Штраф в 30 тыс. евро за незаконное использование cookies



    Испанское агентство по защите данных (AEPD) оштрафовало авиакомпанию Vueling Airlines LS на 30 тыс. евро за незаконное использование cookies. Компанию обвинили в том, она использует необязательные cookies без согласия пользователей, а политика использования cookies на сайте не предусматривает возможность отказаться от использования таких cookies. Авиакомпания же заявила, что пользователь даёт согласие на использование cookies, продолжая использовать сайт, и может отключить их использование в настройках браузера, а также отозвать согласие на их использование.

    Регулятор установил, что такой тип согласия не является явным, и возможность запрета использования cookies через настройки браузера не означает выполнение требований закона. Размер штрафа в 30 тыс. евро был определён с учётом преднамеренного характера действий компании, длительности нарушения и количества затронутых пользователей. Такое решение регулятора соответствует недавнему решению Европейского суда от 1 октября 2019 года, из которого следует, что для использования cookies необходимо активное согласие пользователя, и согласие в форме заранее установленной отметки (“галочки”) не является законным.

    Требования к использованию cookies по нормам GDPR


    Агентство по защите данных при принятии решения ссылалось на местные законы Испании о защите данных, но фактически действия компании нарушают ст. 5 и 6 GDPR.

    Можно выделить следующие ключевые требования к использованию cookies по нормам GDPR:

    • у пользователя должна быть возможность отказаться от использования cookies, которые не требуются для функционирования сервиса, как до начала их использования, так и после;
    • каждый тип cookies может быть принят или отклонен независимо от остальных, без использования одной кнопки с согласием на все типы cookies;
    • согласие на использование cookies путём продолжения использования сервиса не считается законным;
    • указание на возможность отключить cookies через настройки браузера может дополнять механизмы отказа от их использования, но отдельно не считается полноценным механизмом отказа;
    • каждый тип cookies должен быть описан с точки зрения функционала и срока обработки.

    Другие подходы к работе с cookies


    В России регулирование cookies по ФЗ “О персональных данных” имеет свои особенности. Если считать cookies персональными данными, то для их использования требуется уведомление и согласие пользователя. Это может отрицательно сказываться на конверсии сайта либо полностью заблокировать работу отдельных инструментов аналитики. В отдельных случаях может считаться допустимым использование cookies без согласий и уведомлений. В любом случае, для каждой модели работы с cookies можно подобрать правовые механизмы с наименьшим влиянием на эффективность взаимодействия сайта и пользователя.

    Наиболее прогрессивным подходом к работе с cookies является подход, при котором сайт не формально уведомляет пользователя об их использовании, а объясняет необходимость cookies и мотивирует добровольно дать согласие на их использование. Большинство пользователей даже не догадываются, что именно благодаря cookies они могут сохранить нужные данные при закрытии страницы сайта — заполненные формы или корзины с товарами интернет-магазинов.

    Подход, при котором сайты стеснительно уведомляют пользователей о cookies и даже не пытаются запросить согласие, не даёт преимуществ ни сайтам, ни пользователям. У многих пользователей сайтов сложилось мнение, что использование cookies на сайте означает недобросовестное использование персональных данных, которое пользователи вынуждены терпеть, чтобы пользоваться сервисом. И редко бывает очевидным, что cookies работают на пользу не только владельца сайта, но и самого пользователя.

    Digital Rights Center
    Юридическая помощь в цифровом пространстве
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 129

      +41
      Мне кажется, что с этими cookies какая-то не здоровая истерия. Десятки лет их использовали, а теперь каждый сайт стал об этом рассказывать. Если кому-то они не нравятся, то он может отключить их сам в настройках браузера.
        +8
        Ты не один.
        Очередная истерия и показатеьная борьба ради борьбы, и немножечко денег.
        PS. Ну ещё и в теории возможность мониторить куда вы ходите осталась только у браузеров, коих на данный момент всего два, но они конечо не сливают такие данные никуда, и никогда этого делать не станут.
          +13
          Если кому-то они не нравятся, то он может отключить их сам в настройках браузера.

          И получить неработающий сайт, потому что он хранит сессию в куках.


          Полностью положение про куки написано довольно умно, а основной запрет касается использование кукисов в неправильной области, например, для маркетинга или таргетинга. И это в целом не так давно стало популярной темой. Есмин, если вы используете куки исключительно для хранения сессии, то вам и плашку показывать не надо.

            +1
            Сайт сам может использоваться только сессии, но если на сайте реклама, то она использует куки для своих целей. Вроде как хозяин сайта отвечает за сторонние куки в том числе.
              +1

              Ну так она не будет использовать куки этого сайта, обычно это так работает.


              Просто обычно условный сайт гитлаба может хранить в своих куках метку, которая позволит рекламе на других сайтах получить про вас данные.

            +3

            А если я хочу отключить куку с ad_tracking_id, но оставить session_id?

              +2
              Если упрощенно, то есть два типа куков — обязательные, которые нужны для функционирования сайта (о них нужно просто уведомить), и необязательные — связанные, как правило, с маркетингом. На второй тип нужно получать активное согласие. И это справедливо — с каждым годом люди всё более активно жалуются на то, что их данные используют все, кому не лень, без их ведома.
                +4

                Я отвечал человеку, который предложил "отключить куки в браузере".

                  +1
                  тьфу, я тоже ему отвечал)
                  0
                  Так почему бы не обязать браузеры делать запрос на каждою куку? Браузерова не много относительно количества сайтов, гораздо проще былобы исполнить закон.
                    0
                    Это было бы эффективно, но браузеры — это просто инструмент, а владельцам сайтов персональные данные реально нужны. Впрочем, с каждым годом в интернете аргумент «это просто инструмент» становится всё слабее.
                      0

                      В смысле "на каждую куку"? Это если упрощать, то у нас есть разделение на два типа кукисов. В теории их может быть любое количество. Как разработчики браузеров должны угадывать какие там кукисы будут использовать странички?

                        –1
                        В смысле «на каждую куку»?

                        Именно, чтобы на каждую куку был вопрос хотим оставять или нет. Все будут довольны и сайты и пользователи.
                          +2

                          И как пользователь(или браузер) должен определять какой куки для чего нужен? Ну чтобы случайно не отключить куки, которые на самом деле нужны для работы сайта?


                          Кроме того чем это сильно улучшит ситуацию по сравнению с нынешней? Всё равно же будет попап, да ещё и какой-то сгенерированный.

                            +1
                            И как пользователь(или браузер) должен определять какой куки для чего нужен? Ну чтобы случайно не отключить куки, которые на самом деле нужны для работы сайта?

                            Пусть подумает выбор ему предоставили.

                            Кроме того чем это сильно улучшит ситуацию по сравнению с нынешней? Всё равно же будет попап, да ещё и какой-то сгенерированный.

                            Кординально например хабра дает 15 кук, и если на каждую будет по попапу, то возможно задумаются пользователи нужно ли оно им, ну а там по цепочке и законотворцы задумаются.
                              +1
                              Пусть подумает выбор ему предоставили.

                              Ок поставим вопрос по другому: какой смысл в вашем предложении и какую пользу кому оно должно принести?


                              Кординально например хабра дает 15 кук, и если на каждую будет по попапу, то возможно задумаются пользователи нужно ли оно им, ну а там по цепочке и законотворцы задумаются.

                              О чём задумаются то? Они уже до этого подумали и решили что это личное дело каждого решать как ему поступать со своими персональным данными. И поэтому запретили использовать чужие данные без спроса и обязали предупреждать если вы собираете какую-то информацию о пользователе.


                              А вас что в этом подходе не устраивает и что вы хотите предложить взамен?

                                +2
                                Ок поставим вопрос по другому: какой смысл в вашем предложении и какую пользу кому оно должно принести?

                                А какую пользу принесло и смысл принесли текущие законы?

                                О чём задумаются то? Они уже до этого подумали и решили что это личное дело каждого решать как ему поступать со своими персональным данными. И поэтому запретили использовать чужие данные без спроса и обязали предупреждать если вы собираете какую-то информацию о пользователе.

                                Я до сих пор с трудом понимаю как то что сайт прислал тебе(а именно сайт устанавливает куку) становится персональными данными.
                                И даже если так то, я вот выскажусь то как я это вижу сейчас а именно:
                                • Обычные люди которые незнали и врядли узнают что такое куки, видят попап жмут кнопку что согласны на них и всё
                                • Те кто понимал что такое куки как они работают, и кому было пофиг, тоже жмут «ок» на попапе и пользуют дальше
                                • Те кто парится за свою приватность, да у них и так скорей всего было куча настроек, и плагинов и прочего добра что бы за ними не слидили

                                А вас что в этом подходе не устраивает и что вы хотите предложить взамен?

                                Мне лично этот подход кроме лишнего клика мыши ничего не дал. Ровно как и та бумажка которую теперь в половине организаций подписываешь о том что согласен на их обработку.
                                Взамен хочется что бы те кто ничего не понимает в технологиях не лезли из регулировать.
                                  –3
                                  А какую пользу принесло и смысл принесли текущие законы?

                                  Теперь ваши пд не могут использовать без вашего разрешения и вас должны предупреждать если их в каком либо виде собирают или в принципе собирают какую-то информацию, которую можно как-то с вами связать.


                                  Я до сих пор с трудом понимаю как то что сайт прислал тебе(а именно сайт устанавливает куку) становится персональными данными.

                                  В данном конретном случае персональные данные авиакомпания собирает у вас поскольку вы должны внести их для регистрации. Далее авиакомпания ставит вам куки, по которым может в том или ином виде проследить за вашими действиями в сети. И эти куки(а следовательно и действия) уже привязаны к вашим данным.


                                  И даже если так то, я вот выскажусь то как я это вижу сейчас а именно:

                                  То что вы это так видите не означает что оно так на самом деле.


                                  Мне лично этот подход кроме лишнего клика мыши ничего не дал.

                                  А за это вам не закон надо благодарить, а конкретные фирмы, которые так делают. По закону это совсем не обязательно.


                                  Взамен хочется что бы те кто ничего не понимает в технологиях не лезли из регулировать.

                                  О каких конкретно технологиях идёт речь и при чём здесь вообще технологии? В законе ни о каких технологиях нет ни слова и никакие технологии никто не регулирует.

                                    +4
                                    Теперь ваши пд не могут использовать без вашего разрешения и вас должны предупреждать если их в каком либо виде собирают или в принципе собирают какую-то информацию, которую можно как-то с вами связать.

                                    А польза то в этом где? Вот например когда отключили автовоспоизведение видеороликов со звуком я пользу увидел а тут где?
                                    В данном конретном случае персональные данные авиакомпания собирает у вас поскольку вы должны внести их для регистрации. Далее авиакомпания ставит вам куки, по которым может в том или ином виде проследить за вашими действиями в сети. И эти куки(а следовательно и действия) уже привязаны к вашим данным.

                                    Вот только кука передается только тому сайту за которым закреплена, поэтому авиакомпания за мной следить врядли может, а рекламные сети гугол аналитика и яндекс.метрика да смогут.
                                    То что вы это так видите не означает что оно так на самом деле.

                                    Так это и относительно вас также. Если проведут независимы опрос с нормально заданными вопросами то тогда судить будет можно. А так я пишу то что вижу вокруг себя, может все остальные возносят руки к небу и говорят алилуя я теперь знаю что этот сайт использует куки, но пока я таких не видел.
                                    А за это вам не закон надо благодарить, а конкретные фирмы, которые так делают. По закону это совсем не обязательно.

                                    Извините но до принятия этого закона такого почему то небыло. И может быть вы правы и на самом деле это совсем не обязательно, но много крупных фирм решили это сделать. И сделали они это из за этого закона, получается «она не кусается, просто поиграть хочет».
                                    О каких конкретно технологиях идёт речь и при чём здесь вообще технологии? В законе ни о каких технологиях нет ни слова и никакие технологии никто не регулирует.

                                    В заголовке я вижу незаконное использование cookies на мой взгляд это полный бред.
                                      0
                                      А польза то в этом где?

                                      Ну например вам теперь сложнее будет продать в интернете вещи по завышенным ценам. Никто не сообщит вашему работодателю о определённых вещах, которые он по вашему не должен знать. И так далее.


                                      На самом деле если вы не видите никаких проблем с тем что информация о вас будет переходить из рук в руки без вашего ведома и согласия, то я даже не знаю о чём мы тут дискутируем.


                                      Вот только кука передается только тому сайту за которым закреплена, поэтому авиакомпания за мной следить врядли может, а рекламные сети гугол аналитика и яндекс.метрика да смогут.

                                      Что мешает им скооперироваться? Или просто авиакомпании продать ваши данные и привязку их к определённым куки кому-то ещё?


                                      Так это и относительно вас также. Если проведут независимы опрос с нормально заданными вопросами то тогда судить будет можно.

                                      Вы думаете законы принимаются или не принимаются просто потому что монетка выпадает орлом или решкой? Это закон появился не на пустом месте и готовили его достаточно долго.


                                      Извините но до принятия этого закона такого почему то небыло. И может быть вы правы и на самом деле это совсем не обязательно, но много крупных фирм решили это сделать. И сделали они это из за этого закона, получается «она не кусается, просто поиграть хочет».

                                      Что вы там говорили про "не лезть если не разбираешься"? Почему политикам это нельзя делать, а фирмам можно? :)


                                      В заголовке я вижу незаконное использование cookies на мой взгляд это полный бред.

                                      Так может быть проблема именно в заголовке? И в очередном "учёный изнасиловал журналиста"? Такое вам в голову не приходило? :)

                                        0
                                        Ну например вам теперь сложнее будет продать в интернете вещи по завышенным ценам. Никто не сообщит вашему работодателю о определённых вещах, которые он по вашему не должен знать. И так далее.

                                        Ко всему этому можно дописать слово по идее. Моему руководству и так никто не говорил какую камеру я купил и куда отправился в путешествие. А о том что я ищу работу он может предположить увидив моё резюме на каком нить hh. А то что мне вместо новой экшен камеры предложат подгузники и какую нить машину меня только огорчит на камеру хоть смотреть приятно…
                                        На самом деле если вы не видите никаких проблем с тем что информация о вас будет переходить из рук в руки без вашего ведома и согласия, то я даже не знаю о чём мы тут дискутируем.

                                        На самом деле мы живем в мире фейсбукуов, контактов и прочих твитеров, где сами о себе все вываиваем, странно потом боятся слежки по кукам.
                                        Что мешает им скооперироваться? Или просто авиакомпании продать ваши данные и привязку их к определённым куки кому-то ещё?

                                        Ну как бы кука установлена на домен, и ни на один дугой домен она передаватся не будет. Выкрутится конечно можно… Но я могу предположить что допустим хром по левым каналам время от времени сливает какието данные, и проверить это ой как не просто.
                                        Вы думаете законы принимаются или не принимаются просто потому что монетка выпадает орлом или решкой? Это закон появился не на пустом месте и готовили его достаточно долго.

                                        Да не на пустом месте, да долго, это показатель то он хороший?
                                        Что вы там говорили про «не лезть если не разбираешься»? Почему политикам это нельзя делать, а фирмам можно? :)

                                        Потому что например Nvidia или AMD ну и допустим Cisco сделали для IT гораздо больше полезного чем это чудесный закон.
                                        Так может быть проблема именно в заголовке? И в очередном «учёный изнасиловал журналиста»? Такое вам в голову не приходило? :)

                                        А всякое может быть…
                                          0
                                          Ко всему этому можно дописать слово по идее.

                                          Как впрочем и к любому закону.


                                          На самом деле мы живем в мире фейсбукуов, контактов и прочих твитеров, где сами о себе все вываиваем, странно потом боятся слежки по кукам.

                                          Это делают далеко не все. И проблема в том что на данный момент даже если ты не хочешь вываливать, то ты не можешь этого избежать.
                                          И если кто-то сам хочет и дальше вываливать, то ему никто и не запрещает.


                                          Да не на пустом месте, да долго, это показатель то он хороший?

                                          Это показатель того что он появился не без причины. Плохой он или хороший мы узнаем со временем.


                                          Потому что например Nvidia или AMD ну и допустим Cisco сделали для IT гораздо больше полезного чем это чудесный закон.

                                          Этот закон делался не для ИТ и пользу ИТ он приносить и не должен.

                                            0
                                            Это делают далеко не все. И проблема в том что на данный момент даже если ты не хочешь вываливать, то ты не можешь этого избежать.

                                            Что то мешает пользоваться режимом инкогнито, в котором куки убиваются при закрытии сессии? Или даже убить ненавистную куку вручную?
                                            Это показатель того что он появился не без причины. Плохой он или хороший мы узнаем со временем.

                                            Ну одна причина есть 100% людям которые его придумывали платят деньги за это, остается вопрос только было ли это мотивацией на 100% или было ещё что то.
                                            Этот закон делался не для ИТ и пользу ИТ он приносить и не должен.

                                            Понять бы для кого он делался, хотя если посмотреть на банер в конце статьи, то в целом видимо он создал некоторое количество новых рабочих мест.
                                              0
                                              Что то мешает пользоваться режимом инкогнито, в котором куки убиваются при закрытии сессии? Или даже убить ненавистную куку вручную?

                                              То что это возня, которой лично я не хочу заниматься. А кто-то даже просто и не знает как.


                                              С другой стороны у меня как бы тоже вопросы. Например что там за опциональные куки устанавливают различные сайты что они прямо вот вообще не могут без них обойтись? И почему они пытаются их всеми правдами их впарить даже не стесняясь делать кривые и страшные попапы? И почему это всё должно быть моей проблемой, а не проблемой этих фирм?


                                              Понять бы для кого он делался

                                              Для тех граждан ЕС которые голосовали за партии проталкивающие этот закон.

                                                0
                                                То что это возня, которой лично я не хочу заниматься. А кто-то даже просто и не знает как.

                                                Вот для этой возни даже мышь не нужна в хроме жмянул CTRL+SHIFT+N и готово.
                                                С другой стороны у меня как бы тоже вопросы. Например что там за опциональные куки устанавливают различные сайты что они прямо вот вообще не могут без них обойтись? И почему они пытаются их всеми правдами их впарить даже не стесняясь делать кривые и страшные попапы? И почему это всё должно быть моей проблемой, а не проблемой этих фирм?

                                                Опционными они стали года два назад а до этого они были обычные и мало у кого вызывали вопросы. А сейчас вдруг начали волновать.
                                                Для тех граждан ЕС которые голосовали за партии проталкивающие этот закон.

                                                Не факт что именно ради этого закона за них голосовали.
                                                  0
                                                  Вот для этой возни даже мышь не нужна в хроме жмянул CTRL+SHIFT+N и готово.

                                                  Я не пользуюсь хромом. И у меня на смартфоне нет клавиатуры с CTRL+SHIFT.


                                                  Опционными они стали года два назад а до этого они были обычные и мало у кого вызывали вопросы. А сейчас вдруг начали волновать.

                                                  Они всегда были опциональными так как абсолютно не нужны для работы страницы.


                                                  Не факт что именно ради этого закона за них голосовали.

                                                  Ну если там кто-то за кого-то голосовал и даже не знал за что конкретно голосует…

                              0

                              Стандартизировать куки?_

                                +1

                                Как вариант вполне. Но вы действительно хотите чтобы кто-то занялся предписыванием этого на законодательном уровне?


                                Так что по мне это неплохая идея, но только если индустрия сделает это сама и чтобы упростить себе же жизнь.

                              +1
                              Lynx так и работает. Попробуйте зайти на любой сайт и посмотреть как это выглядит.
                            0
                            обязать браузеры
                            Представим, что я пилю форк Firefox на гитхабе. Ну и там ещё куча народу пулл-реквесты шлёт и всё такое. Попробуйте придумать, как вы нас обяжете. И как вы будете нас штрафовать, если мы скрываемся под никами. И как, вообще, вы определите, кого конкретно обязывать, каждого, кто коммитил?

                            Владельца сайта найти и оштрафовать проще. Потому что у регистратора можно запросить реальные данные.

                            А ещё есть люди, которые не обновляют браузеры. Каким образом вы в браузер, выпущенный год назад, добавите функции, закон о необходимости которых приняли, скажем, вчера?
                              0
                              Я думаю просто скажут гитхабу закрыть ваш форк нафиг и все на этом закончится(кажется проекты на гитхабе уже закрывали из за нарушения законов).
                              А ещё есть люди, которые не обновляют браузеры. Каким образом вы в браузер, выпущенный год назад, добавите функции, закон о необходимости которых приняли, скажем, вчера?

                              Згачит такому пользователю защита не нужна.
                                +3
                                Я думаю просто скажут гитхабу закрыть ваш форк
                                Окей, мы крутим пальцем у виска и уходим в GitTorrent. Или в ZeroNet. Или, чего мудрить, поднимаем onion-сервис, пилим и распространяем там.

                                Згачит такому пользователю защита не нужна.
                                Нужна, а обновиться он не может — очередная сборка браузера требует SSE2, которого в древнем железе пользователя нет. Знаю людей, которые именно из-за этого вынуждены сидеть на определённой версии.
                                  0
                                  Так может ему и в интернете нужно сидеть без компьютера/планшета/телефона и както ему помочь?
                                  PS. Сам местами сижу на старых версия барузеров, так некторые сайты уже просто нормально не работают, но это извините мои проблемы.
                                  PSS. SSE2 это что процессор хуже Pentium4? С ним правда ещё можно нормально сайты современные смотреть?
                                    0
                                    SE2 это что процессор хуже Pentium4? С ним правда ещё можно нормально сайты современные смотреть?

                                    ИМНИП AthlonXP не имели SSE2, по крайней мере некоторые из них. Не сказать что они хуже Pentium4, и с достаточным количеством оперативки на них современные сайты вполне можно смотреть.
                                    0
                                    Окей, мы крутим пальцем у виска и уходим в GitTorrent. Или в ZeroNet. Или, чего мудрить, поднимаем onion-сервис, пилим и распространяем там.
                                    Законы пишутся для законопослушных граждан. На «чёрном рынке» вы можете хоть гранату себе купить.
                                +1
                                Тогда бы получилась Catalina\iOS 13\Vista — ужасно раздражающая бесконечными мусорными уведомлениями ОС, которой бы никто в здравом уме не пользовался
                                +1
                                Как вариант — куки с SameSite=Strict|Lax пропускать без подтверждения, а для SameSite=None спрашивать у пользователя. Маркетинговые нормально не смогут работать без атрибута SameSite=None (что сейчас по дефолту, но в будущих релизах Chrome собираются переключить на Lax), ибо будут приняты браузером только при непосредственном открытии сайта рекламодателя.
                                0
                                Наверное вам нужно будет поискать какой-то другой сайт, которому не лень заниматься всем этим говном всеми этими факультативными вещами )
                                0

                                Если отключить их в настройках браузера, то перестанут нормально работать страницы которые используют кукисы исключительно "по делу".


                                И как раз поэтому и идёт эта самая "истерия" потому что люди стали у себя отключать кукисы и у бизнеса начались проблемы. Для примера есть такая авиакомпания "Ryanair" и у них check in в онлайне бесплатный, а на окошке в аэропорту платный. Но без кукисов онлайн-версия не работает. И с ними тоже были похожие разборки на тему "либо крестик снимите, либо трусы оденьте". То есть либо страница с нормальными кукисами, либо включайте цену check in в цену билета и делайте сам check in бесплатным.

                                  0
                                  Если кому-то они не нравятся, то он может отключить их сам в настройках браузера.

                                  Вы не разобрались в требованиях регулирования.


                                  В настройках браузера вы не сможете отключить определенные виды cookies. Более того, такое отключение скорее всего сделает сайт неработоспособным, потому что будут отключены в том числе и сессионные куки.


                                  Задача этого закона — явное получение разрешения на всякие рекламные cookie, причем сайт должен остаться работоспособным при отказе пользователя, если такие cookie не обязательны для работы сайта.

                                    0
                                    А что мешает одно куки использовать и для настроек сайта и для рекламы? Как снаружи (со стороны браузера) вообще можно понять, для чего сайт использует куки?
                                      0
                                      А что мешает одно куки использовать и для настроек сайта и для рекламы?

                                      В теории ничего, но мало кто так делает потому что "куки для рекламы" обычно не свои.


                                      Как снаружи (со стороны браузера) вообще можно понять, для чего сайт использует куки?

                                      Опять же в теории снаружи это можно понять далеко не всегда. Но более-менее "стандартные" вещи вроде гугл-аналитики определить можно.
                                      Кроме того совсем не исключён вариант когда информация об этом рано или поздно просочится и изнутри фирмы. Шила в мешке не утаишь :)

                                        0
                                        но мало кто так делает потому что «куки для рекламы» обычно не свои

                                        Я не силён в веб-разработке, может ерунду спрошу. Вот есть сайт, на нём есть iframe, внутри баннер. Содержимое iframe грузится с другого домена, может для себя устанавливать какие угодно куки. Владелец сайта «родителя» отвечает за куки этого баннера? Сайт может же единственную куки user_id передавать как GET параметр для iframe?
                                          0

                                          Ну это скорее не вопрос из раздела веб-разработки, а вопрос из серии интерпретации закона. Но насколько я понимаю ситуацию, то по GDPR изначально вы отвечаете за всё что происходит когда человек заходит на вашу страничку. То есть и за чужие куки тоже.


                                          Другое дело если у вас какой-то договор с владельцем iframe и он нарушил этот договор без вашего ведома. Тогда по идее отвечать будет уже он.

                                            0
                                            Ой, мы с вами в двух ветках про одно и тоже говорим. Пардон!
                                              0

                                              Я тоже уже заметил :)

                                              0
                                              Простите, а как можно постфактум установить, что кука была установлена при посещении моей странички, а не странички владельца домена, содержимое которого я показываю в iframe?
                                                0

                                                А это уже в случае чего будет в суде разбираться кто там что кокретно нарушил.
                                                Но это ваша страничка и вы решаете какие iframe на ней показываются. И поэтому вы изначально за всё и отвечаете.

                                                  0
                                                  Чтобы был суд, нужно сперва состав преступления найти. Как Вы предлагаете его найти?
                                                    0
                                                    А как вообще преступления находятся? Кто-то заявление написал, полиция проверила, суд, штраф, все дела…

                                                    И даже неважно кто написал: конкуренты или обиженный покупатель.
                                                      0
                                                      Это лирика.
                                                      А физика в том, что, у юзера имеется кука AAAA=1111 с сайта abwgd.com
                                                      Допустим, что эта кука — зловредная, и юзер как-то это понял.
                                                      Как он теперь поймёт, при посещении какого сайта он её подцепил?
                                                        0

                                                        В таком случае можно "наехать" на abwgd.com и потом пусть они уже доказывают что куки "нелегально поставился" через какой-то другой сайт где висит iframe от abwgd.com.

                                                          0
                                                          Не докажут. Куку может поставить только страничка с того же домена. Соответственно, тот, у кого iframe — вообще не при делах. Он на содержимое этого iframe никак повлиять не может, и куки от их имени поставить — тем более.
                                                            0

                                                            Поэтому владельцам iframe тоже надо думать какие куки использовать и кому разрешать показывать свой iframe.


                                                            Вы можете крутить ситуацию как хотите, но от этого ничего особенно не измениться. Теперь всем акторам в интернете надо думать над тем какие куки им нужны и как их использовать. И какие партнёры им нужны и как регулировать отношения с ними.


                                                            А не так как раньше когда все творили что хотели, а в случае чего заявляли что "я не я и хата не моя".

                                          0
                                          А что мешает одно куки использовать и для настроек сайта и для рекламы?

                                          GDPR и штрафы мешают.


                                          Владелец сайта «родителя» отвечает за куки этого баннера?

                                          А почему не должен, если это при посещении его сайта происходит, причем сторонний ресурс был явно добавлен?


                                          Такой закон не будет работать, пока не будет технического способа определить на стороне браузера

                                          Zenitchik закон как раз возник из-за отсутствия такой технической возможности. И он как раз и решает связанные с этим проблемы.

                                            0
                                            И он как раз и решает связанные с этим проблемы.

                                            Вы серьёзно? Без технической возможности никакой закон не поможет, просто потому что не будет выполняться.
                                              0
                                              Без технической возможности никакой закон не поможет, просто потому что не будет выполняться.

                                              Вы знаете техническую возможность остановить или хотя бы определить каждую кражу до того как она произошла или хотя бы прямо в момент кражи? Означает ли это что закон вообще не помогает и не нужен в принципе?

                                                0
                                                А определить, является ли кука необходимой — невозможно и после того, как она установлена. Замечаете разницу?
                                                Даже после совершения преступления — есть проблемы с обнаружением наличия состава преступления.
                                                  0
                                                  А определить, является ли кука необходимой — невозможно и после того, как она установлена. Замечаете разницу?

                                                  Нет, не замечаю. Потому что это не является невозможным. Как минимум не всегда. Но если вам будет проще, то замените кражу на мошенничество :)

                                                  0
                                                  Есть такой способ. И широко используется, и это, внимание, слежка за всеми. Да-да, слежка и за преступниками, и за честными гражданами. Только на фоне тотальной слежки за всеми GDPR смотрится очень иронично.
                                                    0

                                                    Тогда почему кражи всё ещё происходят? И получается что закон до появления тотальной слежки не работал и был не нужен?

                                                      0
                                                      Если есть закон, но его контроль технически плохо возможен, то толку от такого закона не много. В случае с этим законом, когда все уберут сбор статистики с клиента на сервер, нужно отслеживать действия на стороне сервера, что теоретически выполнимо, но требует каких-то не пропорциональных мер: (защита свидетеля, вознаграждение большой суммой и т.д.), как будто это не сбор данных, а торговля наркотой или терроризм.
                                                        0

                                                        Вообще-то интернет/куки это только небольшая часть применения GDPR. Он вообще как бы про персональные данные в целом и про то как с ними можно или нельзя обращаться.


                                                        И про какие-то конкретные технические реализации в законе тоже ни слова не написано.


                                                        И даже если он полностью не решит проблемы с персональными данными, то он однозначно улучшит ситуацию в этом вопросе. И это в общем-то применимо практически к любому закону. Потому что я лично ни одного закона не знаю который бы сам по себе сразу решал все проблемы…

                                            +2
                                            Такой закон не будет работать, пока не будет технического способа определить на стороне браузера, является данная конкретная кука необходимой для работы сайта, или нет. Т.е. никогда.
                                              0

                                              Вам не нужно обязательно определять это on the fly при помощи браузера. Достаточно если вы просто можете установить это постфактум каким-то другим образом.

                                                0
                                                Хорошо, пусть постфактум, но, тем не менее, пользуясь только тем, что доступно на клиентской стороне.
                                                  0

                                                  Почему "только тем, что доступно на клиентской стороне."? Вы можете установить факт нарушения как угодно. Например при помощи какого-нибудь whistleblower из фирмы нарушителя.


                                                  Как вы хотите устанавливать факт нарушения закон оставляет решать вам самим. Он просто даёт возможность реагировать если факт нарушения установлен.

                                                    0
                                                    Так факт нарушения не будет установлен. Ну, ладно, может быть будет в паре случаев из тысячи.
                                                      0

                                                      Ну для начала и пара случаев из тысячи это лучше чем вообще ничего.


                                                      Кроме того лично я думаю что это будет происходить гораздо чаще. Особенно если к этому подключатся какие-нибудь общественные организации, обладающие соответсвующим know how.


                                                      Да и просто потенциальная возможность схватить штраф в несколько миллионов для многих страниц перевесит ту небольшую прибыль, которую они имеют с "незаконных куки" или других способов нарушения GDPR.

                                                        +1

                                                        Результат этого закона не в том, что будут меньше нарушать, а в том, что будут лучше прятать. Сейчас поставил блокировщик в браузер, который режет левые куки и метрики и всё, сайт о тебе знает на порядок меньше. А в результате закона все будут в куке хранить только id для идентификации, а уже на стороне сервера этим id раздавать всем рекламным плагинам, которые будут там установлены. То есть эффект закона получается обратный — пользователь теряет вообще любой способ воздействия на рекламу и слежку. К слову, на своём сайте я сделал как раз такой способ отслеживания действий пользователя. И даже если блокировщик режет вебвизор и т.п. средства, то внутренние средства инфу все равно собирают. Остаётся только вопрос времени, когда будут написаны соответствующую плагины для связи с рекламными и другими подобными компаниями.

                                                          0
                                                          Результат этого закона не в том, что будут меньше нарушать, а в том, что будут лучше прятать.

                                                          Слишком категоричное заявление чтобы в таком виде быть верным. Естественно кто-то будет пытаться закон как-то обойти или "получше спрятаться". А вот сколько таких будет и насколько им это всё удастся это отдельный вопрос.


                                                          К слову, на своём сайте я сделал как раз такой способ отслеживания действий пользователя.

                                                          Как минимум "глобальные" вещи вроде гугл-аналитики или яндекс.метрики на мой взгляд спрятать не удастся. Это всё равно достаточно быстро выплывет наружу.


                                                          То есть пока вы там у себя на странице что-то трэкаете лично для себя, то обнаружить такое относительно сложно, но и вреда от этого относительно мало. А как только вы начнёте эту информацию массово передавать туда-обратно, то и всплывёт это очень быстро.

                                                            0

                                                            Если сама страница не будет к яндекс и гуглу стучаться, то всплывёт только если будет анализ кода сервера. А это уже так просто не сделать. Особенно, если сервер в чужой юрисдикции. Нет, можно, конечно, проанализировать код сайта, но уже сейчас идёт повторение истории, когда сайт превращается в что-то типа флеша и уже нельзя так просто залезть в его кишки. Снифферы тоже легко обойти — достаточно все передаваемые данные передавать запутанными / шифрованными. Сейчас аналитика передаётся напрямую в гугляндекс, а теперь будет сначала передаваться на сам сервер, а с него уже дальше на гугл. Да, где-то в теории это такой анализ будет незаконным, но пойди докажи, что он был, если все спрятано.

                                                              0
                                                              Если сама страница не будет к яндекс и гуглу стучаться, то всплывёт только если будет анализ кода сервера.

                                                              Давайте зайдём с другой стороны: как гугл должен развивать свою новую "сеть" чтобы при этом никто посторонний об этом не узнал?
                                                              А если узнают, то и будут способы искать как это определять. В крайнем случае будут по подозрению заявки делать, а много заявок это уже причина для проверки. Опять же могут попытаться и на сам гугл наехать.


                                                              Да, где-то в теории это такой анализ будет незаконным, но пойди докажи, что он был, если все спрятано.

                                                              Достаточно одного обиженного или разозлённого сотрудника(например уволенного), который сообщит куда надо. И это уже по идее причина для проверки/аудита или как минимум судебного процесса, где уже фирме надо будет доказывать свою невиновность.

                                                                0
                                                                Давайте зайдём с другой стороны: как гугл должен развивать свою новую «сеть» чтобы при этом никто посторонний об этом не узнал?

                                                                Официально гугл развивает такую сеть для тех, кто поставил галочки о согласии с отслеживанием. И будет закрывать глаза на нецелевое использование, потому что ему выгодно большее число проанлизированных. При этом к самому гуглу не будет претензий — всё делается с согласия пользователей, поставивших галочку.

                                                                Достаточно одного обиженного или разозлённого сотрудника(например уволенного), который сообщит куда надо.

                                                                Хочу посмотреть, как потом такой работник будет куда-то устраиваться, если он сливает данные под NDA. Думаю, ему будет заказан путь в любую компанию с хоть сколько-то вменяемым СБ.
                                                                  0
                                                                  При этом к самому гуглу не будет претензий — всё делается с согласия пользователей, поставивших галочку.

                                                                  Ну так вот могут совершенно спокойно потребовать от гугла чтобы он сам проверял были ли галочки действительно поставлены. GDPR такой финт ушами вполне себе допускает. И в отдельных странах ЕС уже были разборки с другими фирмами по схожим поводам(фирмы пытались спихнуть ответственность на субподрядчиков/партнёров, но им не дали).


                                                                  Хочу посмотреть, как потом такой работник будет куда-то устраиваться, если он сливает данные под NDA.

                                                                  А почему кто-то должен обязательно об этом узнать? И самое главное как он должен прямо всем другим фирмам об этом сообщить? Особенно учитывая что ЕС вовсю вводит законы/регулировки по защите информантов.

                                                                    0
                                                                    Ну так вот могут совершенно спокойно потребовать от гугла чтобы он сам проверял были ли галочки действительно поставлены. GDPR такой финт ушами вполне себе допускает.

                                                                    Но между пользователем и гуглом у нас проксирующий сайт. И гугл по факту верит сайту, что галочки проставлены. Тут может помочь только вариант, что мы обяжем гугл сообщать регуляторам кто и с какого сайта какую информацию сообщает. Но завтра появится Noname компани зарегистрированная в Бананостане в каком-нибудь и сообщать уже станет некому.

                                                                    А почему кто-то должен обязательно об этом узнать? И самое главное как он должен прямо всем другим фирмам об этом сообщить?

                                                                    Ну факт внезапно возросшего интереса со стороны регулятора вызовет вопросы. В том числе будут проанализированы какие были возможны утечки, кто работал с данными пользователей и т.д. А другим работодателям могут неофициально об этом сообщить.
                                                                      0
                                                                      Но между пользователем и гуглом у нас проксирующий сайт.

                                                                      А это в общем-то никого не интересует.


                                                                      И гугл по факту верит сайту, что галочки проставлены.

                                                                      А это уже проблемы самого гугла. И пока это никого особо не интересует и поэтому гугл никто и не трогает(ну ещё и потому что с ним особо связываться не хотят).
                                                                      Но по идее гугла могут обязать всё проверять.


                                                                      Ну факт внезапно возросшего интереса со стороны регулятора вызовет вопросы. В том числе будут проанализированы какие были возможны утечки, кто работал с данными пользователей и т.д.

                                                                      Уволили несколько человек, каждый из них более-менее знал что есть кооперация с гуглом посредством определённой технологии. И дальше что?


                                                                      А другим работодателям могут неофициально об этом сообщить

                                                                      Каким это образом? В газете напишут? Емэйлы разошлют? Где гарантия что не найдётся какой-то принципиальный товарищ, который и об этом настучит? И тогда ещё и за клевету придётся отвечать.


                                                                      Кроме того новые регулировки вроде бы допускают что часть штрафа может быть выплачена информатору в виде премии. А штрафы по GDPR до 20 миллионов евро или до 4% годового оборота(если 4% больше 20 миллионов).


                                                                      Вы готовы будете рискнуть за пару миллионов? Кто-то наверняка будет :)

                                                                        0
                                                                        Ну если всех информаторов по программе защиты свидетелей пускать и платить им многомиллионные вознаграждения, то тогда, конечно второй фактор можно убирать.
                                                                        Но первый всё равно остаётся, когда сервера компании где-то непонятно где, на запрос выдаётся безопасная копия, а все данные собираются в условном яндексе вне юрисдикции (причём сама компания такую связь отрицает).
                                                                          0
                                                                          Но первый всё равно остаётся, когда сервера компании где-то непонятно где, на запрос выдаётся безопасная копия, а все данные собираются в условном яндексе вне юрисдикции (причём сама компания такую связь отрицает).

                                                                          Это всё неплохо звучит в теории, но на практике таким мало кто заморачивается. И тот профит, который страницы получают от гугл аналитики, на мой взгляд такой возни для большинства фирм и не стоит.

                                            0
                                            А мне кажется, что слово «истерия», введённое в обиход «Первым каналом», лучше там же и оставить.
                                            Куки пользовали для того, чтобы сохранять информацию, необходимую для работы с сайтом, а сейчас зайдите на любой сайт, выполняющий требования GDPR и посмотрите чьи там печеньки и в каком количестве (хорошо сделано на 1a.ee, панелька внизу). Там полсотни организаций, названий которых я в жизни не слышал и, самое удивительное, если их все отключить, то сайт продолжает прекрасно работать.
                                            Поэтому с того момента, когда инструмент стали использовать не по назначению и началась «истерия».
                                            +7
                                            Скоро докатимся до обязательных запросов на исполнение программного кода на устройствах пользователя (жс). И использования каждого отдельного хранилища (индексдб и локалстредж). В итоге перед началом пользования произвольного сайта надо будет проклинать с десяток «согласен»… маразм чистой воды.
                                              –4
                                              Скоро докатимся до обязательных запросов на исполнение программного кода на устройствах пользователя (жс).

                                              Как пользователь NoScript/uMatrix, я только за. Но в в виде дурацких плашек, а в моём праве использовать функционал сайта с отключенными скриптами.

                                                +7
                                                Да не вопрос. Учитывая как разрабы сейчас любят всякие фреймворки, работающие за них, вы получите noscript заглушку, рассказывающую какой замечательный сайт вы не увидите )
                                                +2
                                                Если будет какой то стандарт на запросы и возможность давать разрешения программно — я только за. Ну вот допустим я хочу чтобы у меня без вопросов запускался js-код под GPLv2/v3 и BSD(минификаторы можно но должна быть корректная ссылка на исходник и возможность пусть хоть кому то — содрать штраф если написано GPL а реально — нет), если js-код подписан конторами F и G — то запускать тоже, а на остальное — запрос (или даже — автоответ «нет»)
                                                А куки — с машинночитаемой политикой использования (и прилетанием штрафа если сайта врет про политику).
                                                При этом за заглушки неработающие — тоже штраф.
                                                0
                                                Позанудствую.
                                                <...> Испанское агентство по защите данных (AEPD) оштрафовало авиакомпанию Vueling Airlines LS на 30 тыс. евро за незаконное использование cookies. <...>


                                                Spanish DPA Fines Airline for Cookie Compliance Failures | Privacy Compliance & Data Security
                                                On the heels of the Planet49 decision, the Spanish data protection authority AEPD has fined Vueling Airlines €30,000 (reduced to €18,000 for payment in full) for failure to provide a compliant cookie disclosure/consent under GDPR.

                                                Если я правильно понял, по факту компания Vueling Airlines может заплатить (или уже заплатила) штраф в размере 18 тыс. евро (вместо 30 тыс. евро). Тоже, конечно, неприятно.
                                                  0
                                                  Да, при определенных условиях они могли заплатить 18к.
                                                    0
                                                    Главное — компания европейская, так что простой и логичный подход (повесить защиту по географическому признаку и перестать страдать фигнёй) — для них не выход.
                                                    0

                                                    Я недавно начал даже читать то самое GDPR
                                                    Законодательный акт очень объемный и совсем неоднозначный.
                                                    Вообще такое впечатление что законодатель скорее стремился не защитить пользователей, а законодательно оговорить возможность нарушения приватности в случае если имеет место борьба против зла.
                                                    Но и по cookie масса вопросов.
                                                    Во-первых совсем не следует из законодательного акта что их нельзя использовать.
                                                    В случае с конкретным иском все просто. Выводя сообщение на согласие сайт подтверждает что он использует куки для идентификации а по законодательному акту делать выбор по умолчанию ОК нельзя.
                                                    Но сайт мог бы и не выводить предупреждения и не получил бы ничего если бы действительно не отслеживал клиентов.
                                                    И другой вопрос. Еще до поучения согласия или не согласия меня уже заассетил gtm и это уже реальное нарушение. Т.к именно он уже собрал обо мне инфу что я посетил этот сайт (или по крайней мере хоте это сделать).
                                                    Скорее всего пока что судьи не все ориентируются в этих тонкостях техногий но скоро на их места придут зеды и разборки станут более реальными

                                                      +1
                                                      Но и по cookie масса вопросов.
                                                      Во-первых совсем не следует из законодательного акта что их нельзя использовать.

                                                      В законе о cookies вроде бы вообще ни слова нет и их использование закон не запрещает. Если упрощать, то закон кроме всего прочего запрещает трэкинг в инете без согласия пользователя.
                                                      А уж как вы там трэкаете это вторично. И вы можете это например делать при помощи local storage и это тоже запрещено.

                                                        0

                                                        Там я до конца не дошел еще — уж очень массивный документ. Но и собственно трекинг как таковой не запрещается. Есть запрет на трекинг который совмещается с идентификацией клиента. То есть если я не могу сопоставить клиента с его учетной записью, которая подтверждена например номером телефона, биометрическими показателями, то вроде бы и трекать можно.
                                                        Другое дело, что ББ трекает все и вся и присваивает всем единые айдишники сквозные, а теперь настойчиво требуя подтверждения телефона и обладая неограниченнной информацией от ОС Android — он то как раз и трекает всех при этом идентифицируя всех.

                                                          0
                                                          Но и собственно трекинг как таковой не запрещается. Есть запрет на трекинг который совмещается с идентификацией клиента.

                                                          Там всё немного сложнее. То есть даже если фирма занимающаяся трэкингом не может вас однозначно идентифицировать в реальной жизни, то всё равно могут быть ньюансы. Но да, весь закон в общем-то крутится вокруг персональных данных.

                                                      +2

                                                      Хм, а если бы они вместо cookies сохраняли бы в LocalStorage то штрафа бы не было? Вообще непонятно почему вокруг GDPR и закона про персональные данные все говорят только про куки если есть еще куча различных способов сохранить индефикатор сессии на устройствах клиента

                                                        0

                                                        Обычно просто речь именно про куки, потому что именно их и используют. Но это распространяется на любой "fingerpring", путь то даже определять пользователя по скорости набора текста и характеру движения мышью.


                                                        А еще потому что куки отправляются со всем подряд, в том числе известным pixel.gif, когда для localStorage нужно выполнить сам скрипт.

                                                          0
                                                          Куки не отправляются всем подряд. Иначе бы я без проблем получил доступ к Вашему аккаунту. Куки отправляются на текущий домен и все поддомены (т. е. с поддоменов можно читать более главные куки, но с основного домена читать куки поддоменов нельзя). Можно также указать префикс path, тогда будет ограничен им.
                                                            0

                                                            Не всем, а «со всем», т.е. они так же передаются и при запросе на картинку, и видео. Это позволяет (вместе с referrer) по картинке отслеживать перемещение пользователя. Тот же фейсбук (Facebook pixel) потом может эту же страницу открыть, посмотреть ее содержимое и таким образом определить что видел пользователь. Для того чтобы использовать localStorage, нужно уже будет выполнить некий код от фейсбука, который вдобавок ещё должен выполниться в правильном контексте, т.е. создать айфрейм с доменом, внутри которого метка в localStorage хранится, или каким-либо ещё образом идентифицировать пользователя.

                                                              0
                                                              Вроде как браузеры собираются начать блокировать сторонние куки. Т. е. когда запрос с одного домена посылается на другой, этот другой вообще не сможет использовать никакие куки (мб опционально можно добавить опцию для основного сайта для возможности разрешить использовать куки определённым сайтам).
                                                          0

                                                          Как я уже написал выше в законе о cookies вроде бы вообще ни слова нет и их использование закон не запрещает. Если упрощать, то закон кроме всего прочего запрещает трэкинг в инете без согласия пользователя.


                                                          А уж как вы там трэкаете это вторично. И вы можете это например делать при помощи local storage и это тоже запрещено.

                                                            0

                                                            Если сказзать более конкретно по этому делу, то сайт пострадал сделав по умолчанию чекбокс с подтверждением выбранным. То есть во первой части сообщения он заявляет что собирает инфу о клиентах, а во второй части нарушает законодательный акт ссделав чекбокс выбранным по умолчанию

                                                              0
                                                              Главное Роскомнадзору не говорите)
                                                              +2
                                                              Уже было.
                                                                +4
                                                                Вот только сегодня ехали по работе, увидел красный фургон фирмы Hilti и захотел зайти на их сайт hilti.ru — посмотреть, почём их знаменитые шуруповёрты.
                                                                Открыл Firefox на андроид-смартфоне, зашёл — и почти сразу вылезло окошко на 3/4 экрана «Мы используем кукисы, бла-бла, дайте своё согласие» и одна большая кнопка «Согласен».
                                                                Фак, я не хочу её нажимать! Я не собираюсь пользоваться ни одной функцией сайта, которая могла бы использовать кукисы, и соответственно мне не нужно, чтобы они ставились. Я просто хочу посмотреть цену на инструменты.
                                                                Но без нажатия этой кнопки «Согласен» пользоваться сайтом в узкой полоске экрана весьма затруднительно. Да и ещё нарушается работа выпадающих меню, когда висит эта гадость на переднем фоне.
                                                                Так я и не посмотрел цены.
                                                                  +1

                                                                  Если вы хотели использовать сайт будьте добры и нажмите согласие. Это не сложно. Или идите в другое место. Вас никто не держит.

                                                                    +1

                                                                    На самом деле недавно где-то проскакивала новость что теперь в таких попапах нельзя по умолчанию ставить галочки на опциональные куки.


                                                                    То есть думаю в скором времени можно будет просто ставить аддоны, которые будут автоматом убирать такие попапы.

                                                                      0
                                                                      То есть думаю в скором времени можно будет просто ставить аддоны, которые будут автоматом убирать такие попапы.
                                                                      Можно. Но я думаю тут ещё немало копий будет сломано. Например можно выдавать всё, кроме цен — а сами цены будут выставляться через JS, когда вы согласитесь с трекингом. С указанием на то, что если вы не согласились, то и покупать ничего не будете, а значит цены вам и не нужны…
                                                                        0

                                                                        Не уверен что это прокатит. Хотя да, пытаться обойти закон естественно будут.

                                                                        +1
                                                                        Ну ок, повешу проверку на сервере, стоят ли галочки согласия для данного user_id. Если не стоят — редирект на страницу с галочками. Причем уверен, что так в итоге все и станут делать, как с пользовательскими соглашениями в программах. Не хочешь ставить галочку — гуляй. И в итоге на каждом сайте будет висеть список из десятка галочек и пользователи также на автомате их будут проставлять.
                                                                          0
                                                                          Не хочешь ставить галочку — гуляй.

                                                                          Это тоже запрещено по GDPR. Нельзя доступ к сервису привязывать к согласию на опциональные галочки :)

                                                                            0
                                                                            А как тогда быть с рекламой на информационных сайтах? Блок загружаемой рекламы гарантирует обращение к левому серверу. Проверить, что этот левый сервер делает — невозможно. Отключать все соединения с другими серверами по галочке — значит оставить сайт без денег. Я сам использую блокировщики рекламы и слежки, однако, прекрасно понимаю позицию сайтов, которые не хотят меня пускать без отключения блокировщика. Если доступ к контенту запретить нельзя, значит будут надоедающие, выползающие попапы с предложением поставить галочки, которые как некоторая реклама сумеют обойти различные блокировщики этих попапов.
                                                                              0
                                                                              А как тогда быть с рекламой на информационных сайтах?

                                                                              Это уже немного о другом. Ведь для того чтобы показывать рекламу куки на самом деле не нужны. И я уже натыкался на страницы/приложения которые просто дают пользователю выбор: таргетированная реклама с куки или нетаргетированная без куки. А дальше пользователь решает сам.


                                                                              Если доступ к контенту запретить нельзя

                                                                              Почему нельзя. Это привязывать запрет конкретно к галочкам нельзя. К подписке например можно. К донату. К региону. К куче вещей можно привязать, правда надо смотреть чтобы ещё какие то законы не нарушить :)

                                                                              +1
                                                                              Нельзя доступ к сервису привязывать к согласию на опциональные галочки

                                                                              Почему? Если от этого сервиса не зависит ни чья жизнь, здоровье, и даже деньги, то автор сервиса имеет право отказывать в его предоставлении кому угодно, не указывая причин.
                                                                                0
                                                                                Почему?

                                                                                Потому что так сформулирован закон. Например чтобы особо умные не пытались его таким образом обойти.


                                                                                то автор сервиса имеет право отказывать в его предоставлении кому угодно, не указывая причин.

                                                                                Не совсем так. Выборочно без указания причин вы отказать можете далеко не всегда. Но вы вполне можете отказать всем гражданам ЕС в принципе.

                                                                                  0
                                                                                  А почему, например, я не могу сказать, что сервис предназначен вот для этих граждан по списку, а для остальных — не предназначен? И не раскрывать информацию о том, как эти граждане попали в список (может, это мои личные друзья)?
                                                                                    0

                                                                                    По идее вы можете так сделать, но если будут какие-то проблемы/жалобы/подозрения в нарушении каких-то законов, то вам с большой вероятностью придётся озвучить на основании чего вы это делаете.


                                                                                    И некоторые вещи вполне могут быть признаны незаконными.

                                                                                      0
                                                                                      Подозреваю, что тут будет уже суд и «эксперты» устанавливать насколько этот список похож на обход закона. С вполне ожидаемым результатом. Что не отменяет бредовости, в особенности в части техических проблем, связанных с невозможностью (ну окей, при отсуствии информаторов) определить наличии сервер-сайд слежки.
                                                                            0
                                                                            идите в другое место. Вас никто не держит.

                                                                            Замечу, что это был не случайный прохожий, а конкретный перспективный клиент, интересовавшийся ценами на продукты компании. Если компания может позволить себе перебирать клиентами «не хотите рассказать нам о своих постельных предпочтениях — валите нафиг» — можно только порадоваться за такую компанию.
                                                                              0
                                                                              Если компания может позволить себе перебирать клиентами «не хотите рассказать нам о своих постельных предпочтениях — валите нафиг» — можно только порадоваться за такую компанию.
                                                                              Я вас разочарую, но это 100% компаний. Ну хорошо — может быть 99%.

                                                                              Пока не приняли GDPR слежка велась за всеми, кроме тех кто специально ставил всякие прайваси-браузеры. Их процент был столь мал, что на них можно было наплевать.

                                                                              Их количество от введения GDPR не изменилось, просто теперь этим баннерами сайты пытаются заставить от слежки отказаться… но подавляющее большинство покупателей всё равно соглашаются со всем на свете.

                                                                              Вначале баннеры закрывали всё нафиг. Это было признано незаконным. Теперь они либо оставляют танкощель, либо делают удобную кнопку «выставить все куки» и как можно более неудобное окно, где чем-то можно управлять и как-то выбирать.

                                                                              Если бы фирмам были бы интересны «потенциальные клиенты», «повёрнутые на безопасности», то всё было бы несколько иначе, вы не находите?
                                                                            +1
                                                                            Попробуйте аддоны Firefox Multi-Account Containers + Temporary Containers
                                                                            (вроде на мобильном тоже работает), помоему так, как работают они — должны работать все браузеры по умолчанию.
                                                                            Смысл в том что создается полностью изолированное хранилище для каждой вкладки (в Temporary Containers) — «контейнеры» (можно группировать по домену). Обычные контенеры временные и очищаются после закрытия вкладки (всех вкладок домена). Ничего никуда не утечет, не только куки. Если же вам, к примеру, нужны данные сессий для определенных сайтов, вы можете добавить правило, при котором выбранные вами домены будут открываться в своих (одном или нескольких) постоянных контейнерах. Таким образом вы можете посещать незнакомые сайты без всяких опасений что они стянут куки, а на нужных сайтах сидеть как обычно.

                                                                            А можете просто использовать только Firefox Multi-Account Containers и незнакомые/подозрительные сайты открывать в новом контейнере вручную, а потом его удалять.
                                                                            +1
                                                                            Чего происходит вообще? Я немного далёк от веб-разработки, поясните, как вот это «каждый тип cookies может быть принят или отклонен независимо от остальных». Одно куки для рекламы, другое куки для выбора темы оформления на сайте, третье для состояния корзины, т.д.? Так а что мешает одно куки (сессионное, для настроек сайта) использовать и для рекламы? Можно же некий user_id (единственное куки) на стороне сервера сопоставлять с неким advertisement_id и при встраивании рекламы через iframe (или картинкой) формировать примерно такой запрос bannernet.com/someshit?advertisementid=123. Для пользователя его куки user_id никак не связан с advertisement_id. Кстати, отвечает ли владелец сайта за куки, которые ставит реклама из iframe?
                                                                              0
                                                                              Так а что мешает одно куки (сессионное, для настроек сайта) использовать и для рекламы?

                                                                              То что такое куки после завершения сессии автоматически становится инвалидным.


                                                                              Кстати, отвечает ли владелец сайта за куки, которые ставит реклама из iframe?

                                                                              Насколько я понимаю он за это точно так же отвечает как и за свои "личные" куки.

                                                                                0
                                                                                Наверное я неправильно использовал слово «сессионный». Просто при первом заходе пользователь получает некий id, как единственное куки, если оно ещё не установлено. И этот id используется для всего, а владелец сайта передаёт его куда угодно. Снаружи это выглядит как единственное куки, с объяснением, что оно нужно, чтобы цвет фона на сайте поменять. Или я чего-то не понимаю?
                                                                                Насколько я понимаю он за это точно так же отвечает как и за свои «личные» куки.

                                                                                Это вообще как? Вчера баннер из баннерной сети на другом домене не ставил куки, сегодня уже ставит. Как владелец сайта это проконтролирует?
                                                                                  0
                                                                                  Это вообще как? Вчера баннер из баннерной сети на другом домене не ставил куки, сегодня уже ставит. Как владелец сайта это проконтролирует?

                                                                                  Наример через договор. Ну а если вы просто разрешаете всем партнёрам творить у вас всё что угодно без всяких договоров, то тогда должны и сами придумать способ это контролировать.


                                                                                  П.С. Давайте в одном треде это обсуждать. А то как-то глупо получается :)

                                                                                    0
                                                                                    а владелец сайта передаёт его куда угодно

                                                                                    А толку? Браузер-то не отдаст эту куку никакому другому сайту.
                                                                                      0
                                                                                      Снаружи это выглядит как единственное куки, с объяснением, что оно нужно, чтобы цвет фона на сайте поменять. Или я чего-то не понимаю?
                                                                                      Да, не понимаете. Проблема в том, что сайт так изначально не сделан. А если вы его переделаете так, чтобы он по этой схеме работал — то это уже не случайное нарушение закона, а умышленное. Там штрафы поболе $30000, я думаю, будут.

                                                                                      Это вообще как? Вчера баннер из баннерной сети на другом домене не ставил куки, сегодня уже ставит. Как владелец сайта это проконтролирует?
                                                                                      Проблемы индейцев шерифа не волнуют. Баннер же не сам по себе на страницу возник — значит у вас есть какой-то договор и прочее. Разбирайтесь с владельцем баннерной сети.

                                                                                      Куда хуже если на форуме кто-то картинку неправильную вставит… Тут, похоже, выход один: не разрешать вставлять картинки на посторонние сервисы.
                                                                                        +1
                                                                                        то это уже не случайное нарушение закона, а умышленное

                                                                                        Так а как это точно выяснить не имея доступа к исходникам сайта? Вот есть сайт, он установил единственное куки user_id=123. У него есть некая таблица соответствия user_id: external_id, и external_id он передаёт уже куда угодно дальше. Как доказать, что есть связь этих двух id?
                                                                                          0
                                                                                          А вам не нужно это доказывать. Нужно доказать что вас трекают. Если сайт имеет куку на всё и даже как-то вас трекает ни никому и никогда эти данные не передаёт — то не всё ли равно?

                                                                                          А если это заметно, то проводится следственный эксперимент — и дальше в суд. И там уже суд от вас потребует и логи и побробное описание чего и где вы там храните.
                                                                                            0

                                                                                            Да не как это не докажешь. Я про это же в комментах написал. Просто появятся сервер-сайд плагин с теми же функциями. И связью user_id — external_id. И в итоге даже блокировщики станут бесполезными, потому что все это станут использовать.

                                                                                    +2
                                                                                    Не знаю, что там в остальном GDPR написано (надо полистать на досуге), но обсуждаемое в этой теме мне кажется страшной бредятиной. Ведь не только мне, да? Это вообще заход не с той стороны. Давайте лучше пользователей в интернет пускать только после обучения и сдачи экзаменов! Теория в обучении начинается с нескольких простых утверждений:
                                                                                    1. Попадает в интернет — остаётся навсегда. Ничего «удалить» уже нельзя.
                                                                                    2. Ваши данные больше не ваши, они нужны для выжимания бабла из вас.
                                                                                    3. За вами следят все вне зависимости от куки (или чего угодно ещё), т.к. есть куча способов: проверять установленные шрифты, рендеринг OpenGL на канвасе, т.д…
                                                                                    Если пользователь этого не понимает, то или ему совсем не надо пользоваться интернетом (в смысле WWW) или он сам виноват в последствиях.

                                                                                    Ну, а если более серьёзно, то можно браузеры заставить работать в инкогнито по умолчанию, с установкой исключений для отдельных доменов.
                                                                                      +1
                                                                                      Ну вот мне это тоже кажется бредом. Попытка зарегулировать всё и вся и собрать штрафов. При этом для крупных игроков всё равно проблем не будет собрать те данные, которые они хотят, а на какой-нибудь мелкий магазин, у которого банально нет нужного количества разработчиков, посыпятся штрафы.
                                                                                        0

                                                                                        Да перестаньте. Соблюдать GDPR достаточно просто. Самый простой способ это банально не собирать больше информации чем это необходимо лично вам для работы. И более-менее аккуратно с ней обходится и более-менее безопасно её хранить. Для всего этого давно уже есть готовые решения и стоят они практически копейки. И всё, для 99,9999% мелких магазинов проблема уже решена.


                                                                                        А если магазины пользуются какими-то сторонними продуктами/платформами, то там уже тоже давно всё подогнали под GDPR.

                                                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                    Самое читаемое