Если сайт на русском и там, например, чисто рублёвый магазин, то никакого. Если же есть перевод сайта на языки ЕС (английский, например), да ещё и в магазине оплата принимается и в евро тоже, то вы уже коварно нацелились на европейцев, а значит должны выполнять GDPR.
Практически же, европейские регуляторы сейчас даже своих нарушителей и глобальные корпорации обилечивать не успевают, куда уж им рейды на недружественную территорию устраивать... ;)
Как вы изучили (английский в том числе) и разобрались отлично видно по вашим комментариям. :D Умудриться три ложных тезиса впихнуть в два предложения - это талант.
ePrivacy Directive имеет обязательный характер - нюанс в том, для кого/чего обязательныый.
ePrivacy Directive никак не может нести "уточнение пунктов GDPR" - она была принята задолго до появления GDPR даже в черновике. После появления GDPR дорабатывали для совместимости с ним как раз саму ePrivacy Directive.
ePrivacy Directive никогда не "перейдет в статус закона" - она будет заменена ePrivacy Regulation, о чём я упомянул этой в статье.
Вы спорите с тезисом, которого в моём тексте нет и не может быть, поскольку я писал прямо противоположное ещё в первой статье.
Они не могут быть идентичны ни в каком контесте, поскольку это вообще разного класса сущности. Строго говоря, ePrivacy Directive вообще не имеет прямого действия - она лишь обязывает государства ЕС привести свои национальные законодательства в соответствие с установленными директивой положениями. И с экстерриториальным действием, соответственно, у неё принципиальные сложности.
UK GDPR - это то название, которое использует британский регулятор. Весь смысл принятия Data Protection Act 2018 - зафиксировать отмену Data Protection Act 1998 в пользу GDPR, поскольку GDPR в рамках ЕС является законом прямого действия (в отличие от ePrivacy Directive, например). После выхода Британии из ЕС, конечно, его модифицировали, чтобы сохранить GDPR под именем UK GDPR уже.
Аналог GDPR для Великобритании называется UK GDPR, поскольку является форком исходного GDPR после выхода UK из EU. DPA - это совсем другое. Английского, в общем, достаточно, но допольнительный немецкий был бы очень полезен, поскольку именно немцы дают очень интересные судебные случаи.
Я не понимаю, что вы пишете. Вы привели цитату из той части статьи, где я пишу о разнице в применимости GDPR и ePrivacy Directive, при этом пишете о них через слэш как если бы разницы никакой не было.
Технически всё зависит от вашего технологического стека и выбранного куки баннера, а дальше просто гуглите, например, "как интегрировать cookiebot и wordpress" и получаете рецепты.
> Корзина (эту сессию, наверное можно включать по-умолчанию - или нет?)
Для интернет-магазина можно считать необходимой - человек пришел в магазин, тем самым он изъявил намерение что-то купить, для чего технически нужна эта сессия. Чтобы решение было бесспорным, лучше не ставить вообще никаких кук до выбора "принять только необходимые" или "принять все" - тогда случайный посетитель может просто уйти и не получить никаких кук, что идеально.
Почему критика-то? :) На Хабре у вашей публикации куча прочтений, плюсиков и закладок - очевидно, кому-то она была полезна. Я просто заметил, что если людям нужен перевод - у них большие проблемы... Мне кое-что по теме приходится читать в гуглопереводе с немецкого - это очень тяжело. :( А даже на английском этих материалов нет и всё.
Кстати, соответствующий законодательству куки баннер в этом плане наименьшее зло - кнопка "принять только необходимые cookies" (или "отвергнуть все") в нём присутствует в обязательном порядке. Хуже, когда куки баннер не соответствует требованиям - там отказ от лишнего может быть спрятан очень глубоко.
Штрафуют и не гигантов тоже - прессе не интересно рассказывать о штрафах в несколько десятков тысяч евро на какие-то никому не известные локальные конторы, поэтому эти случаи не на слуху.
Вы правы, речь идёт не только о cookies непосредственно, но и всех подобных решениях - ePrivacy Directive определяет их через "использование способностей пользовательского терминала к сохранению или доступ к информации сохраненной на пользовательском терминале", но даже в тексте закона обычно называет просто cookies. Consent - отдельная большая тема, её просто невозможно впихнуть довеском в эту статью.
Технически, такое возможно реализовать. Практически, сайты состоят из множества готовых "кубиков", каждый из которых тащит свой набор кук. Тот же куки баннер, обычно, является сторонним скриптом - Cookiebot, Cookie-Script или подобным.
Ещё можно посмотреть в ICO Consent Guidance — хотя финальная версия у них сильно проигрывает черновой. Собственно, процитированный вами текст — перевод из черновика ICO.
PS: Главным является «отдельный консент на каждую цель» — я добавил «кусок данных» чтобы подчеркнуть, что надо четко указывать какие данные будут сохранятся для каждой конкретной цели.
Facebook не из-за GDPR суетится, а из-за скандала с Cambridge Analytica и «российского вмешательства в выборы», скорее. Соответственно, и цель этих изменений совсем другая.
Если сайт на русском и там, например, чисто рублёвый магазин, то никакого.
Если же есть перевод сайта на языки ЕС (английский, например), да ещё и в магазине оплата принимается и в евро тоже, то вы уже коварно нацелились на европейцев, а значит должны выполнять GDPR.
Практически же, европейские регуляторы сейчас даже своих нарушителей и глобальные корпорации обилечивать не успевают, куда уж им рейды на недружественную территорию устраивать... ;)
Как вы изучили (английский в том числе) и разобрались отлично видно по вашим комментариям. :D Умудриться три ложных тезиса впихнуть в два предложения - это талант.
ePrivacy Directive имеет обязательный характер - нюанс в том, для кого/чего обязательныый.
ePrivacy Directive никак не может нести "уточнение пунктов GDPR" - она была принята задолго до появления GDPR даже в черновике. После появления GDPR дорабатывали для совместимости с ним как раз саму ePrivacy Directive.
ePrivacy Directive никогда не "перейдет в статус закона" - она будет заменена ePrivacy Regulation, о чём я упомянул этой в статье.
Дискутировать и не о чем: "tailored by" никак невозможно перевести как "зиждется на".
Вы спорите с тезисом, которого в моём тексте нет и не может быть, поскольку я писал прямо противоположное ещё в первой статье.
Они не могут быть идентичны ни в каком контесте, поскольку это вообще разного класса сущности. Строго говоря, ePrivacy Directive вообще не имеет прямого действия - она лишь обязывает государства ЕС привести свои национальные законодательства в соответствие с установленными директивой положениями. И с экстерриториальным действием, соответственно, у неё принципиальные сложности.
UK GDPR - это то название, которое использует британский регулятор. Весь смысл принятия Data Protection Act 2018 - зафиксировать отмену Data Protection Act 1998 в пользу GDPR, поскольку GDPR в рамках ЕС является законом прямого действия (в отличие от ePrivacy Directive, например). После выхода Британии из ЕС, конечно, его модифицировали, чтобы сохранить GDPR под именем UK GDPR уже.
Да, категоризация. Обычно реализуется разрешение/запрещение кук по категориям.
Не очень понимаю, зачем это в принципе для внутрироссийских сайтов.
Аналог GDPR для Великобритании называется UK GDPR, поскольку является форком исходного GDPR после выхода UK из EU.
DPA - это совсем другое.
Английского, в общем, достаточно, но допольнительный немецкий был бы очень полезен, поскольку именно немцы дают очень интересные судебные случаи.
Я не понимаю, что вы пишете. Вы привели цитату из той части статьи, где я пишу о разнице в применимости GDPR и ePrivacy Directive, при этом пишете о них через слэш как если бы разницы никакой не было.
Технически всё зависит от вашего технологического стека и выбранного куки баннера, а дальше просто гуглите, например, "как интегрировать cookiebot и wordpress" и получаете рецепты.
> Корзина (эту сессию, наверное можно включать по-умолчанию - или нет?)
Для интернет-магазина можно считать необходимой - человек пришел в магазин, тем самым он изъявил намерение что-то купить, для чего технически нужна эта сессия. Чтобы решение было бесспорным, лучше не ставить вообще никаких кук до выбора "принять только необходимые" или "принять все" - тогда случайный посетитель может просто уйти и не получить никаких кук, что идеально.
Почему критика-то? :) На Хабре у вашей публикации куча прочтений, плюсиков и закладок - очевидно, кому-то она была полезна.
Я просто заметил, что если людям нужен перевод - у них большие проблемы... Мне кое-что по теме приходится читать в гуглопереводе с немецкого - это очень тяжело. :( А даже на английском этих материалов нет и всё.
Уважаю ваш труд, но входящему в тему GDPR необходимо уметь читать как минимум английский, а лучше немецкий.
I know that feel bro...
Кстати, соответствующий законодательству куки баннер в этом плане наименьшее зло - кнопка "принять только необходимые cookies" (или "отвергнуть все") в нём присутствует в обязательном порядке.
Хуже, когда куки баннер не соответствует требованиям - там отказ от лишнего может быть спрятан очень глубоко.
Штрафуют и не гигантов тоже - прессе не интересно рассказывать о штрафах в несколько десятков тысяч евро на какие-то никому не известные локальные конторы, поэтому эти случаи не на слуху.
Вы правы, речь идёт не только о cookies непосредственно, но и всех подобных решениях - ePrivacy Directive определяет их через "использование способностей пользовательского терминала к сохранению или доступ к информации сохраненной на пользовательском терминале", но даже в тексте закона обычно называет просто cookies.
Consent - отдельная большая тема, её просто невозможно впихнуть довеском в эту статью.
Технически, такое возможно реализовать.
Практически, сайты состоят из множества готовых "кубиков", каждый из которых тащит свой набор кук. Тот же куки баннер, обычно, является сторонним скриптом - Cookiebot, Cookie-Script или подобным.
Эх, как хочется уже корпоратив нормальный… И поделиться бы на нём своим хобби… ;)
Злой вы — даже по GDPR устоявшийся на сейчас штраф ~500 евро за персону.
Хорошо эта тема разжёвана в Article 29 Working Party Guidelines on Consent under Regulation 2016/679 в «3.2.Specific».
Ещё можно посмотреть в ICO Consent Guidance — хотя финальная версия у них сильно проигрывает черновой. Собственно, процитированный вами текст — перевод из черновика ICO.
PS: Главным является «отдельный консент на каждую цель» — я добавил «кусок данных» чтобы подчеркнуть, что надо четко указывать какие данные будут сохранятся для каждой конкретной цели.