Site-uri care afiseaza "Acest site foloseste cookies etc..."

[emm]

Eu am implementat astazi, o solutie custom de activare/dezactivare a cookies.

Spre deosebire de altii, care poate minimizeaza dimensiunea problemei (deocamdata), in ceea ce fac NU imi pot permite o astfel de problema pe situri, mai ales ca unele sunt si straine (spre exemplu UK).

Nota: Legile sunt dure, inclusiv cea din RO, si va fi suficienta o simpla raportare a unui "prieten" ca sa dai de belele, legea din RO vorbeste de amenzi de pana la 100.000 Ron iar cea din UK de exemplu, de pana la 500,000 Eur.

Studiind cu mare atentie legislatia, recomandarile de implementare si documentatiile video oferite de Commissioner, am ajuns la concluzia ca solutii de tip "butonel afisat jos" cum e cea de la CIVIC spre exemplu, NU sunt valide pentru ca nu afiseaza in mod clar si evident faptul ca cookies sunt active, si pentru ca userul ar trebui sa fie informat si sa DECIDA, INAINTE de a seta un cookie. Din punctul meu de vedere, conform interpretarii legii, aceste solutii sunt deocamdata useless. Nu ar trebui sa consideram acceptarea tacita drept solutie. Legea e clara, acceptarea tacita NU este acceptabila.

Lucrand la acest sistem, am ajuns la urmatoarele 2 concluzii importante:

1. Este imposibil sa dezactivezi cookies, fara a folosi un cookie insusi. Mai exista optiunea flash, insa acest lucru nu e la indemana oricarui site si oricum va fi targetat foarte curand din acelasi motiv.

Eu am ales sa salvez un cookie gol, care contine doar un spatiu, si sa informez exact asupra mecanismului. In felul acesta niciun fel de informatie utila nu este salvata, iar utilizatorul nu poate fi "urmarit". In felul acesta nu se respecta 100% legea UE, dar este respectat integral spiritul acesteia.

2. Problema cea mai mare pe care am constatat-o este imposibilitatea dpdv practic, de a mai utiliza cu un minim de folos, sisteme de tracking 3-rd party (gen Statcounter, Analytics) de aici incolo, conform noii legi.

Si acum explic de ce:

- Poate cea mai importanta parte din informatie este Referer-ul, care reprezinta sursa de unde vine vizitatorul. Ori, conform legii UE, nu ai voie sa setezi un cookie INAINTE ca utilizatorul sa accepte acest lucru. Cu alte cuvinte, la prima afisare cand userul intra pe site, NU ai voie sa ai cod de tracking. La urmatoarea afisare de pagina, poti eventual seta cookies si include codul de tracking (in acelasi timp afisand un mesaj vizibil de avertizare), dar Referer-ul tau s-a dus in Nirvana.

- Deasemeni, informatiile privind vizite / unici, bounce rate, etc se duc si ele in Nirvana.

- Mai exista varianta sa utilizezi login fortat, sau un mesaj obligatoriu la intrare pe site, fara de care nu se poate trece mai departe. Model pe care eu nu l-as recomanda pentru cei care folosesc SEO pentru siturile lor, din motive obiective.

Aceste masuri elimina un procent mare de useri (cineva masurase 30% in cazul sau, poate fi diferit), iar in cazul unui mesaj obligatoriu care blocheaza restul ecranului, am motive sa cred ca asta va afecta semnificativ indexarea in Google. Motivul este ca povestea ca Googlebot utilizeaza doar html-ul paginii este poveste de adormit copiii, de fapt Googlebot contine un browser complet care renderizeaza full js si creeaza o "imagine" a sitului pe care o analizeaza, iar o astfel de actiune poate produce efecte greu de cunoscut, inclusiv poate fi interpretata drept o tentativa de cloaking.

LE: Codurile de Analytics si simplul butonel +1 de la Google+ sunt total invazive si neconforme cu legea. Google va fi probabil afectat pe aceste servicii, daca nu ia masuri in acest sens. Eu am decis sa stopez utilizarea lor inainte de a primi acceptul utilizatorului (cu consecintele negative care reies de mai sus).

[haos]

@emm - nu trebuie dus, totusi, acest aspect, la extrem. aplicarea 100% corecta a acestei legi este absurda.

Fix acum cateva secunde am finalizat si eu metoda pe care am ales-o legat de acest aspect. Dupa ce am studiat cele mai mari siteuri din europa, majoritatea au schimbat de mai multe ori metoda prin care anunta ca folosesc cookies pana cand se pare ca au ajuns la o concluzie comuna. Si siteurile mari din Romania au ales aceeasi metoda.

Si anume, afisarea unui mesaj in partea de sus a ecranului de genul "Acest site foloseste cookies, pentru a imbunatati calitatea serviciilor oferite. Aflati mai mult despre cookies aici.", unde "aici" este un link catre o pagina in care este descrie ce sunt cookieurile, cum functioneaza si cum se pot configura browserele pentru a accepta sau nu cookies.

Proportia este covarsitoare, aproximativ 80% din cele siteurile vizitate folosesc aceasta metoda. Acum, nu poti da in judecata 80% din siteurile din europa.. ma gandesc.

[lovelife]

@haos stii un script care face ceea ce fac sa apara pe toate site-urile astea?

[haos]

@lovelife - la asta lucrez acum. o sa implementez zilele astea unul asemanator cu cel de pe shopmania.ro. deocamdata am finalizat doar pagina cu explicatii. urmeaza sa implementez acest script si gata, inchei cu aceasta poveste ca si asa mi-a consumat prea mult timp. cand o sa termin o sa public sursa scriptului iar cine doreste, poate sa-l copieze fara nicio problema.

[neo]

@lovelife eu îl folosesc pe cel de aici, varianta 2 pentru Ro: FREE EU Cookie Law Script | Dare to Think

[emm]

@emm - nu trebuie dus, totusi, acest aspect, la extrem. aplicarea 100% corecta a acestei legi este absurda.

Fix acum cateva secunde am finalizat si eu metoda pe care am ales-o legat de acest aspect. Dupa ce am studiat cele mai mari siteuri din europa, majoritatea au schimbat de mai multe ori metoda prin care anunta ca folosesc cookies pana cand se pare ca au ajuns la o concluzie comuna. Si siteurile mari din Romania au ales aceeasi metoda.

Si anume, afisarea unui mesaj in partea de sus a ecranului de genul "Acest site foloseste cookies, pentru a imbunatati calitatea serviciilor oferite. Aflati mai mult despre cookies aici.", unde "aici" este un link catre o pagina in care este descrie ce sunt cookieurile, cum functioneaza si cum se pot configura browserele pentru a accepta sau nu cookies.

Proportia este covarsitoare, aproximativ 80% din cele siteurile vizitate folosesc aceasta metoda. Acum, nu poti da in judecata 80% din siteurile din europa.. ma gandesc.

Haos, nu e vorba de dus la extrem, ci de aplicarea legii. In treacat fie spus, lucrez zilnic cu o gramada de legi, acte si fac 2-3 contracte pe zi, si prin natura activitatii a trebuit sa invat si aspecte juridice, vreme de 20 de ani. Legea asta e destul de clara desi e teribil de complicata.

Ca si time, am ales aceeasi metoda de afisare in partea de sus... interesant ca am ales aceeasi optiune, desi nu am studiat celelalte situri mari, cum ai facut tu. Asta indica faptul ca metoda este buna, desi, cum spunea cineva, Dumnezeu (sau diavolul?) sta ascuns in detalii.

Diferenta este ca in pagina de descriere, in afara de informatii, exista un sistem care permite clar dezactivarea sau reactivarea cookies, cat si o informare in cazul in care cookies sunt dezactivate din setarile browser-ului.

Si totusi, daca asa cum spuneam, afisezi tracker code la primul hit, NU ai compliance pentru ca acel cookie third party e deja setat fara acceptul utilizatorului. Si este o violare a legii.

Tu pierzi din vedere un lucru esential, si anume ca acele situri de care vorbesti, cu siguranta isi fac propriul tracking intern, si in acest caz nu mai au aceeasi problema (datele privind referer etc pot fi salvate in sesiune pana la un accept tacit prin trecerea mai departe, si ulterior in cookie).

Daca o autoritate iti face o evaluare cookie, si tu ai trackerul inserat in pagina la primul hit, ai calcat pe bec din minutul 0 al meciului.


--- Later Edit --- (ca mi-a fost lene sa apas "Edit")

... Cred ca in curand, meseria de "cookie hunter" va fi extrem de profitabila.

Adica de specialisti in "vanat" siturile care nu au compliance, si stors bani de la ei. Easy money pentru autoritati.

[haos]

Se poate intra in polemica foarte mult dar ideea este ca aplicarea 100% a legii este absurda. Pentru a aplica 100% aceasta lege trebuie realizat urmatorul scenariu: prima data cand utilizatorul deschide o pagina trebuie facut un instructaj ca utilizatorul sa invete ce este un cookie si cum se foloseste/configureaza/etc. Dupa aceea, atat pentru cookieurile siteului cat si pentru cele 3rdparty trebuie sa seteze daca le doreste sau nu. Asadar, aplicarea 100% este absurda din urmatoarele motive:

- daca un utilizator intra pe 50 de siteuri azi, el trebuie sa treaca de 50 de instructaje, si sa faca zeci sau sute de setari. este absurd! e mai mult chin decat ajutor
- in cazul in care face greseala si sterge cookieurile setarilor (ca si alea tot in cookies se pastreaza), s-a ars, iar, alte zeci-sute de setari
- si nu in ultimul rand, atat utilizatorul cat si siteurile au numai de pierdut in urma unei asemenea absurditati dintro lista destul de mare de motive

Legea in samburele ei doreste sa informeze vizitatorul de acest mecanism al cookieurilor si sa-l invete cum sa le configureze ca sa se auto-protejeze. Altfel, o aplicare absurda a ei se transforma totul intro dictatura. Iar cea mai simpla metoda, la care nu doar noi doi am ajuns, ci si majoritatea siteurilor, este acea simpla notificarea in partea de sus a ecranului in care utilizatorul are la dispozitie si o pagina cu instructajul aferent astfel incat sa aleaga ce decizie ia in legatura cu cookieurile si cum sa le seteze.

Uite, ca fapt divers, majoritatea siteurilor care folosesc metoda descrisa mai sus pointeaza spre siteul IAB Romania (inclusiv eu) unde utilizatorul poate seta 70 de cookieuri ale retelelor partenere. Pai eu daca vizitez 1000 de siteuri pe saptamana, stau sa setez 5000 de cookieuri? Si asta e fapt, nu gluma!

Stiu si eu cum este cu legile, tine mai mult de cum si cine le aplica. Daca le aplica un sistem corupt sau cu oameni nepregatiti, apai, n-ai nicio sansa indiferent cate masuri de precautie ti-ai lua si de cat de drept esti.

[emm]

Haos, nu neg ca ai si tu perfecta dreptate. Si nu cred ca ne contrazicem, nu este o polemica.

De fapt, eu am expus situatia din punct de vedere al legii si implicatiile tehnice (absolut criminale).

Tu ai expus lucrurile din punct de vedere al realitatii obiective. Iar aceste 2 puncte de vedere, sunt prea diferite ca se poata intalni la mijloc, deocamdata.

Cred ca raspunsul corect este, vom trai si vom vedea. Eu unul voi aplica tehnic tot ceea ce se poate, asa cum si altii vor incerca sa faca, insa pentru rezolvarea problemei va trebui ori modificata legea, ori tehnologia, respectiv browserele. Alta cale nu vad.

Daca UE si Ro vor incepe sa dea amenzi pe tema asta, lucrurile vor sari in aer.

[haos]

Am intrebat un avocat si m-a redirectionat aici. Concluzia articolului:

Măsuri generale care trebuie luate pentru ca un site să corespundă cerințelor:

1. Să cuprindă în Condițiile generale sau în politicile de utilizare a datelor informații clare și complete legate de cookies.
2. Folosirea de casete pop-up prin care să se ceară consimțământul utilizatorului în legătură cu cookies. E o soluție însă puțin agreată fiind inestetică și multe browsere blochează oricum casetele pop-up.
3. Persoanele care vizitează pentru prima data site-ul să acceadă la o variantă cu cookies dezactivată cu un banner în care să fie informați despre cookies și că accesarea a funcționalităților site-ului presupune acceptul de a se utiliza cookies.
4. Atunci când se activează opțiuni de genul „remember preferences” utilizatorul să fie informat că acestea presupun cookies.
5. Dacă se fac schimbări în termenii și condițiile site-ului acestea să fie semnalate utilizatorului oferind acestuia opțiunea de a fi de acord sau să părăsească site-ul.

Emm, tu cred ca te refereai la punctul 4. Oricum o sa mai intreb inca un avocat intrucat tot nu m-am lamurit asa cum nu cred ca s-au lamurit 90% dintre webmasteri.

[emm]

Eu ma refeream la mai multe lucruri.

Punctul 3 de mai sus, inseamna ca pierzi informatiile de tip referrer, si hitul, daca acesta face bounce si/sau nu activeaza cookies. Asta pentru ca nu poti afisa un cod de tracking pentru ca acestea includ cookies din start.

Asta poate insemna 50-70% din statisticile tale.

Singura solutie este cea costisitoare, respectiv sa ai propriul sistem de tracking intern, customizat ca sa faca bypass peste problema asta.

--- Later Edit --- (ca mi-a fost lene sa apas "Edit")

Reformulez, inseamna toate statisticile tale, adica Referer-ul dispare pentru toti userii, chiar daca ulterior accepta cookies.