Горячие новости про GDPR. Немецкий суд признал решение CookieB | Products | People | Process

Горячие новости про GDPR. Немецкий суд признал решение CookieBot, нарушающим GDPR (европейский закон о персональных данных). Фокус в том, что сам CookieBot и есть решение по достижению совместимости с GDPR, и хотя пока еще не все понятно - но сейчас у кучи веб мастеров должны шевельнуться волосы.

Логика суда такая - IP это персональные данные согласно GDPR, IP передается третьей стороне (CookieBot), третья сторона обслуживается в американской хостинговой компании, которая, получается, не подписалась соблюдать GDPR. Упс… Важный нюанс GDPR это транзитивность и рекурсивность - чтобы быть GDPR все твои партнеры по обработке персональных данных тоже должны быть GDPR.

К решению суда есть претензии с точки зрения практичности:
- это некоторая натяжка считать, что хостер прямо участвует в обработке персональных данных.
- так уж устроен интернет, что IP неизбежно светится где попало, и при всех client-side операциях во фронтенде (интеграция CookieBot) это часто вообще неизбежно
- куча конкурентов CookieBot работают на тех же самых принципах, так что и им неизбежно передается IP адрес. Чтобы это решить в корне, надо отказываться от удобного SaaS-решения и заводить свой собственный менеджер кук.

Наверное, оперативное решение для CookieBot и его альтернатив будет в плоскости смены хостинг провайдера на такого, c которым можно будет подписать DPA (Data Processing Agreement), отражающий приверженность провайдера принципам GDPR.

Пока что решение не окончательное и еще будет дополнительно рассматриваться в немецком суде. А также решение немецкого суда не будет мгновенно затрагивать швейцарские компании (не входит напрямую в евросоюз). Но стоит готовится и к неблагоприятному развитию событий

ссылка: https://shopbetreiber-blog.de/2021/12/09/vg-wiesbaden-consent-manager-cookiebot-verstoesst-gegen-dsgvo/