[GDPR][Cookie] Nowe nagłówki HTTP

Hej,

tak sobie dzisiaj myślałem o tym jak można się uwolnić od tych wszystkich spamów, bezsensownych wiadomości związanych z GDPR i cookie.

Każdy wie, jak to wygląda, każdy wie, jak to utrudnia przeglądanie nowych stron. Trzeba przebić się przez DIVy z jednakową treścią, może inaczej zapisaną, dotyczącą GDPR lub informacji cookies. Większość i tak się zgadza na te wszystkie komunikaty, w szczególności odnośnie cookies.

Co stoi na przeszkodzie, aby projektując stronę/aplikację akceptować taki(e) nowy/nowe nagłówek/ki HTTP jak:

Cookie-Consent: true
GDPR-Consent: true

Co one by robiły? Dezaktywowały wyświetlanie informacji o odpowiednio Cookie/GDPR.

Otóż z technicznego punktu widzenia, nic nie stoi na przeszkodzie. Tylko jak by to prawnie wyglądało? Mnie by to na przykład nie przeszkadzało, bo bym sobie pewnie napisał plugin do przeglądarki, że wysyłam do wszystkich stron przy requeście nowe nagłówki.

Co sądzicie o tym pomyśle? Zapraszam do dyskusji.

Z jednej strony głupi nie jest, ale z drugiej nie wiem czy spełnia wszystkie wymagania nałożone przepisami. Głównym problemem jaki widzę to możliwość wyłączenia poszczególnych ciastek. Dodatkowo nie wiem czy byłoby to "wystarczająco wyraźne" z punktu widzenia ustawodawcy. Dodatkowo IIRC masz obowiązek nie tyle poinformowania o GDPR a bardziej poinformowania kto będzie zarządzał Twoimi danymi. W takim wypadku Twój nowy nagłówek nic nie zmieni.

W pełni się z tobą zgadzam i sama swego czasu myślałam, że klikanie tych okienek to jakiś debilizm, i jak już to powinno dawać się jakoś globalnie zdeklarować w przeglądarce, jak np. reakcje na monity odnośnie odczytu położenia. Może z czasem coś podobnego zostanie wprowadzone, póki co pozostaje pisać sobie lokalne CSS i starać się zwalczać te bzdetne okienka.

hauleth napisał(a):

Dodatkowo IIRC masz obowiązek nie tyle poinformowania o GDPR a bardziej poinformowania kto będzie zarządzał Twoimi danymi. W takim wypadku Twój nowy nagłówek nic nie zmieni.

Ale to też da się rozwiązać. Obecnie klikając w stronę z ssl, możesz poczytać sobie informacje o wydawcy. Trzeba by zastosować podobny mechanizm i miałoby to nawet więcej sensu niż te durne okienka, bo zawsze byłoby w tym samym miejscu i można by nawet wymagać obecności określonych, standardowych pól danych.

Niestety ustawodawcy chcą by to się pokazywało i drażniło oko. Może jedna osoba na milion przeczyta warunki i dowie się z nich jakiejś niepokojącej treści.
Takie nagłówki to super pomysł o ile ktoś z rządzących zunifikowałby treści na jakie się zgadzamy coś na wzór GPL itp. Wtedy bez czytania wiesz co akceptujesz. Ale do tego trzeba ludzi którzy "czują" technikę, a nie specjalistów od rolnictwa co to akurat w ramach nagrody dostali stołek w cyfryzacji.
Z ostatnich dni apka do postarzania zdjęć wyciągała jakieś nie autoryzowane dane a przecież pewnie przy instalacji Android pytał o zgodę.

Dziękuję za udział w dyskusji.
Zgadzam się z Wami, w szczególności z @hauleth i @jurek1980

Niemniej jednak chciałbym odnieść się do postu @Freja Draco. Myślę, że ten pomysł jest co najmniej dobry. Niech to będzie mniej inwazyjne, a użytkownik decyduje*, czy chce przebijać się przez tuzin okienek informacyjnych, czy może taką informację wyświetlać na poziomie przeglądarki (jak SSL) lub na poziomie jakiejś opcji na stronie (on click itp.).

• Wtedy proponowałbym (gdybam) nagłówek HTTP o innym brzmieniu.

GDPR-Popup: true/false

Opcja true (lub brak nagłówka) powodują, że użytkownik traktowany jest jak dziecko, czyli trzeba mu podać wszystkie informacje o niebezpieczeństwach na pół ekranu i nie może nic zrobić, dopóki nie zaakceptuje.
Opcja false jest dla użytkowników, którzy mają świadomość, że jeżeli im zależy na pozyskaniu takich informacji, to są w stanie taką informację wyczytać z treści (po kliknięciu, najechaniu na jakąś ikonkę, i tym podobne - możliwości wiele). Pomysłowość twórcy strony może być tutaj zaangażowana. Podobnie sprawa miałaby się z ciasteczkami.

Można by było też trochę ustandaryzować te okienka, np. dając im "obowiązkową" klasę. Nie wymaganą przez UE, lecz jako niepisaną zasadę. Wtedy ja bym z chęcią dopisał user CSSa i to okienko po prostu ukrył - dla wygody.

Takie nagłówki to super pomysł o ile ktoś z rządzących zunifikowałby treści na jakie się zgadzamy coś na wzór GPL

2 rzeczy są tutaj istotne:

• GPL powstało dzięki organizacji pozarządowej, nie sądzę, że "odgórna" rządowa licencja by miała większy sens (zwłaszcza, że wcześniej taka "licencja" była, i to były lokalne ustawy nt. danych osobowych)
• dane osobowe to zupełnie co innego niż kod/binarki, przede wszystkim tutaj to działa w drugą stronę, to Ty dajesz "licencję" komuś, a nie on Tobie

Niestety ustawodawcy chcą by to się pokazywało i drażniło oko.

Nie "ustawodawcy chcą" tylko ze względów ww. niespecjalnie jest to możliwe w innej postaci.

Obecnie klikając w stronę z ssl, możesz poczytać sobie informacje o wydawcy.

Niby tak, ale tutaj działa to w drugą stronę. W przypadku TLS jako użytkowniczka jesteś tylko informowana z kim się łączysz, nie musisz (a często nie masz wyboru) i zawsze łączysz się przez szyfrowany kanał. W przypadku GDPR to działa w drugą stronę, użytkownik musi aktywnie wyrazić zgodę na gromadzenie danych osobowych. Nawet nie można domyślnie zaznaczyć za niego okienek, tylko musi "manualnie" sam, "świadomie" zaznaczyć, inaczej można mieć problemy.

póki co pozostaje pisać sobie lokalne CSS i starać się zwalczać te bzdetne okienka

Tak jak napisałem, ukrycie okienka to zupełnie coś innego niż automatyczna zgoda na gromadzenie danych. Zgodnie z prawem jeśli nie naciśniesz "zaakceptuj" to nawet nie mogą włączyć Google Analytics, wcale.

Co do dyskusji, to jedyna możliwa opcja to "domyślne opt-out", ale teoretycznie coś takiego już jest w postaci nagłówka DNT: 1. Więc jeśli chcecie, to zaimplementujcie to u siebie na stronie.

To w ogóle jest skomplikowana i poryta sprawa, bo z moich obserwacji, większość stron, która ma coś np. od fb (na ten przykład) łamie to prawo. Sorry: wszystkie. Tak naprawdę to prawo obowiązywało już wcześniej (np. administracje publiczną), po GDPR po prostu stało się medialne. Sens tego prawa jest banalnie prosty: nikt nigdy nie może używać Twoich danych bez Twojej wyraźnej wiedzy i zgody. I tyle. Nic więcej. Niestety nagłówki tu nic nie zmienią (DNT to dobry przykład, bo wszyscy to chyba leją jawnie lub skrycie, poza ideowcami)

Taki przykład: wchodzę sobie na **strona.com **i autor tym zasranym popupem mnie informuje, że zbiera IP address, dajmy na to tylko to + udostępnia go firmie X, Y, Z i facebookowi. Powiedzmy wyrażam zgodę dla strona.com (w jakikolwiek sposób), ale taki facebook np. na pewno koreluje mój adres IP z kontem mojej żony (ona korzysta), i może dojść, że żona wchodzi na strony z przepisami kuchennymi, ale "ktoś" inny na tym adresie IP już wchodzi na strony techniczne. I np. jej może skorelować reklamę "kup dla bliskiej osoby wiertarkę!".

A na coś takiego ja już zgody nie wyrażam, podejrzewam, że żona również, ale ona ma konto na fb, załóżmy więc, że w teorii zgadza się na wszystko. I to jest właśnie nielegalne w świetle prawa, zarówno źle robi strona.com i oczywiście facebook, ale bardziej winna jest właśnie ta strona, bo ona to udostępnia w celach niecnych. Na razie nikt nie robi z tym porządku, a to jest jawne latanie w kulki (podobnie robi na pewno Google i paru jeszcze się znajdzie). Więc te popupy to są okdp (skrótowo), tylko wnerwiają, a nic nie zmieniają. A mało tego, właściciel strona.com może mieć zysk w tym, że wchodzę na jego stronę, bo powiedzmy ma sklep, więc mogę coś kupić. Więc jak nie chcę dać zgody facebookowi u niego, to i tak chce mi dać możliwość skorzystania ze strony - widział ktoś stronę, gdzie taki "case" jest dobrze "zaimplementowany"? Bo ja nie, nigdy.

Najlogiczniej (według ABI pewnej skarbówki i pewnego urzędu miasta, bo radziłem się kiedyś) byłoby wchodzić na stronę i wszystkich "partnerów" mieć domyślnie zablokowanych. A gdyby ktoś chciał ujawniać np. parterowi X swoje dane, to powinien być osobny link na stronie (link, nie popup), typu "Zdecyduj co nasi partnerzy mogą się o Tobie dowiedzieć" i tam by partnerzy byli odfajkowani + automatycznie przy odfajkowaniu wyświetlał by się ich własny regulamin. Jeśli po przeczytaniu regulaminu co partner robi z Twoimi danymi dalej masz go fajnkniętego - no to gratulacje, wyraziłeś właśnie świadomą zgodę i wiesz co dany partner robi z Twoimi danymi na stronie X.

te popupy to są okdp (skrótowo), tylko wnerwiają, a nic nie zmieniają

Jakoś specjalnie odkrywcze to nie było :P

Wiadomo, że celem tych wszystkich popupów/modali/ramek jest ochrona. I trzeba przyznać, że te okienka z informacjami/ostrzeżeniami się idealnie w tej roli sprawdzają, tylko działają trochę inaczej, niż sobie to UE wymyśliła. Miały chronić użytkowników, a realnie chronią właścicieli stron przed karami za niemanie ostrzeżenia ;)