Сегодня рассказываем, как новые требования отразились на работе сайтов.
/ фото Neil Conway CC
Требования регламента
Согласно пункту 30 Европейского регламента, информация, получаемая с помощью cookie-файлов, может служить инструментом для формирования профиля пользователя и его идентификации. Таким образом, cookie приобретают статус персональных данных.
Поэтому GDPR требует владельцев сайтов получать обязательное согласие пользователя перед установкой cookie. До введения регламента многие сайты не спрашивали на это разрешения — показывался простой баннер с уведомлением. И считалось, что пользователь автоматически соглашается получить cookie, если продолжает работу с сайтом.
После введения GDPR этого оказалось недостаточно. Теперь на всплывающем окне пользователь обязан отметить, что согласен принять cookie-файлы. Также владелец сайта должен рассказать, как используются cookie, как они обрабатываются и кому эта информация может быть передана. Также нужно предоставить посетителю возможность отказаться от использования конкретных cookie.
Все это прописывается в политиках конфиденциальности сайта. Ссылка на эти политики должна содержаться во всплывающем окне с оповещением.
Идея такого подхода — сделать процесс работы с cookie-файлами более прозрачным. Так пользователь получает всю информацию сразу, и ему не нужно самостоятельно удалять нежелательные cookie в настройках браузера.
Как GDPR повлиял на сайты
Аналитики Reuters сравнили данные о количестве используемых cookie европейскими сайтами за апрель и июль 2018 года (то есть до вступления GDPR в силу и после). Согласно результатам исследования, в среднем объем cookie на новостных порталах сократился на 22%. Объем cookie, используемых сайтами Великобритании, уменьшился на 45%. Во Франции этот показатель упал на 32%, в Германии — на 6%.
Интересен тот факт, что в Польше по каким-то причинам количество cookie, наоборот, выросло на 22%. Это единственное европейское государство с изменением в большую сторону.
По данным отчёта, серьезно снизился процент cookie, используемых для оптимизации работы сайтов. Меньше всего изменения коснулись cookie-файлов социальных сетей.
В отличие от европейских сайтов, ряд сайтов США, которые работали на европейском рынке, решили не обновлять правила конфиденциальности и механизмы обработки cookie.
Как только GDPR вступил в силу, больше тысячи новостных американских порталов просто заблокировали доступ посетителям из ЕС.
Среди них есть сайты популярных изданий — Los Angeles Times, The Chicago Tribune, The Sun Chronicle и др. Пользователям из Европы показывается сообщение об ошибке. Это решение имеет очевидные репутационные риски и означает потерю части аудитории. Более того, как считают некоторые, такое поведение — негласное признание вины в неправомерной обработке ПД. Однако в основе такого подхода, скорее всего, лежит финансовая составляющая.
Американские организации пошли на такой шаг из-за нежелания вкладывать средства в проработку новых политик и внедрение новых решений. Небольшой трафик пользователей из Европы не окупит деньги, потраченные на соответствие нормам GDPR.
Как работать с cookie по GDPR
Количество сайтов, запрашивающих согласие на использование cookie-файлов, выросло после введения GDPR. При этом форма уведомления на разных сайтах отличается.
/ фото Helen Harrop CC
Сейчас в GDPR нет какого-либо единого алгоритма работы с cookie-файлами. Но можно принять ряд мер, которые бы полностью удовлетворяли требованиям регламента. Вот несколько из них:
- Уведомить посетителя сайта об использовании cookie. При выборе формулировки за основу можно взять пример из интернет-справочника ЕС: «Этот сайт использует cookie. Узнайте больше о том, как «название организации» использует файлы cookie и как изменить настройки». Всплывающее окно с такой формулировкой появляется после открытия сайтов газет The Guardian, The Sun и The Daily Telegraph.
- Проинформировать какие cookie и с какой целью используются. На сайте Forbes подробно описано, зачем нужна каждая cookie и как выбор пользователя отразиться на функциональности сайта.
- Предоставить возможность выбора cookie, которые пользователь разрешает установить. Например, выбрать отдельные cookie можно на сайте Oracle. Для этого в каждом случае нужно отметить флажок «да/нет». Обязательные cookie запретить нельзя, но есть подробная информация по каждой из них.
- Дать возможность пользователю отказаться от cookie. На сайте Fortune можно изменить список используемых cookie-файлов в любой момент, нажав на небольшой виджет Cookie Consent в углу страницы.
P.S. Материалы по теме из нашего блога об IaaS:
- Что считать ПД с точки зрения российского регулятора
- Как обрабатывать ПД в облаке
- ПД в облаке: зоны ответственности заказчика и облачного провайдера
Что мы делаем по этой теме в ИТ-ГРАД: Облако ФЗ-152 • IaaS • PCI DSS хостинг
Комментарии (22)
evil_random
08.09.2018 21:23+7Вся эта мышиная возня вокруг кук выглядит как-то подозрительно и немного абсурдно. На мне, как на конечном пользователе, это идиотское нововведение отразилось тем, что теперь мне каждый третий сайт выдает окно о том что он использует куки.
Почему они при этом не возбуждаются на localStorage я не понимаю.6095959
09.09.2018 17:53Cookie отправляются на сервер с каждым http запросом, а localStorage лежит у клиента и может вообще никуда не передаваться — в таком случае и разрешения не надо.
evil_random
09.09.2018 19:27А может и передаваться с каждым запросом тоже. Кроме запроса на загрузку SPA. Не вижу принципиальной разницы, с точки зрения закона.
eirnym
10.09.2018 10:02Cookies передаются автоматически, остальные заголовки устанавливаются скриптами умышленно.
kapuletti
08.09.2018 23:15+2Эта тупость с куками выводит из себя.
Считаю что уведомление должно выводится на стороне браузера, нативно, а не в перекрывающем блоке страницы. Причем выводится оно пускай по-умолчанию, но чтобы была возможность подтверждать cookies для всех сайтов автоматически, если я этого захочу. Может сделать для кук похожий механизм как сейчас в браузерах работает запрос на геолокацию?
ainoneko
09.09.2018 16:22но чтобы была возможность подтверждать cookies для всех сайтов автоматически, если я этого захочу.
Но ведь… это и так уже есть в браузере?
Заголовок спойлера
kapuletti
09.09.2018 16:39Да, поразмыслив я понял что фигню выше написал. Учитывая что данные с пользователей можно получить множеством других способов, эти законы суета ради суеты.
init0
08.09.2018 23:29Правильно выше написали — все это мышиная возня, многие крупные сайты уже используют browser fingerprint, что дает им более точную идентификацию пользователя.
Berkof
09.09.2018 15:26Нифига это не мышиная возня… Если раньше компания могла, пользуясь своим технологическим превосходством, спокойненько засаживать пользователю по самые… эти, то теперь компания если и делает так, то из подтишка и уже не с нахальной мордой «а что ты мне за это сделаешь?», а с покерфейсом «ничего не было, не собираю, не храню, не перепродаю»…
А то, что всплывашки отображаются — это фигня, это реально скоро расширениями дополнят или стандарт какой примут, чтобы унифицировать список «что собираем и что с ним делаем» и пользователь просто выберет «стандартные условия», когда можно собирать отпечаток компа и ник чтобы подставлять в поля и выдавать рекомендованные новости, но без права передачи третьим лицам и деанонимизации" и браузер будет с этими условиями автоматически соглашаться.volos
11.09.2018 14:41все браузеры имеют функцию do not truck, если пользователь хотел, просто отмечал галочкой, и попадал в дивный мир без идиотских законов
Alter2
09.09.2018 09:55Гениальное решение уровня лицензионных соглашений, единственный эффект которого — научить пользователей не глядя соглашаться с чем угодно. Ведь если не согласишься, сообщение будет мозолить глаза постоянно. К тому же повышается тревожность: меня всюду предупреждают что за мной следят, и единственной альтернативой является не заходить на сайт. Лучше бы проследили за тем чтобы сайты реально не следили за теми у кого в броузере активна опция Do not track.
Ктому же если сообщение о cookies появляется везде, это эквивалентно тому чтобы оно не появлялась нигде, а сайты стали выглядеть еще ущербней:
Типичный современный сайт
DoctorMoriarty
09.09.2018 13:24Интересно бы провести статистическое исследование — сколько пользователей, увидев вместо желаемого здесь-и-сейчас контента сайта многословное сообщение о cookies, просто уйдут с этого сайта? Исключая, разумеется, случаи, когда сайт безальтернативен.
Какие-то роскомнадзоровские методы выбрала Европа в, казалось бы, противоположном по духу деле.
Envek
09.09.2018 16:07Как только GDPR вступил в силу, больше тысячи новостных американских порталов просто заблокировали доступ посетителям из ЕС.
Вот только это не спасёт. GDPR распространяется также и на граждан ЕС за рубежом (в той же Америке) и на любой сайт, которым этот гражданин пользуется (неважно, где хостится, на каком языке, кто за него отвечает и в какой юрисдикции работает).
Dreyk
> такое поведение — негласное признание вины
феноменальная логика.
— чтобы работать с нами, принесите справку о том, что вы не рептилоид. справки выдаются с часу до двух раз в неделю после дождя и стоят кучу денег
— ну нафиг, мы просто не будем с вами работать
— Ааа!!! так и знали! вы рептилоид!
Akuma
Хм. Ну у нас так 99% госорганизаций работает