/ Flickr / Marco Verch / CC BY / Фото изменено
Об этом сообщает австрийское издание DiePresse.
Как утверждает адвокат, на компьютере его клиента ответчик без получения согласия сохранил 12 файлов cookies. Это произошло, когда истец открывал сайт немецкой компании. После этого во время посещения других сайтов на его компьютере отображалась одна и та же нежелательная реклама.
Каждый самовольно установленный такой файл cookie сторона оценивает в 1000 EUR, общая сумма заявленных требований составляет 12000 EUR. Еще тысяча запрашивается за услуги адвоката. Некоторые эксперты считают требования завышенными, а сам факт — первым случаем GDPR троллинга, связанного с cookies. Вместе с тем, во избежание подобных претензий, все же рекомендуют привести «печеньки» в порядок. На Хабре писали как это можно сделать.
Комментарии (50)
Zibx
27.08.2019 18:40Это австрийское издание установило мне 5 (пять)!111 куков и даже глазом не повело. А когда я ответил что не хочу чтоб мне устанавливали куки — они записали мне куку о том что мне не надо устанавливать куки. Как связаться с тем адвокатом?
perezanov Автор
27.08.2019 18:49Оно вам надо? Больше 5 тыщ вряд ли получите :)
И там видать уже очередь непомерная. Пишут, что уже как минимум 5 других компаний связались с ним
vedenin1980
27.08.2019 18:53Странно, вроде GDPR не подразумевает иски с пользователей, оштрафовать компанию можно, но вот отдать деньги пользователю вроде нет. Хотя возможно он судится за cookies по другому закону, вроде он появился еще до GDPR.
Kanut
27.08.2019 18:57+1Если в связи с нарушением GDPR вам был нанесён какой-либо ущерб, то вы можете потребовать его возмещения.
Это в общем-то нормальная практика и применимо к куче разных законов, но наличие ущерба надо доказать.
servermen
27.08.2019 20:42-3А клиент, что разве совсем не пользовался Гуглом, когда переходил на сайт той немецкой компании?
AC130
27.08.2019 22:35-3на компьютере его клиента ответчик без получения согласия сохранил 12 файлов cookies
Хм, и какая-же уязвимость в защите компьютера использовалась для получения несанкционированного удалённого доступа? Неужели… браузер, который клиент сам поставил на свой компьютер и которому сам разрешил путём выставления соответствующих настроек сохранять файлы cookies на свой компьютер?ntfs1984
27.08.2019 23:12+4Вы спутали «разрешение» и «возможность».
Если ваша квартира НЕ ЗАКРЫТА ЯВНО НА ЗАМОК — это еще не является разрешением в нее входить, верно?AC130
27.08.2019 23:38-5Если у меня в дверях стоит пылесос, который пытается нагло засосать с проходящих мимо людей одежду, то глупо пенять этим людям что вместе с одеждой пылесос засосал и их самих. При том что есть модели пылесоса со специальным переключателем «засосать только одежду, людей выплюнуть обратно»
Pilat
28.08.2019 11:13Однажды следователь мне объяснил что если дверь в квартиру открыта то заходить можно. (Дело было про компьютерные взломы, лет -дцать назад, и велось как будто компьютер это квартира (практики никакой тогда не было)).
fouriki
29.08.2019 07:13А можно подробности, что было за дело, чем кончилось и зачем следователь делал такое сравнение, что хотел им показать?) если не секрет, конечно.
Pilat
29.08.2019 10:52Подробней нельзя, а сравнение для того чтобы объяснить что с его точки зрения если есть пароль то взлом есть, если пароля нет или он написан на клавиатуре то взлома нет. Вкратце, так как прошло много времени и я половину забыл.
Am0ralist
29.08.2019 10:55Подозреваю, что в случае помещений: если вошел и ничего не сделал, то навесить нечего. Заходить — можно. Но красть, ломать и прочее — нельзя, под это уже статья будет. Взлом же сам по себе демонстрация умысла.
Да и вообще, услышал стон какой-то, подумал, помощь нужна, начальник!
DrPass
28.08.2019 00:04браузер, который клиент сам поставил на свой компьютер и которому сам разрешил путём выставления соответствующих настроек сохранять файлы cookies на свой компьютере
Ну, не перегибайте. Во-первых, клиент сам ничего подобного браузеру не разрешал. Это неочевидная дефолтная настройка, а не его волеизъявление. Во-вторых, и браузер куки не сам по себе создаёт, а по указанию со стороны сайта. В-третьих, есть закон, в котором написано: «Ваш сайт имеет право сохранять свои куки только после получения согласия от клиента».
AC130
28.08.2019 00:17-1Это неочевидная дефолтная настройка, а не его волеизъявление.
Использование программы с такой настройкой — волеизъявление. Человек сам тыкает по ярлыку браузера.
браузер куки не сам по себе создаёт, а по указанию со стороны сайта
Он их создаёт потому, что создатель его так запрограммировал, а пользователь эту программу запустил с соответствующими правами. Создать браузер, который не сохраняет куки несмотря на указания сайта, нет никакой проблемы.
есть закон, в котором написано: «Ваш сайт имеет право сохранять свои куки только после получения согласия от клиента»
А удалённый веб-сервер, на котором хостится сайт, ничего на стороне клиента не сохраняет и сохранить не может в принципе. Он только высылает данные.DrPass
28.08.2019 00:49+1Использование программы с такой настройкой — волеизъявление. Человек сам тыкает по ярлыку браузера.
Не надо подменять понятия. Волеизъявление — это когда человек сказал «я хочу, чтобы у меня сохранялись куки». Когда он запускает программу, которая может быть использована третьими лицами для сохранения этих самых кук (а может и не быть), при этом запускает он её не для того, чтобы ему кук накидали, а совсем для другой функции — сайты посмотреть, это не волеизъявление. Точный аналог вашего утверждения — жертва ограбления сама добровольно пошла вечером в тёмное место, значит, это было ограбление по её волеизъявлению.
Создать браузер, который не сохраняет куки несмотря на указания сайта, нет никакой проблемы.
Ещё раз: есть закон, в котором написано: «Ваш сайт имеет право сохранять свои куки только после получения согласия от клиента». Сайт сохраняет их без получения согласия (явного) — вы нарушили закон, вы отвечаете за это, если вы в юрисдикции европейских судов. Точка. Всё остальное лишь досужая демагогия.AC130
28.08.2019 19:41Волеизъявление — это когда человек сказал «я хочу, чтобы у меня сохранялись куки». Когда он запускает программу, которая может быть использована третьими лицами для сохранения этих самых кук (а может и не быть), при этом запускает он её не для того, чтобы ему кук накидали, а совсем для другой функции — сайты посмотреть, это не волеизъявление. Точный аналог вашего утверждения — жертва ограбления сама добровольно пошла вечером в тёмное место, значит, это было ограбление по её волеизъявлению.
Нет, вы не правы. Человек запустил программу, настроенную так, что при получении кук с вебсайта эта программа их сохраняет. Корректная версия вашей аналогии: человек купил кошелёк, который каждому встречному пытается засунуть в карман купюру, если кошелёк
не закрыть.
Ещё раз: есть закон, в котором написано: «Ваш сайт имеет право сохранять свои куки только после получения согласия от клиента». Сайт сохраняет их без получения согласия (явного) — вы нарушили закон, вы отвечаете за это, если вы в юрисдикции европейских судов. Точка. Всё остальное лишь досужая демагогия.
Ещё раз: удалённый веб-сервер, на котором хостится сайт, ничего на стороне клиента не сохраняет и сохранить не может в принципе. Он только высылает данные. Решение о сохранении чего-либо принимает выбранный и запущенный пользователем браузер, на основании настроек, т.е. сам пользователь сайта. На этом принципе работают блокировщики рекламы: представьте себе, сайт не может насильно показать человеку рекламу! Равно как и сохранить что-либо на чужом компьютере.Kanut
28.08.2019 20:00Нет, вы не правы. Человек запустил программу, настроенную так, что при получении кук с вебсайта эта программа их сохраняет.
Если программа в момент установки ему об этом сообщает и самое главное сообщает ему какие возможные виды куки она сохраняет и он с этим согласен, то никаких проблем.
Кроме того ваша аналогия с кошельком не совсем уместна. Этот самый пользователь может быть не против чтобы определённые страницы сохраняли определённые виды куки, но при этом против других видов куки и/или сохранения их определёнными страницами.
И с точки зрения GDPR не особо логично требовать от пользователя чтобы заходя на какую-то страницу он первым делом лез проверять какие куки ему сохранили.
Ещё раз: удалённый веб-сервер, на котором хостится сайт, ничего на стороне клиента не сохраняет и сохранить не может в принципе. Он только высылает данные.
Я уже писал ниже что «сохранение куки сервером», это упрощение используемое в дискуссиях и иногда в попап баннерах. В самом законе совсем другие формулировки.AC130
28.08.2019 20:27Если программа в момент установки ему об этом сообщает и самое главное сообщает ему какие возможные виды куки она сохраняет и он с этим согласен, то никаких проблем.
Даже если не сообщает — тоже никаких проблем. Пользователь сам выбрал именно эту программу для установки, если он не удосужился проверить и убедиться в том, что программа работает именно так, как он хочет — значит он сам согласился на всё, что будет делать программа после её установки по воле пользователя и запуска по воле пользователя.
Я уже писал ниже что «сохранение куки сервером», это упрощение используемое в дискуссиях и иногда в попап баннерах. В самом законе совсем другие формулировки.
Если это так, то мой оппонент мне солгал.Kanut
28.08.2019 20:34Даже если не сообщает — тоже никаких проблем. Пользователь сам выбрал именно эту программу для установки, если он не удосужился проверить и убедиться в том, что программа работает именно так, как он хочет — значит он сам согласился на всё, что будет делать программа после её установки по воле пользователя и запуска по воле пользователя.
Не всё так просто. С точки зрения GDPR(да и моей в принципе тоже) нельзя требовать от человека, чтобы покупая или устанавливая что-то, он на уровне эксперта понимал как конкретно это что-то работает и какие последствия может иметь использование. И это не только к программному обеспечению относится но и к обычным бытовым приборам, мебели, одежде, еде и так далее.
Можно ожидать что будет понимание на уровне среднестатистического обывателя. Всё что уходит за эти рамки по хорошему надо указывать.AC130
28.08.2019 21:51Я тоже считаю что нельзя требовать от пользователя. Но я считаю что если человек чего-то не понимает и не желает разбираться — то он этим не пользуется. А если пользуется — то он сам себе злобный буратино. Если я не знаю как правильно пользоваться ножом и я порезался, то я не требую принять закон об обязательных плашках на всех ножах "используя нож вы соглашаетесь с риском себя порезать, примите лицензионное соглашение перед взятием ножа за ручку", ведь так?
Kanut
28.08.2019 22:06Если я не знаю как правильно пользоваться ножом и я порезался, то я не требую принять закон об обязательных плашках на всех ножах «используя нож вы соглашаетесь с риском себя порезать, примите лицензионное соглашение перед взятием ножа за ручку», ведь так?
Пользование ножом как раз таки входит в «понимание на уровне среднестатистического обывателя».
А теперь представьте себе что вы купили себе нож, а он содержит ядовитые вещества, которые при контакте с кожей приводят к каким либо проблемам. Вы теперь должны каждый купленый нож отдавать на химическую экспертизу?
Или вы купили нож, а он ничего твёрже масла не режет. Или скажем приходит в негодность после контакта с лимонной кислотой или даже водой. Вы сами виноваты что не проверили его в магазине на всех видах продуктов?
Какую-то границу чего от товара можно ожидать без особой экспертизы всё равно где-то проводить придётся. И для обычных вещей это уже давно сделано и никого особо не удивляет.AC130
28.08.2019 22:56Порезаться можно любым ножом. А растворяется в лимонной кислоте очень малая доля ножей. Ввиду этого тот факт, что ножом можно порезаться — часть повседневного опыта. Сайты, использующие куки, намного чаще используются, чем сайты, не использующие куки. Для среднестатистического пользователя Интернета, который сидит в соц. сетях, пользуется гуглом и т.п. использование сайтом кук — обыденная вещь. Т.е. опять же, ежедневное сохранение чьих-то кук — часть повседневного опыта.
Вот если бы сайт мог отформатировать жёсткий диск пользователя, то тут я бы согласился с тем, что плашечку надо показать… Ведь таких сайтов пока я не встречал.Kanut
28.08.2019 23:06Для среднестатистического пользователя Интернета, который сидит в соц. сетях, пользуется гуглом и т.п. использование сайтом кук — обыденная вещь
Для среднестатистического пользователя куки вообще никакой роли не играют и он не понимает что это и зачем они нужны. И если бы не GDPR и баннеры он бы наверное вообще не знал о их существовании.
И в общем-то на «обычные» куки до сих пор наплевать и пользователю и даже GDPR.
Но если вы своими куки преследуете какие-то иные цели кроме как обеспечить пользователю нормальную работу с вашим сервисом(в чём в общем то и заключается изначальный смысл куки), то согласно GDPR вы должны пользователя об этом предупредить и спросить его разрешения это делать.
П.С. И если проводить аналогии, то тогда это будет не «нож», а скажем какой-нибудь софт, который кроме своей основной функции собирает ваши пароли и отсылает их кому-то ещё.
Или скажем будильник, который снимает происходящее в вашей спальне и выкладывает видео на порносайты.AC130
28.08.2019 23:26Опять же, если такой будильник один-единственный — то большой плашки на нём «я вас снимаю и выкладываю на порносайт» и правда не хватает. А если такие будильники в каждой спальне стоят и никто не удосуживается даже заклеить камеру пластырем или хотя бы зайти на порносайт и посмотреть что же там заснято — то и смысла в законе, обязывающем ставить плашку, не вижу.
Kanut
29.08.2019 08:09А теперь представим себе что некоторые будильники записывают видео, некоторые аудио, некоторые нашёптывают вам во сне рекламу, некоторые сообщают посторонним когда никого нет дома, некоторые делают всё вместе, а некоторые делают ещё что-то и никто вообще не понимает что именно.
И никто даже близко не знает сколько осталось нормальных будильников, а сколько вот таких со "скрытыми функциями".
Будем ожидать от пользователя что он при покупке будет сам выяснять что там делает или не делает его будильник? Или обяжем производителей указывать все функции, которые выходят за рамки стандартного будильника?
DrPass
29.08.2019 01:19. Но я считаю что если человек чего-то не понимает и не желает разбираться — то он этим не пользуется.
И много ли пользователей микроволновки могут (а главное, должны) понимать, например, в магнетронах и их излучении? При этом, заметьте, дверца в микроволновке устроена таким образом, чтобы магнетрон не работал, когда она открыта. Не надеясь на то, что пользователь изучил матчасть и не будет самого себя ненароком поджаривать.
Пользователю от инструмента нужно нажать кнопку и получить результат. Остальное для него черный ящик, и как оно внутри работает, его вообще волновать не должно. Веб-мастер обязан знать про куки, но совершенно не обязан знать про систему клапанов вен, хотя он ей пользуется ежесекундно. Хотя ему и не запрещено, в силу любознательности. Аналогично, ангиохирург обязан прекрасно разбираться в системе клапанов венн, но совершенно не обязан знать о существовании каких-то там кук в браузере, хотя им он тоже регулярно пользуется.
Am0ralist
28.08.2019 20:59Пользователь сам выбрал именно эту программу для установки, если он не удосужился проверить и убедиться в том, что программа работает именно так, как он хочет — значит он сам согласился на всё, что будет делать программа после её установки по воле пользователя и запуска по воле пользователя.
«Пользователь сам подписал договор, в котором мелким текстом 1 размера было написано, что после подписания он передаёт нам квартиру, машину и все деньги на счёте»
«Пользователь сам выбрал купить этот просроченный продукт и употребить его без проверки на его качество, а отсутствие срока годности на нём ни при чём»
«Пользователь сам выбрал машину и то, что он не удосужившись проверить её качество выехал на дорогу и разбился из-за неисправного всего, совершенно не вина производителя».
Пользователь не является экспертом в любой отрасли, а так же не имеет возможность проверить всё, что он использует на качество и злоупотребление с другой стороны. Законы обязывают другие стороны держаться в установленных рамках. В противном случае вы покупаете БАДы для потенции с меткой «без побочных эффектов», а в них получаете такое количество известных медицинских веществ, после которого вполне себе можете окочуриться по вполне известным побочным их свойствам, написанным в инструкции любого мед.препарата с ним.
И производитель такой в ответ так и скажет: потребитель сам дурак, что нам доверился.
D01
29.08.2019 08:12Кстати, если там все такие нервные, то почему бы при первом старте браузера не вывести вопрос о том, использовать куки или нет. И кстати, а LS можно использовать?)
pronvit
28.08.2019 05:11Эти новые правила про куки — самая большая глупость, не ясно, как в здравом уме принятая. Куки существуют сто лет, и когда они везде и без них ничего не может нормально работать, спохватились вдруг. Мало того, что теперь все сайты изуродованы этими попапами, так еще в большинстве случаев оно все равно не работает, как положено, — до согласия пользователя никакие куки ставится не должны, но тогда опять же все перестанет работать. В общем, ограничивать использование одной из основных технологий веба — странная идея.
FibYar
28.08.2019 08:20А ещё очень «нравится», что в подавляющем большинстве этих попапов есть лишь кнопка «ОК», что подтверждает согласие. Кнопки «Отказаться» нет почти нигде. В итоге, ты либо соглашаешься, либо пользуешься сайтом, закрытым попапом на 2/3, либо не пользуешься сайтом вовсе.
Kanut
28.08.2019 09:14Вы бы хоть закон почитали прежде чем такое писать:
Если cookie-баннера на сайте нетВы соблюдаете GDPR, если не устанавливаете вообще никаких куков или устанавливаете только куки, строго-необходимые для работы сайта. Еврокомиссия приводит примеры таких cookies:
сессионные и создаваемые на основании пользовательского ввода. Например, сохраняющие данные о товарах в корзине покупок;
сессионные для аутентификации;
сессионные для воспроизведения мультимедийного содержимого. Например, куки медиа-плеера;
сессионные для балансировки нагрузки;
используемые для обнаружения несанкционированного доступа и связанные с функциональностью, явно запрашиваемой пользователем — в течение ограниченного периода времени. Например, куки, подсчитывающие количество попыток ввода пароля;
куки пользовательского интерфейса: сессионные или устанавливаемые до нескольких часов.
Установка строго-необходимых куков не требует получения согласия. Во всех остальных случаях согласие необходимо (п. 32 Преамбулы GDPR) и cookie-баннер нужно установить./spoiler>orion76
28.08.2019 10:48…
Установка строго-необходимых куков не требует получения согласия. Во всех остальных случаях согласие необходимо (п. 32 Преамбулы GDPR) и cookie-баннер нужно установить
Хм… нефигасе если правда (т.е. больше нет в этом GDRP еще каких либо хитроюридических «подводных» нюансов).
Этож получается, в основном запрещено без согласия пользователя только устанавливать куки, которые не «нужны» пользователю для непосредственного пользования основным функционалом вэб-приложения.
Т.е. те куки, которые «нужны» только владельцу вэб-приложения для различных «темных делишек», типа «шпионства» за пользователем, с целью использования данной информации в личных корыстных целях и т.п.
Правильно понимаю?-)
Kanut
28.08.2019 10:54Как минимум это идея и цель всего GDPR :)
Но ньюансов, неоднозначных формулировок и различных подводных камней к сожалению тоже пока достаточно.
Но это, как минимум по идее, должно исправляться/компенсироваться исправлениями/поправками к закону и адекватными судами и комиссиями. Вот и посмотрим как это сработает на данном примере :)
vp7
28.08.2019 10:21Доиграются они так.
Кончится всё тем, что какая-то компания таки откроет спецификации и с удивлением узнает/докажет, что никакой сайт не может установить куки без согласия пользователя — сайт предлагает установить какие-либо куки, а браузер пользователя выступая от имени и с согласия пользователя устанавливает данные куки.
Если пользователь не согласен с установкой cookies, то претензии можно предъявлять только к нему самому и настройкам его браузера, в котором достаточно отключить поддержку кук на уровне браузера… ах, да, у пользователя сломается дохренища сайтов, включая гуглопоиск, который начнёт заставлять доказывать, что ты не бот, но вот пусть тогда Гуглу и выставляют претензию о том, что он не работает без этих мерзких кукисов ;)
Kanut
28.08.2019 10:28Кончится всё тем, что какая-то компания таки откроет спецификации и с удивлением узнает/докажет, что никакой сайт не может установить куки без согласия пользователя — сайт предлагает установить какие-либо куки, а браузер пользователя выступая от имени и с согласия пользователя устанавливает данные куки.
Все компании это прекрасно знают, но никакой особой роли это не играет потому что закон сформулирован несколько по другому и «сайт устанавливающий куки» это всего лишь упрощение, часто используемое в дискуссиях, а не текст закона :)
Andrey_Rogovsky
28.08.2019 12:34Суть в том, что надо предупреждать
ntfs1984
28.08.2019 13:50Суть в том, что предупреждаю вас, что сейчас я вас предупрежу о том что буду предупреждать вас о комментировании вашего комментария о предупреждении. Предупреждаю.
Сами понимаате, это вот «надо предупредить» может дойти до маразма, и черту определить очень трудно, если вообще возможно, и cookie-истерия тому пример.
ommunist
28.08.2019 21:56Поэтому довольно много американских и канадских сайтов просто отрубили входящий трафик из Европы. Instapaper, кстати тоже, чему я был не рад.
Kanut
Будет интересно чем этот адвокат собирается обосновывать «ущерб в 12000€». Скорее всего в результате договорятся на что-нибудь в районе 500€ и успокоятся.
П.С. И будем надеятся что в результате будет меньше бардака с cookies.
edogs
Нечто вроде «он установил на мой компьютер куки, да не один раз, а целых двенадцать, без моего явного согласия, это насилие надо мной, теперь я не могу чувствовать себя в безопасности, каждый раз запуская браузер у меня флэшбэки о той ситуации когда меня 12 раз пенетрировали кукисами и я даже не понимал что происходит пока мне не объяснили что это и почему это плохо и почему это насилие, я не могу теперь спокойно использовать браузер из-за этого, это вызывает у меня чувство беззащитности и тревожности, я не могу даже найти телефон ближайшего психолога который мог бы помочь преодолеть мою проблему, но если я все-таки его найду — мне понадобятся деньги на оплату его услуг и это тоже будет включено в следующий иск, если мы не договоримся сейчас, я так же общался со своими друзьями и выяснилось что друзья другой расы/возраста/пола не получали столько же куков сколько я — значит это расовая/возрастная/половая дискриминация — а это еще хуже — это уже нападение на целую группу людей, я даже не могу связно формулировать мысли — вот видите какой поток получается».
ABATAPA
В мемориз. :)
Kanut
Насколько мне известно в Австрии/Германии такие вещи к счастью не прокатывают:)
Ущерб в данном случае это скорее время, потраченное на выяснение почему внезапно появилась странная реклама.
fetis26
бардака меньше не станет. а вот огромных попапов мы используем куки и нажмите 3 раза ок, чтобы согласиться станет больше. я не вижу смысла вообще в этих согласиях
Kanut
Я этот вопрос для себя решил очень просто: если на странице всплывает такой огромный попап, то я просто закрываю страницу и всё.