В конце прошлого года Суд Европейского союза запретил сайтам устанавливать cookies по умолчанию и использовать предварительно заполненные чек-боксы на соответствующих баннерах. Регулятор заявил, что эти практики противоречат требованиям Общего регламента по защите данных.

В начале мая Европейский совет по защите данных (European Data Protection Board, EDPB) поставил точку еще в одном вопросе — cookie-стены нарушают GDPR. Обсуждаем ситуацию.


Фото — Erol Ahmed — Unsplash

Постановление EDPB


В марте прошлого года нидерландский регулятор назвал cookie-стены незаконными. Это — баннеры, блокирующие доступ к контенту, пока пользователь не даст согласие на обработку персональных данных. Решение агентства по защите данных в Нидерландах спровоцировало дискуссию среди владельцев сайтов, юристов и политиков. И в начале месяца представители European Data Protection Board (занимается вопросами правоприменения GDPR) выпустили официальное разъяснение, в котором подтвердили — куки-стены противоречат требованиям GDPR. Они вынуждают пользователей принять условия сбора данных, в то время такое согласие должно быть добровольным.

Дополнительно комиссия EDPB разъяснила, что пролистывание веб-страницы также нельзя считать разрешением на обработку ПД.

Какие есть подводные камни


EDPB лишь принимает новые правила и разъясняет законы, связанные с защитой персональных данных. За их исполнением следят местные власти стран-членов Евросоюза. Но ряд экспертов отмечает, что дела с этим обстоят не лучшим образом. Несмотря на штрафы по GDPR — которые могут достигать 20 млн евро — многие ресурсы устанавливают куки без согласия пользователей.

Специалисты из Орхусского университета, Университетского колледжа Лондона и MIT отмечают, что лишь 11,8% баннеров соответствуют минимальным требованиям законодательства ЕС.

Также журналисты The Verge пишут, что запрет cookie-стен не станет панацеей. В арсенале нечистых на руку веб-мастеров есть множество инструментов, с помощью которых они заставляют пользователей дать согласие на установку cookies. К «темным практикам» относят излишне сложные интерфейсы и расплывчатые формулировки.


Фото — Kari Shea — Unsplash

Что интересно, необходимости строго регулировать куки можно было избежать, если бы все компании изначально следовали рекомендациям, прописанным в оригинальной спецификации cookies (RFC 2109). На этот факт обратил внимание Томас Бикдал (Thomas Baekdal), основатель одноименного технологического журнала Baekdal.

Спецификацию разработали инженеры из Netscape Communications еще в 1997 году. Документ запрещает интернет-ресурсам ставить сторонние cookies или как минимум активировать их по умолчанию. При этом сайты должны предоставлять пользователям возможность удалять данные о себе и отзывать разрешение на установку cookies. Аналогичные требования сегодня можно найти в статьях №17 и №21 GDPR.

Как самостоятельно заблокировать нежелательные cookies


Можно воспользоваться инструментами, которые предлагают различные браузеры. В Mozilla разработали утилиту, запрещающую установку сборщиков цифровых отпечатков и отслеживающих куков. Аналогичные решения есть в Safari и Brave, а Google пока только планирует их внедрить. Соответствующая функциональность в Chrome появится в ближайшие два года.

Еще одним инструментом защиты может быть фреймворк Do Not Track (DNT). Он разработан консорциумом W3C и должен автоматизировать работу с куками. В браузер добавляется специальная функция. Она сообщает сайтам, установку каких cookies разрешил пользователь. Однако исследования Forrester показали, что популярные ресурсы игнорируют новый механизм. По этой причине в начале прошлого года инженеры из W3C прекратили работу над проектом. Остается надеяться, что кто-нибудь продолжит начатое консорциумом дело и доведет его до логического завершения.



Посты из блога 1cloud.ru:

Ситуация: нарушают ли AdTech-компании GDPR?
Потенциальные атаки на HTTPS и как от них защититься
Какие инструменты помогут соответствовать GDPR
Почему разработчики мейнстрим-браузера снова отказались от отображения поддомена



У нас на Хабре: