«Демократія — в шумі даних» — фільм про те, як створювали GDPR (18+)

25-го остаточно набув чинності Загальний регламент про захист даних (GDPR). За день до цього по центральному каналу Німеччини ARD прокрутили фільм «Демократія — в шумі даних» (або у «вирі даних») про те, як створювали цей новий закон. Починаючи з 2012-го року група журналістів почала знімати фільм про підготовку, обговорення та утвердження цього закону.

Лінк на фільм ось тут (обережно! німецька мова): www.youtube.com/watch?v=5h4IBRycjVk

Сайт про фільм: www.democracy-film.de

Головні діючі особи фільму депутати у Європейському Парламенті, що створювали цей закон. Головною рушійною силою, що лобіювала прийняття нового регламенту був німецький депутат від Партії Зелених Ян Філіп Альбрехт (Jan Philipp Albrecht, 36 років). Він почав політичну кар’єру у в молодіжному крилі «зелених», вивчав право і вперше ще у 2009-му році був обраний до Європарламенту. Людина далека від ІТ-галузі, все своє життя у партійній діяльності.

«Захист даних є фундаментальним правом людини. Якщо ви хочете мої дані, то повинні мене запитати, чи я згоден з цим...»

Тобто, депутат Альбрехт чомусь виходить з того, що світові інтернет-гіганти йому повинні безкоштовно показати відео, знайти щось в інтернеті, зберегти фотографії та інше. А коли ці гіганти хочуть використати його дані, то раптом він згадує про права людини. У людини є право не користуватись Інтернетом.

Також під час фільму як мантру повторюють фразу, що «Дані — це нафта 21-го сторіччя» Загальна фраза, яка в цілому не значить нічого, але нею жонглюють всі автори фільму. Але не забуваємо, що автор закону з партії Зелених, для яких, нафта — ворог людства. Ну і нафта 21-го сторіччя, мабуть також.

Нам так прямо і пишуть — «Якщо дані це нова нафта, то захист даних, це новий вид захисту природи» — так прямо і написали.

Допомагає молодому депутату досвічений люксембурзький політик Вівіане Редінг (Viviane Reding) — доктор гуманітарних наук, колишній журналіст та політик люксембурзького масштабу.

«Без довіри немає цифрової економіки. То ж це в інтересах політиків, що хочуть сприяти цій галузі, і також в інтересах промисловості, що хочуть використовувати персональні дані, створити чіткі правила, щоб громадяни знали, що вони захищені, коли вони видають свої дані»

Який ККД такого тексту? Або такі красиві фрази:

«Персональні дані належать персоні...» — от десь під таким коксом наративом писався цей закон. У повному відриві від реального світу, але з красивими фразами.

А сервери Google належать компанії Googlе. Сонце світить. Пташки, коли живі, співають. Неживі пташки — не співають. Дітям — морозиво, жінкам — квіти. Міліція з народом.

Юридичні тексти допомагав писати помічник депутата Ральф Бендрат (Ralf Bendrath), що вивчав політичні науки працював журналістом. Слово експерту:

«Якщо хтось зберігає кукіс на моєму жорсткому диску і відстежує мене на різних сайтах, створює мій профіль і відповідно показує мені рекламу, то тоді мова йде власне про мене. Я думаю, що все це особиста інформація, навіть якщо вони не знають мого імені»

І що тепер? Кукіс тепер заборонити? Не лазь в інтернеті!

І мій улюблений персонаж цього фільму — пані Катаржина Шимелевич (Katarzyna Szymielewicz). Польський громадський активіст, борець за права людини та юрист. Почала працювати в банку, але зрозуміла за рік, що це не її, тому пішла покращувати світ.

«Спостереження не означає, що хтось знає, як хтось виглядає голим чи хто з ким спить. Це все дитячі речі, які нікого не турбують. А насправді мова йде про спостереження, щоб керувати людьми та групами населення...»

От це все про що взагалі???

Ок, йдемо далі. Роль борця-страждальника за права людей виконує Паоло Бальбоні — працює юристом в IT-галузі та захисті персональних даних. Допомагає писати закони правильною юридичною мовою. Розривається між роботою, літаком, сім’єю та творчою роботою над законами.

«Мова завжди йде про дані. У нашому житті все крутиться довкола даних, ви збираєте дані чи віддаєте їх. Дані це і є гроші...»
«Зранку я встаю, сідаю в літак до Брюселя... а ввечері знову додому, де мене чекає жінка та дитина... Але зараз такий час, що треба приносити якісь жертви...»

— тобто, вони виписали якогось іноземного юриста, щоб він в режимі маршрутки літав до Брюселя. У скільки це обійшлось платникам податків у ЄС?

Отаке...

І отак десь 90 хвилин далекі від польового IT люди, з юридичним бекграундом філософствують на тему сучасного айті-світу. Частина людей, що приймають рішення взагалі 60+ і слово «кукіс» викликає у них тільки солодкі спогади.

Є і нормальні промови, але це представники галузі, що намагаються «вгамувати» законотворчу роботу та пояснити свою роботу, але вони виступають темною стороною світу. Тварі, да? Від них і рятують всесвіт європейські чиновники. Цей закон — новий світовий стандарт по захисту даних. До речі, автор цього закону Альбрехт скоро повернеться до Німеччини й з вересня очолить Міністерство енергетики, сільського господарства, навколишнього середовища, природних ресурсів та цифрових технологій у землі Шлезвіг-Гольштенія.

Висновок: європейські бюрократи за будь-яку ціну хотіли прийняти новий закон проти великих концернів з їхніми «кукіс». І героїчно прийняли цей закон. І ще й роками за державні кошти знімали про це героїчний фільм. Коли дивишся на роботу цих бюрократів в Брюcселі, то повністю розумієш, що Brexit стався не просто так. І такий ЄС довго не протримається.

Власне на одному з обговорень представник Великобританії так прокоментував розробку цього регламенту:

«Мова йде не тільки про розробку нових законів чи прав людини. Ми не повинні створювати навантаження на фірми, через що будуть втрачені робочі місця в ЄС. Якщо фірми у Великій Британії через цей закон повинні будуть витратити додатково 200-300 млн фунтів, то відповідно будуть втрачені робочі місця, менше грошей буде витрачено на нові розробки та інвестиції. Ніхто з нас не може собі цього дозволити. Те саме стосується наших колег по ЄС...»

Великобританію ніхто тоді не послухав. І це, мабуть, вже не перший раз, коли здоровий глузд програв в кабінетах ЄС. І далеко не останній.

👍ПодобаєтьсяСподобалось1
До обраногоВ обраному0
LinkedIn

Найкращі коментарі пропустити

GDPR при всех своих недостатках — это лучшее, что случилось с интернетом после смерти Флеша.

«Не нравится — не пользуйся» не канает, слишком многие сервисы интегрированы в общественную жизнь, отказ пользования — путь на самоизоляцию в современном обществе.

Да, нужно теперь будет озаботиться личными данных пользователей чуть больше, а не только монетизацией, это плата за взросление рынка. По поводу утраты рабочих мест — это очень сомнительно, пока виден только обратный эффект, особенно в плохо подготовившихся организациях.

Никто никого не заставляет делать сайт бесплатным и бесплатно показывать людям новости, прогноз погоды и так далее.
Можно просто не пользоваться Интернетом для ведения бизнеса, если не нравятся претензии от пользователей :)

А то что это экономике не помогает — так то ограниченный рабочий день и запрет на использование рабского труда тоже не помогают, просто не всё человечество про экономику.

PS
Бомбануло у автора поста знатно: видимо какой-то большой продукт придётся переписывать :)

Тобто, депутат Альбрехт чомусь виходить з того, що світові інтернет-гіганти йому повинні безкоштовно показати відео, знайти щось в інтернеті, зберегти фотографії та інше.

Ніхто нічого нікому не повинен. Більше того — і не став повинен.

Фейсбук так же само продовжує обробляти дані користувачів, щоб втюхати їх рекламодавцям за 5 баксів штука в онлайні. Гугл продовжує трекати GPS усіх андроідних пристроїв, щоб продавати big data про розподіл біомаси в офлайні.

Мова іде просто про те, щоб вони не забували людям доносити, яким саме чином вони заробляють на приватності користувачів. Тому що всі ці речі про порушення приватності, які очевидні завсідникам DOU — це ж не common knowledge, це все ще не очевидно пересічному громадянину ЄС, тому що компанії обережно це приховують. На головній сторінці facebook.com досі висить лозунг «це безкоштовно і так буде завжди». Коли ти платиш не своїм гаманцем, а своєю приватністю, чи стає це безкоштовним? Звісно, ні. Це false advertising.

А false advertising — це погано, як не крути.

Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Учи албанский! (произносится с эстонским акцентом)
pasteboard.co/HosbD3I.png

Кто-то может объяснить, как теперь снимать новости или любые репортажи в Европе на улице? Там всегда будут люди в кадре, которых можно идентифицировать. И получается, что теперь нельзя это выкладывать в общий доступ либо показывать по ТВ.

все дуже просто — просто замальовуєте на відео обличчя всіх європейців, права яких можуть бути уражені вашою дикою зйомкою

Ну вот я смотрю новости из ЕС, никто лица не зарисовывает в новостях прямо сейчас, уже после вступления закона в силу. Значит что-то тут не так и показывать лица можно, только в каких случаях?

Вот, например, сегодняшняя новость про пропажу электроэнергии в аэропорту Гамбурга
www.bild.de/...​chaden-55896580.bild.html
На фотографиях многих людей можно идентифицировать, тем самым нарушен этот закон. Но фотографии выложены в новости, как и миллионы других.

дякуємо — ваша скарга занесена до нашої бази даних

Как в репортажах из американских судов — рисовать.

так от чого акції кохінора пішли вгору

Среди моря писем посвященных GDPR попадаются и такие😀

Shocking, right? Unless you’re living under a rock, you’ve probably already been inundated by many such updates due to the General Data Protection Regulation (GDPR) coming into force.
A spokesman said the authority was exempt from GDPR laws for ’legal reasons’

Действительно, смешно. Вот вам дибильный закон, но мы сами выполнять его не будем из-за legal reasons :)

Полиция, скорая нарушают ПДД чтоб спасать жизни людей и арестовывать опасных преступников.

Какая необходимость у Еврокомисии нарушать закон? Они спасают жизни людей? Нет. Они хотят нарушать только потому, что не хотят исполнять свой идиотский закон.

В общем — гос. учреждение/орган получает исключение на исполнение некоторых законов для выполнения своих функций

Если это прописано в самих законах.

Например в наших ПДД есть норма позволяющая в опеределенных условиях отступать от ПДД тем у кого есть синие проблесковые маячки. Или в КК есть частная норма позволяющая любому убить нападающего если тот пытается убить человека. Хотя в общем случае убийство человека наказуемо.

Есть в GDPR норма позволяющая публиковать на сайте гос.учреждения ПД? Нету. О чем тогда сей спор, где те «синие мигалки» которые оправдывают публикацию?

Было бы прикольно налоговой написать, типа забудьте про меня)

Конечно назвать это тенденцией пока нельзя, но. Некоторые сайты не стали заморачиваться на детальное выписывание чего-кому-зачем, а ограничились общим «если вы жмакните Пройти дальше то вы согласитесь с передачей нам ваших ПД»

pasteboard.co/HnBZCOL.png

Это похоже на то как у нас скорость контролируют: с января понизили лимит до 50, а большинство как ездило 70-80 так и ездит, а те кто летал быстрее — так и летают.

Не скажу что это очень хорошо так как такая практика похожа на украинизацию Европы. В общем время покажет насколько на практике страшен GDRP.

Не скажу что это очень хорошо так как такая практика похожа на украинизацию Европы. В общем время покажет насколько на практике страшен GDRP.

Похоже, аналогично с Украиной, строгость закона будет компенсироваться необязательностью его исполнения

www.helioswebdesign.co.uk/...​s-mouth-elizabeth-denham

Еще один пример того что для согласия достаточно нажать кнопку «Дальше» или даже просто закрыть поп-ап.

pasteboard.co/HnFtTVZ.png

Согласие конечно можно позже отозвать на странице политики приватности.

Если не дать согласие все равно показывает сайт.

GDPR, конечно, штука неоднозначная, но вот чего я не могу понять, так это стенаний насчет рекламы.

Вы ходите в интернет без adblocker’ов? Серьезно? Ради мамкиного анкапа вырву себе глаза?

Вы чисто эстетически не находите, что в 99.99% случаев реклама — это мерзость перед б-гом?

— если сервис предоставляется 200 000 000 пользователям — расходы на него огромные

если сервис мне нужен, я в состоянии за него заплатить. например, я готов платить за gmail и google search.

success story — и приложения на телефоне у меня без рекламы, и разработчики вполне живы и упитанны.

создатель сервиса должен учитывать и мои пожелания тоже. пусть дает две модели, я только за. я против халявы, но может кому-то в кайф сидеть в инстаграмчике/фейсбучике.

пока у тебя вордпресс бложик, оно да. а 10% для фесбука — это деньги.

понятно, мамкин анкап. это дигноз.

я как создатель сервиса имею право пренебреч этими 10%

А они имеют право блокировать твою рекламу как вздумается :)

если 90% пользователь за шаровое использование с рекламой а 10% за платное — я как создатель сервиса имею право пренебреч этими 10%, это мое дело для кого создавать сервис

10% кастомеров интернета, готовых ввести номер кредитки рядо с полем поика — таким Гугол бы не пренебрег. Но проблема в том, что речь идет не о 10%, а о 0.001% :(

вот не пользуюсь фейцбугом, инстаграммом..

Вы чисто эстетически не находите, что в 99.99% случаев реклама — это мерзость перед б-гом?

Эстетическая ценность рекламы не относится к основным критериям оценки ее качества. Задача продать, а не понравиться...

считаю пользователей adblocker’ов обычными мудаками

Люди экономят своё и ваше время, зачем же вы так?

ви ж знаєте, що там за білий лістинг в адблокері платять гроші?

Не уверен, что этот вопрос уже здесь обсуждали, однако у GDPR появилась другая интересная сторона:

«Один из разделов GDPR запрещает публикацию изображений третьих лиц без их осведомленного согласия.

Если кто-то чужой все-таки попал в объектив камеры, необходимо взять с него письменное разрешение на публикацию материала в социальной сети. Если же это невозможно, то у фотографа остаётся два варианта для выхода из сложившейся ситуации, первый заключается в отказе от публикации материала в социальных сетях, а второй сводится к размытию лиц случайных прохожих.»

point.md/...​zia-fotografirovat-liudei

Все это вижу в действии на примере европейских новостей, вместо нормальной картинки — теперь вокруг совершенно все замазано

tv.idnes.cz/...​=V180529_113821_brnoh_jda

Кстати, немцы давно себе это джидипиэр имплементировали, на гуглокартах все кругом замазано в больших городах, а до мелких даже и дело не дошло. Ибо прайваси и нефиг по сторонам всяким там зырить

Гугломапс замазывали лица еще до того как GDPR стал мейнстримом.

и регистраторы низзя

Вроде только в Австрии. Хотя конечно тоже немцы.

Пожарная безопасность, санитарный контроль и экология — это то же происки бюрократов против «невинных честных корпораций», следуя логики автора.

Пожарная безопасность, санитарный контроль и экология

Спасли жизни десяткам миллионам людей.

GDPR работает уже пять дней. Сколько жизней были спасены благодаря этому закону за это время?

Наши пожарные инспекторы не видящие заставленных пожарных проходов если кеш упал в карман, наши экологи которые «не видят» как на берегу реки строятся дома, наш санитарный контроль — это как раз пример того как бюрократия спасает жизни.

Когда у нас появилась пожарная и санитарная инспекции? Как до этого жили люди?

Мы ведь не про пожарных и хирургов сейчас говорит, а про дядек с папочками которые ходят по офисам и магазинам и сшибают бабло за не так висящий огнетушитель и справку о том что корова, чье мясо продается, еще утром мычала.

Ты думаешь что если их вдруг не будет то все в этом мире розвалится? Так в ЕС нет ни первых, ни вторых.

Именно они предотвращают (в цивилизованных странах, по крайней мере) подобные трагедии.

Чуть ниже некий Mykola пишет что в США детские садики строят в двух метрах от хайвея. США нецивилизованная страна?

У нас ветка про пожарную охрану?

У нас ветка про пожарные, санитарные и прочие инспекции (к слову в Украине уже нет СЭС, европеизируемся) как образец полезной бюрократии.

Не надо путать пожарных и людей-в-черном-с-папочками. Одни реально спасают людей на пожарах, вторые следят за тем не нарушил ли кто-то пожарный/санитарный/ещекакой-то G*PR.

Ты путаешь строительные нормы и людей проверяющих количество огнетушителей на один квадратный метр?

все двери не закрываются изнутри

Забавно выглядит утверждение: а как американцы закрываются в своих квартирах/домах?

К слову о строительных нормах: ЕС бьёт рекорды по количеству вариантов розеток.

мож это был не гражданин, а товарищщ

Ну да, а это тогда кто?

UK не вся ЕС, так что в ЕС — нет.

В Польше аборты запрещены, в Чехии разрешены. Как по твоему: в ЕС аборты запрещены или разрешены?

Война всех против всех конечно-же. Может даже ядерная.

Как и предполагалось, уже активировались GDPR тролли :( Неужели тем, кто писал закон, сложно было сделать прогноз хотя бы на неделю вперед?

jacquesmattheij.com/...​the-nightmare-gdpr-letter

Теперь работу неугодных компаний будут просто парализовывать, рассылая «письма счастья» :(

Предлагаю простую поправку: хотите узнать какие данные я храню — присылайте запрос вместе с чеком на 100 евро. все просто и честно

Предлагаю простую поправку: хотите узнать какие данные я храню — присылайте запрос вместе с чеком на 100 евро. все просто и честно

Тут очень забавная ситуация. Тролль в письме прикладывает свои данные для проверки и идентификации. Во всех предприятиях, сертифицированных по ISO 9001 и прочим хреням ты обязан либо сохранить входящие письмо как оно есть, либо оцифровать его и тоже сохранить. Таким образом тролль вносит свои персональные данные в твою организацию. Дальше ты должен всячески защищать его персональные данные, поэтому ответ, такого человека в базе нет быть не может. Если входящее письмо зарегестрировано, ты попал.

Качмар, реклама может быть таргетированной.

Нет, не быть этому!

Пусть мужыки смотрят рекламу прокладок, а женщины — рекламу средства для лечения простатита!

Пусть пенсионеры смотрят рекламу университера, а выпускники школ — рекламу крема Корега.

П.С.
Про озабоченных секурностью айтишнегов забыл. Надо влепить вверху ДОУ баннер выставки «Прибыльное свиноводство» (проводится с 5 июня, не забудьте посетить). А рекламу первого в Украине Девокса надо закинуть на сайт agronews.ua.

DOU не собирает персональные данные для рекламы(возможно)
dou.ua/adv рекламируй свою свиноферму сколько влезет

Я как рекламодатель не буду рекламировать свиноферму среди айтишников.

Там рекламодатель рекламировал точно так же в той среде, которую он предпочел. И его засудят. По крайне мере попытаются.

Засудят ли меня если я не дам рекламу свинофермы на ДОУ? Уже нервничаю.

мало ли кто чего предпочитает

Пока нет закона который обязывает размещать рекламу во всех СМИ, на всех сайтах — рекламодатель волен размещать там где хочет.

Точно так же он может быть географический регион для показа рекламы, выбрать пол, возрастную группу. И много еще чего. Можно зайти в тот же AdWords и посмотреть на возможности.

написал что возможно

Качмар, реклама может быть таргетированной.

Хз. Зараз переважно бачу варіант: треба щось купити -> пошук в інтернеті -> порівняння -> покупка. І ПІСЛЯ цього йде таргетована реклама. От тільки річ то вже куплена, мені ця реклама нафіг не потрібна.

Ну так рекламодатели не телепаты. Платформа (скорей всего гугль) собрала информацию о поиске, отнесла человека в определенную группу — он видет нацеленную на эту группу рекламу.

В будущем вполне возможно будет отслеживаться и факт покупки, например через Google Pay, следовательно рекламодатели зная что потребитель рекламы уже купил сходный товар не будут показывать нерелевантную рекламу. Но сейчас они еще не имеют доступа к данным о покупках. И GDPR создает на этом пути еще одно препятствие.

К слову такая точная аналитика это в разы более глубокое погружение в личную жизнь посетителей сайтов чем есть сейчас. Подумайте: вы точно готовы делиться информацией о своих покупках для того чтобы не видеть рекламы уже купленных вами товаров? Думаю что нет.

Технологии улучшаются. Если не трогать индустрию, то через несколько лет будут предсказывать ваши предпочтения и показывать рекламу до того как вы начали искать то, что хотите купить.

Пока имеем что имеем.

Если убить эту индустрию, то через пол года всем будут продавать дилды и лекарство для увеличения пенниса, вне зависимости от пола. Вы этого хотите?

Помню, меня как-то поразила нетаргетированность антирекламы курения на сигаретных пачках: на пачке от тонких женских сигарет надпись о том, что курение приводит к импотенции, а на пачке крепких сигарет — надпись о том, что курение во время беременности причиняет вред ребенку.

Это как раз правильно таргетированная реклама :)

не инфы о возрасте, нет дискриминации

В GDPR все просто. Шарите информацию и смотрите таргетированную рекламу вакансий, которую вам дают. Не шарите никакой информации — смотрите рекламу гигантских дилдо, ибо анонам никто нормальную рекламу показывать не будет, не стоят они того. Смекаете?

смотрите рекламу гигантских дилдо

утомил. кроме дилдо (гигантских) в твоем манямирке хоть чтото рекламируют?
если тебе постоянно суют дилдо в рекламе, то это неспроста

утомил

Кнопка opt-out в верхнем правом углу экрана

ну кроме тебя тут еще и другие есть

Да. Но от перспективы смотреть рекламу дилдо припекает у вас, а не у других :)

меня припекает, что ты в каждый ответ суешь свое дилдо

Касательно самого фейсбука, кто-то открыл для себя Америку. Достаточно побывать в кампусе ФБ, увидеть кучу тинейджеров, и сложить 2+2.

при чем тут кампус фейцбуг?

Вы статью, которую кинули, сами перед этим прочитали?

Я в принципе понимаю озабоченность тем что Убер может мониторя заряд телефона (к слову не ПД, вот совсем никак) поднимать рейт поездки. Или поднимать рейт поездки для регулярного маршрута (а это уже ПД). Или тем что (как чуть ранее в другой ветке обсуждалось) рекламодатели будут иметь доступ к информации о покупках чтобы они могли не показывать рекламу того что уже было куплено человеком.

Но!
Вот как раз с таким использованием ПД закон GDPR ни как не борется и наказать по этому закону за такую «оптимизацию» на основе ПД нельзя. Зато создано море совершенно нечетких и дурацких условий/процедур для общения бизнеса и клиента там где эти условия/процедуры совершенно не нужны.

Очередное проявление деятельности бюрократов. Ребята ходят с утра до вечера на работу, им же нужно чем-то заниматься. Чтобы принимать правильные решения нужно в том числе нести материальную и репутационную ответственность за негативные последствия таких решений. Упомянутым в посте плямооким товарищам это явно не грозит. Экспертов в сфере IT и бизнеса, готовых поставить на кон свою репутацию, среди авторов тоже не наблюдается, ну а репутация политика немногого стоит.

Поэтому те кто думают что этот закон что-то там улучшит в их жизни — сильно ошибаются. Да и выбор поступиться свободой ради безопасности, по меткому выражению, обычно заканчивается лишением и того и другого.

К слову что это мы с вами все про HTTP, да про HTTP. Мир не ограничивается окном браузера.

Consent должен быть получен и при открытии клиентской сессии в базе данных. Что по этому поводу думают разработчики воркбенча, жабы и плсиквелнавигатора?

Но и это не все. Почему провайдеры не получают консент при инициации TCP соединения? Штраф!

Очень слабо знаком с внутренностями DHCP, но думаю что и тут явно нарушаются права человека на работу с его данными.

TCP sequence number это мои персональные данные! Вы меня будете по ним трекать! Требую удалить!1111 адин адин а то я пожалуюсь в комитет

Consent должен быть получен и при открытии клиентской сессии в базе данных.

 у вас выделенные сессии на конечного пользователя? Думаю, по поводу GDPR вам переживать незачем :)

Ну, возможно с БД не очень удачный пример, но тем не менее.

Теперь надо думать что делать с MQTT, telnet (да-да, есть еще люди которые им активно пользуются, те же радиолюбители), FTP etc.

Из других широко используемых разве что для SSH можно получить предварительный консент в момент регистрации человека через веб и у публичного Wi-Fi есть возможность запросить консент в момент входа.

Кто-то помнит: когда вводили Правила Дорожного движения, тоже стоял вселенский плач о том, что это невыполнимо и угробит всю транспортную отрасль?

А в правилах дорожнього движения есть пункт который обязывает водителя получить от пассажира consent на поездку? Или может есть требования что оператор АЗС не может заправлять автомобиль топливом если не получил explicit consent и даже открывшийся перед носом лючек бензобака не является подтверждением?

А в правилах дорожнього движения есть пункт который обязывает водителя получить от пассажира consent на поездку?

А также пункт, который обязывает водителя бесплатно довести пассажира, если тот отказался дать consent, чтоб не разжигать.

А также пункт, который обязывает водителя бесплатно довести пассажира, если тот отказался дать consent, чтоб не разжигать.

Довести до чего?

Вообще-то, если брать аналогию поточнее, запрещает везти пассажира без его согласия (похищение?) и в случае отсутствия согласия обязывает водителя снять блокировку замка дверей и выпустить пассажира.

Довести до чего?

Довезти туда, куда он захочет, абсолютно бесплатно.

Вообще-то, если брать аналогию поточнее, запрещает везти пассажира без его согласия (похищение?) и в случае отсутствия согласия обязывает водителя снять блокировку замка дверей и выпустить пассажира.

А я кого-то держу на своем сайте? :) Что-то не нравится — кнопочка opt out находится в верхнем левом/правом углу экрана.

С какими его данными? IP адресом и набором кукисов которые я впихнул браузеру чтобы узнавать посетителя при каждом следующем GET?

Ну так сначала нужно рассказать пользователю что вы собираетесь с его данными сделать, возможно, после этого он именно так и сделает.

Возможно, сделает. А возможно, и нет. В любом случае, я должен буду его бесплатно обслужить. А рожа не треснет?

Посетитель пришел на сайт/человек на обочине махнул рукой.
Посетитель заполнил форму/человек с обочины сел через открытую водителем, а возможно и им самим дверь.

Где тут принуждение или похищение? Но GDPR требует от сайта получить explicit consent посетителя ещё на первом шаге, когда посетитель по своей воле открыл страницу сайта.

Нету такого в КК. В КК есть наказание за перевозку помимо воли пассажира. Это как если зловредный код в баннере переместит посетителя на другой сайт и ещё будет блокировать попытки закрыть окно браузера и вернуться назад.

И

(барабанная дробь)

в GDPR про это ни слова.

А вы на сайте куда-то «заезжаете»? Да ну. Тут если и натягивать сову на глобус, то аналогией будет музыка на выбор водителя и попутчики которые будут рассказывать какое хорошее у их коровы молоко и предлагать заехать купить банку.

Представьте себе, вы каждое утро ездите из Борисполя в Киев на работу на своем автомобиле. И по доброте душевной, подбираете пассажиров с обочины, которые «голосуют» и бесплатно отвозите их в Киев. Все довольны.

Но вы, как политически самосознательный гражданин, не хотите возить предателей родины, поэтому перед посадкой спрашиваете у пассажира «Крым чей?». Если ответ неправильный, то вы оставляете потенциального попутчика на обочине, ибо нефиг!

По новым ПДД вы обязаны:

1. Перед тем, как спросить «чей Крым», вы должны сначала спросить «А не будет ли вы против, уважаемый господин, если я поинтересуюсь у вас, чей Крым?».
2. Вы должны сказать с какой целью вы интересуетесь и как будете использовать эту информацию.
3. Если потенциальный попутчик отказался отвечать, вы обязаны его довезти БЕСПЛАТНО, даже если его зовут Гиви и у него на плече висит автомат калашникова и пять гранат в сумке. Ибо отказ делиться с вами информацией вы не можете использовать для отказа в обсулживании.

Но вы, как политически самосознательный гражданин, не хотите возить предателей родины, поэтому перед посадкой спрашиваете у пассажира «Крым чей?». Если ответ неправильный, то вы оставляете потенциального попутчика на обочине, ибо нефиг!

Попрошу!
На самом деле не спрашиваете, а всовываете каждому из пассажиров «жучка», который записывает всё сказанное пассажиром — в лучшем случае только сказанное в вашей машине, но, может, он ходит с этим жучком весь год.

По GDPR водитель теперь не может рассказать приятелям что он сегодня подвозил шикарную блондинку. А пионер не может рассказать родителям что он перевел бабушку через дорогу — ведь бабушка не дала explicit consent.

Вот такие нынче ПДД в этих ваших интеренетах.

Нет, не может говорить что она была женщина и говорить о цвете волос. Вы очень плохо ориентируетесь в том что такое ПД.

От якраз «шикарна блондинка» це не персональні дані, а суб’єктивна оцінка, бо одному вона шикарна, а іншому баба Яга.

К слову об имени.

Если между пассажиркой и водителем возникла симпатия и она дала ему свой номер телефона то ... рассказывать приятелям/родителям что-либо о новой подружке водитель сможет лишь получив от неё explicit consent.

Причем консент нужен не только на то в какой позе она предпочитает заниматься сексом — об этом GDPR вообще запрещает говорить кому-либо.

Консент нужен и на имя, и на описание фигуры, и на уже упоминавшийся выше цвет волос. И обязательно: при получении консента водитель должен перечислить круг лиц с которыми он будет делиться этой информацией. И после этого делиться только с ними. Если вдруг забыл про коллег по работе — надо поехать к девушку и получить еще один консент.

Зато GDPR не запрещает водителю хранить хоум видео снятое в момент страсти, возможно даже снятое без согласия девушки ибо GDPR делает исключение не только на хранение, но и на получение консента. Ай-ай-ай.

Интернетовские жучки действуют только в пределах домена водителя и ничего не пишут. Это скорей не жучки, а маячки видя которые водитель (и только он) знает что это его бывший пассажир.

Смотрите. Я вожу бесплатно людей. Но у меня в машине есть жучок, на который я все записываю. Не на пассажире, а в машине!

Потом в новостях пишут — Артем такой плохой, у него в машине жучок, не ездите с ним, и требуйте чтоб он жучок выключил!

Вы этой темой прониклись, останавливаете меня и лезете в машину. Потом говорите

— Выключай жучок!
— С какой стати?
— Выключай!
— (я выключил) Что дальше?
— А теперь поехали
— Никуда мы не поедем.
— Поедем, вот деньги за проезд
— Не нужны мне твои деньги!
— Тогда вези меня бесплатно!
— Ану вылезай из машины!
— Никуда я не вылезу! Заводи машину и поехали! Полиция! Он не хочет меня бесплатно везти!

(полицейские выламывают мою дверь, вытягивают меня из машины, ложат лицом в асфальт и бьют ногами по почкам. Инспектор выписывает штраф и ложит мне на лобовое стекло под стеклоочиститель.

— (вы) Все, теперь садись в машину и вези меня

К слову для параноиков боящихся подсадки жучков есть замечательные штучки:
* Keep local data only until you quit your browser — переводим в положение ON
* если предыдущее не помогает спокойно спать то Allow sites to save and read cookie data (recommended) — переводим в положение OFF.

Вы не имеете права отказать пользователю в обслуживании за то, что он отказался принять условия предоставления сервиса.

Популярными словами:

Я регулярно привожу домой девушек, занимаюсь с ними сексом и снимаю это на камеру.

С новым законом я должен спрашивать у девушки, не против ли чтоб я снял ее на камеру. Если не против — то все нормально. Я могу заниматься с ней сексом и снимать на камеру.

Если же она против — то я не имею права снимать на камеру, но все равно обязан заняться с ней сексом. Я не имею права выставить ее за дверь за отказ :(

a ще ти повинен спитати всіх з ким вже був, чи вони згодні були на запис відео

Более того, я периодически приводил по две и три девушки. Одна из них може потребовать, чтоб я удалил все видеозаписи с ней. Прийдется сидеть и часами зарисовывать квадратиками ее, оставив других девушек нетронутыми.

А если до этого одной из двух других ты отдал копию видео то надо забрать его, зарисовать скромницу и на этом видео и потом вернуть копию нескромнице.

фигня. чтобы попасть под закон нужно еще и фамилию спросить

Не нашел в тексте закона слов last name и surname. Подскажите в какой из статей они упомянуты?

а тепер уявіть, що з самого початку ці правила писав депутат від партії зелених, що просто бай-дефолт ненавидить ці ваші машини, що все забруднюють, можуть вбити бобра, а випускає їх це «тіп цукерберг»

Можно было бы ездить только 30 км/ч, в день месяца совпадающий с первыми двумя цифрами номера, перед началом движения обязательно издать звуковой сигнал, в том числе и на светофоре.

Правильно, лучше как в США, строить заправки в двух метрах от жилых домов и многоквартирные дома, школы и детские садики в двух метрах от 6-8 полосного хайвэя.

Нет, конечно. Лучше ввести стопицот тупых правил и регуляций, чтоб все застройщики свалили на Юх или Север строить, цена на недвигу взлетела так, что приходится субсидировать строительство (ибо вообще перестали строить) и ставить cap на стоимость аренды (чтоб рынок вообще в жопу с видом изнутри превратился). А потом героически бороться с последствиями, обворовывая тех, у кого остались деньги, непомерными налогами.

Голосовать за другое правительство на следующих местных выборах

В Барселоне видел заправку прям в жилом доме, если что)

В Голландии же вроде не редкость заправки прямо напротив подъезда goo.gl/maps/NiJPPy6Apgn

У прокатных контор — сплошь и рядом

Можно ещё такую аналогию из реальной жизни привести: видеосъёмка в магазинах, банках, на АЗС.

Не знаю каким законом это регулируется, но это как раз GDPR здорового человека: на входе висит плакат информирующий посетителя о видеосъёмке, он не повторяется назойливо на каждом столбе, витрине, полке витрины как это происходит в случае с cookie law и GDPR; implied consent если посетитель прошел дальше плаката; у посетителя нет права потребовать удалить/перемонтировать запись.

Как бы выглядел процесс регулируейся он законом сходным с тем GDPR курильщика что заработал 25 мая: на входе стоит человек который всех дёргает за руки и спрашивает о согласии на съемку; если посетитель не согласен то другой специальный человек в аппаратной видеозаписи включает на пульте черный квадратик и джойстиком водит его вслед за посетителем затирая его черно-белые ПД; покупатель вправе прийти в любой момент и потребовать копию видеозаписи с собой в главной роли (при этом придется затереть в копии всех других посетителей) или вообще затереть пленку.

Возможно что в ЕС в скором времени так и будет как описано в предыдущем абзаце: посещение Lidl ничем не отличается от посещения сайта.

А чего это у вас правила с большой буквы? Благоговеете перед приказами?

Разумеется.
Поскольку я почти во всех аспектах (науки, технологии и этики) некомпетентен, мне проще придерживаться правил, разработанных другими, более грамотными людьми (обычно это топ 1% экспертов в данном вопросе).

То есть, если ваш повседневный опыт будет противоречить неким правилам (которые сейчас устанавливаются, замечу, при помощи угроз и силы), вы скорее отвергнете опыт чем усомнитесь в адекватности приказаний. Я правильно понял ваше «разумеется»?

ваш повседневный опыт будет противоречить неким правилам

Это как?
Индивидуум правил может либо придерживаться либо нет (в последнем случае глупо обижаться на то, что за это карают).

Если правила кажутся устаревшими, авторитарными, принятыми недемократическим образом, с ними можно бороться (легальным и нелегальным путями), а можно не бороться.

Мой личный опыт к этому никак не относится.

Мне другое интересно: если кто-то настолько умный, чтобы оценить нецелесообразность таких законов, почему он настолько бедный, чтобы не мочь лоббировать их отмену или принятие других, более грамотных и выверенных законов.

Мне другое интересно: если кто-то настолько умный, чтобы оценить нецелесообразность таких законов, почему он настолько бедный, чтобы не мочь лоббировать их отмену или принятие других, более грамотных и выверенных законов.

Какой смысл? Пусть Европа сначала сама зачистит свой интернет рынок, потом сами отменят и мы сможем туда прийте с готовыми решениями :)

Тоже вариант. Я б на твоём месте ежемесячно перечислял в поддержку GDPR тысячу-другую Евро. Ну, в рамках застолбления будущего сегмента рынка.

Смотрите. Ваш IP адрес позволяет вас однозначно идентифицировать? Это значит, что я не имею права его обрабатывать без вашего разрешения? И более того, удалить его по вашему требованию. Как тогда быть с этим кодом?

for (var a = 0; a < 256; a++)
for (var b = 0; b < 256; b++)
for (var c = 0; c < 256; c++)
for (var d = 0; d < 256; d++)
{
    var ip = a + "." + b + "." + c + "." + d;
    console.log(ip);
}

Если я запущу этот скрипт и скину его вывод в текстовый файл, кто-то об этом узнает, меня уже можно засудить, так как я незаконно храню персональные IP адреса всех жителей евросоюза, пользующихся интернетом?

Теперь какой-то уважаемый житель евросоюза может мне написать и попросить удалить его IP адрес из моей базы, и у меня на это будет 30 дней?

Но я могу достойно выкрутиться из ситуации!

for (var a = 0; a < 256; a++)
for (var b = 0; b < 256; b++)
for (var c = 0; c < 256; c++)
for (var d = 0; d < 256; d++)
{
    var ip = a + "." + b + "." + c + "." + d;
    if (ip != "1.2.3.4) // IP address of Hans Schmidt, he asked me to delete it!
    {
        console.log(ip);
    }
}

Осталось только залить на гитхаб (ибо я пилю опенсорц) и все, проблема решена, мы с честью и достоинством выполнили закон и избежали многомиллионного штрафа?

не храните такие логи дольше 30 дней

не храните такие логи дольше 30 дней
С какой стати?

вот, кстати, прекрасная иллюстрация того, почему нужна регуляция типа GDPR

Я не понял к чему тут логи вообще?

Вы перечитайте пост на который вы отвечали.

Но вечно храните информацию о пользовательском консенте.

Забавное совпадение: закирпичился Google Assistant. И даже обновление не вернуло к жизни.
pasteboard.co/HnvZ03J.jpg

Абсолютно недальновидная политка ЕС ведет к тому, что запустить сайт в КНДР будет проще, чем в ЕС.

я навіть мабуть знаю, як звуть цього провайдера :)

там у іканна зараз смертний бой з одним німецьким провайдером, який домен роздав, але тепер не може спитати дані, які хоче при цьому мати іканн бо це не по закону... правова колізія

www.youtube.com/watch?v=N5LrD9-IBBc

GDPR это лучшее что придумал евросоюз. Крупные компании совсем обнаглели со своей тотальной слежкой, особенно фейсбук. Надеюсь им влепят штраф на пару миллиардов.

Instagram — еще паршивее фейсбука, с его россыпью мигающего , не связанного с собой ни единым смыслом хлама в ленте: скейтоносцы, фитнес-тётки, милые щенки облизывающие котят, очень важная губастая персона открывает рот и хочет что-то сказать, и подобное.

Фейсбук хоть тут настраивается до состояния практически полной тишины, хоть и провоцирует случайные нажатия туда, куда не собирался. При тишине , правда, начинает истерить и проситься в дом, как кот, которого случайно закрыли на балконе.

хтось просить сидіти в цих системах?

Те, кто требуют от сервисов бесплатную версию, которая не трекает, и платную подписку, не достойны ни того, ни другого :)

Интернеты уже начали пополняться недовольными свидетельствами леваков, которые решили ничего не шарить, и получили тыкву вместо сервиса (а нас то за що?)

i.imgur.com/RmqxOgQ.png

У мена показывает форбс, при открытии страницы вылазит попап про изменения под новый EU закон бла-бла-бла.

i64.tinypic.com/al6vb6.png

Благодаря таргетированию я захожу на сайт и вижу рекламу спинингов, котоыре я хотел купить. GDPR лишает людей этого. Теперь в EU всем будут показывать одну и ту же рекламу лекарства для увеличения пениса. EU сильно соскучилась по интернету времен 1995 года?

Причем за это придется еще и заплатить — не таргетированная реклама обходится дороже (менее эффективна), а затраты на нее всегда в конечной цене товара...

Странно. Мне почему-то показываются тоже спиннинги, которые я уже купил. Зачем мне ещё спиннинги?

вас безкоштовність контенту не бісить?

Бесплатность рекламы? Нет, не бесит. Немного неудачным считаю тот факт, что она занимает полезную площадь экрана и прокручивать приходится чаще, чем следовало бы без неё. Но я человек относительно спокойный.

Вот, кстати, на тёплых зелёных ламповых терминалах рекламы не было и жизнь была поспокойнее.

Помнится на таком терминале был вирус, который в Нортоне рисовал дорожки из символов 0×01 — 0×05 поверх интерфейса (pcabc.ru/...​to/t11_html_m3c22b0fb.jpg)
Но да, рекламы не было, безмятежность.

Я вообще-то про ЕС ЭВМ ака IBM370 и СМ 1420 ака PDP11. Но на Мазовиях с Нортоном тоже не было рекламы.

За все время только один раз встречал адекватную обработку уже купленных товаров. После покупки в магазине parfums.ua мне еще довольно долго показывали баннер «спасибо за покупку».

В мене при цьому була можливість відключити такий банер з поясненням, що я товар вже купив. Після цього його реклама зникала.

Я клікав на хрестик на рекламі, чи там була кнопка «Відключити таку рекламу». Після такого запитували чому я хочу цю рекламу відключити.

Тобто тепер у рекламодавців є дані не тільки про те, що ти цікавився якимось товаром, але й про те, що ти його вже купив.
З одного боку — ок, тепер тобі будуть пропонувати не спінінг, а котушки і гачки до спінінга, з іншого — у когось ще більше інформації по твоїй особі.

Что мешает согласиться на таргетирование и не просить удалять профиль? Ты вообще в курсе о чем закон?

Что мешает согласиться

Вяземская: ...предлагаю вам взять несколько журналов — в пользу детей Германии. По полтиннику штука!
Преображенский: Нет, не возьму.
Вяземская: Но почему вы отказываетесь?
Преображенский: Не хочу.
Вяземская: Вы не сочувствуете детям Германии?
Преображенский: Сочувствую.
Вяземская: А, полтинника жалко...
Преображенский: Нет.
Вяземская: Так почему же?
Преображенский: Не хочу.

Благодаря GDPR нормальные сайты начали блочить тех, кто не соглашается. Вы добивались того, чтоб ЕС вообще отключили от интернета?

Не понял, почему вы ко мне прицепились? У меня лично вообще никто ничего не спрашивает, берут и трекают.

«Демократія — в шумі даних» (або у «вирі даних»)

Второе, поскольку первое — это нонсенс. Особенно для тех, кто действительно работает с данными и для кого шум — это реальное явление.

Европейским церквям накидали кучу плюшек и послаблений в области GDPR. Если я зарегистрирую свой сайт как европейскую церковь, мне можно будет не выполнять GDPR? Типа там религия великого .NET, второе пришествие Билла?

кто в курсе уже можно подавать в суд на доу если ты колбасный эмигрант?

Вопрос на засыпку для прошедших тренинг по GDPR: ретвит твита чьим ПД является?

А если ретвит сделан старым дедовским методом с копированием и добавлением впереди букв RT — меняет ли такая технологическая особенность ретвита принадлежность его к чьему-то ПД?

А если твит содержит картинку чужого твита или постав в ФБ?

И не является ли ретвит нарушением GDPR в чистом виде?

Якраз сьогодні вийшов подкаст з автором закону, з якого власне стає зрозуміло, що там реально великі проблеми в законотворенні. Закон прописан не чітко, а ми повинні просто довіряти тому, як його трактують на свою користь його автори (не практикуючі адвокати чи досвічені правники!). Кукіс — це персональні дані і починається срач про термінологію.

Раптом Цукерберга зневажливо називають «типом» (dieser Typ — ясно-понятно, зелені та ліві й своїй вічній боротьбі проти поганих капіталістів)

Послухати можна тут, вже перекладати не буду, все одно потім половина коментів обісре автора :)

Хто знає німецьку, слухайте беттл тут: soundcloud.com/...​brecht-lobo-und-das-dsgvo

А хто знає відповідь на таке питання?

Якщо дані користувача не зберігаються у структурованому сховищі, а використовуються для онлайн-навчання моделі, і резидент ЄС просить видалити його дані. Як тоді?

Хто знайомий з машинним навчанням, знає, що «видалити» елемент з моделі в загальному випадку практично неможливо. Можна хіба що навчити модель на наборі даних, що не включає дані цієї людини. А це може означати потребу в на порядок вищих обчислювальних ресурсах. З іншого боку, деякі моделі (наприклад, основані на деревах рішень) можуть надавати такий ж функціонал, як таблиці баз даних.

я вам зараз в принципі можу відповісти від себе щось, але якщо не бачити систему і тп, то це як поради на заборі писати

але ніхто з нас тут не юристи і систему вашу не бачили, тому по суті вам бажано сходити до якогось знавця GDPR — і це буде коштувати грошей. це не як тут половина форуму пише «кнопочку написать», то до них ще сенс деяких законів не дійшов

Наприклад, якщо треба зробити дедублікацію профілів. Хтось після одруження змінив прізвище, хтось недавно поміняв e.mail, хтось використовує різні варіанти свого імені. Та і трапляються помилки в заповненні профілю. У результаті — не повністю однакові профілі, які належать одній і тій же людині.

До речі, здається, вік, локація і т. п. належать до персональних даних:

‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

www.gdpreu.org/...​y-concepts/personal-data

gdpreu.org, к сожалению, приватный сайт компании MailControl, не имеющий отношения к авторам GDPR, поэтому в приведенной цитате есть мелкие расхождения с официальным текстом. К сожалению — потому что там информация более-менее структурирована и читабельна, а также есть рекомендации — в частности, понятно, как не подпасть под GDPR — www.gdpreu.org/...​gulation/who-must-comply (не переводить сайты на языки членов Евросоюза, английский и испанский не в счет, не указывать цены в евро и национальных валютах этих стран, не ссылаться на кастомеров из Евросоюза). Но в целом они такие же интерпретаторы, как мы.

да, причем важна последняя версия. Я там в комментариях к предыдущему топику ошибся с информацией про необходимость DPO для фирм в 250 человек, потому что она была взята из ранней версии. Originally, GDPR outlined that it would be mandatory for all companies with more than 250 employees to hire a DPO, but this requirement was removed from the latest version of the regulation.

слабо представляю когда набор для обучения будет содержать персонализацию, обычно модели все равно на персоналии, ну когда ей понадобится фио или айпи?

Например, для авто-определения пола по ФИО для последующего склонения.

если список имен ограничен «Маня, Вася и Коля», то пойдет. Если у меня поддерживается 50 языков и 200 государств (в которых могут быть свои локальные особенности, связанные с именами), то уже не пойдет.

У меня одна тян была из FB ML, и я прозревал после того, как послушал что они могут делать с данными кастомеров.

Другая тян делает PHD в области communication science. После поднявшегося хайпа с ФБ некотоыре другие компании прикрыли свои фиды данных, теперь у нее нет данных для исследования.

Вводить такие ограничения на какие-то классы данных — значит в компаниях, которые лидируют в области ML, перестанут заниматься инновациями в определенных областях обработки данных, а больше ими нигде заниматься не будут (ЕС ведь не выделит грант на миллиард евро для исследований, котоыре прикроются после ввода GDPR).

Не тільки компанії, які лідирують в області ML. А, можливо, і дуже багато компаній і проектів, яким через специфіку задач потрібне ML з персональними даними у якості навчальної вибірки. Наприклад, один з моїх проектів.

Йа не знаю что этот запрос делает

слабо представляю когда набор для обучения будет содержать персонализацию

Если ты тренируешь гипотетическую модель используя данные о болезни персонажа и его гражданстве (стране), то внезапно может оказаться, что всего-лишь названия болячки и страны достаточно, чтобы однозначно идентифицировать носителя какой-то особенно редкой хвори. И с точки зрения этого волшебного закона пара [болезнь, страна] вдруг оказывается personal data. А если учесть, что это еще и data concerning health, то вообще «писец подкрался незаметно»... :)

отличный набор анонимных данных, ничего персонального

Согласно определению personal data в GDPR это больше НЕ анонимный набор данных, потому что позволяет однозначно идентифицировать персону в описанном кейсе. Фактически, любые данные, предоставляемые пользователем, теперь могут попасть под определение персональных данных (а не только те, что принято считать персональными данными исторически). К примеру пользователь тебе абсолютно анонимно сообщил, что собирает кубик рубика за 5 секунд — всё, считай что юзер деанонимизирован, потому что такое умеет только 1-2 человека в мире.

то есть если я постоянно беру убер из точки А в точку Б теперь можно убер заставить удалить эти данные и тем самым помешать ему со временем повышать рейт на эту поездку? все больше и больше интересного всплывает в этом вашем GDPR

Це і незрозуміло, чи можна. Не здивуюся, якщо відповідь залежить від того, як Uber зберігає дані.

Можно или нет — зависит от того, как закон будет применять на практике, а этого никто не знает, даже сами судьи.

Уберу все равно, это Вы ездите постоянно по этому маршруту или кто-то другой — для него важно, что маршрут востребован и, скорее всего, при повышении цены останется востребованным. Кроме того, Убер собирает данные о разряде батареи (пруф www.forbes.com/...​low-battery/#61fd77e174b3 ), и повышает цену, если Вам срочно надо машину, т.к. батарея вот-вот сядет — это не персональные данные, но влияют на цену еще больше.

От того что Уберу все равно данные о поездке не перестают быть ПД. Следовательно сначала надо затребовать у клиента consent, затем если клиент пожелает — удалить.

Меня еще смущают две вещи.

1. Показывается ли водителю, сколько поездок совершил пассажир в Убере?
А то заказ в аэропорт с подачей к частному дому, где семья садится в машину и уезжает в Египет — повод для водителя вернуться к тому дому еще раз и обокрасть его, ибо пассажир более-менее платежеспособный и у него есть, что спиздить

2. Пассажиру показывается, сколько поездок совершил водитель — факт.
Если их очень много — можно счесть, что водитель именно работает в убере полный рабочий день, а не ради прикола подрабатывает, значит можно садиться ему на голову, ибо он — более зависимый, чем студент, который иногда подбирает людей по дороге в институт.

и повышает цену, если Вам срочно надо машину,

У него еще есть другая хрень «Отменяете? Мы уже почти нашли вам машину»

Особенно прикольно смотрелось, когда год назад в провинции, где убера не было и нет, и я это знал:
1. Показывало не то, чтобы рой, но 3 машины вот уже рядом
2. Время подачи «4 минут»
3. Начинает долго что-то искать , а потом «не отменяйте, мы уже почти нашли вам машину».

Ага, так точно, почти нашли, не отменяйте, будет только дорожать.

Надеюсь помимо борьбы за обезличивание пользователей каждую большую компанию хорошо прокатят на волосатом мотороллере за их дешевые, цыганские трюки.

Не обязательно эти конкретные данные про А и Б, а все персональные данные скопом. Т.е. например, твой профиль в Убере.

А красивый способ сделать это для Убера свёлся бы к удалению связи между тобой и твоими поездками (деперсонализация прошлых поездок) . На цену бы это никак не влияло.

Сама по себе поездка уже является ПД. Даже без имени и номера телефона. Хвала точным формулировкам закона, который беспокоится о том чтобы ПД граждан и гостей ЕС были защищены как можно сильней.

Сама по себе поездка уже является ПД.

Не поездка вообще, а твоя (конкретного пользователя) поездка. Если модель данных такая, что поездки и заказчики могут быть разделены, то в момент разрыва связи пропадает возможность однозначной идентификации.

в момент разрыва связи пропадает возможность однозначной идентификации

Их (юзеров и поездки) все равно свяжет биллинг явно или косвенно. В законе, если я правильно помню, оставлены определенные послабления для данных финансового учета, так что у убера как раз есть неплохие шансы пропетлять, имхо...

А сервери Google належать компанії Googlе. Сонце світить. Пташки, коли живі, співають. Неживі пташки — не співають. Дітям — морозиво, жінкам — квіти. Міліція з народом.

А хто не скаче — той москаль.

Насчет закона — идея защиты данных хорошая, но авторы далекие от интернета теоретики и за много лет кряхтения над законом похоже ни разу не проконсультировались с теми, кто должен будет его выполнять.

тільки цього разу це прилетіло іт-галузі, тому про це і говоримо

Но ритейлеры похоже еще этого не поняли.

Свежий пример влияния GDPR на демократию. В Польше на местных выборах не будет видео-трансляции с участков, поскольку это нарушает GDPR.

А можно пруфы? Не то чтоб я не верю в такой «результат», но вот как раз в качестве подтверждений ущербности закона.

Если знаете польский:
wiadomosci.wp.pl/...​du-rodo-6256584439568001a
www.tvn24.pl/...​isji-z-lokali,840598.html

Я не против защиты персональных данных, я против защиты «персональных» данных.

Це теж. Але тепер вони отримали в руки ще один інструмент.
І в цьому пипадку вони будуть старанно виконувани закони ЄС.

Не, тут рулит закон о выборах и GDPR делает исключение для таких случаев. Как и например отрытие уголовного дела и ведение следствия где зачастую объем ПД в разы больше чем у какого-нибудь приветбанка.

Благодаря GDPR мы имеем столько смешных шуток в твиттере twitter.com/...​ashtag/GDPRmemes?src=hash

Роскомнадзор пошел гораздо дальше GDPR. Из-за Роскомнадзора интернет заблокировали в России. Из-за GDPR ЕС заблокировали в интернете.

pbs.twimg.com/...​DeG-WYwX4AAe0Mu.jpg:large

любая боль — это всегда возможность заработать. Первое, что приходит в голову:
1. делается юридическая фирма, набирающая максимальную экспертизу по одной конкретной цели — анализ уязвимостей и подача исков по GDPR
2. любой желающий может прислать адрес компании или сайта, который, по его мнению, подпадает под GDPR и нарушает его
3. после анализа каждого сайта юристы выходят на контакт с компанией и предлагают продать результат анализа с возможными решениями за 80% от средней суммы штрафа по аналогичным случаям. Менее рэкетирский вариант — иметь при этом аффилированный бодишоп, который за часть этой суммы еще и зафиксит возникшие проблемы по GDPR.

youtu.be/mEv73UxhovY

Video games makers are blocking access for EU users to older games...

На гребне волны сейчас многие сервисы испытывают бурный маркетологический оргазм и пир, так как нет момента лучше напомнить о себе тем, кто в них не нуждается, чем момент сейчас.

Privacy Policy Changes

А дальше письмо,

Dear John,

<немного строк о себе>

<и еще немного о GDPR>

Но в этом есть плюс — не нужно вспоминать о том, где адрес почты остался — они сами придут и ты потом удаляешься с их сервиса или отписываешься.

такие были оштрафованы еще до 28 мая ico.org.uk/...​it-fines-flybe-and-honda

Так им и надо. Хитрожопым — красной ракетой по губам.

100% до этого маркетологи всех мастей совещались полгода в плохо проветриваемой переговорке, что это повысит процент возврата людей на 2%, а в реальности дружно обгадились.

почта завалена этим ГДПР-спамом. годный инфоповод для бизнесов напомнить о себе

А некоторые еще и по два раза, что «ой, мы в прошлый раз забыли вот это напомнить»;

Надеюсь доживу до момента, когда будет соглашение об информационной гигиене и письма «просто напомнить о себе» приведут к хорошим штрафам. Ибо мусора слишком много и сервисы стали навязчивыми выше всякой меры.

Якщо користувач з ЄС попросить видалити його дані, то треба видалити рядок як з users, так і з haskeys? Чи я неправильно розумію GDPR?

У юристів побільшає клієнтів...

До речі, така модель збереження даних користувача несумісна з функціональністю «Forgot password», чи ні?

Тобто зберігати ще приватний ключ? Це якось не дуже безпечно. Та і виглядає як порушення GDRP, незважаючи на те, що дані користувача зберігаються не як plain text, і якщо перевіряючі отримають доступ до БД і коду...

А как можно реализовать обратимое шифрование без ключа? Требования шифровать данные подразумевают то что злоумышленники в случае увода базы получат зашифрованные данные. Впрочем, где-то читал что ГДПР не требует шифрования, это рекомендация. А требует он security by design (опять таки, что фиг докажешь, это нужно нанимать специалистов и тестировать на уязвимости). Ключ-то тоже нужно безопасно хранить.

Якщо ключ отримується застосування деякої функції до даних, які користувач вводить під час авторизації. Тоді коли зловмисник отримає доступ до БД, зашифровані дані він не зможе прочитати. Але тоді у випадку втрати користувачем паролю його зашифровані дані будуть навіки втрачені, так виглядає.

Якщо ключ зберігати, то з точки зору безпеки це краще, ніж зберігати sensitive дані відкритим текстом, але гірше, ніж зберігати хеш.

Наскільки зрозумів, ідея в тому, щоб зберігати ключ на серверах Google. Але і розробники, і зловмисник все ж мають повний доступ до sensitive інформації користувачів.

Если он что-то купил, то другой закон может требовать хранить его данные 7 лет

GDPR при всех своих недостатках — это лучшее, что случилось с интернетом после смерти Флеша.

«Не нравится — не пользуйся» не канает, слишком многие сервисы интегрированы в общественную жизнь, отказ пользования — путь на самоизоляцию в современном обществе.

Да, нужно теперь будет озаботиться личными данных пользователей чуть больше, а не только монетизацией, это плата за взросление рынка. По поводу утраты рабочих мест — это очень сомнительно, пока виден только обратный эффект, особенно в плохо подготовившихся организациях.

Хотел сказать «самые благие намерения»? Дорога ими выстлана известно куда.

ну лучше всего, конечно, ничего не регулировать. Но отрасль уже слишком дикий запад переросла, ИМХО

Регулировать нужно, но по четким правилам (чтобы всем было понятно что такое пд, а не «идентифайябл бла-бла-бла...»), и не доводить до маразма что нужно для сайта написать куки полиси (некоторые гдпр-ресурсы так советуют).

Я сам занимаюсь веб-разработкой и знаю что такое куки, могу проверить что там сайт наустанавливал, но я только раздраженно щёлкаю акцепт в надоедливом куки-попапе. Если я буду читать полиси каждого сайта куда я зашел посмотреть статью по разработке — я только этим буду по полдня занят. Простые пользователи вообще маловероятно что что-то поймут про какие-то печенья в браузере. Кстати, все говорят про куки и никто не говорил про локальное хранилище. Интересно, если приложение хранит в стораже настройки — тоже нужно полиси писать?

Аналогично раздражают километровые полиси при регистрациях. Ну не имею я времени и желания читать длинные документы, составленные юристами для юристов.

ГДПР на сегодняшний день только увеличил количество надоедливых попапов (которые вообще хоть кто-то читает до конца?) и писем «мы тут обновили полиси за час до пиздеца» (ага, я верю что компании, проснувшиеся только днем 25го, могут защитить мои данные от кражи).

По духу закона (мне кажется) мы должны были получить простые объяснения что делают с нашими ПД. По букве мы получили очередной ворох юридических документов, которые почти никто не имеет времени, желания и квалификации читать.

На storage тоже надо, но этого никто не делает. Потому что юристы и зеленые комсомольцы еще не знает что существует какой-то там storage.

Именно, они придолбались только к кукисам как к краеугольному камню. А что делать с остальными технологиями хранения непонятно. Ведь есть ещё IndexedDB.

попапы раздражают да, но то не суть. важно что компании наконец начали выяснять что и где у них про кого лежит и зачем оно там надо

Я сам занимаюсь веб-разработкой

А дядя вася из соседнего падика нет

щёлкаю акцепт в надоедливом куки-попапе

да нормальный попап, теперь я так понимаю везде такие будут
imgur.com/a/r3LIUvk

Можете напомнить, почему замена технологии, которая в плане функциональности и производительности на пару голов превосходит HTML5, которая предоставляет удобный пайплайн для построения настоящих приложений, а не набора текстов в CSS flow model — это хорошо? Я просто в веб-делах не варюсь, не очень хорошо понимаю; когда я делал приложение на флэше, я радовался, а когда попробовал сделать похожее на HTML, чуть не блеванул.

И почему «смерть», если Файрфокс до сих пор продолжает поддерживать NPAPI ради одного лишь флэша, а в Хроме он вообще внедрён?

производительности на пару голов

всмысле на ней на пару голов проще сделать так чтобы было 100% CPU load?

какая производительность? одна из причин выпиливания флеша Эпплом — высокая загрузка процессора и вследствие, быстрый разряд батареи на мобильных устройствах

Есть какие-то замеры производительности? В большинстве AAA-игр для создания UI используют Scaleform, который суть тот же флэш. Используют и радуются — и качественным тулзам, и производительности. Я в юные годы смотрел флэшевую Масяню на Атлоне 600 МГц, и всё там с производительностью было прекрасно — а если браузеру доверить рендерить всю эту феерию сплайнов и градиентов, он же просто крякнет.

А Джобс выпилил флэш исключительно из-за веры в светлое веб-будущее на айфонах. Которое почему-то так и не наступило.

во первых Scaleform это не flash, хотя бы тем что его пишет Autodesk а не Adobe и runtime там другой да и сам flash это исходники асетов, во вторых от колег работавших над ААА-играми слышал насколько они рады когда Scaleform в работе постоянно создает и уничтожает объекты

Потому что закрытые стандарты — это плохо.

функциональности и производительности на пару голов превосходит HTML5

это видимо для твоего конкретно случая. Многие аспекты, скажем компонентная стилизация / тестируемость, у флеша лажали даже в период его расцвета. По сравнению даже с тогдашними (древними сейчас) HTML/CSS/JS.

сделать похожее на HTML, чуть не блеванул.

 ну если на чистом HTML, то логично. АППы как-бы на языках программирования пишутся, а не разметки. Посмотри на react.js или angular — должно быть ближе к желаемому.

Файрфокс до сих пор продолжает поддерживать NPAPI ради одного лишь флэша, а в Хроме он вообще внедрён?

зомби наверное

Можете напомнить, почему замена технологии,

Потому что для технологии такого уровня значимости нужны как минимум реальная отзывчивость в плане латания дыр, чего в принципе не было.

И почему «смерть», если Файрфокс до сих пор продолжает поддерживать NPAPI ради одного лишь флэша, а в Хроме он вообще внедрён?

Корпоративщина. За её пределами флэша уже практически не найти (0.05% подтверждают значимость правила).

так и не осилили запилить нормальную версию для мобилок и линукса. нулевая поддерджка от вендора. Вердикт: на свалку истории

Не понимаю в чем проблема. Не храните ненужного, и все будет хорошо..

Сегодня утром пришло на почту..

Здравствуйте, Александр!
Вы смотрели товар в интернет-магазине ****.ua, но не решились совершить покупку.
Кстати, осуществить покупку Вы можете в кредит без переплат и процентов.
Ваш лимит на покупки по сервису «Оплата частями» — *** грн
Товар, который Вы смотрели: ***

А я ведь не регистрировался даже в том интернет магазине..

Приват 24 прекрасно раздаёт данные о доступном лимите магазинам участникам программы.

Вот если бы в том же браузере откуда был заход в приват24 и в приватном режиме, тогда было бы странно, да.

Эта инфа у тебя откуда? Просто интересно. Если бы Приват хотел что-то раздать, то неужели бы ему нужно было посредничество клиента?

Вы смотрели товар в интернет-магазине ****.ua, но не решились совершить покупку.

Смотрели товар — не является согласием на рассылку спамного кала.

підіть і доведіть щось у суді, можете навіть новий єс-закон використати

Вот в том-то и дело, что труднодоказуемо, чем всякие коршуны и пользуются.
В любом случае нужен вредный и педантичный адвокат на такие дела.

Но всё равно капля в море — непонятно, какие у нас в стране данные утекают и куда.
Одно время после позора со сливом данных новой почты мне звонили всякие информационные боты и приходили смс в стиле «Кафе <малознакомое название> — у нас можно хорошо поесть.».
В Европе за такие звонки и рассылки очень болезненно е6ут, еще с года так 2003, поэтому только осторожная рассылка по почте только тем, кому крупным шрифтом четко обозначено, что будут приходить письма и подтверждением, что готов получить именно те рассылки.

P. S. Вообще дурное письмо

Здравствуйте, Александр!
Вы смотрели товар в интернет-магазине ****.ua, но не решились совершить покупку.

Александр
— не решился купить на их условиях
— уже давно купил не у них
— купил не этот, но слегка подобный товар где-то с меньшей/большей функциональностью
— забил его покупать и ему не до этого
(но всё интересно — у них никто и не регистрировался)

Так что магазину только и остаётся вдогонку надоедать тем, кому всё равно.

Ваш лимит на покупки по сервису «Оплата частями» — *** грн

Выход за бюджет — одна лишь малая часть из причин.

Не выйдет, если только он не в Европе живет. Нас закон этот не защищает.

И? Просто не понятно почему так пригорает, это всего лишь спам, который даже читать не обязательно.

Может это следствие стресса или чего, но меня тоже раздражают маркетинговые письма. Сам факт уведомления не по делу.

И недавно пришла смс от модной касты, что переименовались.
Устроюсь к ним ios-разработчиком и наделаю кучу багов в приложении.

Ну да, ждем пока на заборе будут вешать — вы смотрели фалоиммитаторы, и не купили, а у вас на карточке ****5470 еще стока-то денег.. Ну а что, спам как спам..

Никто никого не заставляет делать сайт бесплатным и бесплатно показывать людям новости, прогноз погоды и так далее.
Можно просто не пользоваться Интернетом для ведения бизнеса, если не нравятся претензии от пользователей :)

А то что это экономике не помогает — так то ограниченный рабочий день и запрет на использование рабского труда тоже не помогают, просто не всё человечество про экономику.

PS
Бомбануло у автора поста знатно: видимо какой-то большой продукт придётся переписывать :)

Можно просто не гулять по опасным районам города, если не нравится, что могут ограбить..
Можно просто не покупать еду, если не нравится, что она может быть просрочена.

Закон как раз устанавливает, что можно не делать сервис, если не способен обеспечить контроль и защиту данных на установленном уровне.

В этом поинт. Фейсбуки и Гуглы имеют в штате армии юристов и инженеров, так что они просто будут глубоко озабочены. А все мелкие компании и стартапы сдохнут или не запустятся. Если это то, чего добивается ЕС, зачистить IT рынок и оставит ьнесколько крупных игроков, то это у них получится

Дарю бизнес идею: напиши парочку GDPR-совместимых библиотек или framework’ов.

Мелкие игроки с радостью купят за десяток-другой баксов.

Мелкие игроки с радостью купят за десяток-другой баксов.

И куда мне потом девать все эти $360 долларов?

Мелкие игроки с радостью купят за десяток-другой баксов.

т.е. мелких игроков всего 18-36, но вони как будто их миллионы

Я про тех, которые могут себе позволить потратить деньги на этот идиотизм. Остальные будут запускаться за пределами ЕС, блеклистить европейские адерса и надеяться что их не достанут. Ибо если достанут — штраф и смерть бизнеса.

ну если они пожлобятся на 10-20 баксов на сферический фреймворк в вакууме, то что это за бизнес?

Стартап, который пилят два студента, сидя по вечерам в общаге

Что это за стартап такой по сбору персональных данных «который пилят два студента сидя по вечерам в общаге»?

Например, фейсбук времен 2004 года.

Кстати, ЕС теперь будет ставить планку и указывать, кто достоин пилить стартапы а кто нет? Пусть тогда не удивляются, что никаких стартапов не будет

почитай всю ветку. ето не мой рейт, а ТЭО Артема

Вот именно, что их 18-36. Вместо того, чтоб принять законы и программы, которые бы сделали, чтоб их было 180 или 1800, они решили убить тех, которые уже есть.

закон, чтобы всем было хорошо? сформулируйте

Ничего не нужно формулировать, достаточно скопировать у тех стран, которые являюстя лидерами IT индустрии

и в каких странах всем хорошо?

В плане IT: США, Япония, Китай, Сингапур

Достает спам? Пишем закон который регулирует использование переданных пользователем e-mail и номера телефона. Без дурацких никому не нужных консентов, а именно прописываем как должен использоваться контакт и санкции за нарушение регламента. Всё, остальная хрень не нужна.

А все мелкие компании и стартапы сдохнут или не запустятся.

Не вижу причины для таких выводов. Кроме специфических случаев, персональные данные или не нужны или нужны в небольшом объеме. В первом случаи их просто не собираем, во втором, при требовании удалить затираем звездочками телефон и почту, и удаляем фоточку что была на аватарке.

Уровень аргументации — русский кинематограф?

Расскажите какие именно нерешаемые проблемы это вызывает?

Расскажи какие именно нерешаемые проблемы это вызывает?

Первая проблема: в интернетах появилась куча «экспертов», которые сводят GDPR к двум предложениям и раздают на форумах безапелационные советы о том, как его внедрить. Когда на самом деле GDPR это сто статей написанных юридическим языком, имеющими ссылки на другие законы, в которых тоже нужно разбираться. А если накосячил — штраф от 10 миллионов евро.

Может быть, этим экспертам стоит придержать свое авторитетное мнение при себе и не подводить людей под статью?

А если накосячил — штраф от 10 миллионов евро.

Вроде ж максимум 4% от оборота за год.

Вроде ж максимум 4% от оборота.

Именно GDPR икспердам стоит воздержаться от публичного комментирования закона, ибо

www.gdpreu.org/...​ance/fines-and-penalties

Up to €10 million, or 2% of the worldwide annual revenue of the prior financial year, whichever is higher
Up to €20 million, or 4% of the worldwide annual revenue of the prior financial year, whichever is higher

Воу-воу, полехче. Где ты увидел, что я себя экспертом называю?
За ссылку спасибо.

Я не вас имел в виду, а тех, кто здесь доказывает, что полная суть GDPR выражается в двух предложениях и реализуется за день на коленке.

То есть, проблема только в том, что люди на форумах пишут свое мнение на очередную тему?

Может быть, этим экспертам стоит придержать свое авторитетное мнение при себе и не подводить людей под статью?

Если кто-то руководствуется советами с таких вот топиков, то, он сам себе злобный Буратино. А форум внезапно для обмена мнениями, и затыкать других людей как минимум глупо :)

То есть, проблема только в том, что люди на форумах пишут свое мнение на очередную тему?

Проблема в том, что есть темы, в которых свое мнение нужно придержать при себе, если вы не эксперт в этой области (не давать legal или medical advice если вы не шарите ни в том, ни в другом), чтоб не подводить людей, которые могут быть не сильно умнее вас, под статью.

Если кто-то руководствуется советами с таких вот топиков, то, он сам себе злобный Буратино. А форум внезапно для обмена мнениями, и затыкать других людей как минимум глупо :)

GDPR существует только по причине того, что кто-то в парламенте руководствовался советом каких-то топиков.

Проблема в том, что есть темы, в которых свое мнение нужно придержать при себе

Проблема в том, что одни люди считают себя в праве указывать другим, что им писать или не писать на публичных форумах :)

GDPR существует только по причине того, что кто-то в парламенте руководствовался советом каких-то топиков.

А вы таки довольно глубоко изучили вопрос, раз знаете чем, кто там руководствовался.

У меня нет никаких проблем с тем, что люди пишут про то какой добрый GDPR и какие злые корпорации (только пусть не удивляются тому, что будут аргументированны поставлены на место).

У меня есть проблемы с тем, что эти люди пытаются давать на форуме фейковые legal advice по имплементации GDRP, причем абсолютно не разбираясь в теме, подводя людей, читающих это, под статью. С такими я буду бороться и буду им указывать что писать а что не писать.

Надеюсь, суть понятна

А вот в большинстве англоязычных статей про GDPR в начале пишут «This is not legal advice...». А у нас некоторые даже «имхо» и «я думаю» не вставят.

Підозрюю, що це, як і бажання «підказати» іншим, на яких ресурси вони повинні чи не повинні заходити, пояснюється більшою впевненістю наших земляків у власній правоті)

аббревиатура en.wikipedia.org/wiki/IANAL у нас просто малоизвестна, и звучит, как новый продукт Эппла.

Навіть не знав про таку абревіатуру раніше)

я буду бороться и буду им указывать что писать а что не писать.

Ох уж эти выходцы из страны советов.. Желание давать непрошеные советы впиталось с молоком..

новому стартапу не обязательно заходить сразу на весь мир. Для проверки идеи достаточно платежеспособных стран, не входящих в ЕС, тем более, что большинство современных стартапов, в отличие от времен бума доткомов, это мобильное приложение (Google Play позволяет однозначно ограничивать список стран) + оффлайн-сервисы, также завязанные логистикой и платежными системами на конкретные страны. А потом уже можно и DPO нанять, и запуститься в ЕС. Больше всего проблем от GDPR достанется существующим компаниям. А разговоры про недопустимость самоизоляции в современном мире, сравнение с Северной Кореей, которые позволяют себе популяризаторы GDPR (даже у кого-то из авторов видел) — это чистой воды демагогия для создания образа прогрессивности Европы.

О чем я и писал: зачищаем локальный рынок ЕС от мелких игроков, предоставляем комфортные условия без какой-либо конкуренции для гастролеров из США :)

Хочешь пилить стартап: не будь дураком, собирай чемодан и лети в Долину.

бомбануло у всієї європейської айті-галузі, яку не слухають європейські чиновники

За всех, наверное, не стОит говорить? Что сложного в компиляции архива данных и добавление 2ух кнопочкек — «скачать этот архив» и «удалить мой аккаунт»? Ах ну да, еще надо добавить чекбокс на регистрацию «я согласен получать спам». Если у вас от GDPR бомбит, то вы скорее всего нарушаете права клиентов собирая лишнюю информацию и используя ее в коммерческих целях(предварительно описав это в пункте 143 секции «b» агримента), либо спамите почту — в любом случае я как пользователь доволен введением этого закона, а как программист — не затруднен в добавлении нового полезного функционала для клиентов.

а удаление из всех бэкапов и архива логов? Которые не должны лежать на том же сервере и должны быть зашифрованы (data at rest). Если изначально в системе был какой-нибудь эндпоинт для аутентификации, от которого в дальнейшем использовался только токен, и все данные юзера можно было получить только по нему — это еще ничего, можно автоматизированно поднять его клон на каждом из бэкапов и почистить. А если те же имейлы являлись ключом, и разбросаны по базе? Масса легаси систем обросла огромным техдолгом на ровном месте. Далеко не всегда переписывание сопровождается улучшением безопасности — часто наоборот, добавляется дыр.

«Удалить мой аккаунт» удалит его изо всех бэкапов, экспортов и логов?

у них в IE6 был замечательный попап при запуске — «Информация, переданная Вами в интернет, будет доступна другим пользователям». Еще и с выбором, показывать это предупреждение на каждом сайте или нет. Это единственное хорошее, что было в IE6. Жаль, что в другие браузеры не встроили ничего поднобного. Потому что заимплементировать один раз, используя какой-нибудь x-gdpr хедер, и показывать консент-диалог стандартным образом в браузере было бы гораздо проще, чем внедрять эти бюрократические простыни агриментов и чекбоксы на каждом сайте.

плюс далеко не во всех системах удаление пользователя не затронет бизнес-логику — там, где есть подсчеты, зависящие от количества пользователей. В GDPR есть исключение для бухгалтерии, но такая бизнес-логика не ограничивается бухгалтерией. В таких случаях вместо удаления нужна псевдо-анонимизация, что опять же усложняет систему, т.к. нужно обеспечить целостность данных.

Что сложного в компиляции архива данных и добавление 2ух кнопочкек — «скачать этот архив» и «удалить мой аккаунт»?

Простите, но по вашему комментарию не верится что вы Senior SE. Говорите как типичный заказчик без технического бэкграунда «да там кнопку одну добавить, должно хватить 5 минут». Или вы не вникли в ГДПР. Наличие бэкапа например — это нарушение буквы закона, так как если у вас остался бэкап с удаленными данными — значит вы данные не удалили. Воркэраунд хранить идентификаторы и удалять если пришлось восстановить хорош, но букве закона не соответствует. Есть ещё разные вопросы касаемо целостности данных, так как не все проекты могут себе позволить просто удалить данные пользователя. Например если у вас интернет-магазин, вы можете хотеть сохранить заказы и нужно соотсветсвенно модифицировать код так чтобы при удалении пользователя они оставались и ничего не ломалось (а на фронте написано так что показываются данные клиента вместе с заказом и теперь оно поломалось так как никогда такого не было что есть заказ и нет клиента).

Соблюдать ГДПР относительно несложно если начинать сейчас писать что-то с нуля. Но все равно в голове постоянно нужно держать эти все новые правила и учитывать при проектировании каждой фичи.

А ещё нужно сохранять консенты пользователей (очевидно на случай расследования) и пока тоже не совсем понятно как и куда чтобы это были валидные для суда/органов документы.

Если у вас от GDPR бомбит, то вы скорее всего нарушаете права клиентов собирая лишнюю информацию и используя ее в коммерческих целях

Маловероятно что от этого может бомбить у рядового программиста, отвечать по закону не нам всё равно.

Маловероятно что от этого может бомбить у рядового программиста

Мой ответ стоит не под комментом рядового программиста, а СТО, который вполне может быть шерхолдером, который выдает свое личное мнение за голос всего европейского айти(к которому я отношусь).

без технического бэкграунда
Или вы не вникли в ГДПР

В Европе все обязаны пройти тренинг и знать что такое GDPR и как его имплементить и я его прошел в том числе. Но в украинском айти насколько я вижу у каждого второго компании уровня майкрософта и фейсбука, где тысячи людей ломают головы как же удалить данные с бекапа. Если вы не понимаете как это сделать то скорее мне

не верится что вы Senior SE

И как кстати что я не живу в вашей парадигме ценностей

Если вы не понимаете как это сделать

Ой, а расскажите. У вас есть бекап базы, целым файликом. И пользователь, который уже был на момент создания бэкапа, попросил удалить его данные. Что как делать будете? Потому что похоже только вы знаете ответ на этот вопрос, пока что никто из посетителей данного форума ответить не смог.

И как кстати что я не живу в вашей парадигме ценностей

В какой парадигме? В моей парадигме опытный разработчик знает что задачи не делаются с наскока за вечер и что у старых проектов бывают особенности архитектуры и технический долг.

Тут же дело не только в девелоперах.

Как удалить данные из горячего бекапа оракла? Архивлоги в принципе не подлежат модификации. Никак. Абсолютно.

Они ж тыжпрограммисты — им все по плечу.

Что как делать будете?

На вашем месте я бы загуглил «gdpr remove data from database backups» и прочитал 10 первых ссылок, ваш вопрос будет исчерпан.

никто из посетителей данного форума ответить не смог

Но при этом gdpr-compliance уже(дедлайн был 25ого) работает на всех сайтах с европейскими кастомерами включая всякие эплы и фейсбуки где «тысячи людей ломали головы».

с наскока за вечер

Выгрузка данных на среднем проекте действительно делается за несколько дней, полный комплаенс в течении нескольких спринтов, благо о GDPR предупредили не вчера ночью по экстренному звонку.

В какой парадигме?

В той, где даются оценочные суждения незнакомым людям об их уровне знаний в той или иной области.

особенности архитектуры и технический долг

Простите, но использование баззвордов не делает ваше мнение более внушительным.

всі великі сайти поставили тебе перед вибором, або ти кажеш окей згоден і буду і далі вами користуватись, або ти йдеш лісом. ще великі концерни купу всього пилили за гроші. довго, нудно, з адвокатами і не просто

На вашем месте я бы загуглил «gdpr remove data from database backups» и прочитал 10 первых ссылок, ваш вопрос будет исчерпан

такий піонерський підхід не дуже підійдет на великих проектах, де тобі треба буде інвесторам пояснювати, чого тепер треба виділити ще стільки-то бабла на допил працюючого проекту і т.п.

Но при этом gdpr-compliance уже(дедлайн был 25ого) работает на всех сайтах с европейскими кастомерами включая всякие эплы и фейсбуки где «тысячи людей ломали головы».

скажу навіть більше — відкрий файрбаг чи консоль і подивись як багато сайтів виконують цей закон. кукіс-нотіфікейшн на багатьох взагалі нічого не виконує.

але навіть повісити таку штуку на деяких сайтав коштувало програмістом декілька днів, бо... барабанна дробь... дизайн сайту специфічний і поки ти навіть погодиш колір кнопки окей в тому нотіфікейшн і т.п.

В той, где даются оценочные суждения незнакомым людям об их уровне знаний в той или иной области.

хто з нас прилетів з коментами типу «а шо тут такоє», «хуяк-хуяк і в продакшн»?

чого тепер треба виділити ще стільки-то бабла на допил працюючого проекту і т.п.

Серьезно, у меня нет слов. А штрафы вы инвесторам показывали?

хто з нас прилетів з коментами типу «а шо тут такоє», «хуяк-хуяк і в продакшн»?

Да, именно так я и сказал, спасибо, у меня больше нет желания продолжать с вами дискуссию.

Да, именно так я и сказал, спасибо, у меня больше нет желания продолжать с вами дискуссию.

А я вас взагалі не просив коментувати мій пост. Чухайте куди хочте

На вашем месте я бы загуглил «gdpr remove data from database backups» и прочитал 10 первых ссылок, ваш вопрос будет исчерпан.

Так я читал задолго до вашего совета. Там нет других ответов на этот вопрос, кроме как редизайнить систему бэкапов чтобы данные каждого пользователя хранились отдельно или запоминать удаленные идентификаторы чтобы при необходимости восстановления удалить их заново.

Но при этом gdpr-compliance уже(дедлайн был 25ого) работает на всех сайтах с европейскими кастомерами включая всякие эплы и фейсбуки где «тысячи людей ломали головы»

Ну это мы посмотрим после первых официальных проверок/судов. На ФБ вроде какие-то активисты уже подали.

В той, где даются оценочные суждения незнакомым людям об их уровне знаний в той или иной области.

Весь ваш комментарий — оценочное суждение:

За всех, наверное, не стОит говорить? Что сложного в компиляции архива данных и добавление 2ух кнопочкек — «скачать этот архив» и «удалить мой аккаунт»? Ах ну да, еще надо добавить чекбокс на регистрацию «я согласен получать спам». Если у вас от GDPR бомбит, то вы скорее всего нарушаете права клиентов собирая лишнюю информацию и используя ее в коммерческих целях(предварительно описав это в пункте 143 секции «b» агримента), либо спамите почту

Не зная собеседника и над чем он работает вы заявили что ничего сложного в скачивании/удалении данных нет, а потом высказали предположение что он неправильно использует данные клиентов.

Простите, но использование баззвордов не делает ваше мнение более внушительным

Ваше заявление что вы прошли тренинг — тоже.

Тема GDPR как бы обсуждалась и обсуждается не только на доу, и в других местах люди поскромнее и не заявляют что «да там все легко, кнопочку добавить».

Там нет других ответов на этот вопрос, кроме как редизайнить систему бэкапов чтобы данные каждого пользователя хранились отдельно или запоминать удаленные идентификаторы чтобы при необходимости восстановления удалить их заново.

Там нет других ответов? Вы прочитали одну ссылку из 10. Неужели мне нужно гуглить за вас и вставлять сюда цитаты? Не думал что дойду до этого на доу

раз
>take reasonable steps, taking into account available technology and the means available to the controller, including technical measures
It’s not reasonable (see that word) to expect us to go into offline data storage with the existing technical means, again, using their words, to delete data from that offline location.
Instead, we’re going to build a process whereby we use the existing technology to ensure that the offline information doesn’t become available online.

два
>Nothing within Article 17 talks about backups, offsite storage, readable secondaries, log shipping, or any of that stuff. In fact, there’s nothing technical there at all. No help to tell you what to do about this question.

три
>Organizations will have to clearly explain to the data subject (using clear and plain language) that his or her personal data has been removed from production systems, but a backup copy may remain, but will expire after a certain amount of time (indicate the retention time in your communication with the data subject).
But if your organization is using backups for longer than a month or two, not for compliance, ask yourself, „Do I really need to keep backups for months/years or should I start archiving instead?”

четыре
>As removing all data from backup tapes is disproportionate, we will ensure that tapes with personal information are only used for restoration purposes, during which point your personal data will be removed".

Ваше заявление что вы прошли тренинг — тоже.

Мое заявление было ответом на ваше заявление, что я не знаю о чем говорю, но вы видимо не знаете, что все кого это касается обязаны пройти тренинг по gdpr, о чем я вам поведал.

Вы, как и прекрасный бомбящий СТО, который не может объяснить инвесторам зачем это надо(лолшто) и не знающий что такое консент(лолшто2) ищете оправдания чтобы что-то не сделать, вместо решений. А решения есть и достаточно загуглить их, вместо споров с незнакомцами на доу.

Не зная собеседника и над чем он работает вы заявили что ничего сложного в скачивании/удалении данных нет

Потому что я знаю сабжект, и говорю по нему, а не перехожу на личности в отличии от вас. Зачем мне знать его, чтобы знать как заимплементить gbpr?

Я видел все цитаты что вы кинули. Все они основаны на трактовке закона разными людьми. А что судья посчитает reasonable, например? «Мы не будем удалять из бэкапов потому что нам тяжело» — это точно не технический ответ и ближе к поиску оправданий ничего не делать.

раз
>take reasonable steps, taking into account available technology and the means available to the controller, including technical measures
It’s not reasonable (see that word) to expect us to go into offline data storage with the existing technical means, again, using their words, to delete data from that offline location.
Instead, we’re going to build a process whereby we use the existing technology to ensure that the offline information doesn’t become available online.

Через месяц — штраф в 10 миллионов евро, ибо нарушение :) Спасибо за совет

два
>Nothing within Article 17 talks about backups, offsite storage, readable secondaries, log shipping, or any of that stuff. In fact, there’s nothing technical there at all. No help to tell you what to do about this question.

Чувак, респект за честность. Первый иксперд по GDPR признавший свою некомпетентность.

три
>Organizations will have to clearly explain to the data subject (using clear and plain language) that his or her personal data has been removed from production systems, but a backup copy may remain, but will expire after a certain amount of time (indicate the retention time in your communication with the data subject).

noncompliance

But if your organization is using backups for longer than a month or two, not for compliance, ask yourself, „Do I really need to keep backups for months/years or should I start archiving instead?”

Раз бекапы невозможно сделать с соблюдением закона, значит, бекапы не нужны :) А кому они нужны?

Мое заявление было ответом на ваше заявление, что я не знаю о чем говорю, но вы видимо не знаете, что все кого это касается обязаны пройти тренинг по gdpr, о чем я вам поведал.

Чувак, то, что ты прослушал презентацию, за которую ваша контора отвалила кучу бабла, не делает тебя экспертом в области интерпретации закона. Перестань раздавать глупые советы, ибо кто-то прочитает, подумает, что ты знаешь что пишешь, и через месяц попадет на штраф в 10 лямов :)

Чувак, я нигде не говорил что я эксперт, чувак. Чувак, есть такой чувак, который называется DPO(и который обязан быть в каждой комплаент компании), и чувак, он знает лучше тебя как организовать комплаенс, чувак, а я лишь ответил первыми ссылками из гугла, которые говорят про «retention period» и «getting backup restored with erased user data» как 2 варианта.

Чувак, есть такой чувак, который называется DPO(и который обязан быть в каждой комплаент компании), и чувак, он знает лучше тебя как организовать комплаенс

Это единственное, что ты должен был запомнить из своего тренинга, и маладца, ты запомнил! Используй это знание. В следующий раз, когда увидишь вопрос по GDPR, пиши именно это в ответ а не свою отсебятину.

Через месяц — штраф в 10 миллионов евро,

Это единственное, что ты запомнил, почитав википедию, используй это знание в ответ на все посты в этом топике, жаль ты не судья и не DPO, а значит отличная отсебятина. Малаца. Иди дальше на двач или откуда ты вылез, чувак.

Понимаю, что GDPR достала :) Если есть знания, пиши мне, помогу с отъездом и устройством в команду, где не прийдется заниматься GDPR :)

Я по-моему ясно дал понять первым постом свою позицию — я за GDPR и считаю ее полезным и нужным инструментом, потому что я в первую очередь потребитель огромного количества сервисов, а только во-вторую программист одного из них. И меня бесит вводить телефонный номер или другую нерелевантную информацию «просто чтобы было в чьей-то базе», а также автоматом соглашаться на спам-рассылки от каждого продукта, в котором я зарегистрирован. Также я хочу иметь возможность удалить свои данные с сервисов, которыми больше не пользуюсь. Я на свое место жительства не жалуюсь и наоборот пользуюсь бенефитами социалистического общества, где права человека стоят на первом месте и бизнес обязан удовлетворять пожелания кастомеров, а не наоборот.

я за GDPR и считаю ее полезным и нужным инструментом, потому что я в первую очередь потребитель огромного количества сервисов, а только во-вторую программист одного из них.

вже знизу тут писали про безкоштовність більшості сервісів, які тебе тіпа «бісять». дійсно буде дуже корисно, щоб всі ці поборники сайтів без реклами почали платити за кожню хуйню в інтернеті — без реклами і кукісів, так вже без них :)

тут доречі якраз шпігель викатив нову версію платної підписки —

www.spiegel.de/...​30-43eb-87d2-43d3cf0965df

з нерелевантної реклами багато не заробиш, так що будеш тепер за все платити. ну якщо мову знаєш німецьку :)

Все с ног на голову — я дам консент на обработку данных сервисам, которые мне нужны, нигде не писал что я хочу шифроваться и жить анонимом или параноиком, но я хочу чтобы мне рассказали как мои данные будут использоваться и получили мое согласие на это. А про платные сервисы — за качественный контент без рекламы платят все кого я знаю — музыка на амазон прайм, саундклауд и тд, видео на нетфликсе, подписки на игры в стиме и тд.

спамерам загалом пофіг на твій консент — ти у них в базі, тому будеш отримувати свої реклами про страховкі, подовження полових органів, унікальні пропозиції на ринку бензопил і тп

і щоб воно виглядало як справжнє, тобі навіть напишуть, що ти у них брав щось колись і підтверди свою пошту чи відпишись. ти як лох підеш клацать відписуватись :) (тіхо-ржом)

отакого тепер валом приходить і буде йти і далі. проте всякі контори поменше напрягли своїх програмістів та юристів, щоб вони потішили душеньку зеленого депутата та його друзів, щоб «цей тип цукерберг» не крав твої данні.

ага, нажав ти кнопку «я-погоджуюсь» на всіх сервісах в останні тижні і тепер все знаєш, що про тебе зберігли.

але лох платить двічі, тому я тут вже пропонував прогноз погоди тільки за гроші. не хочеш дивитись релевантну рекламу зонтиків на веттер-ком (знизу там срались за це), то будеш платить за все — бо, як ти правильно написав:

я за GDPR и считаю ее полезным и нужным инструментом, потому что я в первую очередь потребитель огромного количества сервисов, а только во-вторую программист одного из них

Уточню: статья 17 «право на забвение» — 20 лямов или 4%.

10 то немного за другие нарушения.

любий друже, я написав цей пост, щоб розказати користувачам ДОУ про авторів цього закону. я і залюбки далі тут коментую.

давай ти про бомбящєго сто будеш розказувати, коли сам почнеш писати статті і т.п.

Вы, как и прекрасный бомбящий СТО, который не может объяснить инвесторам зачем это надо(лолшто) и не знающий что такое консент(лолшто2) ищете оправдания чтобы что-то не сделать, вместо решений. А решения есть и достаточно загуглить их, вместо споров с незнакомцами на доу.

інвестори бувають різні, проекти бувають різні, все іноді буває дещо складніше ніж просто дві кнопки дописати і пройти тренінг.

про консент і спам — я тобі розказав, як працюють і будуть працювати спамери. ти зробив вигляд, що не зрозумів про що була мова і почав робити вигляд, що це я тіпа буду без дозволу розсилати спам і тіпа не читав закон — пафосно з’їхати з теми це теж метод вести дискусію, угу-угу :)

Потому что я знаю сабжект, и говорю по нему, а не перехожу на личности в отличии от вас. Зачем мне знать его, чтобы знать как заимплементить gbpr?

ой, вей...

коли сам почнеш писати статті і т.п.

А-ха-ха

ну ти ж поки пафосні коменти тут строчиш з посиланнями на гугл і тіпа всі лохі, один ти з тренінга :)

тобі тут вже намагаються пояснити, що не все буває так просто, як тобі могли розказати — я тут вже кидав лінк сьогоднішнього срача між саша лобо (журналіст такий, погуглі теж) та яном альбрехтом (той самий) і от там теж виходить, що не все так однозначно і юристи бувають різні.

Потому что похоже только вы знаете ответ на этот вопрос, пока что никто из посетителей данного форума ответить не смог.

Вроде же отвечали. От банального, перезатирать бекап каждую ночь, или сколько там суток дается на выполнение, до хранения персональных данных в отдельных базах/сервисах, и создавать новый бекап по каждому запросу.. Все зависит от сферы деятельности и размеров данных.

От банального, перезатирать бекап каждую ночь, или сколько там суток дается на выполнение

30 дней вроде. Да, дают такой совет — не хранить бэкапы старше пары недель и пользователям так и отвечать что данные удалятся через такой-то срок.

Ещё.

Закон не устанавливает времени в течение которого требуется хранить консент для того чтобы при необходимости доказать что консент был получен. Опять же не установлено никаких сроков действия консента. Отсюда два вывода: консент надо хранить вечно, срок действия консента по дефолту так же вечность и ни кто или мало кто предложит (ведь закон того не требует) делать краткосрочный консент как по идее и должно было быть прописано если бы закон действительно писался для защиты ПД.

Це ви зараз реально серйозно написали? Ви взагалі розумієте, що бувають проекти набагато більші за якийсь сайт з десятком таблиць? Що навіть для ФБ написати «просту» кнопку з експортом всіх даних коштувало багато запросів до багатьох таблиць, це повинен хтось написати. Там же при експорті ціла процедура — ви спочатку його запросили, потім якийсь час вони його роблять, потім вам кажуть, що ось воно готово (так було декілька років тому після того як вони програли судову справу одному хлопцю здається з Відня) і т.п. Окрім того у вас можуть запросити всі дані наприклад з краденого акаунта і витягти все разом. А доречі, от якщо запрос на видалення юзера чи на експорт даних юзера з Угорщини прийшов з тайванського айпішника у 4-02 ранку за будапестським часом... Хм... а що, якщо це не цей користувач? хм..

Спам як слали, так і будуть слати. Вам напишуть, що ви там на щось підписані і будуть слати. Знизу вам зроблять пафосну кнопку «відписатись» — ви ще клікніте і тоді вони точно будуть знати, що мило живе, або ще й вірус схопите. Це все так вже роками працює :)

Дані користувачів мені нафіг не здались, але по закону ви повинні навіть при використанні кнопки Лайк від ФБ на своєму сайті писати про це окреме попередження, а бажано взагалі робити вирішення у два кліки (вже теж писав колись про це) і т.п.

Спам як слали, так і будуть слати. Вам напишуть, що ви там на щось підписані і будуть слати. Знизу вам зроблять пафосну кнопку «відписатись»

Вы сейчас серьезно? Прочитайте про consent, а то может дорого стоить.

у тебе після 25-го перестав слатись спам на імейли? всьо? тиша?

спам-індустрія тільки поржала з цих клоунів і мабуть ціни на всякі фірмові імейли ще більше вирастуть :)

тебе після 25-го перестав слатись спам на імейли

До речі, перестав.

Понятно, что в Украине всяким цитрусам любые гдпр пофуй, а вот британские рекрутинговые спамеры прислали мэйлы «пожалуйста-пожалуйста, подпишитесь на наш спам» и бодро заткнулись в ответ на молчание.

в GDPR дается до 1 месяца на реакцию на удаление, но это должно быть прописано в полиси, рекомендуют ставить 28 дней. В т.ч., должна присутствовать полиси по распознаванию устного запроса на удаление, если вы или сотрудники пересекаются с клиентами лично. Плюс к тому, в полиси должен быть прописан путь идентификации, и он должен быть аргументирован (сном левой пятки автора закона, как и большинство пунктов). Т.е., *возможно*, вы не имеете права требовать скан ID для восстановления доступа к сайту с котиками.

таки и шо? у вас там нету какой нибудь ассоциации типа ИТ Украина шоб подписать какой нибудь меморандум?

The G-D-P-R Song
youtu.be/6i5WuBbfhss
The chords for the song are: G — D7 — Pm — R#
....
and getting my mail box full of emails from people I don’t know (exactly as you said in your song)

ну пошла волна пропаганды против GDPR

Только обсуждение. Мы здесь не имеем влияние на GDPR.

а я и не про здесь. в твиттере резко активизировался хнык-хнык

проти цього закону з самого початку його обговорення виступали айтішники, але їх ніхто не слухав і європейська бюрократія робила свою справу

айтишники слишком размытое понятие

У вас неправильные ИТшники. Правильные на этом соточку в час последний год доили, а последний месяц, видимо, был совсем хорошим.

ну так, єс у нас регуляторний чемпіон світу і місцеві айтішники повинні пілити хоч за соточку в годину всякі нікому не потрібні фунціонали, щоб порадіти новому єс-закону

також можна було б вкласти гроші у розвиток підприємства, а за це гроші наймаються адвокати, консалтери та інші, щоб відповідати новим законам з єс

Тобто, депутат Альбрехт чомусь виходить з того, що світові інтернет-гіганти йому повинні безкоштовно показати відео, знайти щось в інтернеті, зберегти фотографії та інше.

Ніхто нічого нікому не повинен. Більше того — і не став повинен.

Фейсбук так же само продовжує обробляти дані користувачів, щоб втюхати їх рекламодавцям за 5 баксів штука в онлайні. Гугл продовжує трекати GPS усіх андроідних пристроїв, щоб продавати big data про розподіл біомаси в офлайні.

Мова іде просто про те, щоб вони не забували людям доносити, яким саме чином вони заробляють на приватності користувачів. Тому що всі ці речі про порушення приватності, які очевидні завсідникам DOU — це ж не common knowledge, це все ще не очевидно пересічному громадянину ЄС, тому що компанії обережно це приховують. На головній сторінці facebook.com досі висить лозунг «це безкоштовно і так буде завжди». Коли ти платиш не своїм гаманцем, а своєю приватністю, чи стає це безкоштовним? Звісно, ні. Це false advertising.

А false advertising — це погано, як не крути.

тобто закон нічого не змінить... тоді нащо цей закон?

як раніше ніхто не читав договорів з користувачами, так і зараз ніхто не буде читати, що таке кукіс і ко

Чувак, тебе только что уже прямым сказали, что ты неправильно понял закон, а ты продолжаешь его критиковать? Фактически признав, что не читал и не разобрался?

Чувак, а давай ти почитаєш коменти і доводи які тут наводились, а потім будеш ставити свої діагнози одним коментом

А ось і ще накидаю на вентілятор — скоро приймуть ще один закон, цього разу це будуть фільтри для аплоада

www.consilium.europa.eu/...​ncil-agrees-its-position

Это вообще пиzдетц!
«Improved cooperation between rightholders» — это означает исключительно лечь под копирастов и их ручных тролей. Даже Гугл уже наудалял тысячами чужие ролики по ложным обвинениям якобы правообладателей, просто потому что тем захотелось отжать.

Почему так: механизма «cooperation» нет в принципе юридически как такового. Есть насильственное принуждение. То есть копирастам, или тем кто якобы их интересы представляет, дозволено в обход государства решать, к кому применить насильственные меры.

Китайцы где-то даже правы, послав этих копирастов подальше. Ещё более правы — Пиратская партия. Вангую стремительный рост подобных организаций.

але не кажіть про це українським айтішникам, вони зараз судячи з цього обговорення роблять вигляд, що все гарно і дайош ще більше законів, подивимось як вони будуть ставити ці фільтри і платити за все з єс :)

Ніяк. Просто пристрелять проекти пачками на основі того що вони ніби то мають можливість. Судитися в ЄС недешево.

трактування не зрозуміле — що вважати персонал і що вважати дата

а так вони можуть красиво кидатись словами і правами людини і далі

в законі йдеться не про персональний смартфон, який ви можете потримати в руках, в ньому мабуть навіть ваша персональна телефона сім-карта і т.п.

персональні дані... це що конкретно? ваше ім’я та прізвище — це персональні дані чи просто два слова? якщо туди дописати дату народження — це персональні дані? а як перевірити, що ви ввели вірні «персональні» дані? і т.п.

персональні дані... це що конкретно?

en.wikipedia.org/...​_identifiable_information

NIST Special Publication 800-122[5] defines PII as „any information about an individual maintained by an agency, including (1) any information that can be used to distinguish or trace an individual’s identity, such as name, social security number, date and place of birth, mother’s maiden name, or biometric records; and (2) any other information that is linked or linkable to an individual, such as medical, educational, financial, and employment information.” So, for example, a user’s IP address is not classed as PII on its own, but is classified as linked PII.

ні, це європейська канонічна дефініція

ось як це трактує закон:

Article 4

Definitions

For the purposes of this Regulation:

(1)

‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

Да хоть так. В каком месте архитектуры сложно выделить данные, по которым можно идентифицировать пользователя?

що таке ідентифікація? щоб що?

ось ви знайшли в фб користувача John Smith, New York, 01.01.2000 — і що тепер? ви впевненні, що це реальна людина? йому точно 18 років чи він збрехав? Він Мр. Сміт чи він Саманта Сміт? він точно з нью-йорка?

Проверка фэйковых данных ни капельку не входит в GDPR.

тобто ви не можете зрозуміти з запису

John Smith, New York, 01.01.2000

що це реальна особа? то про які персональні дані фейкового аккаунту може йти мова?

GDPR не требует отделять фэйковые аккаунты от других. И не обязывает вас проверять соответствие указанной пользователем информации реальному положению вещей.

Ну это личное дело оператора такой бизнес-модели.

Есть данные, не идентифицирующие прямо, но повышающие такую вероятность. И это... любые данные, даже просто указание пола. Вообще любые данные попадают под это определение, кроме заведомо недостоверных.

Есть данные, не идентифицирующие прямо, но повышающие такую вероятность. И это... любые данные, даже просто указание пола.

Да, и что? Пол — неотъемлимая часть идентификации человека — см. паспорт.

Ладно, возраст? Я спрашиваю, есть ли вам 18 — и это персональные данные? По определению, да. А ещё на сайте продажи ботинок я могу сохранить что вам нравятся ботинки (мужские) — мне про это соглашение подписывать надо?

Під яке можна притягнути за вуха буквально все.

Не «ідентифаїть», а може сприяти. А це в буквальному розумінні будь що, починаючи із мови спілкування.

GDPR также обязывает удалять данные по требованию пользователя (right to be forgotten)

Если я зайду на сайт и вобью имя и фамилию «John Smith» а потом скажу — это мои персональные данные, удалите все, что у вас есть на John Smith! Вы должны будете удалить данные всех юзеров, имя которых John Smith (их может быть немало), ибо если вы не удалите, то я смогу пожаловаться и сказать, что вы не удалили John Smith из базы?

Нужен хороший юрист и специалист по информационной безопасности по совместителсьтву, котоырй может вычитать закон и найти способы за ddos-ить ЕС, заставляя их следовать букве закона GDPR.

Здесь уже нужна политическая партия, не меньше. Закон писан под беспредел, под право наехать на всех и на каждого.

В чём соль этого закона: хотят иметь возможность создать проблемы организациям, которые сидят в оффшорах, и по мнению чинуш платят мало налогов. Но как это всегда бывает, сильных не тронут, потому что это сложно, зато сожрут малый бизнез за то, что он малый. А там и средним не подавятся. Разумеется оффшоры только выиграют.

Вы должны будете удалить данные всех юзеров, имя которых John Smith (их может быть немало), ибо если вы не удалите, то я смогу пожаловаться и сказать, что вы не удалили John Smith из базы?

Нет, вы обязаны обеспечить обработку персональных данных конкретного ИДЕНТИФИЦИРУЕМОГО пользователя вашего сайта, а не всех, кто подпадает под маску по имени, фамилии или полy.

Насчет недовольства Великобритании — пусть сначала отменят закон из-за которого там все ездят по левой стороне дороги и приходится автомобили «локализировать» под их рынок.

Чехія теж колись їздила як Великобританія — все змінилось тільки після окупації німцями. Просто в нашій країні прижився такий стандарт, у них — інший. Наш же ніхто не кличе до Великобританії зі своїми стандартами. Ще у них гадів ширина колії не як у нас... тобто у практично всіх вона не як у нас...

Наш же ніхто не кличе до Великобританії зі своїми стандартами

В Германию тоже никто не зовет, зачем поехали?

так ніхто і не бідкається :)

а ось ви чогось думаєте, що цей європейський закон і вас не стосується, бо ви в Україні — в тому то й справа, що якщо ваша компанія працює з європейцями чи навіть гіпотетично може працювати з європейцями, то ви підпадаєте під цей закон

Я не в Украине, но уже коснулся :(

А так же Япония , и хороший кусок Азии с Австралией в придачу :)
ну-ну %)

Пох на GDPR. Можно вместо этого вместе закон, который предусматривает принудительную эвтаназию за хранение паролей кастомеров в открытом виде, или в хеше но, без random salt?

Проблема ось у чому: закон працює виключно для законослухняних громадян та легальних компаній. Ті, хто має злочині наміри — закони виконувати не збиралися, а від так мають конкурентну перевагу. Менше легальних механізмів означає значно меншу увагу на дослідження та виправлення небезпечних багів, що надасть перевагу хакерам.

Аналогія зі зброєю: заборона діє на законослухняних громадян, від так злочинці мають перевагу, і тому кількість тяжких злочинів росте в рази. Крім того, законослухняні громадяни стають по один бік зі злочинним світом, щоб бути захищеними.

Щоб закон працював, потрібно на стороні клієнта мати налаштування, які будуть дефолтними, з можливістю внести виключення для окремих ресурсів — знов таки, інструментами самого клієнта, сервер не має пропонувати самих механізмів. Для програм-клієнтів, які подібних налаштувань не мають, потрібно передбачити загальний сервер, який зберігатиме ці налаштування для анонімного ідентифікатора клієнта. Плюс законодавчо встановити термін зберігання таких даних.

В інший спосіб закон працювати не може. Покарати можна майже всіх, бо довести що дані не персональні маже неможливо, це презумпція вини.

Проблема ось у чому: закон працює виключно для законослухняних громадян та легальних компаній. Ті, хто має злочині наміри — закони виконувати не збиралися, а від так мають конкурентну перевагу.

ЕС не одну такую компанию (не уважающую его законы) уже штрафовал.

а от мені як йшов спам від страхувальників з панами, так і йде і їм якось пофіг

Не скажи. Под штрафы попадают те компании, которые пытались закон выполнить, но не смогли из-за сложности последнего. Намеренной сложности. Потому что закон писался не ради защиты, а ради НЕзащищённости интернет-компаний перед государством. Чтобы любого можно было вжучить, просто предположив что например мало платит налогов (с точки зрения того, кому платит).

Украина через это уже прошла, через терни в жопу. Это просто ещё один вид копирастии, просто выдумали себе «бизнес». Доить разумеется будут не тех кто помощнее, те способны за себя постоять. А вот небольшие компании просто отожмут — в пользу больших разумеется, по их наводкам и жалобам.

Не скажи. Под штрафы попадают те компании, которые пытались закон выполнить, но не смогли из-за сложности последнего. Намеренной сложности.

Что в этом технически сложного?
Выделение Personally identifiable information в отдельные сущности?
Способность её забыть/затереть без ущерба для целостности или сообщить, через какое время она может быть забыта в соответствии с другим, не GDPRным законодательством страны?
Способность её сериализовать в читаемой форме и отослать пользователю?
Пройтись по архитектуре и записать, для чего именно используется эта информация?
Уведомить пользователя об этом?

всі ці нововведення треба спочатку запрограмувати — ну ось не було у вас в системі можливості видаляти щось, а тепер її треба написати. з бекапів будете теж видаляти?

якщо завтра користувач скаже, що це йому зломали імейл, з якого просили видалити інформацію про нього, і він хоче її назад повернути

а ви висилати як будете інформацію? поштою за безкоштовно? з паролем на мило — персональну інформацію? а ви впевненні, що той, хто її у вас спитав і є її власник і та сама персона?

всі ці нововведення треба спочатку запрограмувати — ну ось не було у вас в системі можливості видаляти щось, а тепер її треба написати. з бекапів будете теж видаляти?

Конечно будем. У вас ведь с позавчера ведётся списочек тех идентификаторов пользователя, кто хочет удалить свою информацию?

якщо завтра користувач скаже, що це йому зломали імейл, з якого просили видалити інформацію про нього, і він хоче її назад повернути

Его проблемы. Вы обязаны указать, как производится коммуникация. Если это Имэйл, и он не в зоне вышей ответстветственности, какие к вам могут быть претензии?

а ви висилати як будете інформацію? поштою за безкоштовно? з паролем на мило — персональну інформацію? а ви впевненні, що той, хто її у вас спитав і є її власник і та сама персона?

С паролем и на мыло, если клиент по состоянию на позавчера был согласен с такой policy.

ну імейл йому зламали і ви його видалили — тепер поверніть йому всі його фотки, дані і т.п.

ну, у даному випадку закон якраз каже про right to be forgotten, але зовсім нічого не каже про right to be restored :)
так що «умерла, так умерла»

ДОКАЗАТЬ что вы всё это сделали. Да и вообще иметь бремя доказывания.

ДОКАЗАТЬ что вы всё это сделали. Да и вообще иметь бремя доказывания.

Тут где-то ошибочка. Этого доказывать не надо.

Презумпция невиновности говорит о том, что ваши оппоненты должны доказать, что есть такой воркфлоу, при котором какое-то из требований GDPR не выполняется.

Расскажешь это когда штраф прилетит

ви не зрозуміли суть закону — там якраз вводиться так званий Beweislastumkehr. Це не вам повинні будуть щось доводити, а це ви будете доводити, що зробили все можливе для виконання закону.

Вне контекса технической сложности:

Есть 100 задач в беклоге, на которые нет времени. К ним добавилась еще куча задач связанных с GDPR (некоторые — раз сделал и забыл, но есть и те, которые добавляю постоянные операционные расходы). Мне нужно будет нанять еще одного программиста. Кто за это заплатит? GDPR предоставляет бюджет для этого? Нет. Почему же я из своего кармана должен спонсировать этот идиотизм?

у вас было 6 лет на подготовку

Почему же я из своего кармана должен спонсировать этот идиотизм?

отсутствие рабского труда тоже идиотизм. с вашей точки зрания. мол, «почему я должен поддерживать этот идиотизм и платить им зарплату?»

вот здесь полностью согласен

Почему же я из своего кармана должен спонсировать этот идиотизм?

Так Вы не должны! Можете закрыть сайт и не спонсировать. Вы должны придерживаться законов, как и все остальные. Но никто Вас не заставляет что-то там спонсировать. Не выгодно, не нравится, не хочется? Так не делайте.

Есть законы запрещающие использование определенной химии в производстве еды, есть законы, которые обязывают менять некачественные товары или возвращать за них деньги.. И владельцы бизнеса как и Вы говорите — «Зачем я должен спонсировать этот идиотизм»..
Это не идиотизм, идиотизм не понимать, что закон войдет прочно в интернет, и что это только цветочки, ягодки будут позже..

Ваша аргументация — вы должны платить потому что закон такой? Аргументация не очень. Если завтра примут закон, по которому вы должны платить в бюджет ЕС 50% с вашей зарплаты за то, что вы работаете (или можете работать) с европейцами — вы тоже скажете, что закон такой, и те кто его не понимают — идиоты?

Про сам закон с тобой спорить бессмысленно

Абсолютно. Мое мнение, рынок сам порешает, не первый и не последний раз. Кто-то развалится, кто-то появится.

Почему же я из своего кармана должен спонсировать этот идиотизм?

Если бы это было только про GDPR, идиотские законы принимаются пачками на всех уровнях и их приходится спонсировать

А как можно отличить идиотский закон от неидиотского? Ведь любой закон сокращает степень свободы?

спитати спеціалістів-технарів, а не тільки юристів-винахідників-нових-прав-людини

И что, были специалисты, которые вышли и доказали Европарламенту, что требования GDPR выполнить невозможно?

Были (в т.ч. проспонсированные гигантами IT индустрии), но кто их послушал?

для ЕС презумпция вины в вопросах explicit consent не является чем-то новым. legalworld.com.ua/...​-получении-согласия-на-с

Що хотів сказати автор? Можна summary на 1 абзац?

У людини є право не користуватись Інтернетом.
Навіть якщо закон корявий, то все одно потрібний, бо підіймає проблему

омг...

А то закінчиться як в Китає оруеловщиною з «соціальним рейтингом».

Як цей закон завадить черговому HR погуглити про вас, подивитись, що ви писали, які фотки ви (саме ви!) виклали в себе в соціальній мережі і т.п.

Закон написаний та розроблений теоретиками від права (Альбрехт не працював роками адвокатом, а був членом зеленого комсомолу), борцями за права людини без впливу на цю боротьбу людини як такої і т.п.

Американські ЗМІ гарно потролили своїх європейських колег і позакривали свої сторінки для ЄС:

www.ituade.com.ua/...​tsya-dlya-evropeyziv-id33

Ты против регулирования использования персональных данных в принципе? Или претензии к конкретным положениям GDPR?

я проти широкого визначення персональних даних та розмитих формулювать цього закону, що дозволяє його трактувати, як хочуть

cookies который указывает какую рекламу мне показывать персональные данные или нет?

звичайно ні :)

якщо вам не подобається, що за вами «слідкують» в інтернеті, то відключіть підтримку кукіс, не реєструйтесь в гуглі і не користуйтесь безкоштовно його послугами.

звичайно ні :)

яснапонятна

то відключіть підтримку кукіс

спасибо уже давно отключил
проблема не в том что мне нравится или не нравится, проблема в том что большинство пользователей даже не в курсе схемы как на них зарабатывает гугл

ой тільки давайте не включати оцей режим інтернет-дурочки — люди користуються безкоштовно новинами, прогнозами погоди, фільмами, музикою, пошуком в інтернеті, а потім раптом починають показово робити вигляд, що вони обурені, що їм показують рекламу чи навіть... обоже, таргетовану рекламу :)

вихід простий — 9,99 за користання гуглом на місяць, фб — всього за 4,99, ютуб — 2,99, пакет сайтів новин — 24,99 і т.п. безкоштовним буде поки тільки ДОУ. доречі, ви прочитали цю статтю за безкоштовно, а могли б вже заплатити 0,99

що вони обурені, що їм показують рекламу чи навіть... обоже, таргетовану рекламу :)

в FIDO такого не было

фб — всього за 4,99, ютуб — 2,99

было бы неплохо

ви прочитали цю статтю

это не статья, это поток боли вызванной ущемлением каких то ваших личных интересов, настолько ущемили что даже перешли на личности авторов

так ніхто ж не випихував вас з фідо :) поверніться туди

это не статья, это поток боли вызванной ущемлением каких то ваших личных интересов, настолько ущемили что даже перешли на личности авторов

тобто? я платник європейських податків. ці хлопці на мої гроші зробили чергового бюрократичного монстра, ще й зняли про це фільм.

мені радіти?

німецькі знайомі колеги з початку року лазили на семінари по DSVGO, кодили всякі нові кнопки та формально дописували якісь комплайнс і т.п.

цей закон коштував нашій німецькій айті-галузі сотні мільйонів євро, може і мільярдів. користі від нього — як зайцю стоп-сігнал, бо великі концерни з юристами просто дописали собі ще декілька параграфів у АГБ, а головняк додався маленьким фірмам.

зробили нову галузь — радників з правових питань, купа всяких фірм, що остаточно вирішать вашу гдпр-проблему і т.п.

автори закону — публічні люди, місцями навіть народні обранці. можуть скористатись своїм законом і видалити інформацію про себе з інета.

я платник європейських податків

выбрали — наслаждайтесь, ну чо, зато говорят у вас дороги ровные

і пенсії вищі, і дороги краще, і радіти черговому лоукостеру сенсу немає, бо вони і так всі тут :)

было бы не плохо если эти сервисы были бы только по подписке

сугубо личные интересы, другая аудитория соответственно другой контент

не плохо

неплохо

эти сервисы были бы только по подписке

Seattle Times — прочитал три статьи бесплатно, дальше всего лишь $15.99 в месяц

вихід простий — 9,99 за користання гуглом на місяць, фб — всього за 4,99, ютуб — 2,99, пакет сайтів новин — 24,99 і т.п.

Так пожалуйста.
А мы подумаем, пользоваться или не надо.
Вот и посмотрим, чьи яйцы крепче.

і доу на шару читати, де чомусь безкоштовно з’являються тексти... з якого?

стоп... ми ж з вами не підписали договір, що ви можете коментити мої коменти. і обробляти в голові зміст моїх коментів, створюючи про мене персональний профіль. це не діло. я щас піду писати своє агб, датеншутцферайнбарунг і оце все.

Как мало слогов надо, чтоб запугать укроамериканца.

претензії до GDPR співпадають з претензіями британців — цей закон не потрібен, якщо він шкодить нашій економіці.

депутат від партії зелених міг би спитати себе, чому найбільші айті-концерни створюються не в єс, а в сша. так от саме через таких зелених регуляторів та борців за створення нових прав людини на рівному місці.

IT-превосходство Штатов — совсем не от регулирования использования данных. Оно уже лет 30 на моей памяти, и ещё 40 — до этого.
Вот у Украины нет почти никакого регулирования, а подушное производство в ИТ раза в два меньше, чем в Западной Европе и минимум в три, чем в Штатах.

А как закон вредит экономике? Какие бизнес-модели закрывает?

був такий проект в німеччині — studivz — соцільна мережа для студентів, але німецька. затягали по судах і він не взлетів. персональні дані врятовані!

як цей закон допоможе європейській айті-галузі наздогнати американців? ніяк.

вангую, що реклама на європейському ринку стане дорожче, бо трекати юзера стане формально важче, тому сплатить за все європейський рекламодавець, а той в свою чергу перекладе все це на покупців і тп

я думаю что интернет был бы лучше если бы facebook в свое время тоже по судам потаскали.

бо трекати юзера стане формально важче

а не трекать нельзя? показывать рекламу только на основании контента страницы на которой размещена

фб тягали по судам, але по американським — в німеччину вони зайшли особливо не зважаючи на німецькі суди і вибороли собі місце під сонцем

можна не трекать, тоді більшість реклами буде не релевантна для вас. яку рекламу вам показувати на політичних новинах? а на сайті погоди? зонтіками торгувать? і багато на цьому заробить такий сайт... і тп

фб тягали по судам, але по американським

так и еще тягаю, может и штаф не маленький впаяют.

тоді більшість реклами буде не релевантна для вас

просто офигенная релевантность рекламы от Texas Instruments после единоразового просмотра даташита у них на сайте, или реклама товара в розетке который я уже купил.

так ви збираєтесь платити за відвідування сайтів без реклами? але тоді вже всіх сайтів, бо вам безкоштовно ніхто не зобовязаний навіть рекламу погоди показувати

то шо, зонтік брать будемо після кожного відвідування сайту погоди чи таки 2,99 на місяць?

есть контент за который я готов платить
лучше куплю DRM free альбом любимой группы чем буду слушать бесплатно в Deezer

це все в теорії так кажуть, що готові за щось там платити.

на практиці читають доу на шару і не чешуться

ок, предлагаю ввести на доу подписку

як цей закон допоможе європейській айті-галузі наздогнати американців?

Думаю, у європейської айті-галузі нема шансів у найближчому майбутньому наздогнати американців як мінімум через факти типу цього. Щоправда, не IT єдиним...

Какие бизнес-модели закрывает?

Бизнес модель любого стартапа, который работает с кастомерами. Ибо на начально стадии денег на юристов нет, как только запустятся что-то в паблик — через недлею прилетит штраф на 10 миллионов евро за нарушение GDPR и можно закрываться.

Ты меня напугал.
Стартап должен честно сообщить, какие именно данные пользователя он собирает и хранит, в каком контексте будет их использовать, а также обеспечить возможность их удаления или пересылки пользователю по его желанию.
Вроде всё.
Это что-то неподъёмное для стартапа?

С удовольствием послушаю о нерешаемых ( с точки зрения американских мегабизнесаналитиков) проблемах и правильной трактовке.

Вы юрист и имеете экспертизу для трактовки GDPR? То, что вы написали двумя сообщениями выше — это legal advice?

Чтоб получить правильную трактовку, мне нужно будет отвелить N килоевро и нанять юриста, который мне эту трактовку сделает.

В Германии была куча митапов на этот счёт. Если американским компаниям интересны рынки ЕС, могди бы поучаствовать.

Точнее, некоторые поучаствовали. Например, МС весьма грамотно к этому подошла и даже обговаривала многие моменты.

К чему вы приплели компании уровня MS в треде про стартапы, котоыре сдохнут так и не родившись из-за GDPR? ФБ и Гугл имеют в штате юристов, которые будут разбираться в тонкостях, и им это существенных проблем не доставит.

PS По моим данным, учавствовали, но не на митингах, а другим образом, ибо эти митинги мертвому припарка, как вы сами убедились :)

Сдохнут из-за этого скромного требованиям мизерного, почти незаметного евросоюзного рынка?

учавствовали

участвовали

У меня есть 100 задач когда я пилю стартап, пилить хрень, которую вы предлагаете — это будет 101-я задача, на которую у меня так же не будет времени. Мне за счет европейских налогоплательщиков отвалят бабла чтоб я нанял еще одного программиста за 70К евро, который будет заниматься этой ерундой? Или вы хотите быть хорошим чисто за мой счет?

Нет, конечно. Вам и на уплату налогов никто бабла не отвалит.
Я хочу, чтобы разработчики использовали данные, позволяющие меня идентифицировать, прозрачно и с моего согласия. За их счёт.

Кто сказал «на шару»?
Хотите денег — предлагайте модели, в которых вам понесут за это денежку. Пользователи подумают, оно им надо или не очень.

Підписатись на коментарі