Комментарии 7
самостоятельно или с привлечением внешних специалистов обеспечить абсолютное выполнение установленных правил
наверно лучше самостоятельно, даже если и не абсолютное. GDPR проверка кукисов у вас на сайте показывает
Cookies installed during the loading of pages are not strictly necessary. For EU users these cookies can be installed after obtaining prior consent (Rec. 30 and Rec. 32 of the GDPR):
Cookie (Google Analytics): _gid; _ga;
Cookie (Yandex Metrika): _ym_uid; _ym_isad; i; yabs-sid; yandexuid;
к вам без претензий и статья заслуживает внимания, просто часто вижу, что юридические компании кричат о многотысячных штрафах за нарушение GDPR, желая заработать на запугиваниях и страхах клиентов
Если подходить к GDPR формально, то в соответствии со статьёй 4 п. 1 куки (любые) сами по себе не являются персональными данными до тех пор пока их невозможно привязать к конкретному человеку, прямо или косвенно.
Грубо говоря, если куки устанавливаются но вместе с ними не хранится как минимум IP адрес (который не всегда, но всё же может использоваться для идентификации конкретного человека) или имя и прочие возможности идентификации — то это уже не "персональные данные", и соответственно под действие GDPR не попадают.
Если анонимус пришёл на сайт, получил рандомные куки, но сайт не использует и не сохраняет IP адрес (он и не нужен, на самом деле), при этом анонимус не оставляет на сайте свои личные данные — его невозможно идентифицировать.
Да, кросс-трекинг возможен, и группа сайтов может определить что данный конкретный анонимус их посещает, но до тех пор пока нет возможности узнать кто это — это не персональные данные.
Так что если сайт не имеет возможности регистрации, форм для фидбека с полями для персональных данных, и нигде не сохраняет IP — он в теории может ставить сколько угодно кук ничего не опасаясь и даже не показывая баннеров, по крайней мере если (в случае чего) сможет доказать что он действительно ничего не сохраняет.
Вопрос о том а на самом ли деле сайт не сохраняет с куками IP и другие данные уже выходит за рамки GDPR и примерно похож на вопрос "А правда ли что сайт обрабатывает и хранит данные так как утверждает?".
Вопрос о том а на самом ли деле сайт не сохраняет с куками IP и другие данные уже выходит за рамки GDPR и примерно похож на вопрос «А правда ли что сайт обрабатывает и хранит данные так как утверждает?».
выше речь шла скорее о кукисах Google Analytics и GDPR. Очевидно, что в аналитике IP фиксируется. Но даже со включенной функцией анонимности очищается только последний октет адреса, что лично я бы с большой натяжкой назвал анонимизацией
думаю поэтому Google указывает на ответственность самих контроллеров
Для меня совершенно неочевидно что IP фиксируется, и если это не указано явно, логично предположить что нет. Если человек не владеет (лично) подсетью размером в который входит его адрес, при этом его данные открыты во whois, то при включенной функции анонимизации — его идентификация без помощи провайдера невозможна. Случаи когда у провайдера всего один клиент и его все знают тоже можно исключить.
В любом случае владелец сайта не обязан ставить баннер "мы не собираем данные" — он обязан его ставить только в обратном случае, то есть отсутствие баннера предполагает отсутствие сбора, если у пользователя есть аргументированные сомнения ("ясно же что они пишут IP" не совсем аргумент) — он может подать жалобу куда следует.
Не поймите меня неправильно, я противник сбора всяких данных без разрешения (и аналитики тоже), но в текущей редакции — нет баннера — нет сбора, и увы, обратное ещё придётся доказывать, независимо от того какие куки вы увидели после захода на сайт (если в них явно нет ваших IP, имени etc).
Cookie-файлы и GDPR: какие ошибки совершают владельцы сайтов в погоне за соответствием?