Украинские сайты должны сообщать пользователю о передаче его cookies третьей стороне
Сайты Уанета, по закону о защите персональных данных, должны предупреждать пользователя, если данные о его посещении (cookies) передаются третьей стороне (к примеру, сервису веб-аналитики, счетчику). По данным Госслужбы по защите персональных данных, не все сайты выполняют это требование, и при проверке это может быть признано нарушением. Об этом AIN.UA рассказал первый замглавы Госслужбы Владимир Козак.
К примеру, если сайт собирает статистику по Google Analytics или на нем стоит счетчик «Бигмир», пользователь должен об этом знать и иметь возможность отказаться от сбора его данных. Как советуют в Госслужбе, когда пользователь заходит на сайт, сайт должен выдать ему предупреждение о том, что на нем обрабатываются его личные данные, со ссылкой на раздел сайта о политике обработки персональных данных, где также указано, какие именно компании имеют к ним доступ. Также, стоит описать в этом разделе, как отказаться от сбора данных (включить режим private browsing в браузере или же запретить третьей стороне обрабатывать свои данные).
Как рассказал чиновник, во многих случаях при проверках выясняется, что сайты передают данные о пользователях 25 другим компаниям, причем руководители или администраторы сайта часто об этом сами не знают, и могли бы сократить это количество, к примеру, до трех.
Исследование, проведенное GfK в июне этого года, показало, что украинские пользователи не слишком ориентируются в том, что такое cookies и для чего они нужны. Только 30% знают, для чего нужны эти настройки, 38% — не знают, как они работают, остальные — либо не слышали, либо знают понаслышке. 46% не знают, как управлять cookies на своем компьютере.
Сейчас Госслужба предлагает для рассмотрения проект документа, который будет регулировать использование cookies для маркетинга, веб-аналитики, онлайн-опросов. Когда документ будет принят, соблюдение его норм будет добровольным для украинских компаний.
Напомним, 23 июля президент Виктор Янукович подписал закон №2836, принятый парламентом в мае этого года. Таким образом, обязательная регистрация баз персональных данных отменяется, но государственный реестр таких баз, а также заявления на регистрацию уничтожать не будут.
Согласно нормам закона, с 1 января 2014 года надзор за соблюдением законов в сфере защиты персональных данных передадут уполномоченному Верховной Рады по правам человека, а также судам.
Комментарии | 72
Непонятно, какие такие «конфиденциальные данные» можно получить через куки? Номер паспорта не спрашивают, место работы — тоже.
То ли дело приходишь в банк, больницу, оператору сотовой связи и т.д. и с тебя «снимают» все данные. И потом еще их базы попадают третьим лицам. Т.е. именно это пустяки по сравнению с куки…
Блин. Совсем хотят привести законодательство к европейскому.
Для бизнеса — это потери важной информации. Для пользователей — неудобство (читать, разбираться, выбирать). Не пойму, какая выгода и для кого?
А разве европейские сайты спрашивают нас о том, что у нас будет собираться статистика google analitics? Наши по идее хотят еще дальше зайти 🙂
По-моему, да. http://en.wikipedia.org/wiki/HTTP_cookie#EU_cookie_law
И я видел специальные инструкции и плагины для Google Analytics с примечанием do not track.
Да, некоторые европ. сайты точно поп-ап выкидывают, мол, дайте разрешение на…
Не спрашиваю. Уведомляют, что используют технологию cookie. Стараются сделать невзрачный месадж при первом посещении.
А кому выгода от того, что в вакансиях нельзя указывать пол и возраст? Правильно, тем кто ездит в Европу, проще будет визу получить (теоретически, в перспективе).
В целом, потери информации быть не должно. Будет просто одна лишняя плашка на страницах сайта (где-то внизу, мелким шрифтом) и одна дополнительная страница.
В целом, начинание где-то даже неплохое, многие сейчас пугаются ретаргетинга, например.
Плохо, если потом еще заставят повесить попап с выбором «следить» или «не следить». Или какие-то еще излишества.
Я не против ссылки на политику конфиденциальности. Но в Европе это уже привело к большим блокам / попапам.
А вообще пусть мат часть учат. Технически сайт не передает куки третей стороне. Идет запрос на сторонний сервис (аналитика и счетчик) и этот сервис сам ставит счетчик.
Если уже на то пошло, то пользователь сам должен запретить отправлять запросы в такие службы через фильтры или же браузер у него должен об этом спросить.
Кстати, да. Пользователь вообще может отключить куки для сайта(ов).
Имеется в виду, что пользователь об этом не всегда в курсе, они ж и исследование приводят.
Пользователи обычно не могут получить на руки кредитный договор, чтобы дома почитать перед подписанием. Пользователь часто не в курсе законов, норм, прав. Как и блюстители закона.
Но нет же. OMG, пользователь не знает о cookie.
с кредитным и другими договорами нужно знать свои права и требовать предоставить для ознакомления. да, я знаю, что они с первого раза его не дадут. но проблема в том, что обычно никто даже не просит с ним ознакомиться.. в этом проблема, по-моему.
А кто сказал что сайт куки передает третьей стороне?
Третья сторона присылает куки в браузер пользователя. Пользователь может менять настройки браузера, пользователь может иногда менять настройки на сайте третьей стороны. Но речь о том, что пользователь должен знать о том, кто и что присылает в его браузер.
Позиция Госслужбы по поводу того, могут ли куки быть персональными данными:
Законодавством
України не висувається окремих вимог щодо використання cookies.
Водночас, методи досліджень та реклами з
використанням cookies найчастіше пов’язані з обробкою
персональних даних, адже збір IP-адрес та унікальних ідентифікаторів cookies дозволяє відстежувати користувачів конкретного
комп’ютера, виділити конкретного користувача, навіть якщо його справжнє ім’я
невідоме, досить точно характеризувати поведінку користувача та
використовуватись для впливу на конкретну людину.
Отсюда (собственно, эта заметка и сподвигла меня узнать подробности) http://zpd.gov.ua/dszpd/uk/publish/article/60020
Звучит красиво и романтично.
А продавцу в магазине это не доступно «виділити конкретного користувача, навіть якщо його справжнє ім’я невідоме, досить точно характеризувати поведінку користувача та використовуватись для впливу на конкретну людину.»?
А кол-центру с определением номера?
А банку не известно как пользуется карточкой клиент? И когда на карточке «0» — предлагают кредит.
Персонализация и подстройка под клиента — она везде. Непонятно, почему интернет должен первым страдать.
Здесь еще вопрос, как это все будет реализовываться, когда с января этим будет один (!) уполномоченный в парламенте заниматься вместо госслужбы. В принципе, планирую по этому отдельный материал.
А вы думаете почему именно сейчас такая активность пошла? Чтобы с января остаться при своих должностях и кормушках.
Невозможно определить и идентифицировать пользователя по кукам. Простой пример. Запускаем на одном рабочем столе Firefox и Google Chrome, заходим на один и тот же сайт. С точки зрения человеческой логики — на сайте один и тот же пользователь. С точки зрения сайта — два разных посетителя. А то, что сюда притянули Ip-адреса, только еще раз подтверждает на каком уровне знаний находятся творцы сего закона. Наверное они исходил из того принципа, что слово модное и вставить надо.
Cookie привязываются к браузеру, а не к конкретному компьютеру.
Хотя есть flash cookie, которые могут привязываться к компьютеру.
У нас уже есть закон о защите персональных данных браузеров? Отождествлять пользователя и браузер — глупость, как техническая, так и логическая. Во многих семьях одним и тем же профилем и браузером пользуются все члены семьи. А у меня на компе стоит несколько браузеров. И что?
Особенно ваша позиция справедлива для Androidов і всяких GOOGLE Chromeов, после пого ка вы стали пользователем GOOGLE+ 🙂
Сергей, нет ничего невозможного, в восьми случаях из десяти, например, на сайтах есть плагины LIKE разных соцсетей, в которых пользователи идентифицируется с использованием имени.
У Поляков давно такой закон, на всех сайтах более-менее крупных стоит предупреждение… критичного в этом абсолютно ничего
Кстати, Козак именно Гемиус привел в пример как компанию, которая выполняет это требование.
Гемиус это делает не потому, что заботится о персональных данных, а потому, что если в их алгоритмах опроса посетителей будет что-то подобное типа идентификаторов сессии, то их статистика потеряет репрезентативность.
Сергей, слова по отдельности осмысленные, а фразу понять крайне сложно. Поскольку выполнять польское законодательство о телекоммуникациях приходится, и оно строже нашего по защите персональных данных — именно поэтому мы выполняем требования законодательства. Относительно сможем ли мы выполнять исследования без 3rd party cookies — да, Но через некоторое время и как это будет интерпретировано законодательством по privacy protection в ЕС и Польше — интерпретировать пока не берусь, равно как и в Украине
Насколько мне известно, то при сборе статистических данных необходимо придерживаться ряд правил, которые позволяют обеспечить анонимность опрашиваемого Поэтому применение технологии кук здесь имеет ряд своих ограничений.
Если при опросе использовать долгоживущие куки, то браузер пользователя может автоматически подставлять некоторые варианты ответов на основании предыдущих вопросов. Тогда такие опросы теряют свою репрезентативность.
Это правило сходно из офф-лайн требования к работе интервьюеров — нельзя одному и тому же интервьюеру работать на одной и той же ограниченной, локальной площади, в разных, но сжатых во времени опросах. Существует вероятность того, что люди его запомнят и будут ставить отметки в опросниках уже исходя из предыдущего опыта общения с интервьюером.
Но возможно это мое личные знания и личное мнение по ним, могу в чем-то и ошибаться.
Я так понимаю больше нет к чему прикопаться. Решили новую херню придумать….
Интересно, прокатит ли рекомендация «закрыть сайт» как способ избавиться от слежки?=)
http://clip2net.com/clip/m59352/1375436502-clip-300kb.png
вот пример реализации подобного блока в Польше. Не поп-ап, но заметный блок в шапке
Хочу видеть комментарии депутатов о том, что подобные законы противоречат политике дерегуляции, не обоснованы технологически и не имеют шансов на контроль и выполнение, тем самым дискредитируют правовую систему государства. Есть подозрения, что люди, которые лоббируют подобную херню, на самом деле имеют долгосрочные антигосударственные планы. Ваше бездействие меня тревожит, уважаемые депутаты!.
Это не новый закон, это скорее интерпретация существующего закона о защите ПД. Т.е. при проверках такую ситуацию считают за нарушение этого закона.
Где я писал про новый закон? Если закон о защите персональных данных можно так интерпретировать и если большинство разумных людей его не выполняют, то проблема в нем, а не в людях.
Человек должен иметь здоровое наплевательское отношение к любопытным воронам.
Я спокойно гуляю по всех сайтах, начиная с айтишных, и заканчивая порнушными. И пусть там подавятся своим «печеньем».
А вообще, многие склонны преувеличивать значение своей персоны для сборщиков истории. Ваши соседи, на лавочке у подъезда, нарасказывают о вас в тысячу раз больше, подробнее, и ядовитее. Так что, подпалить наш общий дом?
Идёте мимо, покажите соседке дулю в кармане, и идите дальше, с чувством глубокого удовлетворения. Что я и делаю…
Так это проект закона, или уже надо вешать предупреждение на сайт?
Это интерпретация уже действующего Закона о защите ПД, Т.е. Госслужба проводит проверки сайтов, и пишет им потом рекомендации, что нужно так сделать. Т.е. это определяется как нарушение.
Если эту новость рассматривать в совокупности с вот этой http://ain.ua/2013/07/31/134777 то все логично. Как и во всем цивилизированном мире. Уверен, что 95% пользователей Интернета (НЕ среднестатистический читатель ain) понятия не имеют, что такой кукис, и даже не представляют себе, сколько инфы о себе они оставляют в инете. Поэтому среднестатистического юзера надо защищать от него же самого 🙂
P.S. неплохо было бы перелинковать статью про запрос властей к Гуглу в этом посте.
Богдан, а можете привести конкретный пример того, как куки оставляют информации о пользователе? Только давайте будем рассматривать пользователя не авторизировавшегося явно на сайте через логин/пароль.
Ожидаю увидеть конкретику, мол вот есть конкретная кука с такого-то сайта и в ней хранится такая-то и такая-то информация, ну и т.д. А не общее бла-бла-шоу.
Про ремаркетинг слышали?
Слышал. И? Что с этого? Убедите меня что это плохо.
Плохо не то, что Google предоставляет инструменты ремаркетинга. А плохо то, что наши законодатели решают совершенно другие вопросы, прикрываясь заботой о персональных данных. То, что предложено, решает что угодно, но только не защиту личности в сети.
Представьте себе: Вы почтительный семьянин, вам стало скучновато. Вы зашли на порно-сайт. Повесилились. Как матерый интернетовец стерли историю поиска. А потом за этот же компьютер садится ваша жена, и почему-то все время видит рекламу разных пилюль, порно-сайтов и проституток…. Скандал, развод. В Аргументах и Фактах читаем заголовок «Third party cookies разрушаю семьи!» А ведь могли бы и выключить куки, если бы знали :)))) (утрирую, но все же).
Куки это данные о том, что пользователь/ли Х делалили на веб-сайте Y сохраненные на компьютере пользователя/лей, которые могут быть расшифрованы сервером Z — правильно? Другой вопрос — позволяет ли эта информация идентифицировать пользователя? Если бы пользователь знал, что эту инфу про него собирают, дал бы на это согласие?
Так как куки кукам рознь, на западе и не про все куки нужно уведомлять пользователя. Про сессионные куки, как правило, не нужно или про куки без которых предоставление услуг невозможно, например «инфо про товары в корзине», без которой невозможно будет сделать chek-out на следующей странице (опять же сессионый куки).
Вы наверно имеете в виду, как можно утверждать, что именно, например, гражданин Волобуев и есть тот самый юзер Х? Прямо — никак, причем равным образом и с и без авторизации (если толлько авторизация не через отпечаток пальца, и то…). Косвенно — много разных методов, на десктопе тяжелее, на смартфоне легче. А как Вы можете утверждать, что именно именно этот человек вам звонил или прислал письмо, если вы этого не видели ?
Про это бла-бла есть директива ЕС, пояснение ЕС в каких случаях можно не уведомлять про куки, реализованное на практке законодательство в UK с пояснениями для собственников веб-сайтов и.т.д. Если владеете английским, можете погуглить.
Ваш ответ — пример того, насколько у нас далеки от понимания деталей те люди, которые пытаются формировать наше законодательство. Эти люди что-то где-слышали и этих знаний они считают достаточными для того, что бы уже что-то решать за миллионы людей.
В приведенном Вами примере ни одна кука не была передана сторонним сайтам. Другими словами — тот проект закона ну никак не решит эту ситуацию. Почему — не буду надоедать Вам пояснениями, Вам они Вам интересны.
Абсолютно верно, куки не передаются третей стороне. Но, в самом первом примере куки собираются третей стороной, т.е. есть не веб-сайтом, на кот находится юзер, а, например, гуглом для последующего таргетинга рекламы. И не самая плохая идея сказать об этом юзеру.
Давать оценку действиям гос органов наверно не буду, они и так красноречивы в своих действиях. Но про куки они точно не сами додумались:) просто неуклюже приводят законодательство к европейскому. С защитой персональных данных уже проходили.
О том что собирает Google или еще кто-то, владелец и разработчики самого сайта могут только догадываться, предполагать. Google никому не раскрывает детали своей технологии и на чем она строится — на куках или еще на каких-то маркерах — можем только «гадать на кофейной гуще». Тем более, что алгоритмы сбора информации Google Analytics и Google Adsense — абсолютно разные.
Сергей, я так и не понял Вашу позицию. Вы считаете, что ни в каких случаях уведомлять юзера про то, что используются куки не нужно?
Вопрос: а зачем? Какую проблему мы решаем?
Давайте еще будет уведомлять пользователя о том, что используется протокол HTTP 1.1,что его браузер будет принимать заголовки и тело запросов от сервера, а самое страшное — это то, что наш сайт использует такой страшный протокол TCP/IP, который также используют спецслужбы США и Британии.
Весь этот шум вокруг кук напоминает сплетни и судачество дворовых бабушек, которые услышали где-то, что воду перед питьем надо намагничивать и оптимизировать на молеулярном уровне.
Ок. я понял Вашу позицию.
Касательно того, какую проблему решаем — см. ст. 32 Конституции про право на приватность, тайну личной и семейной жизни.
«Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди…»
Побойтесь Бога! Никто не пытается посягнуть на нарушение Констиутции, приватьность жизни и т.д. Просто в Вашем примере это нарушение возникает намного раньше — в тот момент, когда с помощью общедоступного в семье браузера пытаются ходить по тем местам, куда «не стоит». Пересмотрите свой подход к причинно-следственным связям.
По крайней мере это не проблема сайта. Уведомлять о куки может броузер: «Тра-ла-ла, этот сайт хочет использовать куки. Разрешить?».
О том, какие технологии использует сайт, уведомлять или не уведомлять — добрая воля сайта. Задача сайта решать проблемы пользователя, опираясь на стек доступных технологий. Сайт может делать даунгрейд при необходимость, и уведомлять только тогда, когда сайт не может решить проблему Пользователя с текущими настройками ПО.
99.9% сайтов используют куки. Но не про все куки нужно уведомлять. От того как реализован месседж про куки будет зависеть конверсия и.тд. и.т.п.
Вы действительно считаете, что собственники сатов захотят отдать контроль над юзер экспириенсом в части куки браузерам???
Просто не считаю, что юзер экспириенс в отношении кук важен как Пользователю сайта, так и собственнику сайта.
Для рядового пользователя, которого пытаются защитить этим уведомлением, само уведомление о использовании кук — это взрыв мозга. Нет уведомления о куках — пользователю спокойнее. Он решат ту задачу, за которой пришел: видяшки посмотреть, с друзяками попереписываться.
А с сообщением на сайте «Мы использует куки для вашего удобства» что делать Пользователю? Часть из Пользователей проигнорируют это сообщение как рекламу. Часть может и прочтут, но не придадут значение: что-то там используют для удобства. Но те, кому знакомо слово «куки» ничего нового для себя не откроют, кроме как их внимание было отвлечено на доли секунды на фигню, которая и так известна.
В общем — пользы никому от этого уведомления.
Ну это вы смотрите с точки зрения обычной, средне статистической ситуации. А задачи ведь бывают разные. Кто-то и способы расправы с кем-то ищет, иль ворованым приторговывает. Да мало ли что. Кстати за видяшки — в Германи просто приходит счет на несколько сотен евро за скачивание и/или просмотр пиратских видео.
Думаю главный вопрос не надо ли вообще информировать про куки, а в каких случаях надо и в какой форме.
И всё-таки я категорично уверен, что уведомление о куках бесполезно в любых случаях в любой форме.
Что б в Германии выставили счет о просмотре пиратского контента, поддержка кук не нужна (а значит и уведомление о их использовании). GeoIP справляется с этим надежнее.
Если Пользователь с помощью сайта воплощает коварные планы, это тоже не проблема сайта. Потому что грубо всегда можно идентифицировать пользователя по GeoIP. Куки лишь упрощают работу и сайта и Пользователя. Сами по себе они паспортных данных не содержат)
Богдан, куки — это часть технологии. Не надо решать с помощью технологий проблемы, которые существуют не на технологическом уровне. иначе это называется подменой понятий и методов решения проблемы.
Богдан, я бы тоже предположил 95%. Но как бы вы объяснили данные опроса
данные опроса GfK?
Бред бредовейший! те, кто составлял этот законопроект, далеки от понимания что же такое куки, как я от Марса. У пользователя нет никаких личных кук. Есть только те, которые он получил от сайта. Но они являются интелектуальной собственностью сайта и софт пользователя имеет право их использовать только в пределах доменов, которые были выданы при формировании куки.
Более того, у куки сайта, который посещает пользователь, и куки Google — это разные куки, и зоны их использования не могут пересекаться. Потому что Google абсолютно не понимает по какому принципу сформированы куки на сайте, а сайт не понимает куки Google.
Сергей, вы в курсе, что есть third-party cookies и first-party cookies. Понимаете разницу между ними?
Роман, а Вы в курсе о чем я вообще написал? Что куки выдаются браузеру пользователя, а не формируются самим пользователем или его браузером. Поэтому фраза в заглавии статьи «… должны сообщать пользователю о передаче его cookies» несколько неграмотная. Есть кука, которая выдана сайтом для конкретной сессии браузера. Что в ней зашифровано — знает только сам код сайта. Для браузера это просто набор символов, которые надо передать с запросом к сайту, что бы пролонгировать свою сессию, которая в классическом http разрывается.
Какая разница с какого сайта пришла кука — с того, чью страницу посещает браузер или стороннего сайта, чей код интегрирован в страницу. И те, и другие — не принадлежат пользователю. Это как кредитка. По сути она идентифицирует владельца счета, но в то же время, ее владелец — банк, а человек, ее использующий. В просторечии допустима формулировка «моя визитка». Но в законодательных документах — нет, там должно четко все указываться, без двузначных трактовок.
Сергей, о каком собственно законопроекте вы беспокоитесь?
Текст базовых статей http://zpd.gov.ua/dszpd/uk/publish/article/60020 и http://zpd.gov.ua/dszpd/uk/publish/article/59791 я согласовывал. Можете возразить — аргументированно возражайте.
Рошен делает пиченьки?
Раньше интернет был интернетом — а сейчас и тут политика…
предлагаю тогда и браузеры запретить — они используются хакерами, через них смотрят взрослое видео, и вообще налогов не платят украинскому депутату 🙂
Поддерживаю! )) на кой людям этот и-нет, все дружно на завод к семье. Отпахал на смене 16 часов, поспал немного — и снова на смену.
Никакой новый закон для куки не нужен. Хватает вполне того, который есть.
Куки — это только часть вопроса. Отрывать его от других процедур на сайте смысла нету никакого.
Пардон, что влез не по теме. Однако внизу, под комментами, вижу рекламу Дельта банка. Считаю своим долгом сообщить о том, как меня там «обслужили».
При выдаче карточки агенты Дельта банка навязывают страховку (хотя это не обязательно, но агенты об этом молчат). Говорят «так надо». Вероятно агенты получают бонусы на этом.
А уже потом, до вас доходит, что вас развели на деньги. И вас будут годами доить законным образом. А избавиться от этой карточки затем большая морока (я через это прошел).
Оно вам надо?
Узнать кто и что присылает ему он может в настройках браузера просматривая куки. Зачем перекладывать обучение пользователя на сайты?
Представьте, аналитика сейчас стоит практически на всех сайтах. Соответственно пользователь бродя по сайтам будет постоянно получать по несколько уведомлений, после 5-10 раза у него выработается иммунитет к этим предупреждениям и он начнет их подсознательно игнорировать.
И вот тут мы как раз сделаем пользователю плохо, потому как, если ему нужно показать что-то действительно важное в виде уведомления, то он это уже не будет воспринимать.
Согласен с Вами, Денис. Идиотские решения порождают только новую, более дурацкую проблему.
Денис, действительно, аналитика стоит практически на всех сайтах. Но, например ставить на сайт аналитику — это взять обязательства по договору присоединения. Для Google Analitics — вот эти.
Но их надо выполнить. Наши рекомендации, на практике, не содержат большего от собственников сайта, чем выполнение УЖЕ ВЗЯТЫХ обязательств. Дело в том, что в нашей стране как-то не очень принято выполнять взятые обязательства 🙁 🙁
«7. Privacy.
You will not (and will not allow any third party to) use the Service to track, collect or upload any data that personally identifies an individual (such as a name, email address or billing information), or other data which can be reasonably linked to such information by Google.
You will have and abide by an appropriate Privacy Policy and will comply with all applicable laws and regulations relating to the collection of information from Visitors.
You must post a Privacy Policy and that Privacy Policy must provide notice of Your use of cookies that are used to collect traffic data, and You must not circumvent any privacy features (e.g., an opt-out) that are part of the Service.»
http://www.google.com/analytics/terms/us.html
А если в полиси на сайте стоит информация о том, что данные собираются сторонней статистикой?
простите, но как это вяжется в одном пункте: «достаточно знаю об этом, но как они работают не знаю»?!