В начале мая Европейский совет по защите данных (European Data Protection Board, EDPB) поставил точку еще в одном вопросе — cookie-стены нарушают GDPR. Обсуждаем ситуацию.
Фото — Erol Ahmed — Unsplash
Постановление EDPB
В марте прошлого года нидерландский регулятор назвал cookie-стены незаконными. Это — баннеры, блокирующие доступ к контенту, пока пользователь не даст согласие на обработку персональных данных. Решение агентства по защите данных в Нидерландах спровоцировало дискуссию среди владельцев сайтов, юристов и политиков. И в начале месяца представители European Data Protection Board (занимается вопросами правоприменения GDPR) выпустили официальное разъяснение, в котором подтвердили — куки-стены противоречат требованиям GDPR. Они вынуждают пользователей принять условия сбора данных, в то время такое согласие должно быть добровольным.
Дополнительно комиссия EDPB разъяснила, что пролистывание веб-страницы также нельзя считать разрешением на обработку ПД.
Какие есть подводные камни
EDPB лишь принимает новые правила и разъясняет законы, связанные с защитой персональных данных. За их исполнением следят местные власти стран-членов Евросоюза. Но ряд экспертов отмечает, что дела с этим обстоят не лучшим образом. Несмотря на штрафы по GDPR — которые могут достигать 20 млн евро — многие ресурсы устанавливают куки без согласия пользователей.
Специалисты из Орхусского университета, Университетского колледжа Лондона и MIT отмечают, что лишь 11,8% баннеров соответствуют минимальным требованиям законодательства ЕС.
Также журналисты The Verge пишут, что запрет cookie-стен не станет панацеей. В арсенале нечистых на руку веб-мастеров есть множество инструментов, с помощью которых они заставляют пользователей дать согласие на установку cookies. К «темным практикам» относят излишне сложные интерфейсы и расплывчатые формулировки.
Фото — Kari Shea — Unsplash
Что интересно, необходимости строго регулировать куки можно было избежать, если бы все компании изначально следовали рекомендациям, прописанным в оригинальной спецификации cookies (RFC 2109). На этот факт обратил внимание Томас Бикдал (Thomas Baekdal), основатель одноименного технологического журнала Baekdal.
Спецификацию разработали инженеры из Netscape Communications еще в 1997 году. Документ запрещает интернет-ресурсам ставить сторонние cookies или как минимум активировать их по умолчанию. При этом сайты должны предоставлять пользователям возможность удалять данные о себе и отзывать разрешение на установку cookies. Аналогичные требования сегодня можно найти в статьях №17 и №21 GDPR.
Как самостоятельно заблокировать нежелательные cookies
Можно воспользоваться инструментами, которые предлагают различные браузеры. В Mozilla разработали утилиту, запрещающую установку сборщиков цифровых отпечатков и отслеживающих куков. Аналогичные решения есть в Safari и Brave, а Google пока только планирует их внедрить. Соответствующая функциональность в Chrome появится в ближайшие два года.
Еще одним инструментом защиты может быть фреймворк Do Not Track (DNT). Он разработан консорциумом W3C и должен автоматизировать работу с куками. В браузер добавляется специальная функция. Она сообщает сайтам, установку каких cookies разрешил пользователь. Однако исследования Forrester показали, что популярные ресурсы игнорируют новый механизм. По этой причине в начале прошлого года инженеры из W3C прекратили работу над проектом. Остается надеяться, что кто-нибудь продолжит начатое консорциумом дело и доведет его до логического завершения.
Посты из блога 1cloud.ru:
Ситуация: нарушают ли AdTech-компании GDPR?
Потенциальные атаки на HTTPS и как от них защититься
Какие инструменты помогут соответствовать GDPR
Почему разработчики мейнстрим-браузера снова отказались от отображения поддомена
У нас на Хабре:
- IaaS-провайдеры ведут борьбу за европейский рынок — обсуждаем ситуацию
- Подборка материалов об истории DNS, регулировании ИТ и железе 1cloud.ru
perezanov
Так почему Евросоюз искореняет cookie-стены?
Им бы сначала с обычными куками разобраться. Уж два года как борьба с cookie по GDPR — сплошная профанация. Любой сайт проверьте, — мало кто соблюдает GDPR
nApoBo3
Искореняет потому, что они противоречат изначальной цели GDPR. А конкретно осознанность и добровольность предоставления и минимизация сбора персональных данных.
Куки стены нарушают добровольность и осознанность, а часто и совсем не минимальны. Хотите, чтобы пользователь не мог пользоваться вашим сайтом без сбора персональных данных, делаете доступ по регистрации, но о ужас, так же упадет трафик. Да, вот такой парадокс, пользователь оказывается осознанно не хочет за ваш контент давать вам персональные данные и делает это только потому как не осознает на что же он подписывается разрешая куки в куки стене.
soniq
Ну разрешить куки это совсем не то же самое, что оставить им свой емейл.