[Информационная безопасность] Cookie-файлы и GDPR: какие ошибки совершают владельцы сайтов в погоне за соответствием?
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Cookie-файлы как персональные данные
Проблема ужесточения требований в отношении использования cookie-файлов обсуждается с момента вступления в силу Европейского регламента о защите данных (далее GDPR), а так же публикации проекта изменений ePrivacy Directive (наиболее известной как «Положение о конфиденциальности и электронных коммуникациях»). Именно эти документы официально определяют cookie-файлы как персональные данные и предусматривают экстерриториальную ответственность, а также наложение колоссальных штрафов на владельцев сайтов за незаконное использование таких файлов. Мы уже проводили обзор штрафов за нарушение основных принципов GDPR, однако ни один из них не включал в себя нарушений, связанных с обработкой cookie-файлов. Зачастую, в отсутствие судебных практик и реальных наказаний, у представителей бизнеса создается ощущение защищенности, другими словами: «Пока гром не грянет – мужик не перекрестится». Но раскаты грома уже давно доносятся – одним из наиболее крупных штрафов за нарушение, связанное с установкой cookie, является штраф в 30 000 евро, выписанный в октябре 2019 года испанским органом по защите данных авиакомпании Vueling за отсутствие возможности для пользователя отказаться от установки сторонних cookie.
В силу особенностей профессии, посещая различные сайты, невольно анализируешь их на предмет соответствия известным нормативно-правовым актам в области защиты персональных данных. В результате очередного такого анализа стало ясно, что в погоне за реализацией требований GDPR многие компании озаботились вопросом «наведения порядка» на своих веб-ресурсах. Однако по причине непонимания требований или же в отсутствие желания «портить» пользовательский интерфейс сайта, создается впечатление, что каждая вторая организация некорректно реализует политику использования cookie-файлов на своих ресурсах.
Правила реализации политики использования cookie-файлов
С точки зрения GDPR и ePrivacy, правила использования cookie-файлов ничем не отличаются от правил обработки всех остальных персональных данных и должны выполняться в случае, если на сайте используются какие-либо cookie, позволяющие сформировать профиль пользователя в сети. Однако это не касается:
- cookie, строго необходимых для корректной работы сайта;
- cookie, строго необходимых для предоставления онлайн-сервиса пользователю, например, когда пользователь заполняет онлайн-форму, использует корзину для покупок, или аутентифицируется на сайте для входа в систему предоставления онлайн-услуг
Вернемся к правилам, их суть заключается в следующем:
- Установка cookie должна осуществляться только с предварительного согласия пользователя.
- Это согласие должно быть дано посредством четкого, подтверждающего выбор пользователя, действия, при этом если используется форма, в которой необходимо установить отметку в виде галки/флажка, такая отметка не может быть выставлена по умолчанию.
- Пользователю в четкой и понятной форме должна быть представлена информация о назначении cookie, целях установки, сроках действия, а также информация о третьих лицах, которым передаются пользовательские данные.
- Пользователь должен иметь возможность полного или частичного отзыва согласия в любое время.
- И что немаловажно для владельцев сайта – все согласия на установку cookie-файлов должны быть зафиксированы, ведь владелец сайта, являясь контролером или обработчиком, должен иметь возможность подтвердить факт получения согласия.
Основные ошибки в реализации политики использования cookie-файлов или как делать не нужно
Рассмотрим три примера неправильной реализации политики использования cookie-файлов, которые наиболее часто встречаются среди сайтов контролеров и обработчиков персональных данных.
Пример 1. Баннер, предупреждающей, что, продолжая использовать сайт, вы даете согласие на использование cookie.
Такая практика широко распространена как среди российских, так и среди европейских веб-ресурсов. В качестве примера рассмотрим сайт Итальянского магазина косметики. Согласно представленной на сайте политике обработки cookie, пользователю устанавливаются технические cookie, функциональные cookie и cookie сторонних маркетинговых кампаний.
При этом дословный перевод предупреждения на баннере внизу страницы гласит: «Этот сайт использует технические, аналитические и сторонние файлы cookie для профилирования. Если вы выберете «Продолжить» или получите доступ к любому контенту на нашем сайте без определения вашего выбора, вы даете согласие на использование файлов cookie. Чтобы узнать больше и отказаться от согласия на установку cookie, нажмите здесь.»
В данном случае нарушаются все правила, упомянутые ранее:
- Файлы cookie устанавливаются сразу в момент открытия сайта пользователем.
- Продолжение использование сайта или нажатие кнопки продолжить не является четким подтверждающим действием, так как пользователю не предоставляется право выбора, и он не может отказаться от установки cookie.
- Информация, представленная в политике использования cookie, не содержит в себе конкретных сроков хранения тех или иных cookie.
- Механизм отзыва согласия на установку cookie на самом сайте не предусмотрен, взамен этого предлагается отказаться от установки cookie посредством настроек браузера.
- Так как механизм получения согласия не предусмотрен, то и подтвердить, что такое согласие было получено, попросту, невозможно.
Пример 2. Баннер с корректной формой получения согласия, который работает НЕ на всех страницах сайта.
В качестве такого примера рассмотрим французскую версию сайта huppe.com.
Баннер с согласием, представленный на сайте, соответствует рассматриваемым нами правилам, а руководство по защите данных, на которое присутствует ссылка в тексте, достаточно подробно описывает политику компании в отношении cookie-файлов. В русской версии баннер с согласием выглядит так:
Однако если копнуть глубже и попробовать открыть не главную страницу сайта, а, например — получается магия.
Магия заключается в том, что баннер, который, вроде, и отвечает всем требованиям, по факту не работает. Установка cookie, отличных от строго необходимых, не блокируется до совершения разрешающих действий, а значит, что и «отличником» сайту уже точно не быть. В данном случае из 5 правил, можно сказать о соблюдении только правил 2 и 3.
Пример 3. Недостаточно прозрачная политика использования cookie
Бывает и так, что компания озаботилась работающим механизмом получения согласия, однако упустила важную деталь – прозрачно предоставленную информацию о назначении конкретных cookie и сроках их хранения. Такая ситуация разворачивается на сайте castrol.com.
Сайт имеет баннер согласия с возможностью управления отдельными cookie.
И, что немаловажно, механизм блокировки работает:
До получения согласия
После получения согласия
Однако, информация об использовании cookie содержит в себе слишком мало конкретики – не приведены ни перечень лиц, чьи сторонние cookie устанавливает сайт, ни сроки хранения хотя бы отдельных групп cookie на сайте. В таких случаях нарушается один из главных принципов GDPR — Прозрачности обработки, следовательно не выполняется и правило 3. Примером вполне прозрачной политики использования cookie является политика, опубликованная на сайте европейской комиссии.
Кроме того, что рассмотренные примеры являются показательными с точки зрения распространённых ошибок в реализации требований европейского законодательства в области защиты данных и конфиденциальности, они также демонстрируют, что работа европейских регуляторов заставляет многих Контролеров и Обработчиков озаботиться вопросами соответствия требованиям. И если два года назад на подавляющем большинстве сайтов тема использования cookie вовсе не поднималась, то сейчас ситуация кардинально меняется, что не может не радовать пользователей, заинтересованных в получении контроля над своими данными – ведь, со слов Европейской комиссии по защите данных, именно для этого был разработан GDPR.
Практика показывает, что в текущих реалиях владельцам сайтов, являющимся контролерами или обработчиками, остается два варианта:
- самостоятельно или с привлечением внешних специалистов обеспечить абсолютное выполнение установленных правил;
- отказаться от использования каких-либо cookie-файлов, кроме тех, что влияют на корректную работу сайта и предоставление основных услуг клиентам, как это реализовано на сайте Испанского агентства по защите данных.
Ирина Лапуриди
Специалист по защите информации, Акрибия
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность] Трудности пентеста — 2020: как компании повысить пользу от пентеста, проблемы «этичных» хакеров и что делать начинающим
- [Голосовые интерфейсы, Информационная безопасность, Исследования и прогнозы в IT] Исследователи обнаружили 1000 фраз, которые приводят к запуску Alexa, Siri, Assistant и Cortana
- [GitHub, Информационная безопасность, Статистика в IT] Анализ 170 млн утекших паролей: интересные находки
- [Информационная безопасность] Разбираем атаки на Kerberos с помощью Rubeus. Часть 2
- [IT-компании, Поисковые технологии] Британские антимонопольщики расследуют сделку Apple и Google по поиску по умолчанию
- [DIY или Сделай сам, Natural Language Processing, Будущее здесь, Голосовые интерфейсы, Информационная безопасность] Голосовой помощник для совершения операций на бирже
- [Информационная безопасность] С аккаунта МИД РФ в твиттере продают базу данных туристов
- [Информационная безопасность] Исключения хранения биометрических данных
- [Информационная безопасность] Mail.ru для бизнеса собирает онлайн-встречу по информационной безопасности
- [Информационная безопасность, Исследования и прогнозы в IT] Карантинные хроники: как рос DDoS
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_gdpr, #_informatsionnaja_bezopasnost (информационная безопасность), #_reguljator (регулятор), #_personalnye_dannye (персональные данные), #_blog_kompanii_akribija (
Блог компании Акрибия
), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Дек 22:57
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Cookie-файлы как персональные данные Проблема ужесточения требований в отношении использования cookie-файлов обсуждается с момента вступления в силу Европейского регламента о защите данных (далее GDPR), а так же публикации проекта изменений ePrivacy Directive (наиболее известной как «Положение о конфиденциальности и электронных коммуникациях»). Именно эти документы официально определяют cookie-файлы как персональные данные и предусматривают экстерриториальную ответственность, а также наложение колоссальных штрафов на владельцев сайтов за незаконное использование таких файлов. Мы уже проводили обзор штрафов за нарушение основных принципов GDPR, однако ни один из них не включал в себя нарушений, связанных с обработкой cookie-файлов. Зачастую, в отсутствие судебных практик и реальных наказаний, у представителей бизнеса создается ощущение защищенности, другими словами: «Пока гром не грянет – мужик не перекрестится». Но раскаты грома уже давно доносятся – одним из наиболее крупных штрафов за нарушение, связанное с установкой cookie, является штраф в 30 000 евро, выписанный в октябре 2019 года испанским органом по защите данных авиакомпании Vueling за отсутствие возможности для пользователя отказаться от установки сторонних cookie. В силу особенностей профессии, посещая различные сайты, невольно анализируешь их на предмет соответствия известным нормативно-правовым актам в области защиты персональных данных. В результате очередного такого анализа стало ясно, что в погоне за реализацией требований GDPR многие компании озаботились вопросом «наведения порядка» на своих веб-ресурсах. Однако по причине непонимания требований или же в отсутствие желания «портить» пользовательский интерфейс сайта, создается впечатление, что каждая вторая организация некорректно реализует политику использования cookie-файлов на своих ресурсах. Правила реализации политики использования cookie-файлов С точки зрения GDPR и ePrivacy, правила использования cookie-файлов ничем не отличаются от правил обработки всех остальных персональных данных и должны выполняться в случае, если на сайте используются какие-либо cookie, позволяющие сформировать профиль пользователя в сети. Однако это не касается:
Вернемся к правилам, их суть заключается в следующем:
Основные ошибки в реализации политики использования cookie-файлов или как делать не нужно Рассмотрим три примера неправильной реализации политики использования cookie-файлов, которые наиболее часто встречаются среди сайтов контролеров и обработчиков персональных данных. Пример 1. Баннер, предупреждающей, что, продолжая использовать сайт, вы даете согласие на использование cookie. Такая практика широко распространена как среди российских, так и среди европейских веб-ресурсов. В качестве примера рассмотрим сайт Итальянского магазина косметики. Согласно представленной на сайте политике обработки cookie, пользователю устанавливаются технические cookie, функциональные cookie и cookie сторонних маркетинговых кампаний. При этом дословный перевод предупреждения на баннере внизу страницы гласит: «Этот сайт использует технические, аналитические и сторонние файлы cookie для профилирования. Если вы выберете «Продолжить» или получите доступ к любому контенту на нашем сайте без определения вашего выбора, вы даете согласие на использование файлов cookie. Чтобы узнать больше и отказаться от согласия на установку cookie, нажмите здесь.» В данном случае нарушаются все правила, упомянутые ранее:
Пример 2. Баннер с корректной формой получения согласия, который работает НЕ на всех страницах сайта. В качестве такого примера рассмотрим французскую версию сайта huppe.com. Баннер с согласием, представленный на сайте, соответствует рассматриваемым нами правилам, а руководство по защите данных, на которое присутствует ссылка в тексте, достаточно подробно описывает политику компании в отношении cookie-файлов. В русской версии баннер с согласием выглядит так: Однако если копнуть глубже и попробовать открыть не главную страницу сайта, а, например — получается магия. Магия заключается в том, что баннер, который, вроде, и отвечает всем требованиям, по факту не работает. Установка cookie, отличных от строго необходимых, не блокируется до совершения разрешающих действий, а значит, что и «отличником» сайту уже точно не быть. В данном случае из 5 правил, можно сказать о соблюдении только правил 2 и 3. Пример 3. Недостаточно прозрачная политика использования cookie Бывает и так, что компания озаботилась работающим механизмом получения согласия, однако упустила важную деталь – прозрачно предоставленную информацию о назначении конкретных cookie и сроках их хранения. Такая ситуация разворачивается на сайте castrol.com. Сайт имеет баннер согласия с возможностью управления отдельными cookie. И, что немаловажно, механизм блокировки работает: До получения согласия После получения согласия Однако, информация об использовании cookie содержит в себе слишком мало конкретики – не приведены ни перечень лиц, чьи сторонние cookie устанавливает сайт, ни сроки хранения хотя бы отдельных групп cookie на сайте. В таких случаях нарушается один из главных принципов GDPR — Прозрачности обработки, следовательно не выполняется и правило 3. Примером вполне прозрачной политики использования cookie является политика, опубликованная на сайте европейской комиссии. Кроме того, что рассмотренные примеры являются показательными с точки зрения распространённых ошибок в реализации требований европейского законодательства в области защиты данных и конфиденциальности, они также демонстрируют, что работа европейских регуляторов заставляет многих Контролеров и Обработчиков озаботиться вопросами соответствия требованиям. И если два года назад на подавляющем большинстве сайтов тема использования cookie вовсе не поднималась, то сейчас ситуация кардинально меняется, что не может не радовать пользователей, заинтересованных в получении контроля над своими данными – ведь, со слов Европейской комиссии по защите данных, именно для этого был разработан GDPR. Практика показывает, что в текущих реалиях владельцам сайтов, являющимся контролерами или обработчиками, остается два варианта:
Ирина Лапуриди Специалист по защите информации, Акрибия =========== Источник: habr.com =========== Похожие новости:
Блог компании Акрибия ), #_informatsionnaja_bezopasnost ( Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Дек 22:57
Часовой пояс: UTC + 5