Как ни странно, GDPR ничего не говорит о файлах cookie, кроме упоминания в подробном описании (справочная информация, не закон), касающихся постоянных идентификаторов. Что применимо, так это Директива ЕС о конфиденциальности в электронном виде, которая в конечном итоге будет заменена Регламентом электронной конфиденциальности (ePR). Руководство ICO Великобритании по файлам cookie под ePD говорит:
Освобождение предоставляется, если:
файл cookie предназначен исключительно для передачи сообщения по сети электронной связи; или
файл cookie строго необходим для предоставления «услуги информационного общества» (например, услуги через Интернет), запрошенной подписчиком или пользователем. Обратите внимание, что выполнение их запроса должно быть важным - файлы cookie, которые полезны или удобны, но не являются необходимыми, или которые необходимы только для ваших собственных целей, по-прежнему будут требовать согласия.
Это означает, что вам вряд ли понадобится согласие на:
файлы cookie, используемые для запоминания товаров, которые пользователь желает купить, когда они добавляют товары в свою онлайн-корзину или переходят к оформлению заказа на веб-сайте покупок в Интернете;
сеансовые файлы cookie, обеспечивающие безопасность, необходимую для соблюдения требований безопасности к защите данных для онлайн-услуг, запрошенных пользователем, например, для онлайн-банкинга; или
файлы cookie для балансировки нагрузки, которые обеспечивают быструю и эффективную загрузку содержимого вашей страницы, распределяя рабочую нагрузку по нескольким компьютерам.
Обратите внимание, что Google Analytics не считается строго необходимым в соответствии с этим определением; дело не только в файлах cookie - предотвращение должно осуществляться отслеживанием без согласия, из которых файлы cookie являются лишь одним из средств реализации этого, а загрузка javascript из Google действительно отслеживает, даже если они это делают не установлены файлы cookie (которые можно настроить в GA).
Хотя файлы cookie вообще не должны устанавливаться при первом посещении, до появления любой возможности для согласия, файлы cookie первой стороны для аутентификации определенно квалифицируются как строго необходимые для технических целей и, следовательно, не требуют согласия в первое место. Сессионные файлы cookie (по определению) в любом случае удаляются, когда окно закрывается, но вы можете предотвратить даже это, установив также Clear-Site-Data header при выходе.
Что касается того, как CodeIgniter обрабатывает это, я бы сказал, что стоит сообщить об ошибке или избегать вызова чего-либо, что приведет к запуску сеанса до входа в систему.
person
Synchro
schedule
06.03.2019