Первый штраф из-за cookies: авиакомпанию Vueling оштрафовали на 30'000 €

    Вслед за недавним решением Европейского суда по вопросу явного согласия на использование cookies, в Европе выписали первый крупный штраф.

    На 30'000 € была оштрафована испанская авиакомпания Vueling за невозможность пользователям сайта отказаться от использования необязательных cookies.


    / Flickr / Aero Icarus / CC BY-SA 2.0 / Фото изменено

    Согласно документа испанского органа по защите данных, система получения согласия на использование опциональных cookies на сайте не предусматривала варианта отказа от их использования, ссылаясь на возможность блокировки или удаления куков средствами браузера. При этом неявное согласие пользователя, исходя из позиции Европейского суда, не является достаточным.

    Стоит отметить, что это первый столь крупный известный штраф, выписанный за нарушение GDPR и ePrivacy директивы в части использования cookie-файлов.

    Напомним, европейское законодательство требует, чтобы любой сайт, доступный для пользователей из ЕС получал от них явное согласие на использование cookies, не являющихся строго-необходимыми (опциональными). Подробнее — в статье «Cookie-баннеры: как быстро проверить соблюдение GDPR».
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 37

      +9
      Этот закон лично мне только мешает. Всякими всплывающими сообщениями со всех сторон, что сайт использует куки. И везде только одна кнопка «я понял». Нигде не видел выбор. И зачем это? Раньше я и так знал, что сайты используют куки. А теперь я должен еще кнопочку нажать. которая пол экрана скрывает.
        +3
        Все всё поняли как смогли. Закон идёт вразрез с естественным использованием технологии. Так что законотворцам вместо того, чтобы понять, как работает технология было проще всё нафиг запретить, а как — не волнует. А плашка — как бы вынужденная публичная оферта, что я не я, жопа не моя. Никому она не нравится, но все так поняли прошлый вариант закона. Мол, тут куки, не хочешь — уходи. Но кнопки что «не хочу эти ваши куки» просто нет. Иначе пришлось бы по правде думать, как переписать сервисы так, чтобы полностью соответствовать законам. Так вот, закон теперь такой, что надо предоставлять сервис, а не отфутболивать, если даже пользователь не согласен.
        Это влечёт за собой пересмотрение механизмов авторизации и оформления заказов. Учитывая, что никто правильно пока не сделал, ориентироваться не на кого. Ну и да, это целая авиакомпания. Это не два пальца об асфальт — переписать этот кусок сервисов.
        Вот, если бы в законе была ссылка на рабочий пример, который не нарушает законов, но предоставляет некий похожий сервис, то всем было бы проще. Но как всегда. Запретить, переписать. Как? Сами разбирайтесь.
        Кстати, пользовался этой авиакомпанией. Сайт удобный, даже посадочный сразу выдают.
        Версия для печати по заказу хромает, да. И нет *.pkpass. Может эти законы их сподвигнут «допилить».
          0
          Минусующие, просьба аргументировать. А то нечестно получается.
            +1
            Закон идёт вразрез с естественным использованием технологии.

            Где именно идёт вразрез? Как раз «естественное» использование (если понимать под этим «не для трекинга/маркетинга») даже не требует спрашивать разрешения (те самые «строго необходимые», и к ним относятся сессионные куки необходимые для запоминания логина, навигации, корзинки etc), достаточно рассказать о них.

            Это не два пальца об асфальт — переписать этот кусок сервисов.

            Как раз в данном случае именно два пальца — сессионных тут хватит за глаза, всё остальное нафиг не нужно для функциональности, можно просто тупо убрать из кода ссылки на гугль-аналитику, facebook, bing и прочую лабуду (ublock показывает аж 16 внешних сайтов, явно не имеющих отношения к функционалу сайта).

            На самом деле, всё ещё проще — если сайт сохраняет функциональность с блокировкой трекеров и прочих 3rd-party — значит это как раз два пальца.
              +1
              OAuth и прочее очень даже удобно, мне как пользователю не хотелось бы от этого отказываться. Аналитика пользователям не нужна. Но она нужна, как минимум для того, чтобы понимать и вовремя реагировать на то, что именно не так с сервисом. Например, у Яндекса есть web visor. По мне так очень удобный инструмент, чтобы допиливать удобство UX, а не только поднимать продажи. А это уже важно.
              На счёт сессионных согласен. Однако кому как, а мне вот удобно открывать окно сайта, в котором я уже залогинен. Я хочу как минимум иметь такую возможность. И потом, вы же не знаете, как у них это уже реализовано и какие есть сложности для изменения подхода к работе с сессиями.
              Вот только представьте, что недотестированная фича введена на высоконагруженный сервис такого уровня. И да, авторизация — важная фича. Тут нельзя опростоволоситься. Всё должно обеспечить не меньший уровень функциональности.
              если сайт сохраняет функциональность с блокировкой трекеров и прочих 3rd-party — значит это как раз два пальца
              А различные библиотеки и прочая статика, хранящиеся где-то в облаках? Для ускорения работы сайтов проще их у себя не хранить. Опять же и разработчику с этого проще и юзеру (у него одни и те же библиотеки на разных сайтах кэшируются).
              И было бы неплохо, если считать закон — документацией, приводить рабочие примеры к этой документации. С той же аналитикой рекомендации. Это данность рынка. Метрики просто так это не выкинешь.
                0

                Это всё очень здорово, но кто заставлял сайты везде где нужно и не нужно лепить кучу куки, в том числе и однозначно бесполезных и даже вредных для пользователя? Да ещё и вообще без спроса и предупреждения? Теперь вот получили результат в виде GDPR.


                И я всё понимаю, но не надо мне рассказывать что баннеры на весь экран это единственно возможный способ удовлетворять условиям GDPR. Даже если кто-то почему то решил всё-таки использовать какие-то опциональные куки, то это не единственно возможный вариант.

                  0
                  А почему нет? Не нравится сервис — не пользуйтесь. Закон рынка.
                  И вообще, когда-то интернет почти и не регулировали. И ничего, все до сих пор с особой теплотой вспоминают те времена.
                  А насчёт нужности пользователю — вот вам пример из реальной жизни — когда вы едете на работу в общественном транспорте, вам в глаза ярко тыкают рекламными баннерами. Вы же не просили. И ладно бы транспорт был бесплатным, ещё можно понять, но нет. Вы платите за проезд деньги и за них вам не дают никакого выбора. Хотя да, вы можете купить собственный автомобиль, где нет рекламы. Ну так и сайтом можно не пользоваться.
                    0
                    А почему нет? Не нравится сервис — не пользуйтесь. Закон рынка.

                    Человек сначала как-то должен узнать что сервис что-то подобное делает. А далеко не все являются экспертами в этом вопросе и могут сами определить какой сервис что там делает. И да, конечно можно заявить что если не понимаешь как всё это работает, то не лезь в интернет. Но тогда уже недовольны и "честные" сервисы, которые ничего подобного не делают и всё равно тогда теряют клиентов.


                    А насчёт нужности пользователю — вот вам пример из реальной жизни — когда вы едете на работу в общественном транспорте, вам в глаза ярко тыкают рекламными баннерами. Вы же не просили. И ладно бы транспорт был бесплатным, ещё можно понять, но нет. Вы платите за проезд деньги и за них вам не дают никакого выбора. Хотя да, вы можете купить собственный автомобиль, где нет рекламы. Ну так и сайтом можно не пользоваться.

                    В данном случае аналогия будет немного другой. Например такой что если вы едете в общественном транспорте, то этот транспорт трэкает ваше перемещение по городу и сливает эту информацию вашей жене, вашему начальнику или кому-то ещё. Причём какие-то фирмы это делают, а какие-то нет. И какие-то автомобили это делают, а какие-то нет. А вы не знаете какие именно и не особо понимаете как это выяснить. Или даже вообще не знаете что они могут это делать.

                      0
                      Да. Трэкают. Если вы оплачиваете проезд картой, например «тройка», то в системе неизбежно остаётся информация о том, в каком считывателе вы оплатили своей картой. В метро интернет раздаётся через бесплатный wi-fi (пока ваш телефон оторван от внешнего мира). И о сюрприз! Вы оставляете персональную информацию. А ещё сейчас запустили систему распознавания лиц по камерам. А в Китае так вообще собираются через это самое распознавание вводить оплату проезда. Так что нет, никто не думает делать лучше людям. И это всё сказки.
                        0

                        Где трэкают? В общественном транспорте в ЕС? И передают эту информацию всем кому не лень без вашего ведома? И даже продают её? В том числе и ваши персoнальные данные?

                          0
                          Куда передают? Я против, чтобы без ведома. Но у нас пластмассовый мир победил. Уведомляют почти постфактум. Я не хочу оставлять информацию о себе пересекая границу, и границ не хочу. Но на таможне я обязан предъявить паспорт и иметь валидную визу. А с моими личными данными они там делают что хотят.
                          И передают эту информацию всем кому не лень без вашего ведома?
                          Кому? О чём вы?
                            0
                            Кому? О чём вы?

                            О том что отдельные онлайн-сервисы собирали информацию о своих пользователях и раздавали или даже продавали её налево и направо без ведома самих этих пользователей. Поэтому как бы и появился GDPR.
                            Вы решили привести аналогию с общественным транспортом и автомобилями. Вот я вас и спрашиваю делает ли общественный транспорт в ЕС тоже самое. Ну чтобы аналогия была более-менее верной.


                            Я не хочу оставлять информацию о себе пересекая границу, и границ не хочу. Но на таможне я обязан предъявить паспорт и иметь валидную визу. А с моими личными данными они там делают что хотят.

                            В ЕС подчинятся GPDR должны и государственные структуры и правительства. В том числе и таможни. Как минимум ровно настолько же, а местами даже больше чем онлайн-сервисы. Так что я не особо понимаю о чём вы сейчас. Вы хотите чтобы GPDR сделали ещё строже?

                              0
                              Мой самый первый комментарий был о том, что GPDR должен быть прозрачным и понятным. Желательно с примером реализации. Это всё.

                              А вы спорите о том, что сайты что-то делают без ведома. Нет, я не хочу, чтобы без моего ведома кто-то использовал мои данные. Я вообще против ими делиться и даже не понимаю постановки вопроса. То есть да, если я оформляю билет на самолёт, то я хочу, чтобы процессинг прошёл сам собой, и желательно без бюрократии. Но эти данные не должны быть использованы для рекламы услуг кампании мне. И для этого не нужно особых законов и вопросов про куки. Это само собой разумеется. А вот если они хотят этими данными пользоваться, то пусть спрашивают отдельное разрешение и если я его дам, то пускай.
                              И не надо этого окна на пол-экрана, чтобы это всё реализовать.
                              И штрафовать за его отсутсвие или неправильную реализацию тоже бред.
                                0
                                Мой самый первый комментарий был о том, что GPDR должен быть прозрачным и понятным. Желательно с примером реализации. Это всё.

                                Он вполне себе прозрачен и понятен. По крайней мере если сравнивать его с другими законами. А примеры реализации обычно в законах не пишут и их предлагают уже какие-нибудь адвокаты. И потом если что, то в судах уже решается соответствует ли эта реализация духу и/или букве закона. И это абсолютно нормальная практика для законов как в ЕС в целом, так и в отделных странах ЕС. А в принципе и не только там.


                                А вы спорите о том, что сайты что-то делают без ведома.

                                Я обьясняю вам откуда взялся GDPR и почему он именно такой какой он есть. Ну или как минимум пытаюсь это сделать.


                                И не надо этого окна на пол-экрана, чтобы это всё реализовать.

                                А никакой закон этого и не требует.


                                И штрафовать за его отсутсвие или неправильную реализацию тоже бред.

                                Вообще-то за нарушение закона обычно штрафуют и это нормально. Кроме того сейчас у GDPR "переходный период" и как раз таки по GDPR сразу штрафуют очень редко. Обычно сначала просто предупреждают.

                                  0
                                  Я обьясняю вам откуда взялся GDPR и почему он именно такой какой он есть.
                                  Так это не меня оштрафовали. Мне то ясно, зачем тут есть закон.
                                  А никакой закон этого и не требует.

                                  Закон требует несмотря на наличие или отсутствие согласия предоставлять сервис. Но предоставлять понятный и прозрачный выбор. И да, именно про баннер ни слова.
                                    0
                                    Закон требует несмотря на наличие или отсутствие согласия предоставлять сервис.

                                    Не совсем так, он требует соответствия закону если вы предоставляете сервис гражданам и резидентам ЕС. Но никто не запрещает вам в принципе отказать в сервисе всем гражданам и резидентам ЕС.


                                    Просто нельзя привязывать отказ в сервисе к отказу принятия куки пользователем.

                    0
                    Это всё очень здорово, но кто заставлял сайты везде где нужно и не нужно лепить кучу куки, в том числе и однозначно бесполезных и даже вредных для пользователя? Да ещё и вообще без спроса и предупреждения? Теперь вот получили результат в виде GDPR.
                    Вот удивительное лицемерие. Какие-то сайты, куки на которых заблокировать проще простого начинают штрафовать. А вот те же самые мессенджеры, которые привязываются к сим карте или какие-то другие приложения никто и не заморачивается хотя-бы обвинить.
                      0

                      Если вы считаете что какие-то мессенджеры нарушают GDPR, то в чём проблема? Возьмите и обвините. Чем больше людей пожалуется, тем быстрее за них возьмутся.

                        0
                        Если вы считаете что какие-то мессенджеры нарушают GDPR, то в чём проблема?
                        Какое мне дело до GDPR?

                        Среднестатистический обыватель услышал последнее слово в фразе «Хакеры, крекеры, спамы, куки» и начинает истерить до визга. У меня к вам вопрос, а что, других технологии вас устраивают? Откуда к кукам такая нелюбовь? Тот же -3 кольцо будет пострашнее хоть тысячи кук, хоть миллиона, только о нём «правозащитники» почему-то упорно молчат. Неужели не слышали?
                          0
                          Какое мне дело до GDPR?

                          Ну вроде как бы статья про GDPR. Обсуждается вроде бы тоже GDPR. Регулирует "работу" с куки в данном контексте тоже GDPR.
                          И если вам нет до него никакого дела, то о чём ваш комментарий?


                          У меня к вам вопрос, а что, других технологии вас устраивают? Откуда к кукам такая нелюбовь?

                          Хм. А с чего вы решили что меня куки как технология не устраивают? Или что у меня к ним нелюбовь?

                            0
                            Ну вроде как бы статья про GDPR. Обсуждается вроде бы тоже GDPR. Регулирует «работу» с куки в данном контексте тоже GDPR.
                            И если вам нет до него никакого дела, то о чём ваш комментарий?
                            Мой вопрос касается того, каким образом «слуги народа» выбирали от чего нужно народ защищать и от чего не нужно. Почему одним вещам уделяют избыточное внимание, а про другие забывают. Не больше и не меньше.
                              0

                              Ну если совсем упрощать, то на какую фирму чаще люди жалуются, ту первую и проверяют. И если там есть нарушения GDPR, то выписывается штраф или как минимум предупреждение. Вот и всё. Не больше и не меньше.

                                0
                                На обсуждаемую компанию жаловалось больше всего людей, а на всякие СОРМы, и прочие правительственные программы прямо никто не жалуется?
                                  0

                                  Вы просто закон откройте и прочитайте. И вы сами легко сможете ответить на свой вопрос.

                    +1
                    OAuth и прочее очень даже удобно, мне как пользователю не хотелось бы от этого отказываться.

                    Для OAuth не нужны куки. В конце концов, есть local storage, если уж хочется что-то хранить на стороне клиента.

                    Но она нужна, как минимум для того, чтобы понимать и вовремя реагировать на то, что именно не так с сервисом.

                    Поставьте Matomo — будет вам аналитика. Есть ещё куча инструментов (локально устанавливаемых) которые позволяют аналитику UX, тепловые карты и всё такое.

                    А различные библиотеки и прочая статика, хранящиеся где-то в облаках? Для ускорения работы сайтов проще их у себя не хранить.

                    Для этого не нужны куки и local storage — совсем, достаточно статику отдавать.

                    В конце концов, есть достаточно сайтов (коммерческих в том числе) где всё отлично работает без 3rd-party (в худшем случае cdn используется, но без кук) — это не так уж и сложно. Я сам занимался разработкой таких сайтов — обычно хватало одной куки (session id), изредка — ещё одной с preferences (чтобы не тягать с сервера при переходе со страницы на страницу), всё — вся аналитика отлично делалась по логам сервера.

                    Будь моя воля, я бы законодательно заставил всех владельцев сайтов следовать DNT — если стоит, значит выключить всё что не строго необходимо, без вопросов пользователю (так как он уже выразил свои предпочтения) — проблема с баннерами решилась бы сама собой. Не сайты должны задавать этот вопрос, а браузер — и автоматически «стучать» куда следует если сайт вдруг (несмотря на DNT) начал ставить что-то с известных трекеров и аналитики.

                      0
                      Так глобально вопрос не в куках. А в ПД. И в том, что ими надо пользоваться в рамках сервиса и не далее. А лучше без дела не спрашивать. Или я чего упустил?
                      0

                      Причём тут это всё?
                      По факту порезаны возможности всяких рекламщиков и аналитик, и это прекрасно. Всё остальное практически не затронуто.


                      А различные библиотеки и прочая статика, хранящиеся где-то в облаках?

                      Статика тут ни при чём, ей не нужны куки!


                      И было бы неплохо, если считать закон — документацией, приводить рабочие примеры к этой документации.

                      Закон для защиты граждан от наглых интернет-бизнесменов. Бизнесменам рекомендация умерить аппетиты в плане слива информации левым конторам за деньги. И крутитесь как хотите, ваши проблемы авторов закона походу не волновали. Уйдёте с рынка — придут другие менее наглые и более разумные, народу станет только лучше в итоге. Если кто-то найдёт лазейку и в новой редакции закона — будет третья, четвёртая и т.д. которые эти лазейки закроют. А цель понятна — никакой юзер в здравом уме не согласится на "а давайте рекламщики за вами последят", если от этого можно отказаться без последствий (а закон запрещает делать за это последствия), так что по факту это запрет левых куков.

                    0
                    Никому она не нравится, но все так поняли прошлый вариант закона. Мол, тут куки, не хочешь — уходи.

                    В смысле "поняли"? То есть какой-нибудь Art.7 никто не читал?

                      0
                      Простите, но то что вы скинули как-то похоже на консультант-плюс со ссылками на ссылки, причём платными.
                      И да. Сверху там английским по белому написано:
                      The EU general data protection regulation 2016/679 (GDPR) will take effect on 25 May 2018. Unfortunately, Brussels has not provided a clear overview of the 99 articles and 173 recitals. The PrivazyPlan® fills this gap (with a table of contents, cross-references, emphases, corrections and a dossier function). Data protection/Privacy/Privazy according to plan.
                      .
                      Так нельзя ли без шелухи спокойно описать, как должен быть соблюдён закон, и что именно проще всего сделать.
                        0
                        Простите, но то что вы скинули как-то похоже на консультант-плюс со ссылками на ссылки, причём платными.

                        Это тот самый GDPR o котором мы говорим. Первая ссылка, которая мне попалась. Не нравится найдите другую, там будет тоже самое.


                        И да. Сверху там английским по белому написано:

                        И что? У вас есть какие-то проблемы конкретно с пониманием того, почему "принуждение" к согласию использования куки не совместимо с этим параграфом?


                        Так нельзя ли без шелухи спокойно описать, как должен быть соблюдён закон, и что именно проще всего сделать.

                        А потом куча фирм будет возмущаться что "так неудобно/неправильно/глупо" и что они знают гораздо более простые варианты? Или потом технологии/тренды поменяются и "чёткое описание" будет вообще оторвано от реальности и мешать ещё больше?

                          0
                          Первая ссылка, которая мне попалась.

                          Вот вот. Ваша ссылка ведёт на какой-то коммерческий сайт.
                          Это тот самый GDPR o котором мы говорим.

                          Официальный только один — europa.eu, уж если и ссылаться, то лучше на него. А уже там europa.eu/european-union/abouteuropa/privacy-policy_en
                            0

                            Если вам так уже прямо нужно оффициальный источник, то вот вам EUR-Lex. Идёте там в CHAPTER II и Article 7. Что-то сильно изменилось?

                              0
                              Что вы хотите доказать и кому? Я не представитель Vuelang и даже при желании, усердно прочитав этот документ (или любой другой из гугла по запросу) не смогу помочь этой маленькой но гордой авиакомпании.
                                0
                                Что вы хотите доказать и кому?

                                Я хочу вам обьяснить что если ваша "маленькая, но гордая авиакомпания" не смогла прочитать и понять что написано в этом параграфе, то уж извините, но она на мой взгляд виновата в этом сама. Точно так же как и все остальные кто "поняли как смогли".


                                В GPDR как бы есть не особо понятные моменты, но во первых этот пункт к ним точно не относится. А во вторых в случае со спорными моментами сразу никого не штрафуют. Во всяком случае мне такие случаи не известны.


                                P.S. В конце-концов если сам не можешь прочесть и понять, то есть адвокаты, которые специализируются на законах ЕС. Если на них нет денег, то в инете полно форумов и всяких best practice.

                    –1
                    «Пользователи не специалисты.»
                    «Для вашего блага сделано.»
                    </нувызнаете>
                      +1
                      Выбор иногда бывает, скрыт под неприметной ссылкой. Там иногда можно настроить несколько уровней кук: базовые, рекламные, прочие.
                        0

                        В огнелисе установите аддон "I don't care about cookies". И ремайндеры о кукисах больше не побеспокоят
                        https://addons.mozilla.org/android/downloads/file/3422556/i_dont_care_about_cookies-3.0.5-an+fx.xpi?src=search

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое