Jak poprawnie obsługiwać cookies w zgodzie z przepisami UE?

Pewnie niektórzy z Was wiedzą, że od pewnego czasu każda strona internetowa jeśli korzysta z cookie to zanim ich użyje musi o to zapytać klienta.
Tym samym różnego rodzaju skrypty typu: Google analytics, gtag, facebook pixel, dane sesji i wiele innych nie może być wykorzystywane w naturalny standardowy sposób lub sposób zalecany przez dostawcę usługi.

https://odo24.pl/blog-post.baner-cookie-wedlug-erod
https://zgodnosczrodo.pl/wytyczne-erod/

Pomijając to, że nie wiem co oni tam biorą i dlaczego tak dużo to nie wiem też jak temat ogarnąć aby jakoś klientów ze stronami WWW ogarnąć.
Na początek myślałem, że skieruję ich do cookieBot i po sprawie. Niestety to nie takie proste ani oczywiste:

https://www.consentmanager.pl/wiedza/dobrze/wazny-dostawca-oceny-cookiebot-oznaczony-nielegalny/

We łbie się nie mieści jakie absurdy nas jeszcze czekają. Nawiązując do powyżej podlinkowanego wyroku szkoda, że ktoś nie wymyślił, że gdyby nie kazać pokazywać tego zasr....ego okienka to nikt nigdzie żadnych cookie zbiorczo do USA by nie wysyłał. Nasi włodarze strzelili sobie w kolano ale jak widać w swojej głupocie brną dalej :-)

Pomijając aspekty prawne i chcąc skoncentrować się na stronie technicznej zagadnienia.

Wygląda na to, że trzeba wstawić coś własnego ewentualnie jakiegoś gotowca do tego celu. Jakie są dostępne sprawdzone gotowce?
Wolałbym raczej coś "self hosted" niż korzystać z zewnętrznych usług. Macie jakieś propozycje?

Dodam, że serwisy, które obsługuję są obszerne, mają grube tysiące podstron i niezmiernie ważny jest aspekt SEO. Także nie może to być jakieś "żółwie" rozwiązanie.

Bo jak nie to kara:

https://poradnikprzedsiebiorcy.pl/-kary-za-ciasteczka-cookies-w-zwiazku-z-rodo-i-nie-tylko

Nie każda strona, która używa cookies potrzebuje banneru ze zgodą.
Na przykład taki Github nie ma żadnego banneru..

Zgoda jest potrzebna jedynie wtedy, kiedy używasz cookies do rzeczy które nie są niezbędne do działania strony.
Czyli na przykład kiedy zbierasz dane na temat zachowań użytkowników i wysyłasz je do Kambodży, czy tam do innego Googla.

Natomiast do zwykłej obsługi sesji, czy zapamiętania dark/light motywu nie potrzebujesz baneru.

Natomiast sam skrypt to jest kilkanaście/kilkadziesiąt linijek kodu.
Początkujący developer czy nawet ChatGPT wysmaży Ci takie coś od ręki. Poza tym, są tego tony na Githubie.

PrzezuwaczWegla napisał(a):

Nie każda strona, która używa cookies potrzebuje banneru ze zgodą.
Na przykład taki Github nie ma żadnego banneru..

Zgoda jest potrzebna jedynie wtedy, kiedy używasz cookies do rzeczy które nie są niezbędne do działania strony.
Czyli na przykład kiedy zbierasz dane na temat zachowań użytkowników i wysyłasz je do Kambodży, czy tam do innego Googla.

Natomiast do zwykłej obsługi sesji, czy zapamiętania dark/light motywu nie potrzebujesz baneru.

Natomiast sam skrypt to jest kilkanaście/kilkadziesiąt linijek kodu.
Początkujący developer czy nawet ChatGPT wysmaży Ci takie coś od ręki. Poza tym, są tego tony na Githubie.

Wiem ale to nic nie zmienia bo raczej nie znam komercyjnej strony bez google analytics, jakigoć chatBota czy widgetów facebook a już na 100 każdy z moich klientów takie lub podobne narzędzie na stronie ma...

Możesz dodać takie coś z google o ile masz tam adsense podłączone. To ich komunikat może być wyświetlany.
Lub w stopce możesz dać info lub popup że ciastka są (choć i tak 99% ludzi nie wie co to). I nie każda strona gromadzi ciastka i je wykorzystuje. Wtedy mogą naskoczyć polujący na który - choć nikt za to nie dostanie kary tylko wymuszenia robią kancelarie niektóre -jak się uda zastraszyć aby wyrwać gotówkę a nie prowadzić sprawę.

W Polsce nie było procesu i ukarania nikogo za brak zgody na ciastka - nigdy nie słyszałem o takim czymś ani nie widziałem sygnatury takiej sprawy. Nie dajcie się też straszyć jakimś kancelarią w razie czego - bo polują na frajerów jak rzetelna firma.

Cimron napisał(a):

Możesz dodać takie coś z google o ile masz tam adsense podłączone. To ich komunikat może być wyświetlany.
Lub w stopce możesz dać info lub popup że ciastka są (choć i tak 99% ludzi nie wie co to). I nie każda strona gromadzi ciastka i je wykorzystuje. Wtedy mogą naskoczyć polujący na który - choć nikt za to nie dostanie kary tylko wymuszenia robią kancelarie niektóre -jak się uda zastraszyć aby wyrwać gotówkę a nie prowadzić sprawę.

W Polsce nie było procesu i ukarania nikogo za brak zgody na ciastka - nigdy nie słyszałem o takim czymś ani nie widziałem sygnatury takiej sprawy. Nie dajcie się też straszyć jakimś kancelarią w razie czego - bo polują na frajerów jak rzetelna firma.

Sam na swoich stronach nie mam takich powiadomień zwyczajnie kierując się zdrowym rozsądkiem i jak wspomniałeś tym, że "w Polsce nie było procesu i ukarania nikogo za brak zgody na ciastka" ale teraz wyobraź sobie, że obsługujesz kilkaset stron i teraz po kolei właściciele każdej z nich zaczynają do Ciebie dzwonić i dopytywać - bo jakaś sieć kancelarii zrobiła marketingową akcję "zastraszania". Poniekąd kancelarie nie robią nic złego bo durne przepisy powstały i obowiązują, zatem żeby sprostać zapotrzebowaniu należy serwis do tych durnych wymagań dostosować lub przynajmniej podjąć adekwatne działania informacyjne ze swojej strony.

Pewne jest jedno, że jeśli klient zapyta czy powinien mieć na stronie takie "okienko" to w świetle obowiązujących przepisów nie można mu odpowiedzieć, że może to olać.

@Cimron - Jakich wymogów, jaki paragraf o tym mówi i gdzie w jakim przepisie prawa? — dziś, 13:30

Wygląda mi na to, że wynika to np. z tego:
https://sip.lex.pl/akty-prawne/dzu-dziennik-ustaw/prawo-telekomunikacyjne-17116702/art-173
https://sip.lex.pl/akty-prawne/dzienniki-UE/rozporzadzenie-2016-679-w-sprawie-ochrony-osob-fizycznych-w-zwiazku-z-68636690/art-4
https://gdpr.pl/organ-nadzorczy-google-analytics-narusza-rodo

a w szczególności:

Podmioty świadczące usługi telekomunikacyjne lub usługi drogą elektroniczną mogą instalować oprogramowanie w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego przeznaczonym do korzystania z tych usług lub korzystać z tego oprogramowania, pod warunkiem że abonent lub użytkownik końcowy:

1. przed instalacją oprogramowania zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o celu, w jakim zostanie zainstalowane oprogramowanie, oraz sposobach korzystania przez podmiot świadczący usługi z tego oprogramowania;
2. zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o sposobie usunięcia oprogramowania z telekomunikacyjnego urządzenia końcowego użytkownika lub abonenta;
3. przed instalacją oprogramowania wyrazi zgodę na jego instalację i używanie.

Kilka interpretacji:

https://gdpr.pl/organ-nadzorczy-google-analytics-narusza-rodo
https://www.gazetaprawna.pl/firma-i-prawo/artykuly/8334416,korzystanie-z-google-analytics-narusza-rodo.html

Tutaj mamy całą stronę prawnego bełkotu z końcowym wnioskiem:
https://odo24.pl/blog-post.czy-google-analytics-jest-zgodne-rodo-decyzja-cnil

Zgodnie z ustaleniami CNIL należy stwierdzić, że spółka nie może powoływać się na żadne narzędzia przewidziane w rozdziale V rozporządzenia, aby uzasadnić przekazywanie danych osobowych osób odwiedzających jej stronę internetową, a w szczególności niepowtarzalnych identyfikatorów, adresów IP, danych przeglądarki i metadanych, do Google LLC w Stanach Zjednoczonych. Co za tym idzie, należy zgodzić się z francuskim organem nadzorczym, że brak jest skutecznych narzędzi zapewniających bezpieczeństwo przekazywanym do USA danym.

Potem mamy jeszcze takie cyrki:

https://noyb.eu/en/eu-us-transfers-complaint-overview
W tym:

• https://noyb.eu/files/C29/complaint-28.pdf
• https://noyb.eu/files/C29/complaint-29.pdf

Wniosek końcowy:

Wiem, że to są jedynie interpretacje ale szczerze przyznam, że nie chce mi się dogłębnie studiować tego tematu na poziomie ustaw i rozporządzeń. Wolałbym otrzymać jasną odpowiedź w stylu:
a) W przypadku korzystania z Google Analytics wymagane jest wyrażenie zgody użytkownika przed uruchomieniem skryptów GA lub gTag.
b) Olej to nie ma prawnych przesłanek by strona usiała pytać o zgodę na uruchomienie skryptów GA czy gTag.

Tak ale oni nie nakładają tego co mówisz " stała informacja nie spełnia wymogów prawnych. Na stronie nie można uruchomić żadnego skryptu zapisującego cookie bez wyrażenia zgody odwiedzającego". Oni nie regulują tym jaka to ma być informacja i jak podana. Ma być informacją do akceptacji lub nie. Nawet jeśli by nie miała klawisza to nikt cię nie pozwał by że go tam nie ma. Nawet jak by zgody nie było to też by nikt tego nie zrobił.

W teorii możesz dać informację w klawiszem zgoda, brak zgody i reakcyjność tych klawiszy. Ale tego nikt nigdy i nigdzie nie będzie weryfikował bo nie ma do tego nikt kompetycji zadaniowych w tym kraju. Przepisy nie mówią też jak ma być to osadzone bo nie mogą. A strona www zakładam ze nic nie instaluje w myśl - chyba że masz strony co instalują oprogramowanie lub dodatki wtedy może to być inna zasada.

Natomiast nie dla stron z treścią gdzie ktoś wchodzi nawet jeśli zostawić jakiś komentarz.