Реализация на сайтах функционала обработки и настройки cookie-файлов

Зачем необходима доработка сайтов на соответствию законодательству о защите персональных данных?

В соответствии с Законом Республики Беларусь № 99-З от 07.05.2021 «О защите персональных данных»:

персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;

87%

проектов выполнено в срок или с задержкой на стороне заказчика

92%

удовлетворенных заказчиков по всем видам услуг

2мес.

средний срок разработки корпоративного сайта в Студии Борового

Cookie-файлы используются веб-серверами (веб-сайтами) для идентификации пользователей и хранения данных о них, сохранении персональных настроек, например, выбора используемого языка и т.д. Яндекс и Google карты, Google Analytics, Яндекс Метрика, многие другие сервисы «навешивают» (записывают) файлы cookie.

Согласно сложившейся практике, cookie-файлы относят к персональным данным. Соответственно, сайт должен запрашивать согласие пользователя на обработку его персональных данных и получать это согласие (либо отказ).

Файлы cookie на сайте — это не просто техническая деталь. Это механизм сбора данных о пользователях, который регулируется законодательно. Если на сайте используется аналитика, реклама, карты или даже базовые инструменты отслеживания — вы уже работаете с данными cookies и обязаны корректно уведомлять пользователя и получать его согласие, а также предоставить ему возможность отозвать свое согласие.

Контроль за соблюдением законодательства о защите персональных данных

Для регулирования правоотношений в области защиты персональных данных в Беларуси создан Национальный центр защиты персональных данных, который с определенной периодичностью проводит проверки организаций относительно обработки персональных данных и обработки файлов cookies. В случае выявления несоответствия, Центр вправе выносить предписания и штрафы.

Как должна работать политика cookies

Информирование пользователя
На сайте появляется cookie баннер с понятным объяснением, какие данные собираются и зачем.
Пользователь дает либо не дает согласие на обработку cookie
Это не формальность — настройки cookies должны реально влиять на поведение сайта. Если пользователь игнорирует плашку с настройкой куки-файлов, то куки считаются непринятыми, а часть функционала сайта может не работать, например, карты.
Сайт реагирует на выбор
В зависимости от согласия:
- аналитика и маркетинговые инструменты — информация о пользователе и его поведении на сайте полностью собирается,
- блокируются либо загружаются не все сервисы (например, если обработка функциональные cookie-файлов не разрешена пользователем, а на сайте есть Google или Яндекс карты, то их работа отключается. Этот вопрос требует отдельной проработки разработчиком и не решается установкой сторонних решений — только непосредственной доработкой сайта).
Согласие фиксируется
Система хранит настройки cookies пользователя и передает их в подключенные сервисы. При желании пользователь может в любое время изменить свое согласие.

Если один из этих этапов реализован неправильно — сайт формально нарушает требования и соответствие законодательству по обработке персональных данных и cookie файлов.

Программное решение Студии Борового по настройке работы cookie-файлов DB.Cookies

Студия разработала полноценный нативный функционал обработки сайтом куки-файлов и реализации для пользователей возможности настройки использования функциональных, статистических и рекламных куки-файлов. Решение оптимизировано с точки зрения загрузки страницы, все скрипты настройки и пояснительный текст вынесен на отдельную страницу с адресом /cookie-policy/.

В работы также включаются:

составление таблицы основных используемых на сайте cookie-файлов и публикацию этой таблицы на странице cookie-policy;
варианты с точки зрения UI дизайна баннера согласия (попап-окна);
дополнительную интеграцию с сервисами Google (Consent mode) — по запросу клиента (на сайтах с интернет-рекламой мы рекомендуем настраивать этот режим).
Работы по настройке работы Google Maps или Яндекс Карт с учетом выбора пользователем на баннере согласия. Например, до согласия на обработку функциональных cookies, представление Яндекс Карт на сайте заменяется на статичное изображение + интеграцию в CMS, чтобы клиент сам мог в случае чего заменить изображение с картой (в случае смены адреса).
Вставка видео с Youtube и других видеосервисов. Если соблюдать максимально строгий подход, то для видео с Youtube теперь необходим отдельное попап-окно.
Перевод и корректное размещение информации относительно обработки файлов cookie на всех языковых версиях интернет-проекта.

Зачастую на проектах мы самостоятельно регистрируем и подключаем для клиента Google Tag Manager, переподключаем Google Analytics или Яндекс Метрику, если на сайте стоит неактуальный код или доступы утеряны без возможности восстановления.

Видно, что доработка проектов для соответствия требованиям законодательства Республики Беларусь по персональным данным (аналогично и Российской Федерации, Европейского союза — для GDPR, США — законов штата Калифорния CCPA и CPRA) — это комплексная работа, требующая знания и учета многих технических деталей и нюансов, с достаточно большое вариативностью. Она требует квалифицированного подхода веб-разработчика с точечным привлечением seo-специалиста и коммуникацией с клиентом.

Что такое Consent Mode?

Consent Mode (режим согласия) — это технология от Google, которая позволяет веб-сайтам регулировать работу тегов (Google Analytics, Google Ads, Yandex и др.) в зависимости от того, дали ли пользователи согласие на использование файлов cookie.

Это своего рода «умный посредник» между баннером согласия (Cookie Banner) и инструментами аналитики.

Как работает режим согласия Google?

Когда пользователь заходит на сайт, Consent Mode проверяет его выбор в баннере согласия и передает этот статус в Google. Возможны два сценария:

Пользователь согласился: Теги работают в обычном режиме, собирают все данные и устанавливают cookie.
Пользователь отказался: Теги Google не считывают и не записывают файлы cookie. Вместо этого они отправляют в Google «сигналы без файлов cookie» (cookieless pings).

В случае, если пользователь не делает выбора на баннере согласия (не принимает и не отказываются), то в google tag передаются «дефолтные» параметры, которые разрешают только технические cookie-файлы, остальные остаются не определенными. Если пользователь через некоторое время все-таки делает выбор в баннере согласия (принимает или отказывается), параметры перезаписываются, и в соответствии с ним открывается или закрывается доступ (если до этого был открыт).

Зачем нужен Consent Mode?

Основной нюанс добавления баннера согласия — это огромные пробелы в данных. Если 30% пользователей нажимают «Отклонить всё», сайт теряете 30% данных о конверсиях и трафике. Consent Mode частично решает это с помощью моделирования:

Восполнение данных: Google использует машинное обучение, чтобы «дорисовать» путь пользователей, которые отказались от cookie, на основе поведения тех, кто согласился.
Соблюдение законов: Вы не нарушаете конфиденциальность, так как не идентифицируете конкретного человека, но при этом видите общую картину эффективности маркетинга.

Два концептуальных варианта реализации

Решение Студии Борового по настройке работы cookie-файлов DB.Cookies может быть реализовано двумя способами:

Весь функционал обработки cookie-файлов на отдельной странице

Всё, кроме баннера согласия и функционала выбора, — настройки, отзыв, пояснительный текст, таблица обрабатываемых файлов cookie со сроками их хранения, текст Политики в отношении обработки cookie-файлов и т.д. — вынесено на отдельную страницу сайта с адресом /cookie-policy/. Это рекомендуемый вариант, т.к. он обладает рядом преимуществ, в первую очередь тем, что весь текст Политики и большая часть cookie-функционала вынесен «за скобки» на отдельную страницу и не загружает остальной сайт.

Реализация через попап-окно

Более привычная реализация. Она решает все необходимые с точки зрения регулятора задачи.

Мы также предлагаем две вариации:

Через настройку Consent Mode (там, где это необходимо)
Это современный вариант настройки обработки cookies, при котором:
- Google Analytics и другие системы продолжают работать;
- данные собираются в ограниченном, анонимизированном виде до согласия;
- после полного либо частичного согласия включается полный сбор данных;
- система получает сигналы о статусе consent.
Что это дает:
- сохраняется веб-аналитика и маркетинг;
- соблюдаются требования согласно законодательству по файлам cookie на сайтах для конкретной страны либо региона;
- минимальные потери данных.
По отдельному запросу возможна интеграция с Яндекс Тег Менеджер (ЯТМ).
Скриптовое решение с отложенной загрузкой

Более строгий сценарий:
- все внешние скрипты (GTM, пиксели, аналитика) не загружаются до согласия. Они буквально «вырезаны из сайта». У них нет возможности даже загрузиться, потому что эти скрипты физически отсутствуют. И только когда пользователь дает согласие на обработку cookie, они загружаются и добавляются на сайт;
- сайт начинает сбор данных только после принятия cookies;
- полностью соответствует строгим требованиям GDPR.
При данной реализации — если пользователи не дают согласие, никакие аналитические инструменты не будут загружаться и собирать данные.

Решение Студии Борового по настройке работы cookie-файлов может быть внедрено под разные CMS и фреймворки

Техническая реализация cookies лишь в незначительной степени зависит от CMS-платформы сайта.

Мы предлагаем «нативное» решение по обработке и настройке файлов cookie, с адаптацией под проект и его архитектуру, выполняемой веб-разработчиком. Большинство внедрений DB.cookies реализовано для проектов разработки Студии Борового на наиболее популярных CMS-платформах:

Разрабатываем и поддерживаем сайты на разных CMS-системах и фреймворках

1С-Битрикс — реализуем корректную обработку cookies с учетом структуры проекта;

WordPress — дорабатываем существующие решения или внедряем собственную логику.

Drupal

Laravel

MODX

Yii

Joomla

Magento

Opencart

Symfony

Perl

Преимущество нативного программного решения по обработке cookies перед использованием готового плагина?

Ответ прост и подтвержден наблюдениями за проектами. Плагины часто не учитывают требования законодательства и работают формально — показывают баннер, но реальную настройку cookie не проводят. По нашим наблюдениям, такая ситуация происходит примерно в 2/3 случаев использования стороннего баннера, особенно если внедрение идет самостоятельно. Зачастую клиенты не знают, как проверить корректную работу баннера согласия, хотя на самом деле это не сложно. Кроме того, плагины не настраивают Google Consent Mode, т.к. его можно настроить только через сервис Google, а не через сайт, и эта операция требует участия seo-специалиста или веб-разработчика.

При внедрении программного решения по обработке файлов cookie Студии Борового с проектом работает инженер-программист, который проводит интеграцию решения, проверяет выполненные настройки, корректно составляет таблицу используемых куки-файлов и т.д.

В каждом случае задача одна: не просто «сделать куки на сайт», а обеспечить реальную работу согласия на обработку cookies и корректное поведение всех подключенных сервисов.

Что вы получите в итоге:

понятную и юридически корректную политику cookies;
реально работающий cookie баннер, а не попап «для галочки»;
корректную обработку, хранение и настройку cookies и данных сайтов;
сохранение аналитики без нарушений;
готовность сайта к требованиям GDPR, РБ и РФ.

Настройка файлов cookie — это баланс между законом и данными. Слишком простое решение — риск штрафов. Слишком строгое — потеря аналитики.

Задача — сделать так, чтобы сайт оставался в рамках требований законодательства и при этом с минимизировать потери важных маркетинговых данных.

Студия Борового решает задачу именно в такой постановке, выбирая оптимальное решение с учетом платформы, требований законодательства, задач проекта и других параметров.

Сделать заявку на внедрение функционала обработки и настройки cookie файлов на вашем сайте.

Доработка сайтов для соответствия законодательству о защите персональных данных в других юрисдикциях (РФ, ЕС, США и т.д.)

Ряд компаний ведут свою деятельность в нескольких регионах: Российской Федерации, Казахстане и других постсоветских странах, Европейском союзе, США, Великобритании, Канаде, ОАЭ и т.д.

Студия Борового предлагает провести доработку сайтов и внедрения функционала обработки, настройки и хранения cookie-файлов для соответствия законодательству иностранных государств и регионов, основных экономических и производственных партнеров, которое содержит подход к файлам cookie аналогичный белорусскому:

Федеральному закону Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (с изменениями и дополнениями);
The General Data Protection Regulation (GDPR) — закону Европейского союза 2018 года, регулирующий защиту данных и конфиденциальность.
Клиент. Выбирает агентство, решает следовать ли рекомендациям или нет, выделять ли бюджет, внедрять ли нововведения и как быстро. Идеальным клиентом Студии является средний и крупный бизнес, у которого есть большой запас для развития, конкурентоспособный продукт и сервис. Мы ценим, когда нам доверяет и приходят за результатом, который мы можем дать.
Исполнители, которые внедряют рекомендации. В 90% случаев сторонний подрядчик на проекте ведет к потере денег и времени. В Студии Борового работает full-stack команда, SEO-процессы тесно интегрированы с веб-разработкой, что дает возможность обеспечивать клиентов полной экспертизой и участвовать в проекте специалистам из разных областей. Вам не придется обращаться в разные агенства. Все задачи можно решить у нас.
Поисковые системы. Никто не знает когда и как изменятся алгоритмы, тем не менее опыт работ позволяет прогнозировать необходимое количество работ для получения результата.

Законодательство США до сих пор не имеет единого закона. Когда на практике говорят об «американском GDPR» (по аналогии с европейским), чаще всего имеют в виду законы штата Калифорния:

CCPA (California Consumer Privacy Act, вступил в силу в 2020 год);
CPRA (California Privacy Rights Act, вступил в силу в 2023 году).

Именно эти калифорнийские законы из-за их строгости де-факто стали стандартом для технологических компаний и других штатов.

Студия Борового имеет опыт доработки сайтов клиентов под требования регуляторов в регионах Российской Федерации, Европейского союза, США, Казахстана, Великобритании и других стран.

Если веб-проекты вашей компании представлены в нескольких регионах — пришлите ваш запрос и мы свяжемся с вами и сообщим базовые условия сотрудничества.

Как самостоятельно проверить корректно ли отрабатывает баннер согласия на вашем сайте в браузере Chrome?

Открыть вкладку в режиме инкогнито, чтобы информация была более достоверной и чистой.
Нажать F12 для отображения режима просмотра кода;
Перейти во вкладку «Приложение» и выбрать (нажать) в «Хранилище» строку «Файлы cookie» с названием сайта. Зачастую строчек несколько — это всё куки сайта. Обычно же все cookie на одной закладке, но иногда делятся на сервисы. После клика в правой части отобразится список куки-файлов, которые обрабатываются на данной странице:

Когда необходима настройка согласия на обработку cookie и персональных данных

Настроить cookie для сайта необходимо, если:

используется Google Analytics, GTM или любая аналитика;
подключены рекламные инструменты;
сайт работает с пользователями в Беларуси, ЕС, США, России;
вы работаете с персональными данными;
вы не уверены, как сейчас реализована обработка cookies.

Если подвести итог, то корректная настройка обработки персональных данных и cookie файлов на сайте нужна всегда практически для любых сайтов.