Как ни странно, GDPR ничего не говорит о файлах cookie, кроме упоминания в сольном выступлении (справочная информация, а не закон), касающемся постоянных идентификаторов. Что касается , так это директива ЕС об электронной конфиденциальности, которая в конечном итоге будет заменена электронным правилом о конфиденциальности ("ePR"). Руководство UK ICO по файлам cookie в рамках ePD гласит:
Существует исключение, если:
cookie-файл предназначен исключительно для осуществления передачи сообщения по сети электронных коммуникаций; или
cookie-файл строго необходим для предоставления «услуги информационного общества» (например, услуги через Интернет), запрошенной подписчиком или пользователем. Обратите внимание, что это должно быть важно для выполнения их запроса - куки, которые являются полезными или удобными, но не необходимыми, или которые необходимы только для ваших собственных целей, по-прежнему требуют согласия.
Это означает, что вам вряд ли понадобится согласие на:
куки-файлы, используемые для запоминания товаров, которые пользователь хочет купить, когда они добавляют товары в свою онлайн-корзину или переходят к оформлению заказа на веб-сайте интернет-магазинов;
сеансовые куки-файлы, обеспечивающие безопасность, необходимую для соблюдения требований безопасности защиты данных для онлайн-сервиса, запрошенного пользователем - например, онлайн-банкинга; или
cookie-файлы с балансировкой нагрузки, которые обеспечивают быструю и эффективную загрузку содержимого вашей страницы за счет распределения рабочей нагрузки по нескольким компьютерам.
Обратите внимание, что Google Analytics не считается строго необходимым в соответствии с этим определением; Однако речь идет не только о cookie-файлах. То, что должно быть предотвращено, - это отслеживание без согласия , из которых cookie-файлы являются лишь одним из способов реализации этого, и загрузка JavaScript из Google действительно отслеживает, даже если они этого не делают. установить cookie-файлы (которые GA можно настроить).
Хотя куки-файлы вообще не должны устанавливаться при первом посещении, перед любой возможностью для получения согласия, первичные сеансовые куки-файлы для аутентификации определенно квалифицируются как «строго необходимые» для технических целей и, следовательно, не требуется согласие в первую очередь. Сеансовые куки-файлы (по определению) удаляются, когда окно в любом случае закрывается, но вы можете даже заблокировать это, установив заголовок Clear-Site-Data при выходе из системы.
Что касается того, как CodeIgniter справляется с этим, я бы сказал, что стоит сообщить об ошибке или , избегая вызова чего-либо, что вызовет запуск сеанса до входа в систему.