OneTrust – це так зване рішення для отримання згоди на використання веб-сайтів. Провайдер з США чи Великобританії, ми точно не знаємо. Інструмент має й інші підводні камені, окрім проблеми з місцезнаходженням. CookieLaw та Optanon є відгалуженнями OneTrust.
Вступ
Інструмент згоди, часто також називається Cookie згоди, інтегровується на вебсторінці для дотримання правил захисту даних. На теорії все добре. У практиці виглядає зовсім інакше. Це особливо стосується OneTrust, бо постачальник здається мати Гнучке розташування.
ОдинТраст має ще багато більш серйозні недоліки. Для початку: використання цього інструменту майже вже є порушенням законодавства. А ось чому саме так.
OneTrust здавна, мабуть, придбала компанії Optanon і Cookie Law. Всі три попередні провайдера сьогодні, на мій погляд, об'єднані під OneTrust. Це можна побачити зокрема в файлах, які використовує інструмент отримання згоди.
Вивчав усі мені відомі популярні інструменти отримання згоди протягом декілька тижнів і назвав це явище Cookiegeddon, оскільки результат був дуже поганим.
Гнучкий запит на отримання згоди
Як і у випадку з корпорацією Google, не зовсім зрозуміло, які саме компанії обробляють дані, яким їх довірено. Як вже згадувалося вище, OneTrust вказує на два місця розташування, але прямо не називають головного відповідального. Місце в США є дуже проблематичним (нестабільне третє країна, див. Стаття 44 GDPR). Місце у Великій Британії після Brexit теж не найкраще щодо захисту даних. Наразі встановлено перехідний період. Що далі буде, ніхто не знає. Оновлення: Об'єднене Королівство отримало рішення про відповідність ЄС. Однак
Ніякше ніж розташування постачальника є саме запит на згоду. OneTrust використовує так звану Геолокація, щоб визначити, з якого країни, ймовірно, відвідувач цієї вебсторінки. Для цього у деяких варіантах OneTrust звертається до адреси https://geolocation.onetrust.com/cookieconsentpub/v1/geo/location. Дані, які отримуються під час визначення геолокації та передають на цю сторінку, зокрема:
Це вже саме по собі виглядає аж ніяк не дружньо до приватності і не викликає довіри до інструменту збору згоди. У моєму тесті локалізація була досить точною, хоча і не дуже точною. Визначене місцезнаходження було приблизно в 12 кілометрах від мого фактичного місцезнаходження, як ворона від польоту.
20 січня 2021 року Європарламентська комісія, принаймні, призначила штраф у розмірі 7,8 мільйонів євро за неправові геоблокування.
Наприклад, якщо користувач походує з Німеччини, йому надається повна Consent Abfrage. Повністю означає лише те, що OneTrust робить все, чого можна досягти за допомогою цього інструмента. А це дуже мало.
Навіщо користувач, згідно з повідомленнями, належить до певних інших країн, можливо навіть не буде запиту про згоду. Це вже було б правопорушенням та викликало б серйозні проблеми щодо захисту даних, як легко можна перевірити. Я не зміг повторити саме цю країно-залежну віддачу, але міг лише припустити її існування. У будь-якому разі, досить детальна геолокація користувача через інструмент згоди вже сама по собі дуже сумнівна.
Якщо звернутися до вебсторінки, яка була змінена OneTrust, у дружньому до захисту даних Tor Browser, запит на згоду не з'являється. Можливо це не тому, що країна, яку симулює Tor Browser для інструменту згода, але через налаштування безпеки в браузері:
Єдинкова згода повинна бути розроблена так, щоб навіть при нефункціонуванні «рішення» була знайдена вебсторінка згідно з ДЗП. У найгіршому випадку ніщо не повинно завантажуватися взагалі. З OneTrust у найгіршому випадку інструмент згоди не завантажується, що призводить до того, що всі інструменти обов'язкової згоди завантажуються зразу ж. Названий «Cookie Blocker» призначений для завантаження проблемних інструментів і не для зменшення наявних проблем.
Довгий час є причина в тому, що OneTrust встановлює собі на голову. Замість того, щоб вказувати інструкції щодо завантаження на сайті для інтегрованих інструментів загалом були змінені, спробували зупинити завантаження інструментів штучним шляхом. Якщо відсутній Унітеррукер (інструмент отримання згоди), нічого не зупинено.
Для цього немає жодних виправдань. Кожен веб-сайт повинен бути розроблений таким чином, щоб несанкціонована передача даних була виключена з самого початку і до подальших вказівок.
Отримання даних з небезпечної третьої країни?
Виправно до того, що для створення вікна згоди потрібно запитувати домен onetrust.com. Це здається різним залежно від реалізації та встановленої версії OneTrust і має справу з амбівалентністю інструменту (див. вище: Optanon, Cookie Law).
За даними WHOIS-абази, домен onetrust.com належить компанії із штаб-квартирою в Панамі:
Для домену був використаний так званий WhoisGuard, який приховує справжню особистість власника домену. За цим слідкує відповідальний за вебсайт, який використовує OneTrust. Дивіться Стаття 12 GDPR (відкрита інформація). Весело буде спробувати розгадати хто власник домену onetrust.com є, якщо хтось запитає і вимагає відповідь.
Єдиний спосіб https://www.onetrust.com/, яким належить домен компанії OneTrust, LLC (дивіться нижню частину сторінки). Правовий статус вказує на те, що це американська компанія.
Передача даних до США без згоди є незаконною. Дивіться Стаття 44 ДЗПВ та рішення ЄСПЛ щодо Privacy Shield . ([1])
Коли ви заходите на сайт onetrust.de, Google Tag Manager завантажується без вашої згоди (станом на березень 2022 року). Це здається мені недоречним з огляду на надмірну обробку даних Google.
Закон про файли cookie
Видача від OneTrust є Cookie Law. Наповнення інструменту, здається, було здійснено OneTrust і технічно майже ідентичне до OneTrust. Під час моїх тестових запитів на вебсторінку, яка використовує Cookie Law, для завантаження Cookie Law скриптів була отримана IP-адреса 104.16.148.64. Сервіс визначення місця розташування IP вказує цю мережеву адресу як ([1]) :
Видно відбувається завантаження даних, пов'язаних із США, яким не можна довіритися, що згідно з ст. 44 ДЗП без згоди є проблемою.
Якщо для запиту на згоду потрібна згода, то користь від сервісу для запиту на згоду, що вимагає згоди, близька до нуля.
Вікно згоди OneTrust
Зовнішній вигляд і вміст OneTrust, безумовно, можна налаштувати. Я вибрав випадковий приклад, який виглядає так:
У моїй практичній перевірці популярних інструментів отримання згоди є ще два приклади щодо OneTrust.
Повідомлення про скасування
Як бачите, розмір шрифту досить малий, а обсяг тексту на першому зображенні досить великий. Це може викликати нарікання (якщо ви коли-небудь опинитеся в суді або матимете справу з контролюючим органом). У будь-якому випадку, це написано:
Міттєвим використанням розташованих нижче кнопок ви можете встановити свої бажання щодо файлів cookie, які ви завжди зможете змінити під час відвідування нашої вебсторінки.“ .
Це не є юридично захищеним повідомленням про скасування:
- Після того, як ви дали згоду, "сусідні кнопки" більше не з'являються, оскільки вікно все одно закривається
- Для мене зміна і скасування – це дві різні речі
- У місці, де можна звернути увагу на відміну, не згадується нічого, але згідно з ст. 7 ДЗПВ це обов'язкове.
Відмова замість згоди
Як можна побачити в вікні з згодою, відмову не можна здійснити прямо. Саме це я вважаю правопорушенням. Дивіться Стаття 4 пп. 11 РГДПВ та Підставу 42: „Має бути припущено, що вона дала згоду добровільно, якщо їй була справжня або вільна можливість вибору і вона була здатна відмовитися від згоди чи відкликати її без шкоди для неї“.
Недостатньо інформації
Існує так багато неправдивих тверджень і спотворень, що тут можна навести лише деякі з них. Приклад перший:
Хто ж міг бути Провайдером від __cfduid? Наскільки мені відомо, _onetrust.com не є офіційною інформацією про компанію.
Якістю треба сказати, що __cfduid насправді є файлом cookie, послугою чи Річ? Правдивість вимагає того, щоб повідомлення з'являлося лише після натискання кнопки Показувати файли cookie. У цьому випадку мова йде про файли cookie. Але чого ж тоді складається послуга (інструмент), до якої належить цей файл cookie?
Чи означає "4 роки"? Я розумію це, але громадянин Німеччини не повинен знати англійську мову.
Опис теж є англійською і тому відсутній.
Хто тільки займається захистом даних, знає, що означає 3rd Party.
Приклад номер два:
Я не впевнений, чи назва S правильна. Cookies Google з цим іменем я ще ніколи не бачив. З проханням про контакт, якщо таке кукі офіційно існує.
Провайдери та інформація про призначення відсутні знову. Замість написання Сесія, використовується англійський термін Session.
Інформація про те, чи передаються дані до небезпечних третіх країн, також відсутня, як і інформація про пов'язану з цим послугу.
В такому вигляді майже кожна пояснення від OneTrust може бути розкритикована. Я тут такий строгий, як би це було і в суді за моїм поглядом.
Завантаження інструментів без дозволу
Коронація для інструменту отримання згоди: Вебсайт, який вважається захищеним, завантажує інструмент без згоди, який потребує згоди. А ще гірше, коли інструмент отримання згоди навіть запитує згоду на інструмент і той інструмент все ж таки завантажується без згоди. Прикладом цього є завантажений скрипт відео YouTube, навіть з куками. З куками можна було легко уникнути…
Результат
OneTrust sucks und schadet mehr als dass es nützt, is meine Meinung. Dies wage ich auch deshalb zu schreiben, weil der Anbieter selbst es mit seinem eigenen Tool nicht hinbekommt. Hier der Beweis für die Website onetrust.de, die nach Sprachauswahl Deutsch auf onetrust.com aufgerufen wird:
Знімок екрану показує, принаймні такі вади:
- Cookies _ga класифікуються як кукі першого видавця . Це лише з технічної точки зору вірно і ніхто, окрім мене та кількох інших, не цікавиться цим. З погляду захисту даних, кукі використовуються Google Analytics.
- Ми на німецькомовній сторінці, проте описи переважно написані англійською мовою.
- Назва провайдера знову відсутня
- Опис відсутній, бо він на англійській мові та таким чином для німецького читача виглядає непідставленим
- Дані не зовсім зрозумілі: 1 рік, Перша партія
Навряд чи ви можете зробити набагато більше помилок у запиті на згоду.
Відгалуження OneTrust
Оптанон і Закон про куки були, очевидно, захоплені OneTrust та майже технічною рівністю з OneTrust.
За моїми спостереженнями, єдина відмінність полягає в технічних деталях першого виклику Інструменту згоди. Кожне з трьох відгалужень використовує власний ідентифікаційний номер і власний тип технічної реалізації для визначення цієї ідентифікації.
Дві приклади. Спочатку визначення ідентифікатора cookie від Cookie Law, як часто називають це:
consent2.setAttribute('data-domain-script', 'xxxxxxxxx-xxxx-xxxx-xb97-xxxxxxxxxxxx');
Натомість від x-знаку в справжній ідентифікації використовуються кодовані шістнадцятковими числами.
Для Optanon технічна реалізації ідентифікатора виглядає так:
<script type="text/javascript" src="[https://cdn.cookielaw.org/consent/xxxxxxxx-xxxx-xxxx-x752-](view-source:https://cdn.cookielaw.org/consent/d5bb5995-9e5d-4971-a752-c49709ede890-test/OtAutoBlock.js)xxxxxxxxxxxx\-test/OtAutoBlock.js"></script>
Для Cookie First також існує певна подібність, навіть якщо основні дані мають іншу структуру порівняно з OneTrust. ІД має такий же склад.
<script src="[https://consent.cookiefirst.com/banner.js](view-source:https://consent.cookiefirst.com/banner.js)" data-cookiefirst-key="xxxxxxxx-xxxx-xxxx-x225-xxxxxxxxxxxx"></script>
Після того, як була встановлена ID, будь-якою яким чином, дані для відображення вікна згоди завантажуються. Це відбувається завжди однією й тією ж методикою. Вміст повернення та структура результату були завжди однаковими під час моїх тестів щодо дочірніх проектів OneTrust.
Всі, що стосується , гальмувати _ і , Cookie Law , згідно моїх спостережень також застосовуються до Optanon і . Логіка мого інструменту, який може автоматично виводити запитання щодо згоди на вебсторінці, однакова для цих двох варіантів, коли була встановлена _Cookie-ID.
Висновок
Якщо людина використовує OneTrust на своїй вебсторінці, вона була помилково порадована або мала невдалий пошук. Щастливо майже кожен помилковий крок можна виправити. Найкраще – негайно змінити сторінку та прибрати OneTrust.
Після цього варто подумати, які інструменти ще потрібні.. ([1])
Хотіли б ви самостійно перевірити, чи ваш інструмент отримання згоди відповідає законодавству? Тоді дивіться мої переліки перевірок щодо запитань щодо згоди на вебсторінках.
Якщо ви хочете уникнути праці, спочатку прочитайте статтю п'ять причин чому вікно Cookie не може бути надійним. Там Ви знайдете факти та свідчення цієї заяви.
Незабаром з'явиться інструмент, який можна буде використовувати для створення запиту постраждалої особи щодо веб-сайтів з інструментами згоди. Цей запит міститиме всі знайдені дефекти, а також сумнівні тексти. Для популярних рішень щодо згоди інструмент надає обґрунтований запит суб'єкта даних, включаючи необхідну правову базу, практично одним натисканням кнопки.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.