OneTrust to tak zwane rozwiązanie zgody dla stron internetowych. Dostawca pochodzi z USA lub Wielkiej Brytanii, tak naprawdę nie wiemy. Narzędzie ma inne pułapki poza kwestią lokalizacji. CookieLaw i Optanon są pochodnymi OneTrust.
Wprowadzenie
Narzędzie do wyrażenia zgody, często nazywane również Cookie Consent, jest wstawiane na stronie internetowej, aby spełnić przepisy dotyczące ochrony danych osobowych. Teoria to jedna rzecz. W praktyce wygląda to inaczej. Oto szczególnie OneTrust, ponieważ dostawca wydaje się mieć Elastyczna lokalizacja.
OneTrust ma jednak wiele więcej słabości. Przedstawmy się na temat: Użycie tego narzędzia przypomina prawdopodobnie stronę prawnie niepoprawną. Natychmiast wyjaśnię, co miałem na myśli.
OneTrust wydaje się mieć w swoim posiadaniu od pewnego czasu dostawców Optanon i Cookie Law. Wszyscy trzej dotychczasowi dostawcy są dziś, zdaniem mnie, połączeni pod_OneTrust_. To można zauważyć m.in. na plikach, które używane są przez narzędzie do konsentu.
Badanie wszystkich mi znanych popularnych narzędzi do zgody przeprowadziłem kilka tygodni temu i Cookiegeddon nazwałem, bo wynik był tak katastrofalny.
Elastyczny wniosek o zgodę
Tak jak w przypadku korporacji Google nie jest znane dokładnie, które firmy przetwarzają dane, których się udostępnia. Jak wyżej napisano, OneTrust podaje dwa lokalizacje, ale bezpośrednio nie wymienia głównego odpowiedzialnego. Lokalizacja w USA jest znanym powodem problematyczna (niebezpieczne państwo trzecie, por. Artykuł 44 RODO). Lokalizacja w Wielkiej Brytanii nie jest już najlepsza od czasu Brexitu, jeśli chodzi o prawa do ochrony danych. Obecnie ustalono okres przejściowy. Nie wiadomo, jak dalej będzie się to wszystko rozgrywało. Aktualizacja: Zjednoczone Królestwo otrzymało decyzję zgodności ze strony UE. Jednak
Nie taki elastyczny jak lokalizacja dostawcy jest jednak sama zapytanie o zgodę. OneTrust używa tak zwanej Geolokacji, aby ustalić, z którego kraju prawdopodobnie pochodzi obecny odwiedzający strony internetowej. Dla tego celu w jednej z wersji OneTrust jest wywołana adresa: https://geolocation.onetrust.com/cookieconsentpub/v1/geo/location. Dane, które są ustalane przez geolokację i przesyłane do strony internetowej, której odwiedzający aktualnie używa, to m.in.:
Samo to nie wygląda na przyjazne dla prywatności i nie wzbudza zaufania do narzędzia do wyrażania zgody. W moim teście lokalizacja była dość dokładna, choć niezbyt precyzyjna. Ustalona lokalizacja znajdowała się około 12 kilometrów od mojej rzeczywistej lokalizacji w linii prostej.
W dniu 20 stycznia 2021 roku Komisja Europejska nałożyła karę w wysokości 7,8 miliona euro za nielegalne praktyki Geoblocking-Praktiken.
Jeśli użytkownik pochodzi z Niemiec, otrzymuje on pełnowartościową Abfrage zgody. Pełnowartościowy znaczy tutaj tylko to, że OneTrust robi wszystko, co jest możliwe za pomocą tego narzędzia. I to niestety nie jest wiele.
Jeśli użytkownik rzekomo pochodzi z pewnych innych krajów, może nie pojawić się żadna prośba o zgodę. To w sobie już było prawidłowo prawnie i powoduje istotne problemy dotyczące ochrony danych, jak łatwo można wykazać. Nie mogłem dokładnie powtórzyć lokalizacji geograficznej użytkownika w zależności od kraju, ale mogę tylko podejrzewać. W każdym razie lokalizacja użytkownika jest dość szczegółowa i przez to bardzo wątpliwa.
Jeśli otwieramy stronę zainstalowaną przez OneTrust w przeglądarce Tor, która jest przyjazna dla prywatności , nie pojawia się pytanie o zgodę. Może to być również spowodowane tym, że Tor podaje konto, które wygląda jak Consent Tool, a nie przez to, że strona została przypisana do danego kraju: Możliwe, że jest to wynikiem ustawienia bezpieczeństwa w przeglądarce ([1]) :
Rozwiązanie zgodnie z zapisem o wyrażeniu zgody musi być tak zaprojektowane, aby nawet w przypadku niepracowania „rozwiązania” strona internetowa była zgodna z Dz.U. 2016 r. poz. 922. W najgorszym przypadku bowiem nie powinno być załadowanego żadnego narzędzia. Z pomocą OneTrust jednak w najgorszym przypadku narzędzie do wyrażenia zgody nie jest załadowane, co prowadzi do tego, że wszystkie narzędzia zobowiązujące do wyrażenia zgody są bezpośrednio załadowane. Tak zwany Bloker plików cookies ma służyć do ponownego załadowania problematycznych narzędzi, a nie do redukcji istniejących problemów.
Prawdopodobnie dlatego, że OneTrust "sięga do góry". Zamiast dostosować instrukcje ładujące na stronie dla zintegrowanych narzędzi, próbuje się kłótniczo uniemożliwić ich ładunek. Gdy brakuje "Unterdrücker" (narzędzia do zgody), nic nie jest uniemożliwione.
Nie ma na to usprawiedliwienia. Każda strona internetowa musi być zaprojektowana w taki sposób, aby nieautoryzowane transfery danych były wykluczone od samego początku do odwołania.
Pobieranie danych z niebezpiecznego kraju trzeciego?
Dodatkowo utrudniającą jest sytuacja, że do budowy okna zgodności potrzebny jest dostęp do domeny onetrust.com. Wydaje się to być różne w zależności od wersji i instalacji OneTrust i ma prawdopodobnie związek z ambigualnością tego narzędzia (patrz powyżej: Optanon, Cookie Law).
Zgodnie z WHOIS-Abfrage, domena onetrust.com jest zarejestrowana przez firmę mającą siedzibę w Panamie:
Dla domeny użyto tak zwanego WhoisGuard, który ukrywa prawdziwą tożsamość właściciela domeny. Za to odpowiada w przypadku wątpliwości osoba odpowiedzialna za stronę, która korzysta z OneTrust. Zobacz Artykuł 12 RODO (transparentne informacje). Wiele przyjemności w odnalezieniu, kto jest właścicielem domeny onetrust.com, jeśli kiedykolwiek ktoś zapyta i poprosi o informację.
W każdym razie, zgodnie z https://www.onetrust.com/, domena należy do firmy OneTrust, LLC (patrz stopka na stronie). Forma prawna wskazuje, że jest to amerykańska firma.
Przesyłanie danych do USA jest bez zgody niezgodne z prawem. Zobacz Artykuł 44 RODO oraz wyrok TSUE w sprawie Privacy Shield.
Po wejściu na stronę onetrust.de Google Tag Manager jest ładowany bez zgody użytkownika (stan na: marzec 2022 r.). Wydaje mi się to niewłaściwe ze względu na nadmierne przetwarzanie danych przez Google.
Prawo dotyczące plików cookie
Jednym z odgałazków Onetrust jest Cookie Law. Narzędzie zostało prawdopodobnie przejęte przez OneTrust i technicznie w znacznej mierze jest identyczne z OneTrust. Podczas mojego testowego pobrania strony internetowej, która używa Cookie Law, aby załadować Cookie Law są wywoływane skrypty. Adres IP 104.16.148.64 jest pobierany. Usługa lokalizacji adresów IP umiejscawia tę adres sieciową w następujący sposób:
Jasne odbywa się pobieranie danych, które związane jest z USA, krajem trzecim niepewnym. To zgodnie z art. 44 RODO bez zgody stanowi problem.
Jeśli zgoda jest wymagana dla wniosku o zgodę, wówczas korzyść z usługi dla wniosku o zgodę wymagającego zgody jest bliska zeru.
Okno zgody OneTrust
Wygląd i zawartość OneTrust można z pewnością dostosować do własnych potrzeb. Wybrałem losowy przykład, który wygląda tak:
W moim testie praktycznym popularnych narzędzi do konsensusu znajdują się dwa kolejne przykłady do OneTrust.
Powiadomienie o anulowaniu
Jak widać, rozmiar czcionki jest dość mały, a ilość tekstu na pierwszym obrazie jest dość duża. Może to zostać skrytykowane (jeśli kiedykolwiek będziesz w sądzie lub będziesz miał do czynienia z organem nadzorczym). W każdym razie jest napisane:
Z użyciem przycisków znajdujących się obok możecie Państwo ustawić swoje preferencje dotyczące plików cookies, które mogą Państwo zmienić w każdej chwili podczas odwiedzania naszej strony internetowej“ .
Nie jest to prawnie bezpieczne powiadomienie o anulowaniu:
- Po wyrażeniu zgody nie ma już "sąsiednich przycisków", ponieważ okno jest zamykane
- Dla mnie zmiana i anulowanie to dwie różne rzeczy
- Gdzie można odwołać się do cofnięcia nie jest wspominane, ale zgodnie z art. 7 RODO jest wymagane.
Odrzucić zamiast wyrazić zgodę
Jak można zobaczyć w oknie konsentu, odmowa nie jest możliwa bezpośrednio. To samo uważam za nieprawne. Zobacz Artykuł 4 Nr. 11 RODO i Przepis 42: „Powinno się przyjąć, że wyraziła zgodę dobrowolnie, jeśli ma prawdziwą lub wolną wolę i może odmówić lub cofnąć zgodę bez ponoszenia negatywnych konsekwencji”.
Niewystarczające informacje
Fałszywych stwierdzeń i przeinaczeń jest tak wiele, że można tu przytoczyć tylko wybrane. Przykład pierwszy:
Kto może być Dostawcaem zmiennego __cfduid? Wiem, że _onetrust.com nie jest nazwą firmy.
Czy __cfduid jest rzeczywiście plikiem cookie, usługą lub Rzecz? Fair play, ale informacja ta pojawia się dopiero po kliknięciu na Pokaż cookies. Oczywiście chodzi tu o pliki cookie. A co zatem jest to usługa (narzędzie), do której należy ten plik cookie?
Czy znaczy "4 lata"? Rozumiem to, ale obywatel niemiecki nie musi umieć angielskiego.
Opis jest również po angielsku i tym samym nie istnieje.
Ktoś, kto zajmuje się ochroną danych osobowych, wie tylko, co znaczy "trzeci podmiot". ([1])
Przykład numer dwa:
Nie jestem pewny czy nazwa S jest poprawna. Nie widziałem jeszcze pliku cookie Google o takiej nazwie. Proszę o kontakt, jeśli istnieje oficjalnie taki plik cookie.
Dostawcy i opisy celów brakuje ponownie. Zamiast Sitzung do pisania, używa się angielskiego terminu Session.
Brakuje również informacji o tym, czy dane są przekazywane do niebezpiecznych krajów trzecich, a także informacji o powiązanej usłudze.
W ten sposób można w zasadzie każdą wyjaśnienie odnośnie OneTrust skrytykować. Yes jestem tutaj tak surowy, jakoby to było również w sądzie.
Ładowanie narzędzi bez zgody
Koronacja dla narzędzia do zgody: Strona, która twierdzi, że jest bezpieczna, ładuje narzędzie bez zgody, które wymaga zgody. Sytuacja staje się jeszcze gorsza, gdy narzędzie do zgody nawet pyta o zgodę na innego narzędzie i to narzędzie jest ładowane bez zgody. Przykładem tego może być załadowany skrypt YouTube Video, który również używa plików cookies. To, co z tymi plikami cookies, można było łatwo uniknąć…
Wynik
OneTrust sucks i szkodzi więcej niż coś dobrego, to moja opinia. Piszę to również dlatego, że sama firma nie potrafi zrobić tego za pomocą swojego narzędzia. Tu jest dowód na stronie onetrust.de, która po wyborze języka niemieckiego odwołuje się do strony onetrust.com:
Zrzut ekranu pokazuje co najmniej następujące wady:
- Plik _ga jest klasyfikowany jako plik pierwszego położenia . To tylko z punktu widzenia technicznego jest prawdą i nikt oprócz mnie i kilku innych nie interesuje się tym. Z punktu widzenia ochrony danych, plik ten jest wykorzystywany przez Google Analytics.
- Jesteśmy na stronie niemieckojęzycznej. Niemniej jednak opisy są w przybliżonej większości języku angielskim.
- Brak nazwy oferenta ponownie
- Opis brakuje, ponieważ jest w języku angielskim i dlatego dla niemieckiego czytelnika wydaje się niezrozumiały
- Informacje są niejasne: 1 rok, Pierwsza Partia
Trudno o większy błąd w zapytaniu o zgodę.
Oddział OneTrust
Opcje prywatności i Ustawa o plikach cookies zostały prawdopodobnie przejęte przez OneTrust i są technicznie niemal identyczne z OneTrust.
Z moich obserwacji wynika, że jedyną różnicą są szczegóły techniczne dotyczące początkowego wywołania Consent Tool. Każdy z trzech odgałęzień używa własnego numeru identyfikacyjnego i własnego typu implementacji technicznej do zdefiniowania tej identyfikacji.
Oto dwa przykłady. Po pierwsze definicja identyfikatora pliku cookie zgodnie z Cookie Law, jak się to często nazywa:
consent2.setAttribute('data-domain-script', 'xxxxxxxxx-xxxx-xxxx-xb97-xxxxxxxxxx');
Zamiast znaku x w prawdziwej identyfikacji są kodowane liczby szesnastkowe.
Dla Optanon implementacja techniczna ID wygląda tak:
<script type="text/javascript" src="[https://cdn.cookielaw.org/consent/xxxxxxxx-xxxx-xxxx-x752-](view-source:https://cdn.cookielaw.org/consent/d5bb5995-9e5d-4971-a752-c49709ede890-test/OtAutoBlock.js)xxxxxxxxxxxx\-test/OtAutoBlock.js"></script>
Dla Cookie First is również pewna podobieństwo, nawet jeśli główne dane wyglądają inaczej niż u OneTrust. ID ma jednak taki sam układ.
<script src="[https://consent.cookiefirst.com/banner.js](view-source:https://consent.cookiefirst.com/banner.js)" data-cookiefirst-key="xxxxxxxx-xxxx-xxxx-x225-xxxxxxxxxxxx"></script>
Po ustaleniu ID, tak jakkolwiek, pobierane są dane do wyświetlenia okienka zgody. Wygląda na to, że zawsze następuje to w tej samej formie. Treści zwrotne i struktura wyniku były jednak w moich testach dla odgałazów OneTrust zawsze takie same.
Wszystko co dotyczy OneTrust, dotyczy również Optanon i Cookie Law. Logika mojego narzędzia, które automatycznie wyłapuje pytania o zgodę na stronie internetowej, jest taka sama dla obu wariantów, po tym jak została ustalona Cookie-ID.
Wnioski
Ktoś, kto używa OneTrust na swojej stronie internetowej, został źle doradzony lub miał niepowodzenie w poszukiwaniu. Na szczęście niemal każdy błąd można poprawić. Najlepiej od razu dostosować stronę i usunąć OneTrust.
Po tym warto się zastanowić, które narzędzia są jeszcze potrzebne. ([1])
Czy chcielibyście samodzielnie sprawdzić, czy narzędzie do uzyskiwania zgody jest zgodne z prawem? Zobaczcie moją listę kontrolną dla pytań o zgodę na stronie internetowej.
Jeśli chcesz się zaoszczędzić pracy, przeczytaj najpierw artykuł pięć powodów, dla których pop-upy z ciasteczkami nie mogą być niezawodne. Tam znajdziesz fakty i dowody na to stwierdzenie.
Wkrótce pojawi się narzędzie, którego będzie można użyć do wygenerowania zapytania osoby poszkodowanej dla stron internetowych z narzędziami zgody. Zapytanie to będzie zawierać wszelkie wykryte wady, a także wątpliwe teksty. W przypadku popularnych rozwiązań do wyrażania zgody, narzędzie zapewnia dobrze uzasadnione zapytanie dotyczące osoby, której dane dotyczą, w tym niezbędną podstawę prawną, praktycznie za naciśnięciem jednego przycisku.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.