GDPR, для тех кто в танке. Пара вопросов знатокам
У меня есть пара вопросов к тем, кто подгонял приложения под эти требования. Я оч прошу, не писать в комментах что gdpr это маразм и перекладывание ответственности, просто блочь граждан ес, грабли суда тебя не достанут, etc. Цель довольно таки простая — прикрыть своё и чужое мягкое место от проблем, при этом если есть возможность — не отображать плашку с «вы согласны принимать куки и юзать localStorage?».
1. Считается ли auth token личными данными пользователя? Формально это не личные данные, но т.к. по токену можно идентифицировать пользователя, то он подпадает под «личные» из ec.europa.eu/...orm/what-personal-data_en «Different pieces of information, which collected together can lead to the identification of a particular person, also constitute personal data»
2. Если использовать анонимизацию в гугле аналитике, developers.google.com/...js/ip-anonymization?hl=ru то можно ли не просить посетителя использовать куки? Если кто-то использовал уже анонимизацию, ухудшилась ли выдача отчетов в аналитике?
3. В русскоязычном сегменте ходит интересное трактование Right to restriction of processing, согласно которому «Если пользователь включил этот режим, то персональная информация не должна быть больше доступна ни в публичном доступе, ни другим пользователям и даже администраторам системы. Как позиционирует GDPR, для пользователя это альтернатива полного удаления из системы.», что выполнимо для админа быть не может. По www.itgovernance.eu/...ht-to-restrict-processing отписано «Upon request, an organisation must stop using an individual’s personal data, although it can continue storing it.», что более правильно, на мой взгляд, трактует «Right to restriction of processing»
4. Как вы поступаете со сторонними скриптами, которые заталкивают в приложения ваши пользователи? Напр., гугле аналитика, jivosite и т.п. По идее, посетителей нужно предупреждать о этих сторонних куках по cookie law и расписывать их, но предусмотреть каждый чих админа то тоже нельзя%)
5. Есть ли какие-то подводные камни, когда компания ЗАО «рога и копыта» выступает SaaS вендором для покупателей? ЗАО «рога и копыта» собирает и хранит данные, но не использует их. Их использует покупатель. Получается, если посетитель хочет получить/удалить/анонимизировать свои данные, то «рога и копыта» предоставляет механизмы и уведомляет покупателя, но сами «рога и копыта» ничего не удаляют/отправляют/анонимизируют, так? Также вендор должен во всех privacy & co расписать и свою роль?
а вообще, меня поражает, что на www.thetimes.co.uk www.welt.de и www.bundesregierung.de либо никаких плашек нет либо они информационного (а не вопросительного) характера%)
так что либо на этот gdpr организованно забили, либо я что-то не понимаю, и есть куча лазеек как не кошмарить пользователя всплывающими плашками.
45 коментарів
Додати коментар Підписатись на коментаріВідписатись від коментарів