A GDPR és a cookiek

Angliából így látják a GDPR és a sütik (cookie) viszonyát

Feiszt Tamás barátom megtisztelt a ködös Albionból korábbi, GDPR-ral foglalkozó írásom kiegészítésével.
Tamásban még itthon, egy kitűnő és megbízható programozót ismertem meg, akivel öröm volt együtt dolgozni. Sajnos ő már hosszú évek óta Angliában építi önmaga és családja karrierjét, de alkalmanként megvitatunk egy-egy szakmai, emberi kérdést.
Most örömmel teszem közzé írását.

A GDPR megszigorítja az oldal által használt cookiek kezelését is

A cookiek célja alapján megkülönböztetünk:

1. Az oldal alapvető működéséhez használt cookie-t;
2. Beállítások cookie-t, vagyis ami az oldal betöltődését gyorsítja meg. Pl tárolja, hogy egy webes táblázatunk az adott url-nél mi alapján volt rendezve.
3. Session cookiet – például „Jegyezd meg hogy beléptem”;
4. És minden más cookiet pl: tracking, advert, analytic…

Az első kettőt értelemszerűen nem célszerű kikapcsolhatóra csinálni, és nem is kötelező. Ezek nem esnek az új rendelkezések alá.
A 3. fajta ugye attól függ, hogy a felhasználó akarja-e megjegyeztetni a session-ben hogy belépett-e, ez megint egy olyan döntés ami nem új dolog.
Minden, a 4. kategóriába eső cookie viszont a GDPR hatálya alá esik. Eddig is figyelmeztetni kellett a felhasznalót a cookiek használatara, de mégis van valami lényeges új dolog.

Az úgynevezett lágy optin már nem elég. Vagyis nem elég egyetlen gombot („elfogadom”) megjelentetni a cookie-baron, mivel ez nem reális választás. Valójaban a felhasznalónak nincs választási lehetősege, csak tudomásul veheti hogy ez van.
A GDPR kimondja:

1. A felhasznaló döntése kell, hogy legyen a 4. kategóriába tartozó cookie-k elfogadása vagy tiltása.
2. a döntes bármikor megváltoztatható kell, hogy legyen.
3. Lehet a cookie használat alapértelmezett, DE a felhasználónak előbb kell a döntes lehetőségével szembesülnie, mint a cookie-k életbe lépnének.

Erről szóló link:
https://www.itgovernance.eu/blog/en/how-the-gdpr-affects-cookie-policies

Megnézve az oldaladat egy incognito session-ben a következő látszik.
Megkapom a cookie-bart egyetlen „Elfogadom” gombbal, és az már az első betöltődésnél megtalálom a _ga cookie-kat, vagyis a google analyst cookijat. Ergo követve vagyok. Hála a google tag manger-nek ma már nem kell beszúrni a kódot az oldalba, innentől a nyomába lehet akar a yandex is… rajtad áll milyen eseményre milyen más javascriptet állítottál be a tag managerben.

A következő lépésben elfogadhatom a cookie-k küldését, (mást nem tudok tenni) ekkor már csak egyetlen cookie jelenik meg, az ami ezt jegyzi meg. Ergo a cookie-bar többet nem jelenik meg. A döntésem (ha lett volna egyáltalán) megváltoztathatatlan.

Valójában a dolog fordítva kellene hogy működjön:

1. Először csak az euCookie nevű kellene hogy megjelenjen és semmi más.
2. Ekkor kell megjelennie a cookie-barnak, ahol a felhasználó dönthet úgy hogy OK, vagy úgy is hogy NEM.
3. A következő betöltésnél jöhetnek a _ga cookiek ha: a felhasználó beleegyezett, vagy a felhasználó semmit sem csinált (hiszen a felhasználó előzőleg a cookiek érkezése előtt megkapta a lehetőséget a tiltásra). Ha azonban ezt megtiltotta, akkor nem dobhatsz neki _ga-t.
4. A felhasznalónak képesnek kell lennie egy linkre kattintva újra előhívni legalább ezt a bart, és megváltoztatni a döntését. A legigazibb megoldás az az, hogy ekkor egy részletes ablakban külön-külön tilthatja vagy engedélyezheti a különböző típusú cookie-kat. Pl tracking, advert.

Természetesen a GDPR a third party kódrészletekre is vonatkozik, magyarán ha analytic cookie-val követed Google-ben, de a tag managerrel a nyakába akasztasz egy reklámblokkot valami alapján, de ő az advert tipusú cookie-kat tiltotta, akkor a tag manager-ben ezt figyelembe kell venned.

Jó példa egy modern cookie-ablakra:

Remélem, hasznos információkat adtam!

Tamás Feiszt
https://www.misterfeiszt.com