[Из песочницы] Cookie-баннеры: как быстро проверить соблюдение GDPR
Недавно был опубликован обзор опенсорсной утилиты, которая помогает проверить cookies сайта на соответствие GDPR.
Прочитав и в который раз озадачившись необходимостью установки на своих проектах cookie-баннера для европейских посетителей, взялся изучить вопрос cookies и GDPR более подробно.
/ Flickr / Marco Verch / CC BY / Фото изменено
Для начала напомню, что GDPR — это Европейский регламент по защите данных, действующий повсеместно с 2018 года. Важно стараться его соблюдать, если у бизнеса есть хоть какие-то связи с Европой.
Для многих обычных сайтов, не хранящих вообще никаких персональных данных, соблюдение GDPR ограничивается установкой cookie-баннера для посетителей из Европы. По большей части нужно это, чтобы через них не позволять гигантам вроде Google, Facebook или Яндекс отслеживать поведение и предпочтения европейцев.
Если cookie-баннера на сайте нет
Вы соблюдаете GDPR, если не устанавливаете вообще никаких куков или устанавливаете только куки, строго-необходимые для работы сайта. Еврокомиссия приводит примеры таких cookies:
- сессионные и создаваемые на основании пользовательского ввода. Например, сохраняющие данные о товарах в корзине покупок;
- сессионные для аутентификации;
- сессионные для воспроизведения мультимедийного содержимого. Например, куки медиа-плеера;
- сессионные для балансировки нагрузки;
- используемые для обнаружения несанкционированного доступа и связанные с функциональностью, явно запрашиваемой пользователем — в течение ограниченного периода времени. Например, куки, подсчитывающие количество попыток ввода пароля;
- куки пользовательского интерфейса: сессионные или устанавливаемые до нескольких часов.
Установка строго-необходимых куков не требует получения согласия. Во всех остальных случаях согласие необходимо (п. 32 Преамбулы GDPR) и cookie-баннер нужно установить.
Если cookie-баннер есть
Вы соблюдаете GDPR, если установленный баннер до получения согласия посетителя из ЕС блокирует загрузку куков, не являющихся строго необходимыми. К таким кукам относятся маркетинговые (например, куки от Google Adsense, Facebook, DoubleClick, Яндекс.Директ), статистические (Google Analytics, Яндекс.Метрика) и прочие, не влияющие на функционал и работу сайта.
Другими словами все рекламные, статистические и подобные куки нельзя устанавливать без согласия посетителей из Европы. Об этом, кстати, предупреждает и сам Google.
Как быстро проверить cookies
Для быстрой проверки cookies есть 2GDPR. Проверка занимает около минуты.
Сам анализ результатов требует больше времени. На свои проекты и сайты клиентов общим количеством более 60 потратил несколько часов. В итоге оказалось, что соблюдает GDPR из них только каждый пятый. В основном проблемы наблюдались из-за загрузки без согласия статистических cookies от Google Analytics. На некоторых сайтах даже были баннеры, что не блокировали такие куки должным образом.