Куки есть везде
Ограничения GDPR и EPR малоизвестны разработчикам за пределами ЕС или небольшим веб-сайтам без юридической команды, и это может повлиять на многие приложения.
Google шрифты незаконны?
Да и нет
Недавно на HackerNews появилась статья о том, как немецкий суд обязал оператора веб-сайта заплатить до 100 евро за непреднамеренную отправку IP-адреса пользователя в Google через встраивание скрипта Google Fonts.
Это кажется очень маловероятным, потому что вы можете размещать шрифты на своем собственном сервере, поэтому вы спасены. К сожалению, это относится не только к Google Fonts, большинство API Google печально известны тем, что записывают пользовательские данные в той или иной форме.
Низкий штраф не так страшен для крупного бизнеса, но он должен поднять вопрос, стоит ли его игнорировать и рисковать более высокими штрафами, поскольку решить его не так уж и сложно.
Что такое GDPR и EPR
Слишком сложные юридические вопросы, которые не нравятся разработчикам.
Общее положение о защите данных (GDPR) является самым строгим в мире положением о конфиденциальности и безопасности. Несмотря на то, что он был разработан и принят Европейским союзом (ЕС), он налагает обязанности на предприятия во всем мире, которые занимаются сбором данных о гражданах ЕС. 25 мая 2018 года постановление вступило в силу.
Те, кто нарушает правила GDPR в отношении конфиденциальности и безопасности, будут оштрафованы на десятки миллионов евро.
Давайте приведем более серьезный пример, который действительно может вызвать реальные обвинения в отслеживании пользователей. Недавно я запустил GenIdea, генератор идей приложений на базе OpenAI, и хотел попробовать новый API Google Analytics 4 из чистого любопытства.
GA4, вероятно, является самым навязчивым программным обеспечением для отслеживания, которое вы можете внедрить на веб-сайт, и, к счастью, я вовремя вспомнил о необходимости соблюдать политику GDPR и добавил согласие на функцию файлов cookie.
За несколько недель до судебного иска против Google Fonts Австрийский орган по защите данных (DSB) постановил, что использование Google Analytics веб-сайтом, ориентированным на здоровье, NetDoktor, нарушает регламент GDPR, поскольку данные посетителей экспортируются на серверы Google в Соединенных Штатах. США, потенциально открывая дверь для разведывательного наблюдения США.
Это подтверждает важность предоставления пользователям возможности решать, на какие файлы cookie они соглашаются, даже если это снижает удобство работы пользователя из-за раздражающих всплывающих окон.
Как соблюдать законы ЕС
Повсюду появляется всплывающее окно согласия на использование файлов cookie
Есть 2 способа сделать это, и ни один из них не идеален, самый очевидный из них — просто не использовать какие-либо API-интерфейсы отслеживания, но это спорно, поскольку даже файлы cookie также считаются PII (личной идентифицируемой информацией).
Возможно, вам повезло, и ваш веб-сайт действительно свободен от всех возможных функций, вызывающих нарушение GDPR, и все готово, но если это не так, пришло время файлов cookie.
Файлы cookie существовали всегда (с 94 года) и являются стандартом для передачи полезной информации о сеансе, аутентификации или даже отслеживания данных между клиентом и сервером.
Почему файлы cookie являются решением, если они также являются одной из основных причин сбора персональных данных?
Закон о файлах cookie от 2011 года был первым, который заставил операторов веб-сайтов быть более осторожными в управлении пользовательскими данными с помощью файлов cookie, требуя от них предоставления пользователям возможности выбора разрешения или отказа от использования файлов cookie.
Решение состоит в том, чтобы дать пользователям возможность согласиться с файлами cookie, чаще всего это реализуется с помощью оверлея/модального/всплывающего окна, которое раздражающе закрывает большую часть экрана, когда вы заходите на веб-сайт. Очевидно, что это увеличивает время разработки, но я полагаю, что всегда существует баланс между UX и DX (опыт пользователя и опыт разработчика).
Я обнаружил, что эта ситуация очень похожа на Фиаско «Календарным приложениям нужны все разрешения» в свое время на устройствах Android.
Эта история заслуживает отдельной статьи, но несколько лет назад разрешения приложений в Android утверждались только один раз при установке и были «спрятаны» в меню настроек. Это привело к появлению простых приложений, которые запрашивали все возможные разрешения, чтобы украсть данные или обмануть пользователей.
Достаточно болтовни, и давайте попробуем реализовать функцию согласия на использование файлов cookie. Я буду использовать CookieHub, так как он быстро интегрируется, имеет широкие возможности настройки и удобен для разработчиков.
Сначала добавьте домен своего веб-сайта, выберите Бесплатный план или Премиум, если у вас более 25 000 сеансов в месяц, и следуйте инструкциям.
Затем я всегда люблю настраивать и добавлять брендинг перед встраиванием скриптов, поэтому извлеките цвета вашего бренда и сделайте так, чтобы всплывающее окно с согласием на использование файлов cookie чувствовало себя как дома на вашем веб-сайте.
Чтобы интегрировать функцию согласия на использование файлов cookie, у нас есть 2 варианта (или 3, если вы используете WordPress). Если вы используете Google Analytics, лучше всего переместить конфигурацию GA4 в Диспетчер тегов Google и выполнить шаги, показанные в руководстве.
Поначалу Диспетчер тегов Google может быть перегружен всеми дополнительными меню, но, следуя пошаговому примеру, вы будете готовы к запуску в соответствии с GDPR за считанные минуты.
Если вы интегрируетесь с Next.js, вы можете легко добавить скрипты в документ, создав собственный файл _document.jsx.
Надеюсь, вам понравилась эта короткая «юридическая» история, не забудьте похлопать и подписаться на другие материалы, связанные с программным обеспечением 🚀.
Дополнительные материалы на plainenglish.io. Подпишитесь на нашу бесплатную еженедельную рассылку новостей. Получите эксклюзивный доступ к возможностям написания и советам в нашем сообществе Discord.
