Bullshit Basics: Google Tag Manager не є доменом без cookies: приклад

У багатьох деклараціях про захист даних стверджується, що Google Tag Manager є доменом без cookies. Інші вважають, що для використання цього менеджера не потрібна згода користувача. Обидві заяви є неприйнятними. навіть Google сам дає аргументи проти цієї заяви.

Дер Google Tag Manager є інструментом, яким можна керувати виведенням інших інструментів. Замість виведення можна говорити про завантаження інших інструментів. Часто використовується скорочення GTM для Google Tag Manager.

Менеджер дяю від Google включає через Скрипт і варіант для систем із деактивованим JavaScript. Часто можна знайти такий код:

<script>
(function(w, d, s, l, i) {
w\[l\] = w\[l\] || \[\];
w\[l\].push({ 'gtm.start': new Date().getTime(), event: 'gtm.js' });
var f = d.getElementsByTagName(s)\[0\],j = d.createElement(s),
dl = l != 'dataLayer' ? '&l=' + l : '';
j.async = true;
j.src = 'https://www.googletagmanager.com/gtm.js?id=' + i + dl;
f.parentNode.insertBefore(j, f);
})(window, document, 'script', 'dataLayer', 'GTM-XXXXXXXX');
<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-XXXXXXX" height="0" width="0" style="display: none; visibility: hidden;"></iframe>

Скриптовий розділ — це логіка завантаження скрипту Tag Manager назви gtm.js. У цьому процесі встановлюються деякі параметри. Нижче наведено в тегу IFRAME логіка запуску Tag Managers, коли у браузері користувача вимкнено JavaScript.

Перед тим, як роз'яснити помилки, тут перше помилка. Багато хто вважає, що Google не отримує жодних особистих даних через GTM. Це помилка. Правда в тому, що для Google ваша і моя IP-адреса потенційно завжди вважається особистою. GTM завжди отримує вашу і мою IP-адресу, коли ми відвідували вебсторінки, які використовують GTM. На жаль, пояснення від Google такі формульовані, що майже можна вважати, що вони підтверджують, що дані, отримані ними, будуть використовуватися для власних цілей. Отже, GTM вже за цим є обов'язковим до згоди.

Часті помилки щодо менеджера сайту

Як бачити, Tag Manager завантажується з домену googletagmanager.com. Домена може бути теоретично безкошиковою. Назвати інструмент як домен, є помилкою в собі.

Є дуже ризикована заява, назвати домен Кукі-лос. Ця заява може бути правильною лише тоді, коли її розуміти доброзичливо. Доменом у своїй сутності не є керувальник файлів cookie. Натомість усі вебсторінки, розміщені на цій домені та завантажені зовнішні файли від третіх сторін можуть бути потенційними керувальниками файлів cookie. Хто вважає за можливе контролювати всі ці сторінки та файли однієї домену повинен дуже добре знати про що говорить.

Є Домена, яка самостійно не може керувати файлами cookie. Це можуть робити тільки файли, що знаходяться на цій домені. Якщо залишити в стороні можливі конфігурації на рівні веб-сервера, лише файли, які виконують Програмну логіку, можуть керувати файлами cookie. Під керуванням розуміється створення, читання, зміна та видалення файлів cookie.

Дер Google Tag Manager не є доменом без cookies. Для більш точного висловлювання:

З домену googletagmanager.com завантажуються файли cookie!

Вивчення Google Tag Manager на вебсторінках, які використовують цей інструмент (джерело: dr-dsgvo.de) разом із заявою компанії Google (липень 2021 року).

Google Tag Manager завантажує прямо файли cookie

Так, ви прочитали правильно. Не вірте тим, хто говорить інше! Цей розділ показує чому завантажуються файли cookie, коли на вебсторінці включено Google Tag Manager.

Cookies існують у кожній домені (за конфігурацією також у піддоменах). Забезпечуючи передавання куків при завантаженні Google Tag Manager, необхідно попередньо створити або відновити кукі в домені googletagmanager.com.

Вже досить, якщо існує лише одна вебсторінка у світі в домені чи піддомені, про яку мова йде, і на якій встановлено cookie. Мова йде тільки про тривалі cookies, тобто довгострокові cookies. Сесійні cookies є відносно безпечними (хоча вони можуть спричинити проблеми за певних умов).

Доведення того, що при інтегруванні менеджера тегів Google завантажуються файли cookie:

Відео показує, як "некотрий" Менеджер зацікавлень завантажується без додаткових інструментів від Менеджера зацікавлень, які інакше відповідали б за обробку даних пізніше. Проте при завантаженні Менеджера зацікавлень передавляється cookie. Поки що це не має значення, чи завантажує Менеджер зацікавлень додаткові інструменти чи ні, адже cookie вже було передано під час завантаження Менеджера зацікавлень!

Відомо, всі ті речі, які показані у відео, відбулися без згоди. На показаній вебсторінці навіть немає запитів щодо згоди. Вибрана ця сторінка випадково. Є багато інших вебсторінок, де використовується Tag Manager, на яких можна побачити таке ж саме явище.

Завдяки Репродукції показаного у відео поведінки треба зробити наступне в Mozilla Firefox:

1. Вебсайт відкрити, який працює на домені googletagmanager.com або його піддомені та створити файл cookie
2. Аби слідкувати за мережевим трафіком у браузері натисніть клавішу F12, щоб відкрити консоль розробника. Там клацніть по пункту меню Netzwerkanalyse.
3. Вебсайт відкрити, який використовує Google Tag Manager.
4. На мережеву запитку клікнути, яка завантажує Google Tag Manager, тому шукайте записи з googletagmanager.com.
5. У правій консолі натисніть на кнопку Cookies. Там будуть показані ті файли cookie, які були передані під час завантаження Tag Managers.

Гуглівський Менеджер за маркування встановлює прямі файли cookie

В цьому випадку я звертаю увагу на офіційну заяву Google від кінця липня 2021 року. Сам Google стверджує, що через так званий Preview and Debug Mode у Tag Managers встановлюються файли cookie.

Використовуючи тепер адміністратор Режим попереднього перегляду, згідно з Google, на пристрій потрапляють три файли cookie Tag Manager, пов'язані із googletagmanager.com. Пізніше відвідавши будь-яку сторінку, яка викликає Tag Manager, адміністратор передає дані про режим попереднього перегляду в Google.

Це не стосується всіх відвідувачів вебсайту, але лише для адміністраторів Tag Managers, які використовують режим перегляду та відладки. Однак ще більше ускладнює ситуацію те, що з вказаними файлами cookie можливий конкретний, точний висновок щодо особи. Для того, щоб зробити такий висновок, досить було знати інформацію, яка вказує на Google-аккаунт. А саме Google-аккаунт знову дозволяє зробити дуже точні висновки щодо однієї людини.

Теги Google Tag Manager можуть встановлювати файли cookie

Якщо розібратися в цьому, а це люблять робити адвокати, які критикують інформацію про захист даних, тоді таке саме є важливим для питання, чи Google Tag Manager є доменом без cookies.

З допомогою Custom Html Тегу, тобто власного створеного тегу, можна змусити Менеджера тегів встановлювати файли cookie. Наприклад:

У вказаній джерелі можна знайти додаткові описи щодо цього. Тег Менеджер може самостійно встановлювати файли cookie.

Зауважте, що цей код створює cookie на домені відвідуваної вебсторінки. Тим не менше, цим вже можна показати, що Tag Manager не є доменом без cookies, оскільки він послуга і ця послуга не є без cookies, як було багато разів показано раніше.

Часті помилки в менеджері вмісту

На багатьох вебсайтах використовується Google Tag Manager, але в Політиці конфіденційності жодного слова не згадується. Часто він згадується у вікні згоди, хоча він, згідно з повідомленнями, не використовує файли cookie. Ця згадка сама по собі б не була поганою, а навіть бажаним явищем. Але так звані Consent Management Plattformen, що стосуються файлів cookie, є помилкою.

Якщо використовується інструмент, він повинен згідно з статтею 13 ДЗКВ бути пояснений. Це має хоча б відбутися в Політиці конфіденційності. Якщо відбувається запит щодо файлів cookie, який насправді мав би називатися запитом згоди, тоді пояснення щодо інструменту також повинно відбутися там, принаймні у достатній формі. Загальне пояснення може потім відбутися в вказівках щодо захисту даних.

Навігаційне засобо взагалі не можна пояснити, якщо воно не є технічним необхідним послугою, для якої немає додаткових вимог (що потрібно перевірити окремо). Також неправильно використовувати термін «Google» як постачальник засобів. Що таке «Google»? Як виглядає повна адреса «Google» та чим є юридична форма «Google»?

Навіть не завжди запитують згоду вебсторінок на певні інструменти. Проте вже до надання згоди відбувається завантаження, під час якого іноді залучений Google Tag Manager.

Виїжджаючи Менеджер дні, інші інструменти завантажуються. Багато інструментів згоди переплутують одне одного. Ще один привід, чому їх не використовувати! Наприклад, коли Менеджер дні завантажує послугу Google Analytics, через відкритий даних канал Менеджера дні, встановлюються файли cookie від Google Analytics.

Наприклад, такий запит згоди з практики вебсайту відомого німецького підприємства:

У цьому малюнку існують кілька очевидних помилок:

1. Cookies _ga та _gat відносяться до Tag Manager, хоча вони належать до Google Analytics. Декларація про захист даних суперечить цій заяві: „Сервіс Google Tag Manager сам (який імплементує теги) є доменом без куків та не зберігає жодних особистих даних..
2. Як постачальник називається „Google Tag Manager“. Кожен, хто знає вимоги закону про телекомунікаційні послуги щодо надання інформації про постачальника, погодиться, що тут немає відповідної інформаційної заяви (і навіть поза межами TMG).
3. Термін "Аблаф" звучить більше як стовп для умивання. Він не зрозумілий загалом.
4. Вказання «Тип: HTTP Cookie» не зрозуміле загалом.
5. Наведений опис для кукі _gat є брехливим і загалом непідконтрольним.

Якщо глибше вивчити Консент Пуп, веб-сайт та Політику конфіденційності, дуже ймовірно, що знайдеться ще мінімум у два рази більше помилок. Чому я це вважаю, можна прочитати у моїй дослідженні Cookiegeddon – провал усіх (?) Консент інструментів.

Недостатнє законне інтерес

Самовизначно кажу, що немає підстав для завантаження Google Tag Managers без згоди. Причини:

1. Якщо завантажується GTM, щоб завантажити додаткові інструменти, які вимагають згоди, то обов'язково потрібна згода. Таким чином можна завантажувати GTM після надання користувачем своєї згоди.
2. Ден GTM самостійно завантажувати, без того щоб цей сервіс завантажував інші послуги, не має функціонального користування.
3. Саме собою будь-яке x-невідкритий інструмент також можна завантажити без GTМ. Для цього достатньо лише JavaScript-логіки, яка не повинна бути складнішою за ті, що знаходяться в GTМ .

Хто вважає, що треба вказувати на те, що це менше роботи організовувати завантаження інших послуг з допомогою GTM, має праву. Коли людина як водій шукає собі гідний паркінг, то це більше клопоту ніж неправильно ставити автомобіль. Тим не менш ніхто не повинен робити це без попередження, навіть якщо воно менше роботи.

Я стверджую, однак, та можу довести це до доказу за допомогою програмування, що використання Google Tag Managers найчастіше пов'язане з більшим навантаженням ніж проста програмування бажаного поведінки шляхом прямого виклику JavaScript-команд. Саме (або ще більше) експлуатація інструментів згоди разом із Google Tag Manager є можливішою без використання Tag Manager. Думайте лише про директиву data-src.

Хто рахує додаткову роботу, яка потрібна для створення належної політики конфіденційності щодо Tag Manager і визначення провайдера послуг цього сервісу та того, що він робить із отриманими даними? Крім того, до роботи приходить відповідь на звернення осіб, які вважають, що багато хто не дуже серйозно ставиться до захисту даних. Звичайна політика конфіденційності щодо Tag Manager майже ніколи не знаходиться. Також розгляд багатьох правових умов щодо GTM призводить до додаткової роботи, яка майже непосильна. У майбутньому мій Beitrag буде освітлювати цей аспект.

Результат

Цей матеріал був написаний мною для спростування твердження про те, що GTM є доменом без cookies. Як було доведено, при завантаженні Tag Managers можуть бути передані cookies. Якщо цей процес відбувається, то Tag Manager підлягає обов'язковій згоді, перш ніж він може бути завантажений. Це випливає з §15 Abs. 3 TMG та Art. 5 Abs. директиви про захист даних. Подробніше виведення знаходиться на моїй вебсторінці у декількох інших статтях.

Дійсне інтерес можна виключити, бо використання Tag Managers без завантаження інструментів явно не потрібне і інструменти, які не вимагають згоди, також можуть бути завантажені без Tag Manager. GTM же потребує дуже значну додаткову роботу, якщо необхідно дотримуватися правових умов Google та інших обов'язкових правил захисту даних. ([1])

Водночас можна вивести обов'язок отримання згоди також із того, що IP-адреси передаються як дані про людину до „Google“. „Google“ — це термін, який описує світовий концерн, який, здається, має свій головний офіс у США. США є небезпечною третім країною (див. судова справа щодо Privacy Shield). заяви компанії Google щодо Google Analytics роблять дуже ймовірним те, що використання Google Tag Manager завжди призведе до збору даних в США.

Оновлення: При використанні Google Tag Managers підприємство Google LLC здійснює обробку даних. Це випливає з умов договору про обробку даних для Google рекламних продуктів (дивіться https://privacy.google.com/businesses/processorterms/), які застосовуються до Google Tag Manager (дивіться умови використання Google Tag Manager під адресою https://marketingplatform.google.com/about/analytics/tag-manager/use-policy/, які необхідно прийняти при створенні облікового запису GTM). Таким чином, існує юридичний доступ із США.

Є вимагання згоди щодо Google Tag Manager . З різних причин можна вивести таке вимагання згоди. У відповідному матеріалі я також розглядаю передачу даних через Google LLC та передачу даних до США згідно умов використання Google. ([1])

Є законний АВВ з Google, який за моїми оцінками не може бути завершений, навіть тому що Google використовує сотні виконавців завдань із десятків країн світу зі спірним рівнем захисту даних (дивіться https://privacy.google.com/businesses/subprocessors/. Ця адреса згадується в умовах попереднього АВВ. Також згідно з офіційною політикою захисту даних щодо GTM, Google використовує отримані дані для власних цілей (що не потрібне технічними засобами), що суперечить вимогам АВВ. ([1])

Надалі читайте:

• Базові брехня: Кукі не є текстовими файламине є
• Базові брехня: Кукігеддон – провал усіх інструментів отримання згоди
• Cookies: основи та відносність до ДЗЗВ
• Уntagmanager: Дружній до конфіденційності альтернатива для менеджера тегів
• Server Side Tracking

Додаткова інформація та розмовка про Google Tag Manager у подкасті "Датапротектор: