Comments 133
Очередная истерия и показатеьная борьба ради борьбы, и немножечко денег.
PS. Ну ещё и в теории возможность мониторить куда вы ходите осталась только у браузеров, коих на данный момент всего два, но они конечо не сливают такие данные никуда, и никогда этого делать не станут.
Если кому-то они не нравятся, то он может отключить их сам в настройках браузера.
И получить неработающий сайт, потому что он хранит сессию в куках.
Полностью положение про куки написано довольно умно, а основной запрет касается использование кукисов в неправильной области, например, для маркетинга или таргетинга. И это в целом не так давно стало популярной темой. Есмин, если вы используете куки исключительно для хранения сессии, то вам и плашку показывать не надо.
А если я хочу отключить куку с ad_tracking_id, но оставить session_id?
Я отвечал человеку, который предложил "отключить куки в браузере".
В смысле "на каждую куку"? Это если упрощать, то у нас есть разделение на два типа кукисов. В теории их может быть любое количество. Как разработчики браузеров должны угадывать какие там кукисы будут использовать странички?
В смысле «на каждую куку»?
Именно, чтобы на каждую куку был вопрос хотим оставять или нет. Все будут довольны и сайты и пользователи.
И как пользователь(или браузер) должен определять какой куки для чего нужен? Ну чтобы случайно не отключить куки, которые на самом деле нужны для работы сайта?
Кроме того чем это сильно улучшит ситуацию по сравнению с нынешней? Всё равно же будет попап, да ещё и какой-то сгенерированный.
И как пользователь(или браузер) должен определять какой куки для чего нужен? Ну чтобы случайно не отключить куки, которые на самом деле нужны для работы сайта?
Пусть подумает выбор ему предоставили.
Кроме того чем это сильно улучшит ситуацию по сравнению с нынешней? Всё равно же будет попап, да ещё и какой-то сгенерированный.
Кординально например хабра дает 15 кук, и если на каждую будет по попапу, то возможно задумаются пользователи нужно ли оно им, ну а там по цепочке и законотворцы задумаются.
Пусть подумает выбор ему предоставили.
Ок поставим вопрос по другому: какой смысл в вашем предложении и какую пользу кому оно должно принести?
Кординально например хабра дает 15 кук, и если на каждую будет по попапу, то возможно задумаются пользователи нужно ли оно им, ну а там по цепочке и законотворцы задумаются.
О чём задумаются то? Они уже до этого подумали и решили что это личное дело каждого решать как ему поступать со своими персональным данными. И поэтому запретили использовать чужие данные без спроса и обязали предупреждать если вы собираете какую-то информацию о пользователе.
А вас что в этом подходе не устраивает и что вы хотите предложить взамен?
Ок поставим вопрос по другому: какой смысл в вашем предложении и какую пользу кому оно должно принести?
А какую пользу принесло и смысл принесли текущие законы?
О чём задумаются то? Они уже до этого подумали и решили что это личное дело каждого решать как ему поступать со своими персональным данными. И поэтому запретили использовать чужие данные без спроса и обязали предупреждать если вы собираете какую-то информацию о пользователе.
Я до сих пор с трудом понимаю как то что сайт прислал тебе(а именно сайт устанавливает куку) становится персональными данными.
И даже если так то, я вот выскажусь то как я это вижу сейчас а именно:
- Обычные люди которые незнали и врядли узнают что такое куки, видят попап жмут кнопку что согласны на них и всё
- Те кто понимал что такое куки как они работают, и кому было пофиг, тоже жмут «ок» на попапе и пользуют дальше
- Те кто парится за свою приватность, да у них и так скорей всего было куча настроек, и плагинов и прочего добра что бы за ними не слидили
А вас что в этом подходе не устраивает и что вы хотите предложить взамен?
Мне лично этот подход кроме лишнего клика мыши ничего не дал. Ровно как и та бумажка которую теперь в половине организаций подписываешь о том что согласен на их обработку.
Взамен хочется что бы те кто ничего не понимает в технологиях не лезли из регулировать.
А какую пользу принесло и смысл принесли текущие законы?
Теперь ваши пд не могут использовать без вашего разрешения и вас должны предупреждать если их в каком либо виде собирают или в принципе собирают какую-то информацию, которую можно как-то с вами связать.
Я до сих пор с трудом понимаю как то что сайт прислал тебе(а именно сайт устанавливает куку) становится персональными данными.
В данном конретном случае персональные данные авиакомпания собирает у вас поскольку вы должны внести их для регистрации. Далее авиакомпания ставит вам куки, по которым может в том или ином виде проследить за вашими действиями в сети. И эти куки(а следовательно и действия) уже привязаны к вашим данным.
И даже если так то, я вот выскажусь то как я это вижу сейчас а именно:
То что вы это так видите не означает что оно так на самом деле.
Мне лично этот подход кроме лишнего клика мыши ничего не дал.
А за это вам не закон надо благодарить, а конкретные фирмы, которые так делают. По закону это совсем не обязательно.
Взамен хочется что бы те кто ничего не понимает в технологиях не лезли из регулировать.
О каких конкретно технологиях идёт речь и при чём здесь вообще технологии? В законе ни о каких технологиях нет ни слова и никакие технологии никто не регулирует.
Теперь ваши пд не могут использовать без вашего разрешения и вас должны предупреждать если их в каком либо виде собирают или в принципе собирают какую-то информацию, которую можно как-то с вами связать.
А польза то в этом где? Вот например когда отключили автовоспоизведение видеороликов со звуком я пользу увидел а тут где?
В данном конретном случае персональные данные авиакомпания собирает у вас поскольку вы должны внести их для регистрации. Далее авиакомпания ставит вам куки, по которым может в том или ином виде проследить за вашими действиями в сети. И эти куки(а следовательно и действия) уже привязаны к вашим данным.
Вот только кука передается только тому сайту за которым закреплена, поэтому авиакомпания за мной следить врядли может, а рекламные сети гугол аналитика и яндекс.метрика да смогут.
То что вы это так видите не означает что оно так на самом деле.
Так это и относительно вас также. Если проведут независимы опрос с нормально заданными вопросами то тогда судить будет можно. А так я пишу то что вижу вокруг себя, может все остальные возносят руки к небу и говорят алилуя я теперь знаю что этот сайт использует куки, но пока я таких не видел.
А за это вам не закон надо благодарить, а конкретные фирмы, которые так делают. По закону это совсем не обязательно.
Извините но до принятия этого закона такого почему то небыло. И может быть вы правы и на самом деле это совсем не обязательно, но много крупных фирм решили это сделать. И сделали они это из за этого закона, получается «она не кусается, просто поиграть хочет».
О каких конкретно технологиях идёт речь и при чём здесь вообще технологии? В законе ни о каких технологиях нет ни слова и никакие технологии никто не регулирует.
В заголовке я вижу незаконное использование cookies на мой взгляд это полный бред.
А польза то в этом где?
Ну например вам теперь сложнее будет продать в интернете вещи по завышенным ценам. Никто не сообщит вашему работодателю о определённых вещах, которые он по вашему не должен знать. И так далее.
На самом деле если вы не видите никаких проблем с тем что информация о вас будет переходить из рук в руки без вашего ведома и согласия, то я даже не знаю о чём мы тут дискутируем.
Вот только кука передается только тому сайту за которым закреплена, поэтому авиакомпания за мной следить врядли может, а рекламные сети гугол аналитика и яндекс.метрика да смогут.
Что мешает им скооперироваться? Или просто авиакомпании продать ваши данные и привязку их к определённым куки кому-то ещё?
Так это и относительно вас также. Если проведут независимы опрос с нормально заданными вопросами то тогда судить будет можно.
Вы думаете законы принимаются или не принимаются просто потому что монетка выпадает орлом или решкой? Это закон появился не на пустом месте и готовили его достаточно долго.
Извините но до принятия этого закона такого почему то небыло. И может быть вы правы и на самом деле это совсем не обязательно, но много крупных фирм решили это сделать. И сделали они это из за этого закона, получается «она не кусается, просто поиграть хочет».
Что вы там говорили про "не лезть если не разбираешься"? Почему политикам это нельзя делать, а фирмам можно? :)
В заголовке я вижу незаконное использование cookies на мой взгляд это полный бред.
Так может быть проблема именно в заголовке? И в очередном "учёный изнасиловал журналиста"? Такое вам в голову не приходило? :)
Ну например вам теперь сложнее будет продать в интернете вещи по завышенным ценам. Никто не сообщит вашему работодателю о определённых вещах, которые он по вашему не должен знать. И так далее.
Ко всему этому можно дописать слово по идее. Моему руководству и так никто не говорил какую камеру я купил и куда отправился в путешествие. А о том что я ищу работу он может предположить увидив моё резюме на каком нить hh. А то что мне вместо новой экшен камеры предложат подгузники и какую нить машину меня только огорчит на камеру хоть смотреть приятно…
На самом деле если вы не видите никаких проблем с тем что информация о вас будет переходить из рук в руки без вашего ведома и согласия, то я даже не знаю о чём мы тут дискутируем.
На самом деле мы живем в мире фейсбукуов, контактов и прочих твитеров, где сами о себе все вываиваем, странно потом боятся слежки по кукам.
Что мешает им скооперироваться? Или просто авиакомпании продать ваши данные и привязку их к определённым куки кому-то ещё?
Ну как бы кука установлена на домен, и ни на один дугой домен она передаватся не будет. Выкрутится конечно можно… Но я могу предположить что допустим хром по левым каналам время от времени сливает какието данные, и проверить это ой как не просто.
Вы думаете законы принимаются или не принимаются просто потому что монетка выпадает орлом или решкой? Это закон появился не на пустом месте и готовили его достаточно долго.
Да не на пустом месте, да долго, это показатель то он хороший?
Что вы там говорили про «не лезть если не разбираешься»? Почему политикам это нельзя делать, а фирмам можно? :)
Потому что например Nvidia или AMD ну и допустим Cisco сделали для IT гораздо больше полезного чем это чудесный закон.
Так может быть проблема именно в заголовке? И в очередном «учёный изнасиловал журналиста»? Такое вам в голову не приходило? :)
А всякое может быть…
Ко всему этому можно дописать слово по идее.
Как впрочем и к любому закону.
На самом деле мы живем в мире фейсбукуов, контактов и прочих твитеров, где сами о себе все вываиваем, странно потом боятся слежки по кукам.
Это делают далеко не все. И проблема в том что на данный момент даже если ты не хочешь вываливать, то ты не можешь этого избежать.
И если кто-то сам хочет и дальше вываливать, то ему никто и не запрещает.
Да не на пустом месте, да долго, это показатель то он хороший?
Это показатель того что он появился не без причины. Плохой он или хороший мы узнаем со временем.
Потому что например Nvidia или AMD ну и допустим Cisco сделали для IT гораздо больше полезного чем это чудесный закон.
Этот закон делался не для ИТ и пользу ИТ он приносить и не должен.
Это делают далеко не все. И проблема в том что на данный момент даже если ты не хочешь вываливать, то ты не можешь этого избежать.
Что то мешает пользоваться режимом инкогнито, в котором куки убиваются при закрытии сессии? Или даже убить ненавистную куку вручную?
Это показатель того что он появился не без причины. Плохой он или хороший мы узнаем со временем.
Ну одна причина есть 100% людям которые его придумывали платят деньги за это, остается вопрос только было ли это мотивацией на 100% или было ещё что то.
Этот закон делался не для ИТ и пользу ИТ он приносить и не должен.
Понять бы для кого он делался, хотя если посмотреть на банер в конце статьи, то в целом видимо он создал некоторое количество новых рабочих мест.
Что то мешает пользоваться режимом инкогнито, в котором куки убиваются при закрытии сессии? Или даже убить ненавистную куку вручную?
То что это возня, которой лично я не хочу заниматься. А кто-то даже просто и не знает как.
С другой стороны у меня как бы тоже вопросы. Например что там за опциональные куки устанавливают различные сайты что они прямо вот вообще не могут без них обойтись? И почему они пытаются их всеми правдами их впарить даже не стесняясь делать кривые и страшные попапы? И почему это всё должно быть моей проблемой, а не проблемой этих фирм?
Понять бы для кого он делался
Для тех граждан ЕС которые голосовали за партии проталкивающие этот закон.
То что это возня, которой лично я не хочу заниматься. А кто-то даже просто и не знает как.
Вот для этой возни даже мышь не нужна в хроме жмянул CTRL+SHIFT+N и готово.
С другой стороны у меня как бы тоже вопросы. Например что там за опциональные куки устанавливают различные сайты что они прямо вот вообще не могут без них обойтись? И почему они пытаются их всеми правдами их впарить даже не стесняясь делать кривые и страшные попапы? И почему это всё должно быть моей проблемой, а не проблемой этих фирм?
Опционными они стали года два назад а до этого они были обычные и мало у кого вызывали вопросы. А сейчас вдруг начали волновать.
Для тех граждан ЕС которые голосовали за партии проталкивающие этот закон.
Не факт что именно ради этого закона за них голосовали.
Вот для этой возни даже мышь не нужна в хроме жмянул CTRL+SHIFT+N и готово.
Я не пользуюсь хромом. И у меня на смартфоне нет клавиатуры с CTRL+SHIFT.
Опционными они стали года два назад а до этого они были обычные и мало у кого вызывали вопросы. А сейчас вдруг начали волновать.
Они всегда были опциональными так как абсолютно не нужны для работы страницы.
Не факт что именно ради этого закона за них голосовали.
Ну если там кто-то за кого-то голосовал и даже не знал за что конкретно голосует…
Стандартизировать куки?_
обязать браузерыПредставим, что я пилю форк Firefox на гитхабе. Ну и там ещё куча народу пулл-реквесты шлёт и всё такое. Попробуйте придумать, как вы нас обяжете. И как вы будете нас штрафовать, если мы скрываемся под никами. И как, вообще, вы определите, кого конкретно обязывать, каждого, кто коммитил?
Владельца сайта найти и оштрафовать проще. Потому что у регистратора можно запросить реальные данные.
А ещё есть люди, которые не обновляют браузеры. Каким образом вы в браузер, выпущенный год назад, добавите функции, закон о необходимости которых приняли, скажем, вчера?
А ещё есть люди, которые не обновляют браузеры. Каким образом вы в браузер, выпущенный год назад, добавите функции, закон о необходимости которых приняли, скажем, вчера?
Згачит такому пользователю защита не нужна.
Я думаю просто скажут гитхабу закрыть ваш форкОкей, мы крутим пальцем у виска и уходим в GitTorrent. Или в ZeroNet. Или, чего мудрить, поднимаем onion-сервис, пилим и распространяем там.
Згачит такому пользователю защита не нужна.Нужна, а обновиться он не может — очередная сборка браузера требует SSE2, которого в древнем железе пользователя нет. Знаю людей, которые именно из-за этого вынуждены сидеть на определённой версии.
PS. Сам местами сижу на старых версия барузеров, так некторые сайты уже просто нормально не работают, но это извините мои проблемы.
PSS. SSE2 это что процессор хуже Pentium4? С ним правда ещё можно нормально сайты современные смотреть?
Окей, мы крутим пальцем у виска и уходим в GitTorrent. Или в ZeroNet. Или, чего мудрить, поднимаем onion-сервис, пилим и распространяем там.Законы пишутся для законопослушных граждан. На «чёрном рынке» вы можете хоть гранату себе купить.
Если отключить их в настройках браузера, то перестанут нормально работать страницы которые используют кукисы исключительно "по делу".
И как раз поэтому и идёт эта самая "истерия" потому что люди стали у себя отключать кукисы и у бизнеса начались проблемы. Для примера есть такая авиакомпания "Ryanair" и у них check in в онлайне бесплатный, а на окошке в аэропорту платный. Но без кукисов онлайн-версия не работает. И с ними тоже были похожие разборки на тему "либо крестик снимите, либо трусы оденьте". То есть либо страница с нормальными кукисами, либо включайте цену check in в цену билета и делайте сам check in бесплатным.
А что мешает одно куки использовать и для настроек сайта и для рекламы?
В теории ничего, но мало кто так делает потому что "куки для рекламы" обычно не свои.
Как снаружи (со стороны браузера) вообще можно понять, для чего сайт использует куки?
Опять же в теории снаружи это можно понять далеко не всегда. Но более-менее "стандартные" вещи вроде гугл-аналитики определить можно.
Кроме того совсем не исключён вариант когда информация об этом рано или поздно просочится и изнутри фирмы. Шила в мешке не утаишь :)
но мало кто так делает потому что «куки для рекламы» обычно не свои
Я не силён в веб-разработке, может ерунду спрошу. Вот есть сайт, на нём есть iframe, внутри баннер. Содержимое iframe грузится с другого домена, может для себя устанавливать какие угодно куки. Владелец сайта «родителя» отвечает за куки этого баннера? Сайт может же единственную куки user_id передавать как GET параметр для iframe?
Ну это скорее не вопрос из раздела веб-разработки, а вопрос из серии интерпретации закона. Но насколько я понимаю ситуацию, то по GDPR изначально вы отвечаете за всё что происходит когда человек заходит на вашу страничку. То есть и за чужие куки тоже.
Другое дело если у вас какой-то договор с владельцем iframe и он нарушил этот договор без вашего ведома. Тогда по идее отвечать будет уже он.
А это уже в случае чего будет в суде разбираться кто там что кокретно нарушил.
Но это ваша страничка и вы решаете какие iframe на ней показываются. И поэтому вы изначально за всё и отвечаете.
И даже неважно кто написал: конкуренты или обиженный покупатель.
А физика в том, что, у юзера имеется кука AAAA=1111 с сайта abwgd.com
Допустим, что эта кука — зловредная, и юзер как-то это понял.
Как он теперь поймёт, при посещении какого сайта он её подцепил?
В таком случае можно "наехать" на abwgd.com и потом пусть они уже доказывают что куки "нелегально поставился" через какой-то другой сайт где висит iframe от abwgd.com.
Поэтому владельцам iframe тоже надо думать какие куки использовать и кому разрешать показывать свой iframe.
Вы можете крутить ситуацию как хотите, но от этого ничего особенно не измениться. Теперь всем акторам в интернете надо думать над тем какие куки им нужны и как их использовать. И какие партнёры им нужны и как регулировать отношения с ними.
А не так как раньше когда все творили что хотели, а в случае чего заявляли что "я не я и хата не моя".
И он как раз и решает связанные с этим проблемы.
Вы серьёзно? Без технической возможности никакой закон не поможет, просто потому что не будет выполняться.
Без технической возможности никакой закон не поможет, просто потому что не будет выполняться.
Вы знаете техническую возможность остановить или хотя бы определить каждую кражу до того как она произошла или хотя бы прямо в момент кражи? Означает ли это что закон вообще не помогает и не нужен в принципе?
Даже после совершения преступления — есть проблемы с обнаружением наличия состава преступления.
Тогда почему кражи всё ещё происходят? И получается что закон до появления тотальной слежки не работал и был не нужен?
Вообще-то интернет/куки это только небольшая часть применения GDPR. Он вообще как бы про персональные данные в целом и про то как с ними можно или нельзя обращаться.
И про какие-то конкретные технические реализации в законе тоже ни слова не написано.
И даже если он полностью не решит проблемы с персональными данными, то он однозначно улучшит ситуацию в этом вопросе. И это в общем-то применимо практически к любому закону. Потому что я лично ни одного закона не знаю который бы сам по себе сразу решал все проблемы…
Вам не нужно обязательно определять это on the fly при помощи браузера. Достаточно если вы просто можете установить это постфактум каким-то другим образом.
Почему "только тем, что доступно на клиентской стороне."? Вы можете установить факт нарушения как угодно. Например при помощи какого-нибудь whistleblower из фирмы нарушителя.
Как вы хотите устанавливать факт нарушения закон оставляет решать вам самим. Он просто даёт возможность реагировать если факт нарушения установлен.
Ну для начала и пара случаев из тысячи это лучше чем вообще ничего.
Кроме того лично я думаю что это будет происходить гораздо чаще. Особенно если к этому подключатся какие-нибудь общественные организации, обладающие соответсвующим know how.
Да и просто потенциальная возможность схватить штраф в несколько миллионов для многих страниц перевесит ту небольшую прибыль, которую они имеют с "незаконных куки" или других способов нарушения GDPR.
Результат этого закона не в том, что будут меньше нарушать, а в том, что будут лучше прятать.
Слишком категоричное заявление чтобы в таком виде быть верным. Естественно кто-то будет пытаться закон как-то обойти или "получше спрятаться". А вот сколько таких будет и насколько им это всё удастся это отдельный вопрос.
К слову, на своём сайте я сделал как раз такой способ отслеживания действий пользователя.
Как минимум "глобальные" вещи вроде гугл-аналитики или яндекс.метрики на мой взгляд спрятать не удастся. Это всё равно достаточно быстро выплывет наружу.
То есть пока вы там у себя на странице что-то трэкаете лично для себя, то обнаружить такое относительно сложно, но и вреда от этого относительно мало. А как только вы начнёте эту информацию массово передавать туда-обратно, то и всплывёт это очень быстро.
Если сама страница не будет к яндекс и гуглу стучаться, то всплывёт только если будет анализ кода сервера.
Давайте зайдём с другой стороны: как гугл должен развивать свою новую "сеть" чтобы при этом никто посторонний об этом не узнал?
А если узнают, то и будут способы искать как это определять. В крайнем случае будут по подозрению заявки делать, а много заявок это уже причина для проверки. Опять же могут попытаться и на сам гугл наехать.
Да, где-то в теории это такой анализ будет незаконным, но пойди докажи, что он был, если все спрятано.
Достаточно одного обиженного или разозлённого сотрудника(например уволенного), который сообщит куда надо. И это уже по идее причина для проверки/аудита или как минимум судебного процесса, где уже фирме надо будет доказывать свою невиновность.
При этом к самому гуглу не будет претензий — всё делается с согласия пользователей, поставивших галочку.
Ну так вот могут совершенно спокойно потребовать от гугла чтобы он сам проверял были ли галочки действительно поставлены. GDPR такой финт ушами вполне себе допускает. И в отдельных странах ЕС уже были разборки с другими фирмами по схожим поводам(фирмы пытались спихнуть ответственность на субподрядчиков/партнёров, но им не дали).
Хочу посмотреть, как потом такой работник будет куда-то устраиваться, если он сливает данные под NDA.
А почему кто-то должен обязательно об этом узнать? И самое главное как он должен прямо всем другим фирмам об этом сообщить? Особенно учитывая что ЕС вовсю вводит законы/регулировки по защите информантов.
Но между пользователем и гуглом у нас проксирующий сайт.
А это в общем-то никого не интересует.
И гугл по факту верит сайту, что галочки проставлены.
А это уже проблемы самого гугла. И пока это никого особо не интересует и поэтому гугл никто и не трогает(ну ещё и потому что с ним особо связываться не хотят).
Но по идее гугла могут обязать всё проверять.
Ну факт внезапно возросшего интереса со стороны регулятора вызовет вопросы. В том числе будут проанализированы какие были возможны утечки, кто работал с данными пользователей и т.д.
Уволили несколько человек, каждый из них более-менее знал что есть кооперация с гуглом посредством определённой технологии. И дальше что?
А другим работодателям могут неофициально об этом сообщить
Каким это образом? В газете напишут? Емэйлы разошлют? Где гарантия что не найдётся какой-то принципиальный товарищ, который и об этом настучит? И тогда ещё и за клевету придётся отвечать.
Кроме того новые регулировки вроде бы допускают что часть штрафа может быть выплачена информатору в виде премии. А штрафы по GDPR до 20 миллионов евро или до 4% годового оборота(если 4% больше 20 миллионов).
Вы готовы будете рискнуть за пару миллионов? Кто-то наверняка будет :)
Но первый всё равно остаётся, когда сервера компании где-то непонятно где, на запрос выдаётся безопасная копия, а все данные собираются в условном яндексе вне юрисдикции (причём сама компания такую связь отрицает).
Это всё неплохо звучит в теории, но на практике таким мало кто заморачивается. И тот профит, который страницы получают от гугл аналитики, на мой взгляд такой возни для большинства фирм и не стоит.
Куки пользовали для того, чтобы сохранять информацию, необходимую для работы с сайтом, а сейчас зайдите на любой сайт, выполняющий требования GDPR и посмотрите чьи там печеньки и в каком количестве (хорошо сделано на 1a.ee, панелька внизу). Там полсотни организаций, названий которых я в жизни не слышал и, самое удивительное, если их все отключить, то сайт продолжает прекрасно работать.
Поэтому с того момента, когда инструмент стали использовать не по назначению и началась «истерия».
Скоро докатимся до обязательных запросов на исполнение программного кода на устройствах пользователя (жс).
Как пользователь NoScript/uMatrix, я только за. Но в в виде дурацких плашек, а в моём праве использовать функционал сайта с отключенными скриптами.
А куки — с машинночитаемой политикой использования (и прилетанием штрафа если сайта врет про политику).
При этом за заглушки неработающие — тоже штраф.
<...> Испанское агентство по защите данных (AEPD) оштрафовало авиакомпанию Vueling Airlines LS на 30 тыс. евро за незаконное использование cookies. <...>
Spanish DPA Fines Airline for Cookie Compliance Failures | Privacy Compliance & Data Security
On the heels of the Planet49 decision, the Spanish data protection authority AEPD has fined Vueling Airlines €30,000 (reduced to €18,000 for payment in full) for failure to provide a compliant cookie disclosure/consent under GDPR.
Если я правильно понял, по факту компания Vueling Airlines может заплатить (или уже заплатила) штраф в размере 18 тыс. евро (вместо 30 тыс. евро). Тоже, конечно, неприятно.
Я недавно начал даже читать то самое GDPR
Законодательный акт очень объемный и совсем неоднозначный.
Вообще такое впечатление что законодатель скорее стремился не защитить пользователей, а законодательно оговорить возможность нарушения приватности в случае если имеет место борьба против зла.
Но и по cookie масса вопросов.
Во-первых совсем не следует из законодательного акта что их нельзя использовать.
В случае с конкретным иском все просто. Выводя сообщение на согласие сайт подтверждает что он использует куки для идентификации а по законодательному акту делать выбор по умолчанию ОК нельзя.
Но сайт мог бы и не выводить предупреждения и не получил бы ничего если бы действительно не отслеживал клиентов.
И другой вопрос. Еще до поучения согласия или не согласия меня уже заассетил gtm и это уже реальное нарушение. Т.к именно он уже собрал обо мне инфу что я посетил этот сайт (или по крайней мере хоте это сделать).
Скорее всего пока что судьи не все ориентируются в этих тонкостях техногий но скоро на их места придут зеды и разборки станут более реальными
Но и по cookie масса вопросов.
Во-первых совсем не следует из законодательного акта что их нельзя использовать.
В законе о cookies вроде бы вообще ни слова нет и их использование закон не запрещает. Если упрощать, то закон кроме всего прочего запрещает трэкинг в инете без согласия пользователя.
А уж как вы там трэкаете это вторично. И вы можете это например делать при помощи local storage и это тоже запрещено.
Там я до конца не дошел еще — уж очень массивный документ. Но и собственно трекинг как таковой не запрещается. Есть запрет на трекинг который совмещается с идентификацией клиента. То есть если я не могу сопоставить клиента с его учетной записью, которая подтверждена например номером телефона, биометрическими показателями, то вроде бы и трекать можно.
Другое дело, что ББ трекает все и вся и присваивает всем единые айдишники сквозные, а теперь настойчиво требуя подтверждения телефона и обладая неограниченнной информацией от ОС Android — он то как раз и трекает всех при этом идентифицируя всех.
Но и собственно трекинг как таковой не запрещается. Есть запрет на трекинг который совмещается с идентификацией клиента.
Там всё немного сложнее. То есть даже если фирма занимающаяся трэкингом не может вас однозначно идентифицировать в реальной жизни, то всё равно могут быть ньюансы. Но да, весь закон в общем-то крутится вокруг персональных данных.
Хм, а если бы они вместо cookies сохраняли бы в LocalStorage то штрафа бы не было? Вообще непонятно почему вокруг GDPR и закона про персональные данные все говорят только про куки если есть еще куча различных способов сохранить индефикатор сессии на устройствах клиента
Обычно просто речь именно про куки, потому что именно их и используют. Но это распространяется на любой "fingerpring", путь то даже определять пользователя по скорости набора текста и характеру движения мышью.
А еще потому что куки отправляются со всем подряд, в том числе известным pixel.gif, когда для localStorage нужно выполнить сам скрипт.
Не всем, а «со всем», т.е. они так же передаются и при запросе на картинку, и видео. Это позволяет (вместе с referrer) по картинке отслеживать перемещение пользователя. Тот же фейсбук (Facebook pixel) потом может эту же страницу открыть, посмотреть ее содержимое и таким образом определить что видел пользователь. Для того чтобы использовать localStorage, нужно уже будет выполнить некий код от фейсбука, который вдобавок ещё должен выполниться в правильном контексте, т.е. создать айфрейм с доменом, внутри которого метка в localStorage хранится, или каким-либо ещё образом идентифицировать пользователя.
Как я уже написал выше в законе о cookies вроде бы вообще ни слова нет и их использование закон не запрещает. Если упрощать, то закон кроме всего прочего запрещает трэкинг в инете без согласия пользователя.
А уж как вы там трэкаете это вторично. И вы можете это например делать при помощи local storage и это тоже запрещено.
Если сказзать более конкретно по этому делу, то сайт пострадал сделав по умолчанию чекбокс с подтверждением выбранным. То есть во первой части сообщения он заявляет что собирает инфу о клиентах, а во второй части нарушает законодательный акт ссделав чекбокс выбранным по умолчанию
Открыл Firefox на андроид-смартфоне, зашёл — и почти сразу вылезло окошко на 3/4 экрана «Мы используем кукисы, бла-бла, дайте своё согласие» и одна большая кнопка «Согласен».
Фак, я не хочу её нажимать! Я не собираюсь пользоваться ни одной функцией сайта, которая могла бы использовать кукисы, и соответственно мне не нужно, чтобы они ставились. Я просто хочу посмотреть цену на инструменты.
Но без нажатия этой кнопки «Согласен» пользоваться сайтом в узкой полоске экрана весьма затруднительно. Да и ещё нарушается работа выпадающих меню, когда висит эта гадость на переднем фоне.
Так я и не посмотрел цены.
Если вы хотели использовать сайт будьте добры и нажмите согласие. Это не сложно. Или идите в другое место. Вас никто не держит.
На самом деле недавно где-то проскакивала новость что теперь в таких попапах нельзя по умолчанию ставить галочки на опциональные куки.
То есть думаю в скором времени можно будет просто ставить аддоны, которые будут автоматом убирать такие попапы.
То есть думаю в скором времени можно будет просто ставить аддоны, которые будут автоматом убирать такие попапы.Можно. Но я думаю тут ещё немало копий будет сломано. Например можно выдавать всё, кроме цен — а сами цены будут выставляться через JS, когда вы согласитесь с трекингом. С указанием на то, что если вы не согласились, то и покупать ничего не будете, а значит цены вам и не нужны…
Не хочешь ставить галочку — гуляй.
Это тоже запрещено по GDPR. Нельзя доступ к сервису привязывать к согласию на опциональные галочки :)
А как тогда быть с рекламой на информационных сайтах?
Это уже немного о другом. Ведь для того чтобы показывать рекламу куки на самом деле не нужны. И я уже натыкался на страницы/приложения которые просто дают пользователю выбор: таргетированная реклама с куки или нетаргетированная без куки. А дальше пользователь решает сам.
Если доступ к контенту запретить нельзя
Почему нельзя. Это привязывать запрет конкретно к галочкам нельзя. К подписке например можно. К донату. К региону. К куче вещей можно привязать, правда надо смотреть чтобы ещё какие то законы не нарушить :)
Нельзя доступ к сервису привязывать к согласию на опциональные галочки
Почему? Если от этого сервиса не зависит ни чья жизнь, здоровье, и даже деньги, то автор сервиса имеет право отказывать в его предоставлении кому угодно, не указывая причин.
Почему?
Потому что так сформулирован закон. Например чтобы особо умные не пытались его таким образом обойти.
то автор сервиса имеет право отказывать в его предоставлении кому угодно, не указывая причин.
Не совсем так. Выборочно без указания причин вы отказать можете далеко не всегда. Но вы вполне можете отказать всем гражданам ЕС в принципе.
идите в другое место. Вас никто не держит.
Замечу, что это был не случайный прохожий, а конкретный перспективный клиент, интересовавшийся ценами на продукты компании. Если компания может позволить себе перебирать клиентами «не хотите рассказать нам о своих постельных предпочтениях — валите нафиг» — можно только порадоваться за такую компанию.
Если компания может позволить себе перебирать клиентами «не хотите рассказать нам о своих постельных предпочтениях — валите нафиг» — можно только порадоваться за такую компанию.Я вас разочарую, но это 100% компаний. Ну хорошо — может быть 99%.
Пока не приняли GDPR слежка велась за всеми, кроме тех кто специально ставил всякие прайваси-браузеры. Их процент был столь мал, что на них можно было наплевать.
Их количество от введения GDPR не изменилось, просто теперь этим баннерами сайты пытаются заставить от слежки отказаться… но подавляющее большинство покупателей всё равно соглашаются со всем на свете.
Вначале баннеры закрывали всё нафиг. Это было признано незаконным. Теперь они либо оставляют танкощель, либо делают удобную кнопку «выставить все куки» и как можно более неудобное окно, где чем-то можно управлять и как-то выбирать.
Если бы фирмам были бы интересны «потенциальные клиенты», «повёрнутые на безопасности», то всё было бы несколько иначе, вы не находите?
(вроде на мобильном тоже работает), помоему так, как работают они — должны работать все браузеры по умолчанию.
Смысл в том что создается полностью изолированное хранилище для каждой вкладки (в Temporary Containers) — «контейнеры» (можно группировать по домену). Обычные контенеры временные и очищаются после закрытия вкладки (всех вкладок домена). Ничего никуда не утечет, не только куки. Если же вам, к примеру, нужны данные сессий для определенных сайтов, вы можете добавить правило, при котором выбранные вами домены будут открываться в своих (одном или нескольких) постоянных контейнерах. Таким образом вы можете посещать незнакомые сайты без всяких опасений что они стянут куки, а на нужных сайтах сидеть как обычно.
А можете просто использовать только Firefox Multi-Account Containers и незнакомые/подозрительные сайты открывать в новом контейнере вручную, а потом его удалять.
Так а что мешает одно куки (сессионное, для настроек сайта) использовать и для рекламы?
То что такое куки после завершения сессии автоматически становится инвалидным.
Кстати, отвечает ли владелец сайта за куки, которые ставит реклама из iframe?
Насколько я понимаю он за это точно так же отвечает как и за свои "личные" куки.
Насколько я понимаю он за это точно так же отвечает как и за свои «личные» куки.
Это вообще как? Вчера баннер из баннерной сети на другом домене не ставил куки, сегодня уже ставит. Как владелец сайта это проконтролирует?
Это вообще как? Вчера баннер из баннерной сети на другом домене не ставил куки, сегодня уже ставит. Как владелец сайта это проконтролирует?
Наример через договор. Ну а если вы просто разрешаете всем партнёрам творить у вас всё что угодно без всяких договоров, то тогда должны и сами придумать способ это контролировать.
П.С. Давайте в одном треде это обсуждать. А то как-то глупо получается :)
а владелец сайта передаёт его куда угодно
А толку? Браузер-то не отдаст эту куку никакому другому сайту.
Снаружи это выглядит как единственное куки, с объяснением, что оно нужно, чтобы цвет фона на сайте поменять. Или я чего-то не понимаю?Да, не понимаете. Проблема в том, что сайт так изначально не сделан. А если вы его переделаете так, чтобы он по этой схеме работал — то это уже не случайное нарушение закона, а умышленное. Там штрафы поболе $30000, я думаю, будут.
Это вообще как? Вчера баннер из баннерной сети на другом домене не ставил куки, сегодня уже ставит. Как владелец сайта это проконтролирует?Проблемы индейцев шерифа не волнуют. Баннер же не сам по себе на страницу возник — значит у вас есть какой-то договор и прочее. Разбирайтесь с владельцем баннерной сети.
Куда хуже если на форуме кто-то картинку неправильную вставит… Тут, похоже, выход один: не разрешать вставлять картинки на посторонние сервисы.
то это уже не случайное нарушение закона, а умышленное
Так а как это точно выяснить не имея доступа к исходникам сайта? Вот есть сайт, он установил единственное куки user_id=123. У него есть некая таблица соответствия user_id: external_id, и external_id он передаёт уже куда угодно дальше. Как доказать, что есть связь этих двух id?
А если это заметно, то проводится следственный эксперимент — и дальше в суд. И там уже суд от вас потребует и логи и побробное описание чего и где вы там храните.
1. Попадает в интернет — остаётся навсегда. Ничего «удалить» уже нельзя.
2. Ваши данные больше не ваши, они нужны для выжимания бабла из вас.
3. За вами следят все вне зависимости от куки (или чего угодно ещё), т.к. есть куча способов: проверять установленные шрифты, рендеринг OpenGL на канвасе, т.д…
Если пользователь этого не понимает, то или ему совсем не надо пользоваться интернетом (в смысле WWW) или он сам виноват в последствиях.
Ну, а если более серьёзно, то можно браузеры заставить работать в инкогнито по умолчанию, с установкой исключений для отдельных доменов.
Да перестаньте. Соблюдать GDPR достаточно просто. Самый простой способ это банально не собирать больше информации чем это необходимо лично вам для работы. И более-менее аккуратно с ней обходится и более-менее безопасно её хранить. Для всего этого давно уже есть готовые решения и стоят они практически копейки. И всё, для 99,9999% мелких магазинов проблема уже решена.
А если магазины пользуются какими-то сторонними продуктами/платформами, то там уже тоже давно всё подогнали под GDPR.
Штраф в 30 тыс. евро за незаконное использование cookies