Комментарии 25
Если кто-то использует browser/user fingerprinting, с куками или любым другим способом, при этом не спрашивая согласия и/или не ставя в известность — он всё равно нарушает закон.
Проблема, увы, в том что пассивный сбор информации, равно как и её использование, практически невозможно обнаружить — и чисто административно этого не решить, а чтобы решить технически — нужна поддержка browser (типа обезличенных хидеров и запреты на выдачу внутренних данных, типа внутреннего IP, версии и типа OS etc).
Идеальный browser — тот который не позволяет определить ничего кроме типа (тач или нет) и размера экрана, наличие кодеков для медиа-контента (без версий), уровень поддержки HTML, и, собственно, всё. Пока же js может получить чуть ли не список файлов на компе — увы, fingerprinting будет иметь место.
Такой "идеальный браузер" существует — называется Linken Sphere. В нем есть возможность подмены почти всех данных для фингерпринтинга.
Только стоит он 100$ в месяц и используется кардерами..)
Чек лицензии мы проводим раз в полчаса + авторизация.
Серьезно? Очень приватный браузер, однако — звонок домой каждые полчаса… Небось ещё и работать откажется, если не дозвонится (а поскольку делает он это через тор, всё ещё печальнее), и никаких гарантий что ничего «такого» не отправляет (неважно что написано в FAQ, проверить это очень сложно).
Я уже молчу про то что неизвестно кто стоит за ним, оплата только биткоинами и всё такое — не, спасибо, но это больше похоже на мышеловку. Компании или индивидуалам которые действительное делают стоящую вещь, не нарушающую законов, нет смысла быть анонимными, даже наоборот.
Закон принят людьми, понимающими куда идёт мир. Вы думаете что там все ограничивается требованием согласия на куки, но это 5% от всех требований которые он налагает. Основная там часть — требования по хранению и обработке данных.
Мне не совсем понятно почему владелец сайта должен отвечать за куки, которые ставит сторонний скрипт. Ведь с точки зрения разработчика подключается только JavaScript, а ставит он какие-то куки кто его знает. А если я, предположим, подключаю какую-то JS-библиотеку, которая на момент подключения её на сайт никакие куки не ставила, а потом вдруг — хопа — и стала ставить. И что мне, каждую минуту следить, что там ставит сторонний скрипт? А что, к примеру, делать с ресурсами (картинками, стилями и прочим), которые тянутся со стороннего ресурса? Они ведь тоже могут ставить куки. И что, за каждым изображением следить? А, если я ссылки на них ботом откуда-то получаю и их миллионы?
… контролер обязан принять необходимые технические и организационные меры, чтобы гарантировать и быть в состоянии доказать, что обработка осуществляется в соответствии с настоящим Регламентом. При необходимости такие меры нужно пересматривать и обновлять.
ч. 1 ст. 28 GDPR:
В случае обработки от имени контролера, он должен привлекать операторов, которые предоставляют достаточные гарантии принятия необходимых технических и организационных мероприятий способом, позволяющим обеспечить соответствие обработки требованиям настоящего Регламента и защиту прав субъекта данных.
Т.е. если размещаете сторонний JavaScript и хотите совсем без риска, то лучше сразу смотреть, чтобы этот сторонний сервис имел «GDPR compliance».
Ну и все равно, если есть европейские посетители, то желательно периодически сайт перепроверять. На том же 2GDPR есть API для регулярных проверок, но, судя по всему, за него хотят денег.
А по поводу картинок и т.п. — тут все гораздо проще: нужно свое хранилище, в него тянуть, с него и отдавать.
т.е. чтобы у них было написано «GDPR compliant»? А что там на самом деле никого не волнует?
ну я бы еще сделал скриншот или засейвил их страницу в вебархиве, а потом пусть это волнует проверяющих, если имело место мошенничество или вас ввели в заблуждение по «GDPR compliant». Думаю, что с большой долей вероятности претензий к моему сайту не будет.
А вообще так везде. Есть у тебя компания, оплатил тебе кто-то «сомнительный» за создание сайта. А его потом начали трясти, и трясут тебя заодно, т.к. деньги где-то там изначально оказались государственные. Но если ты ни при чем, а действительно просто создавал сайт, то все ок.
В общем, как ни крути, за контрагентами — глаз да глаз
Просто посмотреть что видят сайты (И попробуют понять насколько уникальны):
amiunique.org
panopticlick.eff.org от EFF (нажать show full data)
whoer.net/ru#extended (просто показ что приходит и оценка анонимности, вместе с рекламой их VPN'а)
Уто увидел гугл (из всех доступных ему источников) и чем он может поделится в некоторых случаях — myactivity.google.com/myactivity (+настройки +информация откуда взялась информация)
Как выгрузить то что система считает 'твоим' (по сути — выполнение соответствующих пунктов GDPR но у гугла появилось раньше), процесс не мгновенный.
takeout.google.com/settings/takeout — Google
privacy.apple.com — Получение копии данных — Apple
Как выгрузить сразу все что гугл считает 'твоим' (
Весьма узкое понимание понятия "соблюдение GDPR".
- По определению нет возможности только глядя на фронт определить комплаенс. Например, если вы в логе сервера сохранили IP и URL то вы уже должны выполнять требования по хранению данных. Естественно, такое проверить никаким сервисом невозможно.
- Аналитика, ФБ и тд — они сами по себе compliant, поэтому их размещение законно без всяких предупреждений.
- Откуда взялось это название, куки-баннер, есть же название, принятое в индустрии — CMP, Consent Management Platform.
По определению нет возможности только глядя на фронт определить комплаенс. Например, если вы в логе сервера сохранили IP и URL то вы уже должны выполнять требования по хранению данных. Естественно, такое проверить никаким сервисом невозможно.
Это да, но этого и со стороны не видно. А значит вряд ли кто-то пожалуется, ибо жаловаться во внешним признакам не на что. Но про отслеживающие кукисы такого сказать нельзя.
Аналитика, ФБ и тд — они сами по себе compliant, поэтому их размещение законно без всяких предупреждений.
Определенно нет. Привел ссылку в статье, что Google пишет об ответственности владельцев сайтов за получение предварительного согласия по GDPR при использовании своих сервисов.
И при проверке на 2GDPR гугл аналитический кук отображается в пункте «Предварительное согласие для Cookies, не являющихся строго необходимыми». Пример
Откуда взялось это название, куки-баннер, есть же название, принятое в индустрии — CMP, Consent Management Platform.
Откуда взялось это название — CMP — в индустрии?
На сайте Еврокомиссии есть Cookie consent kit. А CMP там означает «The Citizenship and Migration Plan».
Вот так и я, взял и придумал Cookie-баннеры, имхо просто и сразу понятно
support.google.com/analytics/answer/2700409 — вот тут Google приводит конкретный список продуктов, которые вы если включили на сайте, тогда вам нужно получать консент от пользователя. То есть, например, если у вас голый Google Analytics, без advertising features и др, то не требуется.
Термин «CMP» в рекламной индустри пришел прямиком от iab (и это не Israel Association of Baseball, а International Advertising Bureau) — advertisingconsent.eu/cmp-list
Но, в принципе, тут вопрос в том что законодатели называют всё по своему (например, «международная информационная сеть» а не «интернет»)
«Со стороны не видно» это не тот подход, которым пользуются европейские регуляторыэто тот подход, которым может воспользоваться любой субъект — владелец персональных данных
support.google.com/analytics/answer/2700409 — вот тут Google приводит конкретный список продуктов, которые вы если включили на сайте, тогда вам нужно получать консент от пользователя. То есть, например, если у вас голый Google Analytics, без advertising features и др, то не требуется.вот тут точно стоит добавить «имхо». По ссылке пишут о возможности связки рекламы и Google Analytics и указывают на то, что нужно получить согласие и добавить ряд пунктов в политику конфиденциальности.
Это ж вовсе не значит, что во всех остальных случаях согласия не нужно.
Плюс отсюда же есть ссылка на страницу, где Гугл как бы недвусмысленно намекает:
Обратите внимание, что данные, не включенные Google в список информации, позволяющей идентифицировать личность, также могут считаться персональными в рамках GDPR.
Другими словами, Гугл себе решил так, а вы смотрите и соответствуйте GDPR сами.
Имхо, мнения о GDPR-совместимости Google преувеличены, и делается это только для того, чтобы ничего не делать, а всем дружно заявлять, что все в порядке.
Например, куки, подсчитывающие количество попыток ввода пароля;
И эти люди запрещают мне ковырять в носу учат меня безопасности… Хакер, конечно же, не умеет очищать куки в своем браузере, да… facepalm
Странно, но https://2gdpr.com/ не работает на моем сайте: https://board.asm32.info
Выдает :
Error
Wrong URL
Please try again
На google.com работает. :(
Cookie-баннеры: как быстро проверить соблюдение GDPR