Три месяца спустя: как GDPR повлиял на работу c cookies

Европейский регламент по защите данных — GDPR — вступил в силу три месяца назад. За это время объем cookie на европейских новостных сайтах сократился примерно на четверть ^[1].

Сегодня рассказываем, как новые требования отразились на работе сайтов.

^[2]
/ фото Neil Conway ^[3] CC ^[4]

Требования регламента

Согласно пункту 30 ^[5] Европейского регламента, информация, получаемая с помощью cookie-файлов, может служить инструментом для формирования профиля пользователя и его идентификации. Таким образом, cookie приобретают статус персональных данных.

Поэтому GDPR требует владельцев сайтов получать обязательное согласие пользователя перед установкой cookie. До введения регламента многие сайты не спрашивали на это разрешения — показывался простой баннер с уведомлением. И считалось, что пользователь автоматически соглашается получить cookie, если продолжает работу с сайтом.

После введения GDPR этого оказалось недостаточно ^[6]. Теперь на всплывающем окне пользователь обязан отметить, что согласен принять cookie-файлы. Также владелец сайта должен рассказать, как используются cookie, как они обрабатываются и кому эта информация может быть передана. Также нужно предоставить посетителю возможность отказаться от использования конкретных cookie.

Все это прописывается в политиках конфиденциальности сайта. Ссылка на эти политики должна содержаться во всплывающем окне с оповещением.

Идея такого подхода — сделать процесс работы с cookie-файлами более прозрачным. Так пользователь получает всю информацию сразу, и ему не нужно самостоятельно удалять нежелательные cookie в настройках браузера.

Как GDPR повлиял на сайты

Аналитики Reuters сравнили данные о количестве используемых cookie европейскими сайтами за апрель и июль 2018 года (то есть до вступления GDPR в силу и после). Согласно результатам исследования, в среднем объем cookie на новостных порталах сократился на 22% ^[1]. Объем cookie, используемых сайтами Великобритании, уменьшился на 45% ^[7]. Во Франции этот показатель упал на 32%, в Германии — на 6%.

Интересен тот факт, что в Польше по каким-то причинам количество cookie, наоборот, выросло на 22%. Это единственное европейское государство с изменением в большую сторону.

По данным отчёта, серьезно снизился процент cookie, используемых для оптимизации работы сайтов. Меньше всего изменения коснулись cookie-файлов социальных сетей.

В отличие от европейских сайтов, ряд сайтов США, которые работали на европейском рынке, решили ^[8] не обновлять правила конфиденциальности и механизмы обработки cookie.

Как только GDPR вступил в силу, больше тысячи новостных американских порталов просто заблокировали доступ посетителям из ЕС.

Среди них есть сайты популярных изданий — Los Angeles Times, The Chicago Tribune, The Sun Chronicle и др. Пользователям из Европы показывается сообщение об ошибке. Это решение имеет очевидные репутационные риски и означает потерю части аудитории. Более того, как считают некоторые пользователи, такое поведение — негласное признание вины в неправомерной обработке ПД. Однако в основе такого подхода, скорее всего, лежит финансовая составляющая.

Американские организации пошли на такой шаг из-за нежелания вкладывать средства в проработку новых политик и внедрение новых решений. Небольшой трафик пользователей из Европы не окупит деньги, потраченные на соответствие нормам GDPR.

Как работать с cookie по GDPR

Количество сайтов, запрашивающих согласие на использование cookie-файлов, выросло ^[1] после введения GDPR. При этом форма уведомления на разных сайтах отличается.

Три месяца спустя: как GDPR повлиял на работу c cookies - 2
/ фото Helen Harrop ^[9] CC ^[10]

Сейчас в GDPR нет какого-либо единого алгоритма работы с cookie-файлами. Но можно принять ряд мер, которые бы полностью удовлетворяли требованиям регламента. Вот несколько из них:

Уведомить посетителя сайта об использовании cookie. При выборе формулировки за основу можно взять пример ^[11] из интернет-справочника ^[12] ЕС: «Этот сайт использует cookie. Узнайте больше о том, как «название организации» использует файлы cookie и как изменить настройки». Всплывающее окно с такой формулировкой появляется после открытия сайтов газет The Guardian, The Sun и The Daily Telegraph.
Проинформировать какие cookie и с какой целью используются. На сайте Forbes подробно описано, зачем нужна каждая cookie и как выбор пользователя отразиться на функциональности сайта.
Предоставить возможность выбора cookie, которые пользователь разрешает установить. Например, выбрать отдельные cookie можно на сайте Oracle. Для этого в каждом случае нужно отметить флажок «да/нет». Обязательные cookie запретить нельзя, но есть подробная информация по каждой из них.
Дать возможность пользователю отказаться от cookie. На сайте Fortune можно изменить список используемых cookie-файлов в любой момент, нажав на небольшой виджет Cookie Consent в углу страницы.

P.S. Материалы по теме из Первого блога о корпоративном IaaS:

Что считать ПД с точки зрения российского регулятора ^[13]

Как обрабатывать ПД в облаке ^[14]

ПД в облаке: зоны ответственности заказчика и облачного провайдера ^[15]

Автор: ИТ-ГРАДовец

Источник ^[16]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/cookies/291912

Ссылки в тексте:

[1] сократился примерно на четверть: https://arxiv.org/pdf/1808.05096.pdf

[2] Image: https://habr.com/company/it-grad/blog/422677/

[3] Neil Conway: https://www.flickr.com/photos/neilconway/5048762799/

[4] CC: https://creativecommons.org/licenses/by/2.0/

[5] Согласно пункту 30: http://www.privacy-regulation.eu/en/recital-30-GDPR.htm

[6] этого оказалось недостаточно: http://www.privacy-regulation.eu/en/recital-32-GDPR.htm

[7] уменьшился на 45%: https://www.bleepingcomputer.com/news/technology/number-of-third-party-cookies-on-eu-news-sites-dropped-by-22-percent-post-gdpr/

[8] решили: https://www.bleepingcomputer.com/news/technology/nearly-1-200-us-news-sites-still-not-available-for-eu-users-after-gdpr/

[9] Helen Harrop: https://www.flickr.com/photos/creatinginthedark/4669581753/

[10] CC: https://creativecommons.org/licenses/by-sa/2.0/

[11] пример: https://www.zdnet.com/article/the-five-step-gdpr-preparation-checklist-for-marketing-organizations/

[12] интернет-справочника: http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm

[13] Что считать ПД с точки зрения российского регулятора: http://iaas-blog.it-grad.ru/bezopasnost/chto-otnositsya-k-personalnym-dannym-s-tochki-zreniya-rossijskogo-regulyatora-personalnye-dannye-v-oblake-chast-1/

[14] Как обрабатывать ПД в облаке: http://iaas-blog.it-grad.ru/bezopasnost/principy-obrabotki-personalnyx-dannyx-personalnye-dannye-v-oblake-chast-2/

[15] ПД в облаке: зоны ответственности заказчика и облачного провайдера: http://iaas-blog.it-grad.ru/bezopasnost/zony-otvetstvennosti-zakazchika-i-oblachnogo-provajdera-personalnye-dannye-v-oblake-chast-3/

[16] Источник: https://habr.com/post/422677/?utm_source=habrahabr&utm_medium=rss&utm_campaign=422677

Нажмите здесь для печати.