Комментарии 50
Будет интересно чем этот адвокат собирается обосновывать «ущерб в 12000€». Скорее всего в результате договорятся на что-нибудь в районе 500€ и успокоятся.
П.С. И будем надеятся что в результате будет меньше бардака с cookies.
П.С. И будем надеятся что в результате будет меньше бардака с cookies.
Будет интересно чем этот адвокат собирается обосновывать «ущерб в 12000€».Скорее всего по принципу дел о меньшинствах, харрасменте и т.д…
Нечто вроде «он установил на мой компьютер куки, да не один раз, а целых двенадцать, без моего явного согласия, это насилие надо мной, теперь я не могу чувствовать себя в безопасности, каждый раз запуская браузер у меня флэшбэки о той ситуации когда меня 12 раз пенетрировали кукисами и я даже не понимал что происходит пока мне не объяснили что это и почему это плохо и почему это насилие, я не могу теперь спокойно использовать браузер из-за этого, это вызывает у меня чувство беззащитности и тревожности, я не могу даже найти телефон ближайшего психолога который мог бы помочь преодолеть мою проблему, но если я все-таки его найду — мне понадобятся деньги на оплату его услуг и это тоже будет включено в следующий иск, если мы не договоримся сейчас, я так же общался со своими друзьями и выяснилось что друзья другой расы/возраста/пола не получали столько же куков сколько я — значит это расовая/возрастная/половая дискриминация — а это еще хуже — это уже нападение на целую группу людей, я даже не могу связно формулировать мысли — вот видите какой поток получается».
бардака меньше не станет. а вот огромных попапов мы используем куки и нажмите 3 раза ок, чтобы согласиться станет больше. я не вижу смысла вообще в этих согласиях
Это австрийское издание установило мне 5 (пять)!111 куков и даже глазом не повело. А когда я ответил что не хочу чтоб мне устанавливали куки — они записали мне куку о том что мне не надо устанавливать куки. Как связаться с тем адвокатом?
Оно вам надо? Больше 5 тыщ вряд ли получите :)
И там видать уже очередь непомерная. Пишут, что уже как минимум 5 других компаний связались с ним
И там видать уже очередь непомерная. Пишут, что уже как минимум 5 других компаний связались с ним
Странно, вроде GDPR не подразумевает иски с пользователей, оштрафовать компанию можно, но вот отдать деньги пользователю вроде нет. Хотя возможно он судится за cookies по другому закону, вроде он появился еще до GDPR.
Если в связи с нарушением GDPR вам был нанесён какой-либо ущерб, то вы можете потребовать его возмещения.
Это в общем-то нормальная практика и применимо к куче разных законов, но наличие ущерба надо доказать.
Это в общем-то нормальная практика и применимо к куче разных законов, но наличие ущерба надо доказать.
Судя по всему GDPR штраф в этой истории фигурирует отдельно
Это была акция от Пятёрочки: заходишь на сайт и печеньки в подарок
А клиент, что разве совсем не пользовался Гуглом, когда переходил на сайт той немецкой компании?
на компьютере его клиента ответчик без получения согласия сохранил 12 файлов cookies
Хм, и какая-же уязвимость в защите компьютера использовалась для получения несанкционированного удалённого доступа? Неужели… браузер, который клиент сам поставил на свой компьютер и которому сам разрешил путём выставления соответствующих настроек сохранять файлы cookies на свой компьютер?
Если у меня в дверях стоит пылесос, который пытается нагло засосать с проходящих мимо людей одежду, то глупо пенять этим людям что вместе с одеждой пылесос засосал и их самих. При том что есть модели пылесоса со специальным переключателем «засосать только одежду, людей выплюнуть обратно»
Однажды следователь мне объяснил что если дверь в квартиру открыта то заходить можно. (Дело было про компьютерные взломы, лет -дцать назад, и велось как будто компьютер это квартира (практики никакой тогда не было)).
браузер, который клиент сам поставил на свой компьютер и которому сам разрешил путём выставления соответствующих настроек сохранять файлы cookies на свой компьютере
Ну, не перегибайте. Во-первых, клиент сам ничего подобного браузеру не разрешал. Это неочевидная дефолтная настройка, а не его волеизъявление. Во-вторых, и браузер куки не сам по себе создаёт, а по указанию со стороны сайта. В-третьих, есть закон, в котором написано: «Ваш сайт имеет право сохранять свои куки только после получения согласия от клиента».
Это неочевидная дефолтная настройка, а не его волеизъявление.
Использование программы с такой настройкой — волеизъявление. Человек сам тыкает по ярлыку браузера.
браузер куки не сам по себе создаёт, а по указанию со стороны сайта
Он их создаёт потому, что создатель его так запрограммировал, а пользователь эту программу запустил с соответствующими правами. Создать браузер, который не сохраняет куки несмотря на указания сайта, нет никакой проблемы.
есть закон, в котором написано: «Ваш сайт имеет право сохранять свои куки только после получения согласия от клиента»
А удалённый веб-сервер, на котором хостится сайт, ничего на стороне клиента не сохраняет и сохранить не может в принципе. Он только высылает данные.
Использование программы с такой настройкой — волеизъявление. Человек сам тыкает по ярлыку браузера.
Не надо подменять понятия. Волеизъявление — это когда человек сказал «я хочу, чтобы у меня сохранялись куки». Когда он запускает программу, которая может быть использована третьими лицами для сохранения этих самых кук (а может и не быть), при этом запускает он её не для того, чтобы ему кук накидали, а совсем для другой функции — сайты посмотреть, это не волеизъявление. Точный аналог вашего утверждения — жертва ограбления сама добровольно пошла вечером в тёмное место, значит, это было ограбление по её волеизъявлению.
Создать браузер, который не сохраняет куки несмотря на указания сайта, нет никакой проблемы.
Ещё раз: есть закон, в котором написано: «Ваш сайт имеет право сохранять свои куки только после получения согласия от клиента». Сайт сохраняет их без получения согласия (явного) — вы нарушили закон, вы отвечаете за это, если вы в юрисдикции европейских судов. Точка. Всё остальное лишь досужая демагогия.
Волеизъявление — это когда человек сказал «я хочу, чтобы у меня сохранялись куки». Когда он запускает программу, которая может быть использована третьими лицами для сохранения этих самых кук (а может и не быть), при этом запускает он её не для того, чтобы ему кук накидали, а совсем для другой функции — сайты посмотреть, это не волеизъявление. Точный аналог вашего утверждения — жертва ограбления сама добровольно пошла вечером в тёмное место, значит, это было ограбление по её волеизъявлению.
Нет, вы не правы. Человек запустил программу, настроенную так, что при получении кук с вебсайта эта программа их сохраняет. Корректная версия вашей аналогии: человек купил кошелёк, который каждому встречному пытается засунуть в карман купюру, если кошелёк
не закрыть.
Ещё раз: есть закон, в котором написано: «Ваш сайт имеет право сохранять свои куки только после получения согласия от клиента». Сайт сохраняет их без получения согласия (явного) — вы нарушили закон, вы отвечаете за это, если вы в юрисдикции европейских судов. Точка. Всё остальное лишь досужая демагогия.
Ещё раз: удалённый веб-сервер, на котором хостится сайт, ничего на стороне клиента не сохраняет и сохранить не может в принципе. Он только высылает данные. Решение о сохранении чего-либо принимает выбранный и запущенный пользователем браузер, на основании настроек, т.е. сам пользователь сайта. На этом принципе работают блокировщики рекламы: представьте себе, сайт не может насильно показать человеку рекламу! Равно как и сохранить что-либо на чужом компьютере.
Нет, вы не правы. Человек запустил программу, настроенную так, что при получении кук с вебсайта эта программа их сохраняет.
Если программа в момент установки ему об этом сообщает и самое главное сообщает ему какие возможные виды куки она сохраняет и он с этим согласен, то никаких проблем.
Кроме того ваша аналогия с кошельком не совсем уместна. Этот самый пользователь может быть не против чтобы определённые страницы сохраняли определённые виды куки, но при этом против других видов куки и/или сохранения их определёнными страницами.
И с точки зрения GDPR не особо логично требовать от пользователя чтобы заходя на какую-то страницу он первым делом лез проверять какие куки ему сохранили.
Ещё раз: удалённый веб-сервер, на котором хостится сайт, ничего на стороне клиента не сохраняет и сохранить не может в принципе. Он только высылает данные.
Я уже писал ниже что «сохранение куки сервером», это упрощение используемое в дискуссиях и иногда в попап баннерах. В самом законе совсем другие формулировки.
Если программа в момент установки ему об этом сообщает и самое главное сообщает ему какие возможные виды куки она сохраняет и он с этим согласен, то никаких проблем.
Даже если не сообщает — тоже никаких проблем. Пользователь сам выбрал именно эту программу для установки, если он не удосужился проверить и убедиться в том, что программа работает именно так, как он хочет — значит он сам согласился на всё, что будет делать программа после её установки по воле пользователя и запуска по воле пользователя.
Я уже писал ниже что «сохранение куки сервером», это упрощение используемое в дискуссиях и иногда в попап баннерах. В самом законе совсем другие формулировки.
Если это так, то мой оппонент мне солгал.
Даже если не сообщает — тоже никаких проблем. Пользователь сам выбрал именно эту программу для установки, если он не удосужился проверить и убедиться в том, что программа работает именно так, как он хочет — значит он сам согласился на всё, что будет делать программа после её установки по воле пользователя и запуска по воле пользователя.
Не всё так просто. С точки зрения GDPR(да и моей в принципе тоже) нельзя требовать от человека, чтобы покупая или устанавливая что-то, он на уровне эксперта понимал как конкретно это что-то работает и какие последствия может иметь использование. И это не только к программному обеспечению относится но и к обычным бытовым приборам, мебели, одежде, еде и так далее.
Можно ожидать что будет понимание на уровне среднестатистического обывателя. Всё что уходит за эти рамки по хорошему надо указывать.
Я тоже считаю что нельзя требовать от пользователя. Но я считаю что если человек чего-то не понимает и не желает разбираться — то он этим не пользуется. А если пользуется — то он сам себе злобный буратино. Если я не знаю как правильно пользоваться ножом и я порезался, то я не требую принять закон об обязательных плашках на всех ножах "используя нож вы соглашаетесь с риском себя порезать, примите лицензионное соглашение перед взятием ножа за ручку", ведь так?
Если я не знаю как правильно пользоваться ножом и я порезался, то я не требую принять закон об обязательных плашках на всех ножах «используя нож вы соглашаетесь с риском себя порезать, примите лицензионное соглашение перед взятием ножа за ручку», ведь так?
Пользование ножом как раз таки входит в «понимание на уровне среднестатистического обывателя».
А теперь представьте себе что вы купили себе нож, а он содержит ядовитые вещества, которые при контакте с кожей приводят к каким либо проблемам. Вы теперь должны каждый купленый нож отдавать на химическую экспертизу?
Или вы купили нож, а он ничего твёрже масла не режет. Или скажем приходит в негодность после контакта с лимонной кислотой или даже водой. Вы сами виноваты что не проверили его в магазине на всех видах продуктов?
Какую-то границу чего от товара можно ожидать без особой экспертизы всё равно где-то проводить придётся. И для обычных вещей это уже давно сделано и никого особо не удивляет.
Порезаться можно любым ножом. А растворяется в лимонной кислоте очень малая доля ножей. Ввиду этого тот факт, что ножом можно порезаться — часть повседневного опыта. Сайты, использующие куки, намного чаще используются, чем сайты, не использующие куки. Для среднестатистического пользователя Интернета, который сидит в соц. сетях, пользуется гуглом и т.п. использование сайтом кук — обыденная вещь. Т.е. опять же, ежедневное сохранение чьих-то кук — часть повседневного опыта.
Вот если бы сайт мог отформатировать жёсткий диск пользователя, то тут я бы согласился с тем, что плашечку надо показать… Ведь таких сайтов пока я не встречал.
Вот если бы сайт мог отформатировать жёсткий диск пользователя, то тут я бы согласился с тем, что плашечку надо показать… Ведь таких сайтов пока я не встречал.
Для среднестатистического пользователя Интернета, который сидит в соц. сетях, пользуется гуглом и т.п. использование сайтом кук — обыденная вещь
Для среднестатистического пользователя куки вообще никакой роли не играют и он не понимает что это и зачем они нужны. И если бы не GDPR и баннеры он бы наверное вообще не знал о их существовании.
И в общем-то на «обычные» куки до сих пор наплевать и пользователю и даже GDPR.
Но если вы своими куки преследуете какие-то иные цели кроме как обеспечить пользователю нормальную работу с вашим сервисом(в чём в общем то и заключается изначальный смысл куки), то согласно GDPR вы должны пользователя об этом предупредить и спросить его разрешения это делать.
П.С. И если проводить аналогии, то тогда это будет не «нож», а скажем какой-нибудь софт, который кроме своей основной функции собирает ваши пароли и отсылает их кому-то ещё.
Или скажем будильник, который снимает происходящее в вашей спальне и выкладывает видео на порносайты.
Опять же, если такой будильник один-единственный — то большой плашки на нём «я вас снимаю и выкладываю на порносайт» и правда не хватает. А если такие будильники в каждой спальне стоят и никто не удосуживается даже заклеить камеру пластырем или хотя бы зайти на порносайт и посмотреть что же там заснято — то и смысла в законе, обязывающем ставить плашку, не вижу.
А теперь представим себе что некоторые будильники записывают видео, некоторые аудио, некоторые нашёптывают вам во сне рекламу, некоторые сообщают посторонним когда никого нет дома, некоторые делают всё вместе, а некоторые делают ещё что-то и никто вообще не понимает что именно.
И никто даже близко не знает сколько осталось нормальных будильников, а сколько вот таких со "скрытыми функциями".
Будем ожидать от пользователя что он при покупке будет сам выяснять что там делает или не делает его будильник? Или обяжем производителей указывать все функции, которые выходят за рамки стандартного будильника?
. Но я считаю что если человек чего-то не понимает и не желает разбираться — то он этим не пользуется.
И много ли пользователей микроволновки могут (а главное, должны) понимать, например, в магнетронах и их излучении? При этом, заметьте, дверца в микроволновке устроена таким образом, чтобы магнетрон не работал, когда она открыта. Не надеясь на то, что пользователь изучил матчасть и не будет самого себя ненароком поджаривать.
Пользователю от инструмента нужно нажать кнопку и получить результат. Остальное для него черный ящик, и как оно внутри работает, его вообще волновать не должно. Веб-мастер обязан знать про куки, но совершенно не обязан знать про систему клапанов вен, хотя он ей пользуется ежесекундно. Хотя ему и не запрещено, в силу любознательности. Аналогично, ангиохирург обязан прекрасно разбираться в системе клапанов венн, но совершенно не обязан знать о существовании каких-то там кук в браузере, хотя им он тоже регулярно пользуется.
Эти новые правила про куки — самая большая глупость, не ясно, как в здравом уме принятая. Куки существуют сто лет, и когда они везде и без них ничего не может нормально работать, спохватились вдруг. Мало того, что теперь все сайты изуродованы этими попапами, так еще в большинстве случаев оно все равно не работает, как положено, — до согласия пользователя никакие куки ставится не должны, но тогда опять же все перестанет работать. В общем, ограничивать использование одной из основных технологий веба — странная идея.
А ещё очень «нравится», что в подавляющем большинстве этих попапов есть лишь кнопка «ОК», что подтверждает согласие. Кнопки «Отказаться» нет почти нигде. В итоге, ты либо соглашаешься, либо пользуешься сайтом, закрытым попапом на 2/3, либо не пользуешься сайтом вовсе.
Вы бы хоть закон почитали прежде чем такое писать:
Если cookie-баннера на сайте нет
Вы соблюдаете GDPR, если не устанавливаете вообще никаких куков или устанавливаете только куки, строго-необходимые для работы сайта. Еврокомиссия приводит примеры таких cookies:
сессионные и создаваемые на основании пользовательского ввода. Например, сохраняющие данные о товарах в корзине покупок;
сессионные для аутентификации;
сессионные для воспроизведения мультимедийного содержимого. Например, куки медиа-плеера;
сессионные для балансировки нагрузки;
используемые для обнаружения несанкционированного доступа и связанные с функциональностью, явно запрашиваемой пользователем — в течение ограниченного периода времени. Например, куки, подсчитывающие количество попыток ввода пароля;
куки пользовательского интерфейса: сессионные или устанавливаемые до нескольких часов.
Установка строго-необходимых куков не требует получения согласия. Во всех остальных случаях согласие необходимо (п. 32 Преамбулы GDPR) и cookie-баннер нужно установить./spoiler>
сессионные и создаваемые на основании пользовательского ввода. Например, сохраняющие данные о товарах в корзине покупок;
сессионные для аутентификации;
сессионные для воспроизведения мультимедийного содержимого. Например, куки медиа-плеера;
сессионные для балансировки нагрузки;
используемые для обнаружения несанкционированного доступа и связанные с функциональностью, явно запрашиваемой пользователем — в течение ограниченного периода времени. Например, куки, подсчитывающие количество попыток ввода пароля;
куки пользовательского интерфейса: сессионные или устанавливаемые до нескольких часов.
Установка строго-необходимых куков не требует получения согласия. Во всех остальных случаях согласие необходимо (п. 32 Преамбулы GDPR) и cookie-баннер нужно установить./spoiler>
…
Установка строго-необходимых куков не требует получения согласия. Во всех остальных случаях согласие необходимо (п. 32 Преамбулы GDPR) и cookie-баннер нужно установить
Хм… нефигасе если правда (т.е. больше нет в этом GDRP еще каких либо хитроюридических «подводных» нюансов).
Этож получается, в основном запрещено без согласия пользователя только устанавливать куки, которые не «нужны» пользователю для непосредственного пользования основным функционалом вэб-приложения.
Т.е. те куки, которые «нужны» только владельцу вэб-приложения для различных «темных делишек», типа «шпионства» за пользователем, с целью использования данной информации в личных корыстных целях и т.п.
Правильно понимаю?-)
Как минимум это идея и цель всего GDPR :)
Но ньюансов, неоднозначных формулировок и различных подводных камней к сожалению тоже пока достаточно.
Но это, как минимум по идее, должно исправляться/компенсироваться исправлениями/поправками к закону и адекватными судами и комиссиями. Вот и посмотрим как это сработает на данном примере :)
Но ньюансов, неоднозначных формулировок и различных подводных камней к сожалению тоже пока достаточно.
Но это, как минимум по идее, должно исправляться/компенсироваться исправлениями/поправками к закону и адекватными судами и комиссиями. Вот и посмотрим как это сработает на данном примере :)
Да уж, дорогими печенюшки могут выйти…
Доиграются они так.
Кончится всё тем, что какая-то компания таки откроет спецификации и с удивлением узнает/докажет, что никакой сайт не может установить куки без согласия пользователя — сайт предлагает установить какие-либо куки, а браузер пользователя выступая от имени и с согласия пользователя устанавливает данные куки.
Если пользователь не согласен с установкой cookies, то претензии можно предъявлять только к нему самому и настройкам его браузера, в котором достаточно отключить поддержку кук на уровне браузера… ах, да, у пользователя сломается дохренища сайтов, включая гуглопоиск, который начнёт заставлять доказывать, что ты не бот, но вот пусть тогда Гуглу и выставляют претензию о том, что он не работает без этих мерзких кукисов ;)
Кончится всё тем, что какая-то компания таки откроет спецификации и с удивлением узнает/докажет, что никакой сайт не может установить куки без согласия пользователя — сайт предлагает установить какие-либо куки, а браузер пользователя выступая от имени и с согласия пользователя устанавливает данные куки.
Все компании это прекрасно знают, но никакой особой роли это не играет потому что закон сформулирован несколько по другому и «сайт устанавливающий куки» это всего лишь упрощение, часто используемое в дискуссиях, а не текст закона :)
Суть в том, что надо предупреждать
Это они ещё про local storage не слышали…
Поэтому довольно много американских и канадских сайтов просто отрубили входящий трафик из Европы. Instapaper, кстати тоже, чему я был не рад.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
В Европе адвокат требует тысячу евро за каждый cookie, установленный без согласия