Что вам стоит знать о GDPR

Чем чаще упоминают Общий регламент по защите данных (англ. General Data Protection Regulation, GDPR), тем больше появляется трактовок и многочисленных версий законодательства, и тем сложнее становится разобраться и эффективно применить эту информацию на практике.

На самом деле именно на принятие необходимости, изучение и понимание этого вопроса уходит половина отведенного на эту активность времени. Railsware, успешно преодолев этот этап, находится на финальной стадии внедрения принципов GDPR. Хотим поделиться опытом еще и потому, что у нас была возможность пройти этот процесс от А до Я не только как консалтанси, но и как продуктовая компания — внедрив GDPR на Mailtrap, а также Smart Checklist плагине для Jira.

В этой статье я расскажу о своем понимании GDPR, а также попробую спрогнозировать дальнейшее развитие темы защиты персональных данных и ее влияние на IT-рынок в целом.

Стоит ли бояться GDPR

Кажется, что главный вопрос, который мучает представителей постсоветских стран — «бояться или не бояться» данного положения. На самом же деле «страшным» является только то, что многие обсуждают эту тему именно в таком ключе.

Вам нечего бояться, если вы:

  • Не покупаете списки email адресов и не делаете холодных рассылок.
  • Открыто говорите о типах персональной информации, которую собираете, то есть предупреждаете посетителей сайта с помощью всплывающих окон о политике конфиденциальности (Privacy Policy), положении, описывающем все cookie-файлы (Use of Cookies, Navigational Information Statement). В этих документах человек сможет прочесть, какие именно персональные данные вы собираете, с какой целью, на какой срок, а также узнать о своих правах.
  • Не запрашиваете у пользователей ненужные для работы продукта или предоставления услуг данные.
  • Обеспечиваете должный уровень сохранности данных, то есть:
    • стараетесь использовать шифрование чувствительных данных;
    • внимательно следите за тем, чтобы чувствительные данные не попадали в логи в чистом виде;
    • по возможности, ограничиваете доступ к продакшен-базе.
  • Предоставляете клиентам возможность «отписаться» от рассылок.

Еще одно заблуждение связано с тем, что главной целью GDPR является наложение административных штрафов на бизнес. При этом мало кто обращает внимание на то, что озвучив такие меры, GDPR вызвал переполох и заставил мировых лидеров (Google Inc., Hubspot Inc., Apple Inc., Amazon.com Inc., Atlassian Inc.) пересмотреть свои подходы к защите не только персональных данных, но и к обеспечению целостности и надежности хранения информации в целом.

Почему GDPR-ом интересуются не только в ЕС

Итак, давайте разберемся, кто же должен внедрять GDPR. Ознакомившись с текстом регламента, я пришла к выводу, что это должны быть компании, которые:

  • имеют постоянного представительства в ЕС;
  • не имеют постоянного представительства, но обрабатывают персональные данные людей (субъектов персональных данных), которые находятся в одной из стран ЕС и могут иметь гражданство другого государства;
  • сотрудничают с организациями, которые уже имплементировали GDPR и для сохранения своего статуса обязаны выбирать подрядчика по тому же принципу.

Очевидно, что такие условия помогут GDPR-у быстро и с легкостью распространиться далеко за пределы одного экономико-политического объединения. И, таким образом, вывести права человека на защиту персональных данных на новый уровень во всем мире.

С чего начать

Первое, что я советовала бы сделать, — все-таки прочитать положение и выделить главные моменты для своей организации. Во время изучения GDPR, мы обратили особое внимание на несколько пунктов:

  1. GDPR представил расширенную трактовку персональных данных, которая теперь включает в себя информацию, относящуюся не только к идентифицированному (identified) физическому лицу, но и к тому, которое можно идентифицировать по косвенным признакам (identifiable). Таким образом, концепция персональных данных дополнилась такой информацией, как Client ID и User ID (online identifier), месторасположением и другими факторами, которые имеют отношение к физическому, физиологическому, генетическому, экономическому, культурному и другим отождествлениям человека (личности). В общем этот пункт не вызвал особых проблем, а, скорее, внес ясность, которую мы постарались отразить в официальных документах компании (Privacy Policy, Navigational Information Statement).
  2. GDPR установил четкие требования к персональным данным. Они должны быть корректными, актуальными и собираться лишь в том количестве, которое необходимо для работы продукта, предоставления услуги, либо достижения любой другой цели, для которой они запрашивались. Также положение рекомендует сократить сроки хранения этой информации до минимума. Для этого стоит установить четкий временной промежуток, по истечении которого все данные будут пересматриваться (groomed) или удаляться. Этот вопрос вызвал немало споров внутри нашей компании, поскольку такой подход противоречил бытующему мнению, что любые данные — одинаково полезны. В результате мы пересмотрели объемы и сроки хранения персональной информации (а также сроки хранения логов, бекапов и информации в аналитических системах, Google Analytics) и отобразили эти изменения в политике хранения данных (Data Retention Policy).
  3. В регламенте есть интересная статья (№ 13, стр. 8), которая, если перевести дословно, говорит, что «регламент включает послабления относительно ведения учета для организаций с менее чем 250 сотрудниками». При этом каждое государство-член ЕС должно принимать необходимые меры по применению регламента на местах. В Польше, например, пытались использовать эту статью и освободить малый бизнес от необходимости соответствовать принципам GDPR, что прилежно обозначили в драфте польского Закона «О защите информации» (Data Protection Act, «DPA»). Но после многочисленных дебатов раздел убрали, а закон отправили на согласование.

Несмотря на существование этого пункта, я бы не советовала игнорировать тему GDPR только потому, что в вашей компании, скажем, 50 сотрудников. Напротив, лучше привлечь юристов, которые, изучив ваш конкретный случай, смогут дать дельный совет.

Как GDPR повлияет на разработку

Авторы положения говорят о том, что стремительное развитие технологий привело к небывалым масштабам роста сбора персональной информации во всем мире. Почти каждый продукт или сервис в любой точке земного шара может беспрепятственно и на свое усмотрение собирать и использовать данные физических лиц. Поэтому GDPR напоминает о необходимости использования на практике уже известных нам концепций «privacy by design» и «privacy by default».

Концепция «privacy by design» применима к каждой, связанной со сбором и обработкой персональных данных, активности внутри компании. Данный подход встречается и в дальнейшем повлияет на процессы планирования и разработки продукта, а также становления таких направлений, как маркетинг, продажи, рекрутинг и т. д.

«Privacy by design» призывает минимизировать сбор персональной информации, необходимой для работы любого продукта, сервиса или проекта внутри компании. Для этого перед началом какого-либо процесса GDPR рекомендует оценить риски, которым будет подвержен человек (субъект персональных данных) в результате сбора и обработки вашим ресурсом (отделом, сотрудниками) его персональной информации (Data Privacy Impact Assessment). В дальнейшем проведение таких аудитов можно интегрировать в процесс управления проектами и при необходимости повторять на каждом следующем этапе развития проекта.

Подтверждением тому, что вы в своей практике следуете этому принципу может быть внутренний документ или процедура, сертификат, инструкция или письменный приказ от имени владельца (руководителя) компании, либо лица, ответственного за организацию обработки персональных данных.

«Privacy by default», в свою очередь, призывает владельцев продуктов и услуг собирать и обрабатывать лишь необходимую для работы сервиса или приложения информацию. А также хранить ее до момента, пока человек продолжает пользоваться этим продуктом или услугой.

В данном случае GDPR, скорее всего, подталкивает нас к «осознанному стремлению» следовать данным принципам на практике, которое, в будущем, приведет к полному переходу и 100%-му выполнению требований регламента.

Что кардинально изменится в работе с персональными данными

Самое большое изменение, которое произойдет в вашей организации после имплементации GDPR, будет не появление новых правил и политик, а пересмотр отношения к персональным данным и их защите.

А именно:

  • Компании почувствуют возросшую ответственность за сбор, обработку и хранение данных.
  • Большое количество данных — уже не будет равняться «хорошему результату», а будет, скорее всего, подразумевать незнание и неумение эффективно использовать их в своей работе.
  • Разработка продукта или сервиса будет начинаться с продумывания и оценки влияния и рисков для данных уже до, а не после релиза.
  • Каждый сотрудник, который имеет доступ к персональной информации будет осведомлен о правилах и поэтому будет уже осознанно заботиться о сохранности персональных данных, тем самым соблюдая базовые правила по их защите.

Выводы

GDPR — обширная тема, которую нужно детально изучать. К тому же применение этого регламента, в отличие от любого другого закона, требует внимания не только со стороны менеджмента компании, но и технических специалистов.

Мы составили один план по имплементации GDPR для продуктов и консалтанси. Но уже в процессе адаптировали каждый его пункт под конкретный проект исходя из:

  • Количества клиентов/лидов и их географии.
  • Объемов данных, которые продукт или консалтанси собирает и обрабатывает.
  • Активностей, связанных со сбором данных. В консалтанси, например, у нас также хорошо развито направление рекрутинга и HR, которое активно собирает и обрабатывает персональные данные аппликантов.
  • Каналов, через которые эти данные поступают. Railsware консалтанси получает данные лидов через заполненную на сайте форму, тогда как соискатели могут отправлять нам свои резюме и через другие сайты и платформы. А Smart Checklist for Jira получает лишь минимальное количество данных, потому что основной объем информации собирает и обрабатывает сама Jira.

А процесс планирования был лишь вершиной айсберга... Как говорится в одном известном высказывании «Незнание закона не освобождает от ответственности. А вот знание нередко освобождает».

Удачи!

TelegramВсе про українське ІТ в телеграмі — підписуйтеся на канал DOU

👍ПодобаєтьсяСподобалось1
До обраногоВ обраному1
LinkedIn



Найкращі коментарі пропустити

вот такой кейс мы недавно разбирали в кружке юных DPA

если кто-то оставит свой биологический материал вас на лужайке. то вы как владелец земли становитесь администратором персональных данных ведь на основание биологического материала можно идентифицировать личность особенно если личность была в поле зрения камер/людей в момент оставления биологического материала у вас во дворе

357 коментарів

Підписатись на коментаріВідписатись від коментарів Коментарі можуть залишати тільки користувачі з підтвердженими акаунтами.

Плиз ХЕЛП, не могу разобраться в пункте о переносе данных за границы Европы, что имеется ввиду под " Transfers of personal data to third countries or international organisations"? Это П2П передача информации? Я имею ввиду если один пользователь из Европы передает свою личную информацию другому за ее пределы, считается ли это нарушением? Или просто сервер должен находится в ЕС?

Пока одни дизайнеры плюются как попап портит дизайн и мешает жить, другие дизайнят симпатичный и оригинальный попап (правда темный попап не сильно заметен из-за темной иллюстрации) screenshots.gennady.pp.ua/20180710_81a100dd6.png

Ну что, уважаемые любители GDPR, вас еще не достало щелкать на каждом сайте «согласен», «перейти на сайт»? Везде ли вы читаете всю ту информацию что показывается на баннере, включая подробное описание cookies? :D

раньше было согласен, перейти. Теперь еще хотите ли персонализированную рекламу и т.п.

Теоретические способы обхода ГДПР: Five loopholes in the GDPR medium.com/...​-in-the-gdpr-367443c4248b

Зря в GDPR не придумали штраф за полиси на 46 экранов pbs.twimg.com/...​media/Deb9TQ1XkAElOqq.jpg

Это блин мобильная игра. Пока полиси дочитаешь — батарея сядет.

Они еще сжалились и кнопка Confirm доступна уже с первой страницы. Могли заставить пролистать до конца.

тю... у гугла трохи менша, зато з відеовставками, щоб не було скучно :)

Да. Только кто это читает — я хз. Вот даже если там сказано что они продадут мой имейл во все спам-базы — я об этом не узнаю, так как читать такую тонну текста не стал.

Так мне кажется в гдпр где-то было про то что должно быть написано доступным языком. Но мне наверное приснилось.

Ну то что во всех юзер агриментах и полисях точно не относится к доступному. Когда в начале суют список определений, обозначения сторон и всё прочее по лучшим юридическим практикам. Это утомляет.

Где-то (уж не помню где) я видел вариант что пользователю показывается Summary (не очень длинно и очень понятно) и ссылка на полный агримент. Мне (как пользователю) нравится такой вариант. Хотя насколько это правильно с юридической точки зрения — хз, может быть неправильно совсем.

Но я собственно к тому что нифига не добился этот гдпр и мы по-прежнему не знаем что там делают с нашими данными, потому что это записывается юридическим языком в длиннющих документах. И средний пользователь не может себе позволить прочесть этот legal agreement с каждым сайтом/приложением, которым хочет воспользоваться. Это идет против реалий нашего века, когда приложений и сайтов миллион, и в момент регистрации ты даже не знаешь подойдет оно тебе или нет.

Надо лишь добавить пару кнопочек ©

The International Association of Privacy Professionals (IAPP) forecast ... that Fortune’s Global 500 companies will spend close to $8 bln in order to ensure they are compliant with the GDPR

Наверное фронтенды сейчас просто дорогие, по миллиону за кнопочку берут. Блин, надо бы себе рейт повысить, а то что я как лох.

Немного шуток на тему

He’s making a list
He’s checking it twice
He’s gonna find out who’s naughty or nice
Santa Claus is in contravention of article 4 of the General Data Protection Regulation (EU) 2016/679

digiday.com/...​-jokes-make-pain-go-away

It makes my day

— Do you know a good GDPR consultant?
— Yes.
— Can you pass me their email address?
— No.

Facebook-у надо б было самому создать такую группу леворюционеров, чтобы доказать абсурдность GDPR.

Вот кстати интересный, хоть и риторический, вопрос.

А чего ж эти герои-сутяжники не подали до сих пор иски к archive.org? Вот уж кто нарушитель, так нарушитель: гребет ПД без спросу и всячески их обрабатывает, еще и раздает неограниченному кругу лиц.

1. это non-profit архив, подпадает под исключение.
2. в правилах пользования четко прописано — Access to the Archive’s Collections is provided at no cost to you and is granted for scholarship and research purposes only.
3. archive.org/...​site-from-wayback-machine — удалить данные можно по запросу здесь или на имейл админам.

Не вижу в тексте закона слова non-profit, вообще не вижу ни одного упоминания иключений для организаций (кроме государственных и то только в случае когда им это позволяет иной закон). Есть лишь для тех кто у нас называется физ.лица, но опять же когда они собираются ПД «для себя», а не выставляют публично в сети.

Персональные данные не перестают быть ПД если они собраны не с коммерческой целью. И даже если есть возможность удалить собранные ПД то сам факт сбора ПД без согласия — уже нарушение GDPR.

Article 14
Information to be provided where personal data have not been obtained from the data subject
...
5 Paragraphs 1 to 4 shall not apply where and insofar as:
...
(b) ... in particular for processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes

Тоесть с непрофит не прокатило, забудем, а попробуем сказать что это паблик интерес.

Ну давайте. Там ссылка на статью 89 о том что архив созданный ради паблик интерес должен выполянть следующее условие:

Those safeguards shall ensure that technical and organisational measures are in place in particular in order to ensure respect for the principle of data minimisation. Those measures may include pseudonymisation provided that those purposes can be fulfilled in that manner.

Тут вот люди радующиеся GDPR радуюются собственно потому что биг-корпорации не смогут более манипулировать их данными. А archive.org предоставляет такую возможность любому желающему. Даже какому-нибудь чикатиле или какой-нибудь алькаиде. Потому что тупо копия без какой-либо псевдонимизации. Если нас искренне беспокоит вопрос того что Facebook передал данные какому-то аналитическому агенству не спросив об этом пользователей то почему вопрос тотального сбора информации на archive.org остается вне нашего поля зрения? Как то странно выглядит, прям как у классиков: «тут не играем, это рыбу заворачивали».

в 89 есть пункт 3, о том что возможны отступления для публичных архивов, если анонимизация противоречит целям или делает невозможным их достижение. Если на сохраненных страницах все имена будут заменены на случайные — очевидно же, что цель не достигнута, т.к. защита данных касается только живых людей, и искажение в архиве приведет к его непригодности. Но это очевидно нам, насчет авторов GDPR не уверен.

non-profit архив — частный случай, это не любая non-profit компания, см. мой коммент выше. Для просто non-profit да, исключений нет

Facebook has even blocked accounts of users who have not given consent. In the end users only had the choice to delete the account or hit the ‘agree’ button—that’s not a free choice; it more reminds of a North Korean election process," said Schrems in a statement. "Many users do not know yet that this annoying way of pushing people to consent is actually forbidden under GDPR in most cases.

Так что пока не факт, что правильно

Это же не слова судьи. И не слова депутата или чиновника контролирующего исполнение GDPR.

Во многих случаях (соцсети и ФБ в том числе) использовать сервис можно только после согласия на передачу ПД.

Пример из реальной жизни: нельзя забронировать/арендовать/купить квартиру не передав второй стороне и посредникам, если они есть, свои ПД в виде имени и фамилии. Нельзя вызвать такси не указав адреса куда приехать (тоже ПД, особенно в связке с номером телефона), а на добавку многие откажут также если не указать второй адрес — куда ехать..

Не хочет посетитель сайта передавать ПД — его право. Но и сайт заточенный под работу с ПД в праве отказать посетителю в услуге дав ему возможность разглядывать только give me consent pop-up.

Это же не слова судьи. И не слова депутата или чиновника контролирующего исполнение GDPR.

Поэтому фб могут оказаться как правы, так и неправы

Хорошо если так, но пока не факт

Интересно, как этот закон повлияет на отношение пользователей к своим данным в долгосрочной перспективе? Не выйдет ли так что все привыкнут к right to be forgotten и начнут бездумно оставлять свои данные где угодно?

right to be forgotten діє не завжди — є ціла купа випадків, коли цей right не застосовується: фінансові відносини, позички у банках і ще інші (про які треба шукати, бо не знаю ;) )

Это я знаю, но я не про банки. Я про то что пользователи могут привыкнуть что с сайта соцсети или с форума можно данные потребовать удалить и станут менее бдительными при предоставлении данных. То есть закон немного воспитает бизнес (склонит к шифрованию и т.д.), но не будет способствовать воспитанию пользователей (ведь всё можно потребовать удалить, зачем думать над тем что оставляешь в сети).

Сегодня и вчера прям волна писем с апдейтами полисей от различных сайтов и приложений.

Ну что, запрещаем в ЕС github, gitlab, bitbucket и штрафуем, штрафуем, штрафуем? :D

law.stackexchange.com/...​ns/24623/gdpr-git-history

Is name, surname and email in the Git commit history a personal information according to the coming GDPR (General Data Protection Regulation) and is there any special treatment required?

Git is a distributed system and therefore it is probably impossible to have a complete control of it — especially for opensource projects.

ПМСМ этот закон какой-то эпик-фейл европейской бюрократии: его писали совершенно не учитывая реалии окружающего мира опираясь на какие-то непонятные даже самим авторам благие намерения.

Там в комментариях пишут что типа есть решение как удалить имя из коммита. И даже как удалить имя из файла, хотя это и ломает репозиторий.

Но еще есть Maven Central с подписанными jar. Да думаю еще можно много чего такого же найти.

По-моему,

or in the European Union

лишнее. Факт нахождения в отпуске в ЕС например не значит что на него сразу распространяется GDPR. Кроме того, коррекна ли такая формулировка с юридической точки зрения? Есть ли такое понятие, как EU Citizen?

Непонятно, тем не менее, что такое

in the Union

Имеются в виду граждане или резиденты или достаточно прокси-сервера в Европе.

Да, мне тоже дико не нравятся их формулировки. Рай для юристов, но для всех остальных ад.

Я как-то в интернете прочитал про пару американских сервисов для инвестиций и торговли акциями (там было приложение где можно торговать маленькими суммами без комиссии). Обидно было читать их термс, в которых было указано что сервисы только для резидентов США.

Аналогично наш ING, первый вопрос, являешься ли ты US person, если да, то давай досвиданья

в статье о том, насколько компании [не]готовы к GDPR есть куча весёлых моментов:

„There are some companies we’ve talked to, where they say, ‘Are you kidding? If we told them how we were using their data, they’d never give it to us in the first place,’” Straight says.
To put that in perspective, a 4 percent fine on Amazon would be $7 billion. (Interestingly, since a company like Amazon reports huge revenues and relatively small profits, a 4 percent fine could cost them over two years of profit.)

Делаем ставки, будут ли задавать такие же дебильные вопросы, как ранее американские сенаторы?)

Вот были бы в украинском законе точно такие же санкции честко прописанные — Монобанк и Ингосстрах уже бы попали на заметные штрафы. А так нарушение очевидно, а наказать за него долго и марудно.

И не только.

Сегодня прилетел инвайт на местное событие. Вроде и событие интересное, но ... я не оставлял фирме проводящей мероприятие свой e-mail.

Вот-вот-вот. Хотя закон принят уже.

А разве закон предоставляет право гражданину ЕС отказаться от защиты своих прав? Не слышал о таком. Думаю будь такой пункт о нем бы на каждом углу говорили.

при наличии на сайте публичной оферты не прокатит точно :) по самой сути этого документа.

пользовательское соглашение и публичная оферта — сильно разные вещи. Первое заключается с пользователями и регламентирует правила, вторая — обязательство оказать услуги или продать товар любому дееспособному совершеннолетнему человеку. В этом весь ее смысл, что продавцу нельзя отказать по своему желанию никому. Про оферту написал, т.к. чаще всего у нас сайты — это е-комерц, а там она используется гораздо чаще, чем пользовательское соглашение.

От вже з приводу звірів не треба іронізувати. Якщо б ви в Україні були — я б вам розповів, як ще до gdpr в Німеччині за відсутній Імпресум штрафують ФОПи з сайтами з 1,5 відвідувачів на день, як проходять суди, і чим все закінчується. Але ж в Німеччині ви і самі це маєте знати.

А геоайпи и не нужен. Проще и безопаснее работать по GDPR со всеми клиентами. Геоайпи не идеален, да и вообще если клиент из Европы сидит через прокси-сервер, это не значит что закон перестает действовать. А за работу по GDPR с клиентами не из Европы штраф никто не затребует.

Как раз в GDPR особо оговорено что ограничивать сервис низзяяяя.

ico.org.uk/...​s-for-processing/consent
“Consent should be separate from other terms and conditions and should not generally be a precondition of signing up to a service.”

and should not generally be a precondition

«взагалі-то вам не слід відмежовуватись, хоч вам і нав’язали дебільний закон»

я вижу другие цели:
— получить постоянный доход от регистрации мелких фирм, вплоть до ларьков с камерой видеонаблюдения, в которых может купить товар житель ЕС. GDPR предусматривает возложения контроля за исполнением на местную полицию, которая, разумеется, будет рада новым возможностям.
— получить мощные политические рычаги, которые в любой момент можно задействовать. Например, Россия уже заявила, что используют закон для борьбы с сайтом Миротворец. Также можно давить на крупные фирмы, в т.ч. в коррупционных целях.
— не платить пособия и соцпакет на бездельников, которым большие фирмы не из ЕС теперь поручат быть DPA. Те обязанности, которые прописаны для этой должности, выглядят смешно, т.к. бОльшая часть работы по документированию процессов работы с данными и составлению полиси делается единожды юристами, а дальше эта кадровая должность приносит фирме чистый расход на ЗП, который, естественно, все будут минимизировать, набирая самых неквалифицированных.
— ну и, как обычно, все это подхватят дурачки, которые свято верят в идеальность чиновников ЕС, заботящихся о Правах Человека. Человеки — они ж хорошие, а фирмы — злобные капиталисты. Как не проголосовать за политика, который за хороших человечков и против плохих фирм? ну подумаешь, теперь будут жить под угрозой пожизненной выплаты долгов даже одиночки (частных предпринимателей GDPR считает фирмами), за файлик с имейлами, логом с айпишниками или даже именами, или за незарегистрированную камеру наблюдения.

Россия уже заявила, что используют закон для борьбы с сайтом Миротворец.

Какой закон? GDPR никоим образом не касается ни РФ ни Украины.

не платить пособия и соцпакет на бездельников, которым большие фирмы не из ЕС теперь поручат быть DPA

Наличие Data Protection _O_fficer необходимо только при определенных условиях.

получить постоянный доход от регистрации мелких фирм

Регистрации ГДЕ?
Я так потнимаю Вам очень ьстрашно жить в этом мире потому что вокруг сплошные заговоры рептилоидов.

1. на сайте Миротворца есть данные по гржданам ЕС, размещенные там без их согласия. Этого достаточно для попадания под GDPR.
2. я условие написал — большие фирмы. Или 250 человек не подпадет под него?
3. регистрации здесь ico.org.uk/registration/cctv

на сайте Миротворца есть данные по гржданам ЕС, размещенные там без их согласия.

ну тогда может и да, но в GDPR есть условие под кот-е Миротворец может попасть. Вот например ico.org.uk/...​r-processing/public-task

я условие написал — большие фирмы. Или 250 человек не подпадет под него?

Необходимость в DPO диктуется не размером компании, а задачами и объемом денных:
Under the GDPR, you must appoint a DPO if:

you are a public authority (except for courts acting in their judicial capacity);
your core activities require large scale, regular and systematic monitoring of individuals (for example, online behaviour tracking); or
your core activities consist of large scale processing of special categories of data or data relating to criminal convictions and offences.
ico.org.uk/...​data-protection-officers

Насчет CCTV — как я вижу это было уже давно и не связано напрямую GDPR.
Повторюсь — смешно и грусно смотреть на то что люди думают что вот упала планка GDPR кот-я неизвестно откуда взялась. Законы защищающие приватные данные приняты уже давно и во всем цивилизованном мире. И влететь на хороший штраф можно было уже давно. GDPR просто расширил юрисдикцию и прописал конкретику. И все.

на сайте Миротворца есть данные по гржданам ЕС, размещенные там без их согласия. Этого достаточно для попадания под GDPR.

Только кто владелец миротворца у нас до сих пор не решат. ЕС не найдет кому там штраф выписывать и возможно обойдется блокировкой сайта в своих странах.

Регистрации ГДЕ?

В UK при определенных условиях нужно контроллеру данных регистрироваться, и стоит это 35 фунтов в год.

Так это про видеонаблюдение. Не про GDPR.

не только. Вот визард, по которому можно понять, нужно ли регистрироваться контроллеру ico.org.uk/...​register/self-assessment . А сама ссылка на регистрацию здесь — ico.org.uk/registration/new , там цена не знаю какая, но подозреваю что может быть разной в зависимости от выбранных опций, иначе была бы указана.

„You are only processing personal data for the core business purposes. You therefore do not have to register with the ICO.” Как бы и без визарда было понятно.
Мои ответы соотв. деятельности нормальной софотварной конторы.

Сейчас появиться новый вид бизнеса — сидит себе такой кулл хацкер в Бобруйске, взломал какой-нить ресурс из Европы, где есть приватные данные, стянул чутка — для демонстрации — и шантажирует несчастную фирмочку, ибо если всплывет факт утечки — штраф 20М или 4% годового оборота(? или дохода?).
Или не совсем шантажировать, а добровольно-принудительно склонить жертву к платному исправлению найденной уязвимости с ценником 10х

Я боюсь, что этого хаккера ждут большие проблемы в личной жизни.

Смешные вы... Требования о защите персональных данных существуют уже давно. И кулхацкеры бомбят конторы уже давно. Тот же Убер бомбанули сравнительно недавно.

ну ок, вам випишуть штраф у розмірі 7400€

так нормально?

Я сє перепрошую. А ви часом AFD не підтримуєте? Сорі за офтоп.

вот такой кейс мы недавно разбирали в кружке юных DPA

если кто-то оставит свой биологический материал вас на лужайке. то вы как владелец земли становитесь администратором персональных данных ведь на основание биологического материала можно идентифицировать личность особенно если личность была в поле зрения камер/людей в момент оставления биологического материала у вас во дворе

А не является ли такой материал псевдоанонимизированным?

нет только если он не смешан с материалами других личностей

І, до речі, якщо хтось не в курсі, то закон стосується не тільки онлайну, а й офлайну теж. Фактично за законом, якщо ви взяли в когось візитну картку (це нормально, бо людина передала її добровільно), а потім занесли дані з візитки в контакти (не має значення онлайн, чи офлайн ручкою записали) без додаткової згоди власника візитки — то це вже порушення закону. Бо це неузгодженне зберігання даних. Сумніваюсь, що за це реально когось притягнуть до відповідальності, але якщо закон в 2018 році залишає таку можливість, то це, я б сказав, не дуже добрий закон.

якраз зранку про це писали на welt.de з посиланням bitkom адвокатів :)

А, ну я там же і читав )))) Там ще про вотсап в тій статті було )

лучше б приняли какой-нибудь General Silence Protection Regulation: открываю сайт, а без моего согласия запускается видеоролик орущий так что слышно из лежащих на столе наушников (благо они были включены).

Знайомі фотографи в Європі, до речі, зараз в паниці, бо якщо розглядати закон, то формально зробити фотографію, на якій відображена людина, в якої можна розрізнити колір шкіри, то вам вже потрібно брати дозвіл в цієї людини. Бо по закону дані, по яким можна ідентифікувати людину не можна не тільки розповсюджувати, а й зберігати. А до таких даних (по закону ж) відносяться в тому числі дані про етнічні властивості.

еще до GDPR не разрешалось фоткать людей на улице без их согласия (если мы сейчас говорим о фотографировании конкретного человека на улице, а не ситуации когда я фоткаю биг бэн и на фоне есть пару десятков людей).

Ну вообще выбросить рабочий смартфон в мусорник, не сделав предварительно сброса до заводских настроек, довольно неразумно даже с точки зрения личной безопасности. А с нерабочего вряд ли кто будет что-то пытаться достать.

Якщо б цей закон прийняли на Росії — писали б зараз, як це порушує принципи демократії і бла бла бла. А раз в Європі — закон добрий. Звісно добрий, що якийсь перукар має ставити на сайт ссл через наявність там примітивних контактної форми типу ім’я, коментар, а потім може сісти на два роки за те, що у нього на сервері зберігались логі апач, про що він навіть не знав. Чудовий закон. Сучасний і демократичний.

Скажу більше, формально ви маєте право брати візитку, але повинні пояснити, як будете використовувати її далі — може у вас база даних кліентів, а там все не зашифроване...

Гі, от тупо одночасно з вашим коментарем написав окремий коментар, і саме теж з прикладом про візитку )))

Єдине — не має значення, чи ви дані зберігаєте в базі, чи в блокноті. Якщо у вас картотека олдскульна — ви туди теж не маєте права записувати дані з візитки без згоди.

з кожним коментом у вас зростає срок — зупинітся!

Якщо серйозно, мабуть рахується факт першого збереження інформації. Не знаю. В Європі зараз всі от так сидять і гадають — що можна, а що ні. Треба дочекатися перших вироків судів, тоді буде по-троху ставати зрозуміло.

Спробуйте на європейські форуми зайти

В европейских блогах всё то же самое. Статьи, в которых авторы говорят «посмотрим как оно вообще будет» и комментарии с риторическими вопросами и выводами «посмотрим как оно будет». Но кто-то должен будет пострадать чтобы остальные уже более-менее конкретно могли понять что можно, а что нельзя.

А як потім довести що пояснював способи використання і отримав згоду? Розпискою?

Где это написано что куму передавать нельзя? Ну кроме GDRP который теперь требует явного согласия даже на перенос информации в телефон.

Практически все визитки которые мне давали как раз давались для того чтобы при случая я поделился информацией и с другими людьми котомы нужны услуги. Ни разу в жизни не получал визитку в сопровождении фразы «только никому не давай мой номер телефона».

Тоесть вы ни разу не получали визитку ни от сотрудника СТО, ни от врача, ни от сотрудника автосалона, ни от парикмахера, ни от участника профессиональной конференции, ни разу не посещали выставки, ни разу не ездили в такси.

Ну ОК. А откуда в вашей глуши интернет?

То что в GDRP написано про запрет передать куму я знаю. Где кроме GDRP написано?

отвечу в твоем стиле тезка: написано

От якщо я дав візитку куму, а кум заніс дані з неї в базу холодних дзвінків, тоді треба карати кума. А не карати мене за те, що я дав номер комусь, хто можливо зробить щось зле. Якщо хтось комусь вставив викрутку в вухо, наприклад, то карають того, хто це зробив, а не того, хто позичив викрутку, бо думав, що треба гвинт закрутити. Якось так.

Неуважно прочитав. Якщо передав цілеспрямовано для бази дзвінків — за це доцільне покарання. Але має бути доведено, що він передав її саме для цього.

Интересный пример, давайте попробуем разобраться.
Вот как вижу его я:
Вы, Ростислав — data controller — вам дали визитку по своей воле. Вы предупредили человека — согласно требованиям регламента — (владельца визитки) о том, что передадите информацию «куму» (либо всем на своей улице) — и человек согласился. «Кум», получая визитку, становится data processor. «Кум» сдает визитку в базу холодных рассылок.
2) И, если вы таким образом сотрудничаете с «кумом», у вас есть с ним какой-то договор (дружеский, письменный) — что он не занимается незаконной деятельностью. И, вдруг, он совершил это «преступление». В этом случае — виноваты будете и вы и он — потому что согласно регламенту — вы должны сотрудничать и доверять данные только порядочным «кумовьям». Я все-же думаю, что в большей мере будете виновны именно вы, потому что именно вы собрали и передали информацию, а также несерьезно подошли к выбору «кума».
3) Если же вы умышленно взяли эту информацию для осуществления незаконной деятельности — тогда результат не меняется — вы понесете наказание (если «кум» на вас пожалуется..... ну и так далее).

Ольга, давайте начнем с того что согласие должно быть явным.

Далее в сфере оборота визиток и контактов знакомых маляров все договоры устные и подразумеваемые. Теперь при общении с кумом, подругой etc. надо письменно закреплять условия передачи данных, а перед этим спросить маляра/маникюрщицу о согласии передать данные не забыв сообщить цель передачи и то как данные будут использоваться.

Виталий, а что такое «явное согласие»? Может, в данном случае, это — кивок головы :)
Каждый случай нужно рассматривать отдельно и в пределах разумного, а также помнить об использование данных для личных и деловых целей. Рассматривая «edge cases», вы упускаете основное.

Драсьте, приехали.

Кивок головы конечно может быть принят тоже. Хотя бумага в этом деле надежнее. Но вообще дело в том что явно согласие должны быть дано в ответ вопрос о передаче данных (телефона, визитки, адреса сайта etc.) четко описанному кругу лич с четко описанной целью.

Вы точно-точно уверены что готовы к GDPR? Ведь explicit consent это то вокруг чего собственно вертится весь сыр-бор. Сохранность данных и прочее то уже второстепенные новеллы.

Тут народ взял моду кидаться ссылками и цитатами со всяхк ждпр.орг и прочую муть, но я зацитирую один из официальных сайтов ЕС
eur-lex.europa.eu/...​TXT/?uri=celex:32016R0679

Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.

Не знаю как можно продемонстрировать кивок головы. Записать на видео? Да, там есть устное согласие, но как его показать?

Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject’s agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement.

К слову у нас ведь так и происходит: каждая передача персональных данных сопровождается глупой бумажкой. Теперь это и в ЕС. Приехал поселяться в отель/апартаменты: поставь галочки в бумажке что даешь право на сбор твоих персональных данных. Вызвал убер — сев в машину поставь галочки в бумажке. И т. д.

Да, я к стоматологу ходил и тоже подписывал аж несколько бумажек с согласием на обработку персональных данных. И это весьма забавно, учитывая что длинный текст этой бумажки вообще мало кто будет читать, и что данные собственно необходимы для заведения медкарты и без этих данных человека как бы нельзя обслужить

Распечатать пачку бланков с разрешением на обработку данных и требовать каждого кто дает визитку заполнить 😁

Теперь для европейцев логичней разместить на визитке такой текст самому. Типа как надпись на пачке сигарет.

Ні, ви це серйозно? Який дейта контролер? Який дейта процесор? Які угоди з кумом? Ми зараз не говоримо про базу даних на кілька сотень тисяч користувачів. Ми зараз говоримо про візитівку перукаря, яку я дав куму, бо йому сподобалась моя зачіска. Все. Ви дійсно вважаєте, що законом треба регулювати такі ситуації? Ви якось розрізняйте реальну безпеку даних в глобальних масштабах, і популізм, яким є цей закон.

от зараз було реально обідно... однією фразою так принизить роботу цілого органу, і навіть не дітородного, а законодавчого органу ЄС...

GDRP не делает таких различий.

Да вот как раз бы хотелось ссылку на то что закон имеет какую-то ограниченную сферу дейстия и не распространяется на физлиц.

Называется вставлю какую-то цитату наобум — а вдруг прокатит.

Не прокатило.

Дал цитату выше. То что ты процитировал это не официальное саммари закона, это какой-то сопроводительный текст с неофициального сайта .org, поддерживаемого фирмой Trunomi.

Так что кто тут упоротый в своем нежелании разбираться в таких банальных мелочах, не говоря уже о вдумчимом изучении текста закона — очевидно.

Хотите цитатку из закона?

Нате.

‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;
(18) This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities. However, this Regulation applies to controllers or processors which provide the means for processing personal data for such personal or household activities.

in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity — Fuck the EU

Є там відмінності 100%. Але що це змінює? Фізичні особи про GDRP і знати не будуть. Якщо людина настільки дурна, що не може запам’ятати — «біля адреси горить зелений замок — з’єднання захищене. Не горить — не захищене», то 95% цього GPRD така людина взагалі не зрозуміє.

Россия от GDPR только выиграет. Например, у россиян есть закон, обязывающий хранить логи и личные данные пользователей в течение 6 месяцев для возможности передачи правоохранителям по запросу, а в GDPR есть пункт о том, что хранение данных в таких случаях легально. В более демократичных странах, где таких законов нет, GDPR сработает на всю мощь. Не говоря уже об очевидных вещах в плане оправдания их изоляционизма отсылкой на бесчеловечные законы GDPR (представьте, что Вас как ЧП оштрафовали на 20 млн евро — это будет означать конфискацию всего личного имущества и в лучшем случае — процедуру банкротства).

SSL не проблема в 2018 году — они теперь бесплатные. Только один раз заплатить админу за настройку. Но GDPR это гораздо больше чем SSL, и вот это уже проблема.

Ви проспали — наш закон про захист персональних даних максимально наближений до ЄС. От тільки в ньому нема прописаних санкцій, на відміну від...

Интересный вопрос: а должны ли выполнять GDPR приложения работающие на любого вида хостингах физически размещенных в ЕС даже если они работают с данными неграждан ЕС? Например украинская служба такси для своего мобильного приложения использует OVH, а в качестве датацентра выбрала что-то в Европе.

Формально нет.

должна, т.к. выбор процессора данных (датацентра в ЕС) лежит на контроллере (украинская служба такси) и он был сделан в пользу размещения в ЕС. См. пункт 3, разъяснение от iapp.org/...​s-to-help-you-understand

Нет. Не должна. Но должна выполнять тербования украинского закона. А он на само деле отличается только отсуствием чекто прописанных санкций за нарушение.

а ось Монал закривається для європейців — дуже гарне пояснення автора «манал я ваш гдпр»

monal.im/...​moving-monal-from-the-eu

манал я монал, первый раз слышу про эту приложуху

На мой взгляд у GDPR есть лишь один плюс.

Он заставит (точнее надеюсь что может заставить) бизнес так перестроить работу с данными клиентов, чтобы эти данные нельзя было трактовать как персональные данные в терминах GDPR.

Тоесть чистыми персональным данными останутся лишь бухгалтерские операции. Остальные данные будут разделены по группам или анонимизированы или и то и другое. И в принципе клиент от этого тоже выиграет так как уже нельзя будет (условно говоря) одни запросом вытянуть всю историю по Васе Пупкину.

бажання зрозуміле, але так не буде — за цим проектом стоять зелені та ліваки в ЄП, тому ви тепер навіть IP не можете просто так зберігати

у цих хлопців це принципова боротьба покращувати життя вже сьогодні, так що чекайте нових законів

п.с. німецькі перехідні положення до інших законів до цього закону десь 450 сторінок і тп

там аби що боронити, щоб тільки проти америки та капіталістів, які наживаються на приватних данних простих трудящих... IP всіх країн, єднайтесь!

скоріше загоняють бідних у дата-колгосп

ось один з авторів закону — депутат від зелених пояснює скептичним айтішникам, що все буде нормально. але з тексту видно, що він веде свою боротьбу проти гігантів зі сша

дивні ідеї про кнопку від фб, яку тепер просто так ставити не можна і він пропонує рішення в два кліка (отут доу вже порушує)

www.janalbrecht.eu/...​eufig-verbreitete-mythen

весь текст заповнено словами тіпа «напевно», «звичайно ж», «скоріш за все» і тп

тут не все английский знаю, а вы простыню на немецком кидаете

«Diese Einführung des Marktortprinzips stellt sicher, dass endlich die europäischen Online-Unternehmen dieselben Regeln haben wie ihre Konkurrenten z.B. aus Silicon Valley.» — Я понимаю это так: хочешь торговать на нашем рынке — ок, только прими наши условия. Но при этом «условия» не заставляют вступать в коррупционные схемы, либо, каким-то образом вредить резидентам ЕС. Поэтому, я согласна с этим высказыванием.

Насчет его комментария касательно фейсбука — думаю, что пиарить любые решения как «панацею» для соблюдения регламента автором самого же закона — нельзя.

статья 18 регламента:
„This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities. However, this Regulation applies to controllers or processors which provide the means for processing personal data for such personal or household activities.”

Регламент вступит в силу 25 мая 2018 года. И это факт. И вот теперь с этим нужно как-то дальше жить — либо изучить, адаптировать для своей деятельности и не нарушать закон, либо «отпустить» эту тему и наблюдать.

Касательно вашего примера:

Я уверена, что вы сможете доказать, что open source — это ваше hobby за которое вы не получаете никакой финансовой награды, например (это первое, что пришло мне в голову).

А если и случится такой прецендент — он обязательно получит мировую огласку, а вы получите четкий ответ на этот вопрос.

если в онлайне уже так и делают (причем задолго до GDPR), и Forbidden при заходе с европейских айпи, например, на американские интернет-магазины уже никого не удивляет, то в оффлайне это будет смотреться, мягко говоря, не очень. Представьте себе украинский магазинчик, оборудованный видеонаблюдением, где-нибудь рядом с Польшей, куда иногда заходят туристы из ЕС, с надписью «только для граждан Украины» (подставьте любую страну не-ЕС). Потому что сборы и риски, связанные с GDPR значительно превышают недополученную прибыль в случае, если продавать будут только местному населению.

ну так ви констатуєте що так написано, а він питає, чого це так

purely personal
no connection to a professional or commercial activity

досвіченому юристу більше і не треба :) так чи інакше щось буде пов’язано з професійною діяльністю

Передавая телефон маляра нельзя быть 100% уверенным что это «для внутреннего употребления».

Albrecht як німецький юрист він прекрасно знав, що можна було прописати »Tätigkeit ohne Gewinnerzielungsabsicht« aber nein :) es wurde so allgemein wie möglich formuliert und so schwammig wie es nur geht

Некоторые так и раньше делали, как и закрывали услуги для американцев

Нам кстати уже приходил запрос на удаление негативного отзыва о компании, с отсылкой на GDPR. ;-)

Зачем попап про куку? Если GDPR хотя бы имеет благие намерения, но черезседалищную их реализацию, то cookie law ЧДА закон ради закона.

GDPR наоборот пришел на смену cookie law. Теперь нельзя показать попап с полиси и кнопкой аксепт — на каждое действие, связанное с персональными данными, должны быть небольшие и accessible пояснения, зачем конкретно этот кусок данных обрабатывается (не забывайте, что в современном понимании accessible включает доступность для людей не только с физическими расстройствами, но и с ментальными, которые не могут сконцентрироваться на чтении длинной полиси).

Компания не физлицо. Причем здесь GDPR?

ico.org.uk/...​register/self-assessment самозанятое лицо подпадает под GDPR, да и в Украине физлицо-предприниматель все еще физлицо.

Компания не может требовать удаления данных о компании, ссылаясь на GDPR. Это уже не персональные данные, а данные о компании. Кроме того, отзывы третьих лиц вряд ли являются той информацией, которая подпадает под GDPR. Иначе отзывы на фриланс-биржах, ибеях и алиэкспрессах можно выключать. Представляете себе такое?

это я потерял контекст, не увидев, что Ваш комментарий - это к Максу. Подумал, общий - мол GDPR неприменим к физлицам, только к компаниям.

Да и не мой то комментарий к Максу был 😀 

rapidbi.com/...​ers-and-micro-businesses вот еще для самозанятых/ФЛП чеклист

Поскольку в Украине сейчас идет процесс евроинтеграции, то рано или поздно наша страна должна будет привести в соответствие с GDPR свой закон о «Защите Персональных Данных». Но, я прекрасно понимаю, что этот процесс может занять очень долгое время. Поэтому, вопрос «блокировать или не блокировать европейский трафик» зависит лишь от процента дохода, который ваша компания (или вы) получает(е) от пользователей (клиентов), живущих в странах ЕС.

Хочу добавить к предыдущему ответу «и если у вас нет планов выходить на этот рынок. Потому что маленький доход сейчас — не значит, что на рынке ЕС для вашей компании нет перспектив.»

поки наші компанії серйозно будуть виходити на ринок ЄС, того ЄС вже може і не буде :)

закон о «Защите Персональных Данных».

сильно защищает наши ПД?

Наш менеджмент из США уже проводит тренинги: как компании обеспечить обработку и хранение данных в соответствии с GDPR. Компания имеет подразделения в ЕС.
Думаю, работа центров обработки информации Google или Amazon, — которые расположены в ЕС и обслуживают граждан Евросоюза, — так же будет адаптирована к положениям GDPR.

В этих документах человек сможет прочесть, какие именно персональные данные вы собираете, с какой целью, на какой срок, а также узнать о своих правах.

согласно GDPR человек может потребовать удалить свои данные из вашей базы на следующий же день.

Мне интересен такой момент: все бухгалтерские проводски это в чистом виде персональные данные. Как быть в данном случае? Ведь по идее в случае конфликта норм законов решение должно приниматься в пользу гражданина. Таким образом при навыках бюрократического крюкотворства можно потребовать удалить записи о своих покупках.

Ну як це на практиці — ага, треба видаляти данні? Тобто або видаляємо, або робимо окремий маркер з позначкою, що цей запис видалено.

Видаляти ясна річ фізично не так легко на великих проектах, тому доведеться ще переписати купу коду, щоб скажімо видаленого юзера системи не можна було знайти через пошук і тп

Там же ще про кодовані данні — що, зберігали прізвища європейця у відкритому вигляді... ну як же так :) Все краще закодувати.

А як буде з трекінгом? А якщо треба бекап підняти за вчора, а у вас сьогодні 100 юзерів видалились. Окремі таблиці з трекінгом видалень і потім видалення і тп :)

Тобто, якщо підходити формально до цього закону (а саме так до нього будуть підходити адвокати вашого противника), то там треба переписати купу софта по всій Європі.

А якщо треба бекап підняти за вчора, а у вас сьогодні 100 юзерів видалились.

А вообще закон таки гарный надо признать вот прямо как товарищи пишут «юзэр выдалился а бекапы-то остались...» т.е. где на самом деле хранится та инфа кто её пользует как она попадает и куда и вообще вот это всё никто из товарищей не знает.

По-своему это гениальная позиция я щетаю.

Тобто, якщо підходити формально до цього закону (а саме так до нього будуть підходити адвокати вашого противника), то там треба переписати купу софта по всій Європі.

А чого ж нэ пэрэрпысалы доси? Бо насправди всем плевать да? Хотя вроде как должны бы б задумать всё это изначально это ведь не какое-то удаление из поисковых запросов гугла это ведь непосредственно личная инфа в использовании а выходит лежит как попало бери не хочу.

А тому що ніхто з індустрії не просив цей закон підписувати. І до того ж це було прийнято в європейському парламенті — от сидиш ти собі в Бухаресті чи Тімішоара, а десь в Брюселі приймають закони, які ти потім повинен виконувати.

В Австрії десь місяць тому прийняли свої розяснення, що пркатично нівелюють всі труднощі цього закону. В деяких ЄС-країнах взагалі пофіг. Ну а у Західній Європі будуть адвокати один за одним в пошуках наживи.

Про особисту інформацію — там цей термін розширили і вже не все так просто. Питання про не лежало, а про використання і тп

где на самом деле хранится та инфа кто её пользует как она попадает и куда и вообще вот это всё никто из товарищей не знает.

Знать-то допустим знают, но как ты из существующих сейчас подходов к бэкапам выпилишь данные одного пользователя? Правильный ответ — никак, потому что бэкап представляет собой дамп базы и на 100% что-то вырезать из дампа не поломав его не представляется возможным (или очень сложно). А это уже нарушение буквы закона.

На выполнение требования по удалению.

На удаление — «разумный срок».

из базы — не проблема, но они должны быть удалены из всех бэкапов базы (не сломав их, т.к. за нарушение консистентности данных те же штрафы) и из всех логов. Бэкапы и логи при этом, по GDPR, обязаны быть заархивированы и зашифрованы. А не бэкапить персональные данные вовсе — запрещено, т.к. это противоречит пункту о необходимости защиты сохранности персональных данных.

GDPR хорошая вещь. Спам и холодные рассылки бесят всех. Я недавно тренинг на эту тему проходил.
Теперь разработчиков веб сайтов и приложений, требующих регистраций, обяжут оставлять опцию «я хочу подписаться спам» — выключенной по умолчанию.
Раньше было наоборот — регистрации сделаны таким образом что пользователь по умолчанию подписывается на спам, а чтоб его не получать, нужно галку снять.

І як це допоможе у боротьбі зі спамом — його як слали без дозволу, так і будуть слати

а так закон написаний eu-бюрократами в припадку імітації бурної діяльності

будете мати право пожалітися єврокомісару. Хай працює. Але, то якщо ви громадянин ЄС, або спам з ЄС.)

А что без GDPR мешает пожаловаться на спамеров? Как GDRP поможет жаловаться?

Я не вижу тут никаких улучшений потому что по GDPR можно жаловаться лишь на законопослушные бизнесы которые просто провтыкали что какая-то норма этого закона требует от них определенное действий. А спамеры как были так и останутся.

покращень взагалі нема — 261 сторінка розмитого тексту з дивними загальними формулюваннями і якщо раптом якийсь суд в португалії зрозуміє його по-своєму, то буде цікаво подивитись як відповідатиме українська фірма, на яку раптом прийде повістка до суду міста лісабон

навіщо так далеко — просто отримає рекламацію від єврокомісара відповідального за Україну. Та рахунок.

ок, а кому вы можете пожаловаться на спам без GDPR?

А что об этом говорят существующие законы борьбы со спамом по которым уже успешно штрафуют?

Вот к примеру в далеком 2005 году
www.neweurope.eu/...​bitel-gets-spamming-fine

А куда вы на карманников укравших кошелек жалуетесь? И много ли их находят?

бінго! за думкою авторів цього закону, якщо ваша фірма обробляє дані клієнтів з європи, або ваш сайт чи проект націлено на ринок ЄС... хм... скажімо у вас є французька версія сайту, або англійська, позначена ще флагом великої британії, то ви підпадаєте під дію цього закону.

думаєте вас не зможуть дістати європейські пристави? а валютний рахунок у вас через який банк йде? і тп

Британия выходит же ж ))

ну поки ж ще ні — частинка все одно залишиться

всьо сложно

частинка все одно залишиться

которая Ирландия?

т.е. если англ. версия сайта то она только для британцев?)))

А есть другие евронации британского языка?

если сайт будет сделан на, предположим, трех языках, то почти половина клиентов из ЕС будет читать его на английском.

Да, но везде заявляют что на GDPR в Британии это никак не повлияет. Они там ещё хотят вносить контроллеров данных в реестр (открытый, лол) за 35 фунтов в год.

важно не то есть английская версия или нет а то предоставляет ли ваш сайт услуги для ЕС

коли ви робите англійску версію сайту, то ви ваші послуги робите також для Ірландії?

або прийом оплати в євро?

etc.

Одним из признаков предоставления услуг (которые как и ПД описаны очень размыто и обще) является версия сайта на языке страны ЕС. Английский как раз один из таких языков. Это на любом тренинге по GDPR расскажут в первую очередь.

factors such as the use of a language or a currency generally used in one or more Member States with the possibility of ordering goods and services in that other language, or the mentioning of customers or users who are in the Union, may make it apparent that the controller envisages offering goods or services to data subjects in the Union

закон касается резидентов ЕС а не только граждан ЕС

Я ушел в сторону. Вы, скорее правы, не поможет. Потому что GDRP защищает ПД. А ваш адрес, если он не ФИО@com.ua, не является ПД. Более того, даже если по email вас можно идентифицировать, то не факт что он сохранен где-то там в базе.

email є персональними данними — про це вже купу разів писали роз’яснення юристи і тп

ПД є те що однозначно ідентифікує вас як фіз особу. Ви заходите на укр.нет та влаштовуєте собі адресу ВасяП@ukr.net. То ВасяП тепер точно Ви?

а у юристів на це інша думка :) бачите, не співпало

У юристов не иное мнение, просто они предлагают считать любой e-mail персональными данными, хотя любой e-mail таким не является. Наприпер DOU <[email protected]> никого не идентифицирует. А есть еще всякие rooo@localhost, [email protected] и т. д. которых и в природе нет.

Предложение юристов считать любой адрес как ПД это банальная перестраховка как и внедрение GDPR в украинских фирмах не работающих с европейскими заказчиками напрямую.

Та же самая история например с cookies которые опять же не идентифицируют личность. И пара слов Вася Пупкин тоже не идентифицируют: в мире миллион Васей Пупкиных, к тому же это может быть вообще вымышленные/сгенерированные данные, особенно если речь идет о посещении сайта. Чтобы точно идентифицировать Васю, надо к имени добавить хотя бы дату и местро рождения. Или ИНН (который сам по себе как раз отлично идентицицирует личность даже без имени). Или номер паспорта (та же ситуация что и с ИНН).

В общем к чему это я?

Закон написан так что нет четкого понимания что именно является ПД. И наверное будет дешевле считать ПД любую информацию которая теоретически может быть ПД, чем потом тратиться на суды и адвокатов доказывая что на самом деле это не ПД (даже если 100% это не ПД).

По моему сейчас так и происходит. Когда указываем свои ПД кампания с нас берет подписку что мы согласны с всевозможной обработкой....и даже передачей 3й стороне. Причем либо ты ВСЕ подписываешь либо нет, вычеркнуть пункты нельзя. Так что наши ПД где угодно.))

еще бы, у юристов наступает золотое время)

Речь не про тех кто ворует базы адресов, а про использование информации легально предоставленной,, но не той целью с которой она предоставлена. В этом случае можно хзасудить компанию которая допустила передачу данных третьей стороне. Например — вы обратились в банк за кредитом оставив естественно личные данные , необходимые для определения вашей кредитоспособности. Банк без вашего согласия передал их страховым и вам начинают названивать страховые агенты.

ви серйозно думаєте засудити страхувальну компанію?

штрафи будуть платити після веєрних нападів представники малого та середнього бізнеса, всі великі контори з адвокатами якось себе від того захистять, бо вони великі

на практике редко когда это дойдет до суда — компания обязана удалить данные по требованию клиента в течение 1 месяца со дня обращения. причем не только из своей базы, но и изо всех мест куда они их передали. если не удалят и звонки будут продолжаться — тогда уже можно обращаться в суд

они это обязаны сделать и без GDPR — zakon2.rada.gov.ua/laws/show/2297-17 под угрозой штрафов (не таких больших, но при достаточном количестве обращений существенных) zakon5.rada.gov.ua/laws/show/3454-17

Вы описали классический случай воровства базы адресов.

не воровство а нарушение добросовестного использования (fair use в западном законодательстве).
клиент сам добровольно предоставил данные. но только для конкретной цели, а не для чего-то еще

Чего-то еще в описанном случае было бы если бы сам банк начал названивать клиенту предлагая платежные карты или депозиты.

Так сейчас же бланк согласия обезличен. Для всех целей по умолчанию.

Фантазирую на тему: в случае обнаружения факта наличия ваших ПД у юрлица которому вы их не предоставляли пишите два письма. Одно юрлицу с требованием немедленно удалить ваши ПД. Второе еврокомиссару про сам факт. Пока все.
Также себя вести в случае рекламного спама от банков, магазинов, пр.

Що, серйозно на трейнінгу так і сказали? Поганий трейнінг. Викинули гроші.

все что нужно разработчикам я узнал. И что не так? Вы хоть читали этот ГДПР или одна бабка нашептала?

Расскажите мне как разработчик разработчику что есть ПД. Как определить когда определенный набор байтов ПД, а когда просто набор байтов.

программистским языком - ПД это уникальный ключ, по которому можно идентифицировать личность человека. например "Vitaliy Berdinskikh Software Engineer в EPAM". а вот Вася Пупкин участник форума Прекрасное IT это не ПД. Не являются ПД любые идентификаторы, никнеймы и тд, присвоенные в компьютерной системе без указания реальных имен и по которым нельзя определить личность

в GDPR The principles of data protection should apply to any information concerning an identified or identifiable natural person. ... 1.26 Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them. Т.е. все следы и их комбинации, позволяющие идентифицировать человека при повторном заходе, должны защищаться как ПД. www.defcon.org/...​ckersley-Panopticlick.pdf Не про GDPR, но хорошо демонстрирует, насколько уникален браузер каждого. panopticlick.eff.org — демонстрация работы. Представим теперь, что здесь и на Уютном айти эти данные собираются в лог (там десятки бит на браузер, незаметно передать элементарно). А также что у Макса появился доступ к аналогичным логам на Уютном. Все — персональные данные Васи Пупкина надежно связаны с личностью и персональными данными здесь.

уникален браузер каждого.

человека или ОС?

человека — у меня показало уникальность среди полутора миллиона с чем-то зашедших туда проверить — Your browser fingerprint appears to be unique among the 1,579,388 tested so far. Currently, we estimate that your browser has a fingerprint that conveys at least 20.59 bits of identifying information. И это без учета айпи и много чего еще, что можно предпринять для деанонимизации. Впрочем, библиотека старая и опенсорсная, можно проверить, установив на сайте github.com/Valve/fingerprintjs2 (пока не наступило 28 число, бгг).

Vitaliy Berdinskikh

и только в том случае если в ЕРАМ не работает еще один Vitaliy Berdinskikh. Мало ли)

GDPR — обширная тема, которую нужно детально изучать.

Самое время за неделю +1 день до Часа Ч ))

К тому же применение этого регламента, в отличие от любого другого закона, требует внимания не только со стороны менеджмента компании, но и технических специалистов.

Ни разу не так чОрным по бИлому написано «регламент в первую очередь за регламент который нужно прописать как регламент и в первую очередь вести все записи по регламенту» а как именно оно технически реализовано дело настолько десятое...

Впрочем таки да понятно на технических специалистов уважаемые насяльника и повесят ))

— Я думаю, что регламент будет неоднократно меняться. Поэтому, вы можете спокойно начинать изучение этого вопроса сейчас и следить за дальнейшим развитием событий.
— Мне кажется, что в организации должна быть «рабочая группа», в которую войдут специалисты из разных отраслей (включая, конечно же, технических) для того, чтобы вместе внедрить необходимые изменения: кто — на техническом, а кто — на правовом уровне.

от мріяли організації всього світу

должна быть «рабочая группа», в которую войдут специалисты из разных отраслей (включая, конечно же, технических) для того, чтобы вместе внедрить необходимые изменения: кто — на техническом, а кто — на правовом уровне.

тепер хоч буде чим зайнятись

Я не лоббирую закон, просто делюсь информацией, которую мы собрали в процессе его изучения. Вы не должны после прочтения этой статьи бросать все свои дела и создавать «рабочие группы», и так далее. Никто, я думаю, до конца еще не знает, как это будет работать на практике.

і до речі, це європейський закон — там тепер щоб щось змінити, треба щоб почали вити представники декількох країн, потім будуть довго домовлятись і тп

Ну, мы же никуда не спешим? Даже статьи не пишутся с первого раза, не говоря уже о законах. Главное, чтобы они там не договаривались так, как в Раде ;)

он принят в окончательной редакции 14 апреля 2016, но вой до сих пор не поднялся. И вряд ли поднимется, т.к. GDPR не угрожает рейтингу политиков. Он же составлен так, что подвести под штраф можно кого угодно, но при этом если штрафовать точечно — массовых протестов не будет, будет наоборот поддержка.

Статья хорошая для тех, кто вообще ничего не знает о GDPR, т.к. сам закон гораздо обширнее и в каждом конкретном случае нужно изучать его в контексте конкретного бизнеса или даже активности.

Да, рассказать об особенностях регламента в одной статье — очень сложно. А унифицировать подход к его имплементации — невозможно. Нужно обязательно рассматривать GDPR в разрезе каждой, связанной со сбором или обработкой данных, активности отдельно.

GDRP вбиває проекти:

www.ituade.com.ua/...​eyskyh-korystuvachiv-id25
www.ituade.com.ua/...​v-klout-zakryvaetsya-id28

хотіли як краще (і то не факт), а вийшло так, що великі концерни і так все зроблять бо у них купа бабла i адвокатів, а малі фірми будут тільки допісувать черговий cookie button, export button etc.

GDRP вбиває проекти:

Ну да конечно биднэньки проэкты...

Сам сервіс безкоштовний, а бізнес-модель дозволяє продавати не персональні данні користувача для рекламодавців.
Проект з’явився на світ ще 2008-го року і обробляв дані з Facebook, Google+, Instagram, LinkedIn, Twitter, YouTube та Wikipedia, щоб вирахувати так званий Klout score — міру впливу людини в інтернеті за шкалою від 1 до 100.

А Цукерман сидит такой перед комиссией конкресса потеет и думает «за что!? не продавал я они сами пришёл!!!» (к) (тм)

більшість інтернету десь так само «безкоштовні»

Це ледь не галузевий стандарт, що ми даємо тобі безкоштовно новини, сервіс, досуг і тп, а ти дивишся нашу рекламу для тебе

Потім приходит EU, де через бюрократів не може взлетіти ні один проєкт (StudiVZ, Lokalisten etc.), і робить тіпа правила для всього світу

більшість інтернету десь так само «безкоштовні»

Типа по паспорту? Товарищ лейтенант у вас методичка не той стороной повёрнута!

Юристы хотели чтобы они были востребованы еще больше. Никто не хотел «как лучше».

Предвестником этого был совершенно бесполезный cookie law.

Підписатись на коментарі