[Из песочницы] Cookie-баннеры: как быстро проверить соблюдение GDPR

Недавно был опубликован обзор опенсорсной утилиты, которая помогает проверить cookies сайта на соответствие GDPR.

Прочитав и в который раз озадачившись необходимостью установки на своих проектах cookie-баннера для европейских посетителей, взялся изучить вопрос cookies и GDPR более подробно.

vc_vmhigpvk4argpnaw48irgs_8.jpeg
/ Flickr / Marco Verch / CC BY / Фото изменено

Для начала напомню, что GDPR — это Европейский регламент по защите данных, действующий повсеместно с 2018 года. Важно стараться его соблюдать, если у бизнеса есть хоть какие-то связи с Европой.

Для многих обычных сайтов, не хранящих вообще никаких персональных данных, соблюдение GDPR ограничивается установкой cookie-баннера для посетителей из Европы. По большей части нужно это, чтобы через них не позволять гигантам вроде Google, Facebook или Яндекс отслеживать поведение и предпочтения европейцев.

Если cookie-баннера на сайте нет


Вы соблюдаете GDPR, если не устанавливаете вообще никаких куков или устанавливаете только куки, строго-необходимые для работы сайта. Еврокомиссия приводит примеры таких cookies:

  • сессионные и создаваемые на основании пользовательского ввода. Например, сохраняющие данные о товарах в корзине покупок;
  • сессионные для аутентификации;
  • сессионные для воспроизведения мультимедийного содержимого. Например, куки медиа-плеера;
  • сессионные для балансировки нагрузки;
  • используемые для обнаружения несанкционированного доступа и связанные с функциональностью, явно запрашиваемой пользователем — в течение ограниченного периода времени. Например, куки, подсчитывающие количество попыток ввода пароля;
  • куки пользовательского интерфейса: сессионные или устанавливаемые до нескольких часов.


Установка строго-необходимых куков не требует получения согласия. Во всех остальных случаях согласие необходимо (п. 32 Преамбулы GDPR) и cookie-баннер нужно установить.

Если cookie-баннер есть


Вы соблюдаете GDPR, если установленный баннер до получения согласия посетителя из ЕС блокирует загрузку куков, не являющихся строго необходимыми. К таким кукам относятся маркетинговые (например, куки от Google Adsense, Facebook, DoubleClick, Яндекс.Директ), статистические (Google Analytics, Яндекс.Метрика) и прочие, не влияющие на функционал и работу сайта.

Другими словами все рекламные, статистические и подобные куки нельзя устанавливать без согласия посетителей из Европы. Об этом, кстати, предупреждает и сам Google.

Как быстро проверить cookies


Для быстрой проверки cookies есть 2GDPR. Проверка занимает около минуты.

Сам анализ результатов требует больше времени. На свои проекты и сайты клиентов общим количеством более 60 потратил несколько часов. В итоге оказалось, что соблюдает GDPR из них только каждый пятый. В основном проблемы наблюдались из-за загрузки без согласия статистических cookies от Google Analytics. На некоторых сайтах даже были баннеры, что не блокировали такие куки должным образом.

© Habrahabr.ru