Предварительный вариант, который планирую реализовать у себя, видится таким: 3 чекбокса (строго-необходимые, маркетинговые, статистические), зеленая кнопка SELECT ALL, после нажатия чекбоксы выделяются, а текст кнопки меняется на «ACCEPT ALL COOKIES». Получаем 2 клика
Рядом будет невзрачная кнопка «CUSTOM», в настройках которой можно будет выбрать нужные чекбоксы по отдельности или отказаться от них.
Клик по кнопке «окей» сейчас оттого так прост и удобен, что все галочки маркетингово-следилочных кукисов по умолчанию стоят. Если их отключить, вам не дадут быстро и удобно нажать на «окей», потому что это окей не выгодно сайтам и по сути будет являться отказом от куков.
Так, как сейчас выглядит отказ, в дальнейшем может выглядеть кнопка согласия, чтобы включить все third-party cookies и вообще получить доступ к контенту. В этом видится «сложность».
Выше про «такие варианты уже встречаются» высказался не совсем в правильном контексте. Субъективно подразумевал, что вынуждают проходить квесты в попытке отказаться от куков. Сейчас же таким квестом может быть проставление чекбоксов для получения согласия и доступа к сайту.
Клик по кнопке «окей» сейчас оттого так прост и удобен, что все галочки маркетингово-следилочных кукисов по умолчанию стоят. Если их отключить, вам не дадут быстро и удобно нажать на «окей», потому что это окей не выгодно сайтам и по сути будет являться отказом от куков.
Посмотрите вот, чего сейчас стоит отказаться от таких куков на некоторых сайтах
поскольку отключенные по умолчанию чекбоксы и «окошко, которое можно просто игнорировать» не выгодны сайтам, таких форматов cookie-баннеров, полагаю, будет немного.
Более вероятен вариант попавов, блокирующих содержимое страниц до прохождения квеста в попытке получить согласие пользователя.
все правильно, пользователю другие куки по большей части и не нужны.
Но для многих сайтов важна монетизация от размещения рекламы или статистика, а это соответствующие куки. Оттого, думаю, пользователю придется так или иначе вынужденно сталкиваться с подобными чекбоксами
К сожалению, в рамках действующего законодательства, Твиттер, на мой взгляд, вероятно будет нарушителем.
Твиттер оказывает услуги на территории РФ, пусть и без регистрации филиала. Тут можно много рассуждать, но если смотреть на ту же судебную практику США, то подобные факты устанавливаются по ряду признаков: язык сайта, местоположение не только сервера, но и точек CDN!, продажа рекламы (если продается в РФ, то показывается она тоже в большей части в РФ, особенно если на русском языке или какие-то региональные маркетинговые кампании), огромный общедоступный список активных пользователей из РФ и т.п.
Судья при рассмотрении дела будет оценивать эти обстоятельства.
Вероятно, может быть еще парочка «контрольных» регистраций в твиттере кого-нибудь из РФ со стороны Роскомнадзора и российским номером телефона.
Тут твиттеру нужно или начинать как-то переносить данные или закрывать полностью регистрацию для рос. телефонов и с российских IP.
«Со стороны не видно» это не тот подход, которым пользуются европейские регуляторы
это тот подход, которым может воспользоваться любой субъект — владелец персональных данных
support.google.com/analytics/answer/2700409 — вот тут Google приводит конкретный список продуктов, которые вы если включили на сайте, тогда вам нужно получать консент от пользователя. То есть, например, если у вас голый Google Analytics, без advertising features и др, то не требуется.
вот тут точно стоит добавить «имхо». По ссылке пишут о возможности связки рекламы и Google Analytics и указывают на то, что нужно получить согласие и добавить ряд пунктов в политику конфиденциальности.
Это ж вовсе не значит, что во всех остальных случаях согласия не нужно.
Плюс отсюда же есть ссылка на страницу, где Гугл как бы недвусмысленно намекает:
Обратите внимание, что данные, не включенные Google в список информации, позволяющей идентифицировать личность, также могут считаться персональными в рамках GDPR.
Другими словами, Гугл себе решил так, а вы смотрите и соответствуйте GDPR сами.
Имхо, мнения о GDPR-совместимости Google преувеличены, и делается это только для того, чтобы ничего не делать, а всем дружно заявлять, что все в порядке.
По определению нет возможности только глядя на фронт определить комплаенс. Например, если вы в логе сервера сохранили IP и URL то вы уже должны выполнять требования по хранению данных. Естественно, такое проверить никаким сервисом невозможно.
Это да, но этого и со стороны не видно. А значит вряд ли кто-то пожалуется, ибо жаловаться во внешним признакам не на что. Но про отслеживающие кукисы такого сказать нельзя.
Аналитика, ФБ и тд — они сами по себе compliant, поэтому их размещение законно без всяких предупреждений.
Определенно нет. Привел ссылку в статье, что Google пишет об ответственности владельцев сайтов за получение предварительного согласия по GDPR при использовании своих сервисов.
И при проверке на 2GDPR гугл аналитический кук отображается в пункте «Предварительное согласие для Cookies, не являющихся строго необходимыми». Пример
Откуда взялось это название, куки-баннер, есть же название, принятое в индустрии — CMP, Consent Management Platform.
Откуда взялось это название — CMP — в индустрии?
На сайте Еврокомиссии есть Cookie consent kit. А CMP там означает «The Citizenship and Migration Plan».
Вот так и я, взял и придумал Cookie-баннеры, имхо просто и сразу понятно
т.е. чтобы у них было написано «GDPR compliant»? А что там на самом деле никого не волнует?
ну я бы еще сделал скриншот или засейвил их страницу в вебархиве, а потом пусть это волнует проверяющих, если имело место мошенничество или вас ввели в заблуждение по «GDPR compliant». Думаю, что с большой долей вероятности претензий к моему сайту не будет.
А вообще так везде. Есть у тебя компания, оплатил тебе кто-то «сомнительный» за создание сайта. А его потом начали трясти, и трясут тебя заодно, т.к. деньги где-то там изначально оказались государственные. Но если ты ни при чем, а действительно просто создавал сайт, то все ок.
В общем, как ни крути, за контрагентами — глаз да глаз
… контролер обязан принять необходимые технические и организационные меры, чтобы гарантировать и быть в состоянии доказать, что обработка осуществляется в соответствии с настоящим Регламентом. При необходимости такие меры нужно пересматривать и обновлять.
ч. 1 ст. 28 GDPR:
В случае обработки от имени контролера, он должен привлекать операторов, которые предоставляют достаточные гарантии принятия необходимых технических и организационных мероприятий способом, позволяющим обеспечить соответствие обработки требованиям настоящего Регламента и защиту прав субъекта данных.
Т.е. если размещаете сторонний JavaScript и хотите совсем без риска, то лучше сразу смотреть, чтобы этот сторонний сервис имел «GDPR compliance».
Ну и все равно, если есть европейские посетители, то желательно периодически сайт перепроверять. На том же 2GDPR есть API для регулярных проверок, но, судя по всему, за него хотят денег.
А по поводу картинок и т.п. — тут все гораздо проще: нужно свое хранилище, в него тянуть, с него и отдавать.
Рядом будет невзрачная кнопка «CUSTOM», в настройках которой можно будет выбрать нужные чекбоксы по отдельности или отказаться от них.
Так, как сейчас выглядит отказ, в дальнейшем может выглядеть кнопка согласия, чтобы включить все third-party cookies и вообще получить доступ к контенту. В этом видится «сложность».
Выше про «такие варианты уже встречаются» высказался не совсем в правильном контексте. Субъективно подразумевал, что вынуждают проходить квесты в попытке отказаться от куков. Сейчас же таким квестом может быть проставление чекбоксов для получения согласия и доступа к сайту.
Посмотрите вот, чего сейчас стоит отказаться от таких куков на некоторых сайтах
Полного отказа как такового нет, просто если вы не согласны с куками, нужно постараться отказаться от них.
Пытаемся отказаться от куков, а там
Более вероятен вариант попавов, блокирующих содержимое страниц до прохождения квеста в попытке получить согласие пользователя.
Такие варианты уже встречаются
Но для многих сайтов важна монетизация от размещения рекламы или статистика, а это соответствующие куки. Оттого, думаю, пользователю придется так или иначе вынужденно сталкиваться с подобными чекбоксами
И там видать уже очередь непомерная. Пишут, что уже как минимум 5 других компаний связались с ним
Твиттер оказывает услуги на территории РФ, пусть и без регистрации филиала. Тут можно много рассуждать, но если смотреть на ту же судебную практику США, то подобные факты устанавливаются по ряду признаков: язык сайта, местоположение не только сервера, но и точек CDN!, продажа рекламы (если продается в РФ, то показывается она тоже в большей части в РФ, особенно если на русском языке или какие-то региональные маркетинговые кампании), огромный общедоступный список активных пользователей из РФ и т.п.
Судья при рассмотрении дела будет оценивать эти обстоятельства.
Вероятно, может быть еще парочка «контрольных» регистраций в твиттере кого-нибудь из РФ со стороны Роскомнадзора и российским номером телефона.
Тут твиттеру нужно или начинать как-то переносить данные или закрывать полностью регистрацию для рос. телефонов и с российских IP.
вот тут точно стоит добавить «имхо». По ссылке пишут о возможности связки рекламы и Google Analytics и указывают на то, что нужно получить согласие и добавить ряд пунктов в политику конфиденциальности.
Это ж вовсе не значит, что во всех остальных случаях согласия не нужно.
Плюс отсюда же есть ссылка на страницу, где Гугл как бы недвусмысленно намекает:
Другими словами, Гугл себе решил так, а вы смотрите и соответствуйте GDPR сами.
Имхо, мнения о GDPR-совместимости Google преувеличены, и делается это только для того, чтобы ничего не делать, а всем дружно заявлять, что все в порядке.
Это да, но этого и со стороны не видно. А значит вряд ли кто-то пожалуется, ибо жаловаться во внешним признакам не на что. Но про отслеживающие кукисы такого сказать нельзя.
Определенно нет. Привел ссылку в статье, что Google пишет об ответственности владельцев сайтов за получение предварительного согласия по GDPR при использовании своих сервисов.
И при проверке на 2GDPR гугл аналитический кук отображается в пункте «Предварительное согласие для Cookies, не являющихся строго необходимыми». Пример
Откуда взялось это название — CMP — в индустрии?
На сайте Еврокомиссии есть Cookie consent kit. А CMP там означает «The Citizenship and Migration Plan».
Вот так и я, взял и придумал Cookie-баннеры, имхо просто и сразу понятно
ну я бы еще сделал скриншот или засейвил их страницу в вебархиве, а потом пусть это волнует проверяющих, если имело место мошенничество или вас ввели в заблуждение по «GDPR compliant». Думаю, что с большой долей вероятности претензий к моему сайту не будет.
А вообще так везде. Есть у тебя компания, оплатил тебе кто-то «сомнительный» за создание сайта. А его потом начали трясти, и трясут тебя заодно, т.к. деньги где-то там изначально оказались государственные. Но если ты ни при чем, а действительно просто создавал сайт, то все ок.
В общем, как ни крути, за контрагентами — глаз да глаз
ч. 1 ст. 28 GDPR:
Т.е. если размещаете сторонний JavaScript и хотите совсем без риска, то лучше сразу смотреть, чтобы этот сторонний сервис имел «GDPR compliance».
Ну и все равно, если есть европейские посетители, то желательно периодически сайт перепроверять. На том же 2GDPR есть API для регулярных проверок, но, судя по всему, за него хотят денег.
А по поводу картинок и т.п. — тут все гораздо проще: нужно свое хранилище, в него тянуть, с него и отдавать.