Впереди Европы всей: зачем мы сделали 2GDPR

2GDPR — запущенный в Украине уникальный сервис быстрой проверки сайтов на соответствие GDPR.
Владельцам сайтов сервис помогает за несколько секунд определить возможные нарушения GDPR и устранить их.
Обычные же пользователи могут проверить любой сайт и узнать, насколько защищена их приватность при использовании такого сайта.

2GDPR проверяет cookie-файлы (подробнее на Хабре), онлайн-отслеживание, шифрование передачи персональных данных из найденных веб-форм и некоторые другие возможные риски утечки персональных данных.

В этой теме готовы ответить на вопросы о GDPR и особенностях работы сервиса.

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

так а смысл? логи не анализирует, БД не анализирует

Аналізуємо деякі елементи, що доступні одразу при заході на сайт і являють собою ризики порушення GDPR та ePrivacy Directive, або можуть бути причиною витоку персональних даних.
Звичайно ми не можемо аналізувати те, чого не бачимо: логи на сервері, БД і т.і. Це має робити юрист у глибокій співпраці з IT-шниками.

Да задолбали уже своими куками. Больше всего раздражает подтверждения, что сайт использует куки.

Самый добло-ящерный закон придумали и все этим дегениратам потокают.

Благо блокировщик рекламы решает вопрос с включенным правилом «I don’t care about cookies».

Вочевидь, це не просто так. Якщо дивитися ширше, то банальний cookies від GA чи Facebook на кожному другому сайті може бути використаний для профілювання користувача та суттєво вплинути на розвиток цілих держав. Як? Через «зомбування» виборця правильно адаптованою під нього рекламою чи підбірками «персональних» новин. Згадайте подібний випадок скандалу Facebook та Cambridge Analytica.

P.S. Сейчас к людям надо помягше. А на вопросы смотреть ширше («Операция «Ы и другие приключения Шурика»)

Мне лично пофиг, да и большинству пользователей пофиг.
Почему из-за кучки надмозгов должны остальные страдать?

Мне лично пофиг, да и большинству пользователей пофиг.

Це Ви про

профілювання користувача

чи про

розвиток цілих держав

Хоча в контексті наведеного прикладу це одне й те ж саме, а до таких держав, доречі, може належати й Україна. Не помічаєте купу політично-ангажованого адсенсу напередодні виборів?

Нет про то, что существующий закон про куки вреден.

От этих браузеров одни проблемы — то js сука тормозит и жрет память, то эти куки дураццкие! :-)

Мне кажется очень даже полезный сервис

дякуємо за позитивну оцінку. Якщо у Вас виникнуть предметні питання, будемо раді допомогти.

(подробнее на Хабре)

Ну а сюда мы просто поспамить пришли. Я надеюсь вы имеете какую-то страховку и если что оплатите штрафы за клиента? Иначе нехорошо получится если ваш сервис ничего не найдет, а проверяющий орган найдет

обговорюємо і відповідаємо на питання наразі саме на DOU.
Щодо помилок, то помилятися можуть не тільки автоматизовані сервіси, а й, на жаль, юристи, бухгалтери, і навіть лікарі.
Ми ж зазначаємо, що позитивний результат перевірки не повинен сприйматися як гарантія того, що веб-сайт відповідає ВСІМ вимогам, викладеним у GDPR та ePrivacy.
Детальніше: в Умовах використання 2GDPR

Реклама такая реклама

Дякуємо за Ваш коментар. Будемо раді бачити Вас серед клієнтів або партнерів.

Перевірив devspace.com.ua який використовує Google Analytics, все одно треба отримувати дозвіл на використання cookie?

Від відвідувачів з ЄС необхідно отримувати попередню згоду на встановлення будь-яких статистичних cookies, в тому числі й від Google Analytics.
Про це пише сам Google. В Регламенті ж ці вимоги викладені у п. 30 та п. 32 Преамбули. Українською GDPR опубліковано на сайті Верховної Ради України

необхідно отримувати попередню згоду

Не треба
itsosticky.com/bleeyq

Все ж таки треба.

Є поняття строго необхідних cookies, без встановлення яких функціонал сайту обмежується. Такі cookies не потребують згоди.

До них належать, серед іншого, cookie інтерфейсу користувача або вибору мови (сесійні, або до декількох годин).

Приклади таких строго необхідних cookies наведені на сайті Єврокомісії, переклад російською є тут

Щодо наведеного скриншоту дозвольте звернути Вашу увагу на п 3.1. Умов використання, де викладено саме це.

Отже, статистичні і рекламні cookies не належать до строго необхідних і потребують попередньої згоди від користувачів з ЄС.

Є поняття строго необхідних cookies, без встановлення яких функціонал сайту обмежується. Такі cookies не потребують згоди.

Вот я более чем уверен что отсутствие кукиса языка совершенно никак не скажется на фунционале. В отличии от каких-нибудь кук гугланалитикса.

Ну и да, в европах часто густо с куками работают так: если вы хотите пользоваться нашим сайтом согласитесь на сохранение кукисов. Без расшифровок по группам, без полного списка кук, без описания зачем нужна каждая кука.

GDPR не обязывает разделять обязательные и необязательные куки. Обязательность зависит лишь от точки зрения владельца сайта или его девелоперов.

переклад російською є тут

отетой херни тут точно не нужно

В отличии от каких-нибудь кук гугланалитикса.

Чи можете навести декілька пруфів-прикладів, в тому числі умовних. Ситуації дійсно є різні. За яких обставин, на Ваш погляд, cookie від GA може суттєво впливати на роботу сайту?

отетой херни тут точно не нужно

прийнято

Я бы мог привести пример с нашим клиентом, но не могу. Что касается других сайтов — я не могу быть на 100% уверенным что это так.

Выковырять гугльанатитику с современного сайта зачастую очень сложно — это не счётчик яндекс-каунтера закоментировать. Потому клиент отнёс всю гугланалитику в необходимые и не стал морочить себе и нам голову.

Вообще как оказалось куча third-party сервисов подлюкаются сложнее чем просто ссылкой на скрипт. Самый простой случай был, как не смешно это звучит, с кажись пайпалом (или не пайпал, но что-то с финансами связанное) который добавлял куку просто по ссылке на картинку.

GDPR не обязывает разделять обязательные и необязательные куки. Обязательность зависит лишь от точки зрения владельца сайта или его девелоперов.

Первые придумали и разъяснили что нужно все расписывать как раз владельцы таких сервисов (например cookiebot). Сам же закон очень расплывчастый и сказать на 100% как правильно нельзя. Но судя из того что за год я не слышал чтобы штрафовали владельцев каждого третьего сайта, то все норм как есть

Сам же закон очень расплывчастый и сказать на 100% как правильно нельзя.

О да, там всё настолько расплывчано что будь это наш (украинский закон) бизнес бы уже сидел весь в штрафах и с тоской вспоминал пожарных инспекторов с их огнетушителями.

GDPR не обязывает разделять обязательные и необязательные куки. Обязательность зависит лишь от точки зрения владельца сайта или его девелоперов.
Первые придумали и разъяснили что нужно все расписывать как раз владельцы таких сервисов

Вимоги Єврокомісії щодо cookies базуються на двох нормативних актах: GDPR, та ePrivacy directive. І саме Єврокомісія із посиланням на ePrivacy directive тут пояснює, що таке строго необхідні cookies (cookies that are strictly necessary).

Окрім того, визначення однієї правової норми (юридичного правила) різними нормативними актами — це звичайна правова практика. Найчастіше правова норма складається з гіпотези (умови її дії), диспозиції (прав та обов’язків суб’єктів) і санкції (що буде за її невиконання). Такі частини можуть бути «розкидані» по різним законам.

І саме Єврокомісія із посиланням на ePrivacy directive тут пояснює, що таке строго необхідні cookies (cookies that are strictly necessary).

Она там ничего не поясняет, она там говорит что провадер услуги имеет право считать какие-то кукисы необходимыми для работы сервиса. Всё.

Вы посчитали что для работы сервиса необходима кука языка, и даже не проинформировали меня об этом, скриншот выше dou.ua/...​rums/topic/27638/#1611823

Кто-то другой посчитает что куки гугльаналитики необходимы для работы сервиса. Наш клиент так посчитал и никто не имеет права за него решить что они не необходимые. И в суде доказать это не сможет. Так как нет четких юридических формулировок.

П.С.
Я тут не собираюсь вас в чём то уличать, обличать и т.п. Просто обратил внимание общественности что нет необходимости заморачиваться разбивкой кукисов на группы, показыванием детализированной информации пользователю. Дело не только в том что 99,99% пользователей не глядя клацнут «Allow» или «Go to service». Дело в том что этого не требует GDPR. GDRP требует чтоб пользователь был проинформирован и чтобы от него было получено согласие тогда, когда по мнению провайдера получение данных от пользователя опционально.

П.П.С.
В Украине закон о защите персональных данных появился гораздо раньше GDPR, персональными данными там названы те же самые вещи что и в GDPR. Но ни помню чтобы хоть один сайт спрашивал разрешения на сохранение кукисов и очень-очень редко что просит поставить галочку при передаче того что является 100% персональными данными (емейл, телефон, ФИО, адрес). По всей видимости только отсутствие наработанных процессов и специального барышевского суда по ПД сдерживает наезды на бизнес.

Ваша позиція зрозуміла і ми вдячні за розгорнуту відповідь

Проте з огляду на зазначене Вами:

Наш клиент так посчитал и никто не имеет права за него решить что они не необходимые. И в суде доказать это не сможет.
...
GDRP требует чтоб пользователь был проинформирован и чтобы от него было получено согласие тогда, когда по мнению провайдера получение данных от пользователя опционально.

наступна ситуація, судячи з Ваших думок, є абсолютно безризиковою:
Власник сайту вирішує, що йому вкрай необхідно знати, скільки людей і звідки відвідують його сайт (наприклад, щоб оцінити доцільність його підтримки, або ефективність SEO-послуг).
Саме і лише для цього він встановлює Google Analytics (переважна більшість сайтів користуються аналітикою Google з цією метою).
Згоду від євро-користувачів , як Ви зазначаєте, йому не потрібно отримувати: він же ж самостійно вирішив, що це необхідно.
Конкурент в особі будь-якої фізичної особи з ЄС (це може бути навіть український заробітчанин) бачить, що на сайті встановлються статистичні cookies GA, які відстежують його без дозволу.
Про це фізична особа скаржиться Регулятору письмово.


Ви дійсно вважаєте, що за таких обставин за фактом розгляду скарги Регулятор вважатиме, що для цих куків не потрібна згода і не прийме рішення про притягнення до відповідальності?


Щодо Закону України «Про захист персональних даних»: прямого згадування про cookies, на відміну від GDPR там немає.
Механізми ж впливу в Україні існують, проте більшість суб’єктів не обізнана ними.
Чи багато хто знає, що питаннями захисту ПД в Україні займається Уповноважений Верховної Ради України з прав людини?
З огляду на наш досвід, секретаріат Уповноваженого працює значно ефективніше, ніж інші суб’єкти владних повноважень. Там і заяву по телефону приймуть, і до суду доведуть.

Головне, знов таки, щоб була заява/скарга.

В европах к их счастью

Регулятор вважатиме, що для цих куків ... потрібна згода і ... прийме рішення про притягнення до відповідальності?

требует обоснования, нельзя оштрафовать просто потому что какой-то там регулятор вдруг решил что куки гугльаналитиики опциональны.

Конечно там не всё идеально, но в плане следования процедурам и обоснованности решений значительно лучше нас где любой барышевский суд может отменить закон всемирного тяготения.

Треба використовувати анонімізіровані кукі — тоді згода користувача непотрібна, бо не можна ідентифікувати фізичну особу.

Припускаємо, що Ви маєте на увазі норму, згідно якої дія GDPR не поширюється на обробку анонімної інформації, тобто коли суб’єкта даних неможливо ідентифікувати (п. 26 Преамбули).
Однак, це не може бути застосовано до third-party куків.
Якщо такий кук (навіть анонімізований) буде встановлено віджетом фейсбука на Вашому сайті, а згодом особа відвідає ряд інших сайтів (або навіть десь залогіниться через фейсбук), це може бути використано для створення профілів фізичних осіб та їхньої ідентифікації.
Про це йдеться у п. 30 Преамбули GDPR.

2GDPR аналізує переважно саме такі куки.

Я мав на увазі як раз third-party, а саме Google Analytics. Його можна налаштувати необхідним чином. Щодо інших third-party не скажу.

Якщо мова про цю анонімізацію (іншої ми не побачили), то вся анонімність там полягає у видаленні останнього октету IP-адреси користувача. Це не дозволяє приховати ані провайдера, ані регіон юзера.
У поєднанні із масивом іншої інформації, що збирається, це просто не витримує критики.
Переконані, якщо б така анонімізація від Google надавала сайтам можливість працювати у відповідності до GDPR, про це б неодмінно заявляли прямо.
Зверніть увагу: інструмент наведений як такий, що допомагає власникам сайтів дотримуватися своїх правил конфіденційності, а також (у деяких країнах) вказівок місцевих органів із захисту даних, які не дозволяють зберігати інформацію про повну IP-адресу.
Тут про GDPR чи cookies жодного слова, натомість про необхідність отримувати cookie-згоду від користувачів з ЄС Google каже прямо

Так, це воно. Я користуюся цим поясненням consent.guide/google-analytics-cookie-consent

To restate this, the WP29 opinion here is that you can have Google Analytics enabled by default, without the need for consent as long as you:
  • Provide clear information about GA in the website privacy policy.
  • Provide an opt-out (e.g. pre-ticked tickbox with the ability to untick it).
  • Anonymise the data sent to Google from the web browser.
  • Are happy that Google is acting as a data processor.

При всій повазі до автора Карла Готтліба, його розуміння анонімізації, на якій він будує свої доводи, далеко від істини.

so if your IP address is 111.122.133.144, the GA script in your browser will only send the 111.122.133 part to Google. This means that your GA dashboard will only show users’ geographic location at a country level and not a city or district level

Дійсно, Карл?
Ні! Така анонімізація у більшості випадків дозволить визначити і провайдера, і місцезнаходження користувача з точністю до району.
Зазвичай, якщо It-шники пишуть про юридичні питання, вони додають «що не є юристами». Напевно, юристам варто робити те ж саме: писати, що не мають технічних знань.

У WP29, напроти, йдеться про комплексну анонімізацію, в тому числі й IP:

the Working Party considers that first party analytics cookies are not likely to create a privacy risk when they are strictly limited to first party aggregated statistical purposes and ...
comprehensive anonymization mechanisms that are applied to other collected identifiable information such as IP addresses.

Що ж до Google, то його схема анонімізації, навіть зі слів компанії, може не відповідати GDPR:

Google не вважає ідентифікаційними даними:
  • псевдонімні ідентифікатори файлів cookie;
  • псевдонімні рекламні ідентифікатори;
  • IP-адреси;
  • інші псевдонімні ідентифікатори кінцевих користувачів.
  • Зверніть увагу, що дані, які Google не вважає ідентифікаційними, усе ж можуть вважатися особистими даними відповідно до регламенту GDPR.

    Будьте уважні, використовуючи мануали та роз’яснення. Відповідальність лежить саме на вас.

    Підписатись на коментарі