за это сделаешь?», а с покерфейсом «ничего не было, не собираю, не храню, не перепродаю»…
                    А то, что всплывашки отображаются — это фигня, это реально скоро расширениями дополнят или стандарт какой примут, чтобы унифицировать список «что собираем и что с ним делаем» и пользователь просто выберет «стандартные условия», когда можно собирать отпечаток компа и ник чтобы подставлять в поля и выдавать рекомендованные новости, но без права передачи третьим лицам и деанонимизации" и браузер будет с этими условиями автоматически соглашаться.
                      0
                      все браузеры имеют функцию do not truck, если пользователь хотел, просто отмечал галочкой, и попадал в дивный мир без идиотских законов
                        0

                        увы, эта галочка не всегда работает так, как хотелось бы. И до GDPR не было достаточного давления на сайты, которые не следуют этому заголовку.

                    +7
                    Гениальное решение уровня лицензионных соглашений, единственный эффект которого — научить пользователей не глядя соглашаться с чем угодно. Ведь если не согласишься, сообщение будет мозолить глаза постоянно. К тому же повышается тревожность: меня всюду предупреждают что за мной следят, и единственной альтернативой является не заходить на сайт. Лучше бы проследили за тем чтобы сайты реально не следили за теми у кого в броузере активна опция Do not track.
                    Ктому же если сообщение о cookies появляется везде, это эквивалентно тому чтобы оно не появлялась нигде, а сайты стали выглядеть еще ущербней:
                    Типичный современный сайт
                    image
                      0
                      Интересно бы провести статистическое исследование — сколько пользователей, увидев вместо желаемого здесь-и-сейчас контента сайта многословное сообщение о cookies, просто уйдут с этого сайта? Исключая, разумеется, случаи, когда сайт безальтернативен.

                      Какие-то роскомнадзоровские методы выбрала Европа в, казалось бы, противоположном по духу деле.
                        0
                        Как только GDPR вступил в силу, больше тысячи новостных американских порталов просто заблокировали доступ посетителям из ЕС.

                        Вот только это не спасёт. GDPR распространяется также и на граждан ЕС за рубежом (в той же Америке) и на любой сайт, которым этот гражданин пользуется (неважно, где хостится, на каком языке, кто за него отвечает и в какой юрисдикции работает).

                          0
                          Будут вывешивать предупреждение «Продолжая я подтверждаю что не гражданин ЕС», благо все уже приучены кликать «Согласен» не читая.
                            0

                            Пользователи, за исключением одной известной ОС, относительно внимательно читают подобные предупреждения.

                        Only users with full accounts can post comments. Log in, please.