Care.Card UX Contest: React Native + UX Design for better healthcare. Join Now & Win 100 000 SOLVE!
×Закрыть

Что вам стоит знать о GDPR

Чем чаще упоминают Общий регламент по защите данных (англ. General Data Protection Regulation, GDPR), тем больше появляется трактовок и многочисленных версий законодательства, и тем сложнее становится разобраться и эффективно применить эту информацию на практике.

На самом деле именно на принятие необходимости, изучение и понимание этого вопроса уходит половина отведенного на эту активность времени. Railsware, успешно преодолев этот этап, находится на финальной стадии внедрения принципов GDPR. Хотим поделиться опытом еще и потому, что у нас была возможность пройти этот процесс от А до Я не только как консалтанси, но и как продуктовая компания — внедрив GDPR на Mailtrap, а также Smart Checklist плагине для Jira.

В этой статье я расскажу о своем понимании GDPR, а также попробую спрогнозировать дальнейшее развитие темы защиты персональных данных и ее влияние на IT-рынок в целом.

Стоит ли бояться GDPR

Кажется, что главный вопрос, который мучает представителей постсоветских стран — «бояться или не бояться» данного положения. На самом же деле «страшным» является только то, что многие обсуждают эту тему именно в таком ключе.

Вам нечего бояться, если вы:

  • Не покупаете списки email адресов и не делаете холодных рассылок.
  • Открыто говорите о типах персональной информации, которую собираете, то есть предупреждаете посетителей сайта с помощью всплывающих окон о политике конфиденциальности (Privacy Policy), положении, описывающем все cookie-файлы (Use of Cookies, Navigational Information Statement). В этих документах человек сможет прочесть, какие именно персональные данные вы собираете, с какой целью, на какой срок, а также узнать о своих правах.
  • Не запрашиваете у пользователей ненужные для работы продукта или предоставления услуг данные.
  • Обеспечиваете должный уровень сохранности данных, то есть:
    • стараетесь использовать шифрование чувствительных данных;
    • внимательно следите за тем, чтобы чувствительные данные не попадали в логи в чистом виде;
    • по возможности, ограничиваете доступ к продакшен-базе.
  • Предоставляете клиентам возможность «отписаться» от рассылок.

Еще одно заблуждение связано с тем, что главной целью GDPR является наложение административных штрафов на бизнес. При этом мало кто обращает внимание на то, что озвучив такие меры, GDPR вызвал переполох и заставил мировых лидеров (Google Inc., Hubspot Inc., Apple Inc., Amazon.com Inc., Atlassian Inc.) пересмотреть свои подходы к защите не только персональных данных, но и к обеспечению целостности и надежности хранения информации в целом.

Почему GDPR-ом интересуются не только в ЕС

Итак, давайте разберемся, кто же должен внедрять GDPR. Ознакомившись с текстом регламента, я пришла к выводу, что это должны быть компании, которые:

  • имеют постоянного представительства в ЕС;
  • не имеют постоянного представительства, но обрабатывают персональные данные людей (субъектов персональных данных), которые находятся в одной из стран ЕС и могут иметь гражданство другого государства;
  • сотрудничают с организациями, которые уже имплементировали GDPR и для сохранения своего статуса обязаны выбирать подрядчика по тому же принципу.

Очевидно, что такие условия помогут GDPR-у быстро и с легкостью распространиться далеко за пределы одного экономико-политического объединения. И, таким образом, вывести права человека на защиту персональных данных на новый уровень во всем мире.

С чего начать

Первое, что я советовала бы сделать, — все-таки прочитать положение и выделить главные моменты для своей организации. Во время изучения GDPR, мы обратили особое внимание на несколько пунктов:

  1. GDPR представил расширенную трактовку персональных данных, которая теперь включает в себя информацию, относящуюся не только к идентифицированному (identified) физическому лицу, но и к тому, которое можно идентифицировать по косвенным признакам (identifiable). Таким образом, концепция персональных данных дополнилась такой информацией, как Client ID и User ID (online identifier), месторасположением и другими факторами, которые имеют отношение к физическому, физиологическому, генетическому, экономическому, культурному и другим отождествлениям человека (личности). В общем этот пункт не вызвал особых проблем, а, скорее, внес ясность, которую мы постарались отразить в официальных документах компании (Privacy Policy, Navigational Information Statement).
  2. GDPR установил четкие требования к персональным данным. Они должны быть корректными, актуальными и собираться лишь в том количестве, которое необходимо для работы продукта, предоставления услуги, либо достижения любой другой цели, для которой они запрашивались. Также положение рекомендует сократить сроки хранения этой информации до минимума. Для этого стоит установить четкий временной промежуток, по истечении которого все данные будут пересматриваться (groomed) или удаляться. Этот вопрос вызвал немало споров внутри нашей компании, поскольку такой подход противоречил бытующему мнению, что любые данные — одинаково полезны. В результате мы пересмотрели объемы и сроки хранения персональной информации (а также сроки хранения логов, бекапов и информации в аналитических системах, Google Analytics) и отобразили эти изменения в политике хранения данных (Data Retention Policy).
  3. В регламенте есть интересная статья (№ 13, стр. 8), которая, если перевести дословно, говорит, что «регламент включает послабления относительно ведения учета для организаций с менее чем 250 сотрудниками». При этом каждое государство-член ЕС должно принимать необходимые меры по применению регламента на местах. В Польше, например, пытались использовать эту статью и освободить малый бизнес от необходимости соответствовать принципам GDPR, что прилежно обозначили в драфте польского Закона «О защите информации» (Data Protection Act, «DPA»). Но после многочисленных дебатов раздел убрали, а закон отправили на согласование.

Несмотря на существование этого пункта, я бы не советовала игнорировать тему GDPR только потому, что в вашей компании, скажем, 50 сотрудников. Напротив, лучше привлечь юристов, которые, изучив ваш конкретный случай, смогут дать дельный совет.

Как GDPR повлияет на разработку

Авторы положения говорят о том, что стремительное развитие технологий привело к небывалым масштабам роста сбора персональной информации во всем мире. Почти каждый продукт или сервис в любой точке земного шара может беспрепятственно и на свое усмотрение собирать и использовать данные физических лиц. Поэтому GDPR напоминает о необходимости использования на практике уже известных нам концепций «privacy by design» и «privacy by default».

Концепция «privacy by design» применима к каждой, связанной со сбором и обработкой персональных данных, активности внутри компании. Данный подход встречается и в дальнейшем повлияет на процессы планирования и разработки продукта, а также становления таких направлений, как маркетинг, продажи, рекрутинг и т. д.

«Privacy by design» призывает минимизировать сбор персональной информации, необходимой для работы любого продукта, сервиса или проекта внутри компании. Для этого перед началом какого-либо процесса GDPR рекомендует оценить риски, которым будет подвержен человек (субъект персональных данных) в результате сбора и обработки вашим ресурсом (отделом, сотрудниками) его персональной информации (Data Privacy Impact Assessment). В дальнейшем проведение таких аудитов можно интегрировать в процесс управления проектами и при необходимости повторять на каждом следующем этапе развития проекта.

Подтверждением тому, что вы в своей практике следуете этому принципу может быть внутренний документ или процедура, сертификат, инструкция или письменный приказ от имени владельца (руководителя) компании, либо лица, ответственного за организацию обработки персональных данных.

«Privacy by default», в свою очередь, призывает владельцев продуктов и услуг собирать и обрабатывать лишь необходимую для работы сервиса или приложения информацию. А также хранить ее до момента, пока человек продолжает пользоваться этим продуктом или услугой.

В данном случае GDPR, скорее всего, подталкивает нас к «осознанному стремлению» следовать данным принципам на практике, которое, в будущем, приведет к полному переходу и 100%-му выполнению требований регламента.

Что кардинально изменится в работе с персональными данными

Самое большое изменение, которое произойдет в вашей организации после имплементации GDPR, будет не появление новых правил и политик, а пересмотр отношения к персональным данным и их защите.

А именно:

  • Компании почувствуют возросшую ответственность за сбор, обработку и хранение данных.
  • Большое количество данных — уже не будет равняться «хорошему результату», а будет, скорее всего, подразумевать незнание и неумение эффективно использовать их в своей работе.
  • Разработка продукта или сервиса будет начинаться с продумывания и оценки влияния и рисков для данных уже до, а не после релиза.
  • Каждый сотрудник, который имеет доступ к персональной информации будет осведомлен о правилах и поэтому будет уже осознанно заботиться о сохранности персональных данных, тем самым соблюдая базовые правила по их защите.

Выводы

GDPR — обширная тема, которую нужно детально изучать. К тому же применение этого регламента, в отличие от любого другого закона, требует внимания не только со стороны менеджмента компании, но и технических специалистов.

Мы составили один план по имплементации GDPR для продуктов и консалтанси. Но уже в процессе адаптировали каждый его пункт под конкретный проект исходя из:

  • Количества клиентов/лидов и их географии.
  • Объемов данных, которые продукт или консалтанси собирает и обрабатывает.
  • Активностей, связанных со сбором данных. В консалтанси, например, у нас также хорошо развито направление рекрутинга и HR, которое активно собирает и обрабатывает персональные данные аппликантов.
  • Каналов, через которые эти данные поступают. Railsware консалтанси получает данные лидов через заполненную на сайте форму, тогда как соискатели могут отправлять нам свои резюме и через другие сайты и платформы. А Smart Checklist for Jira получает лишь минимальное количество данных, потому что основной объем информации собирает и обрабатывает сама Jira.

А процесс планирования был лишь вершиной айсберга... Как говорится в одном известном высказывании «Незнание закона не освобождает от ответственности. А вот знание нередко освобождает».

Удачи!

LinkedIn

Лучшие комментарии пропустить

вот такой кейс мы недавно разбирали в кружке юных DPA

если кто-то оставит свой биологический материал вас на лужайке. то вы как владелец земли становитесь администратором персональных данных ведь на основание биологического материала можно идентифицировать личность особенно если личность была в поле зрения камер/людей в момент оставления биологического материала у вас во дворе

356 комментариев

Подписаться на комментарииОтписаться от комментариев Комментарии могут оставлять только пользователи с подтвержденными аккаунтами.

Пока одни дизайнеры плюются как попап портит дизайн и мешает жить, другие дизайнят симпатичный и оригинальный попап (правда темный попап не сильно заметен из-за темной иллюстрации) screenshots.gennady.pp.ua/20180710_81a100dd6.png

Ну что, уважаемые любители GDPR, вас еще не достало щелкать на каждом сайте «согласен», «перейти на сайт»? Везде ли вы читаете всю ту информацию что показывается на баннере, включая подробное описание cookies? :D

раньше было согласен, перейти. Теперь еще хотите ли персонализированную рекламу и т.п.

Теоретические способы обхода ГДПР: Five loopholes in the GDPR medium.com/...​-in-the-gdpr-367443c4248b

Зря в GDPR не придумали штраф за полиси на 46 экранов pbs.twimg.com/...​media/Deb9TQ1XkAElOqq.jpg

Это блин мобильная игра. Пока полиси дочитаешь — батарея сядет.

Они еще сжалились и кнопка Confirm доступна уже с первой страницы. Могли заставить пролистать до конца.

тю... у гугла трохи менша, зато з відеовставками, щоб не було скучно :)

такие полиси — частичный результат законов типа гдпр)

Да. Только кто это читает — я хз. Вот даже если там сказано что они продадут мой имейл во все спам-базы — я об этом не узнаю, так как читать такую тонну текста не стал.

твои проблемы. (наши)
у любого сервиса есть контракт. что бы обезопасить себя от всяких требований — я тоже нарисую огромную простыню, пусть читают, это контракт об использовании

Прогрессивный вариант это исправить — типизация, как с лицензией.
Мы предоставляем сервис по шаблону контракта ъъъъ12, так будет проще понимать различия

Так мне кажется в гдпр где-то было про то что должно быть написано доступным языком. Но мне наверное приснилось.

а что такое доступный язык? чмоки чмоки уважаемый пользователь?
контракт есть контракт, пусть закон тогда напишут доступным языком

Ну то что во всех юзер агриментах и полисях точно не относится к доступному. Когда в начале суют список определений, обозначения сторон и всё прочее по лучшим юридическим практикам. Это утомляет.

Где-то (уж не помню где) я видел вариант что пользователю показывается Summary (не очень длинно и очень понятно) и ссылка на полный агримент. Мне (как пользователю) нравится такой вариант. Хотя насколько это правильно с юридической точки зрения — хз, может быть неправильно совсем.

Но я собственно к тому что нифига не добился этот гдпр и мы по-прежнему не знаем что там делают с нашими данными, потому что это записывается юридическим языком в длиннющих документах. И средний пользователь не может себе позволить прочесть этот legal agreement с каждым сайтом/приложением, которым хочет воспользоваться. Это идет против реалий нашего века, когда приложений и сайтов миллион, и в момент регистрации ты даже не знаешь подойдет оно тебе или нет.

Надо лишь добавить пару кнопочек ©

The International Association of Privacy Professionals (IAPP) forecast ... that Fortune’s Global 500 companies will spend close to $8 bln in order to ensure they are compliant with the GDPR

Наверное фронтенды сейчас просто дорогие, по миллиону за кнопочку берут. Блин, надо бы себе рейт повысить, а то что я как лох.

так, зарисовка:
вот заюзал я этот гдпр чисто в корыстных целях и прекрасно понимаю что переложил свои расходы на твиттер
Нужно мне удалить 24к твитов, скриптами легко удаляется 3200 а потому система заглючивает, кое как 8к удалил, и дальше в выдаче API оставшиейся 16к вообще не показывает, их как будто нет
Вот заказал архив всех своих данных, уже часа два архив готовитсяу них, оттуда вытащу айдишки если они там будут и циклом все удалю по айди.

В общем — такой себе юзкейс, ужасный закон

муа-ха-ха-ха...
тобто, мяу :)

кста, до сих пор нет апдейта статуса, еще генерят

Немного шуток на тему

He’s making a list
He’s checking it twice
He’s gonna find out who’s naughty or nice
Santa Claus is in contravention of article 4 of the General Data Protection Regulation (EU) 2016/679

digiday.com/...​-jokes-make-pain-go-away

It makes my day

— Do you know a good GDPR consultant?
— Yes.
— Can you pass me their email address?
— No.

Facebook-у надо б было самому создать такую группу леворюционеров, чтобы доказать абсурдность GDPR.

Вот кстати интересный, хоть и риторический, вопрос.

А чего ж эти герои-сутяжники не подали до сих пор иски к archive.org? Вот уж кто нарушитель, так нарушитель: гребет ПД без спросу и всячески их обрабатывает, еще и раздает неограниченному кругу лиц.

1. это non-profit архив, подпадает под исключение.
2. в правилах пользования четко прописано — Access to the Archive’s Collections is provided at no cost to you and is granted for scholarship and research purposes only.
3. archive.org/...​site-from-wayback-machine — удалить данные можно по запросу здесь или на имейл админам.

Не вижу в тексте закона слова non-profit, вообще не вижу ни одного упоминания иключений для организаций (кроме государственных и то только в случае когда им это позволяет иной закон). Есть лишь для тех кто у нас называется физ.лица, но опять же когда они собираются ПД «для себя», а не выставляют публично в сети.

Персональные данные не перестают быть ПД если они собраны не с коммерческой целью. И даже если есть возможность удалить собранные ПД то сам факт сбора ПД без согласия — уже нарушение GDPR.

Article 14
Information to be provided where personal data have not been obtained from the data subject
...
5 Paragraphs 1 to 4 shall not apply where and insofar as:
...
(b) ... in particular for processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes

Тоесть с непрофит не прокатило, забудем, а попробуем сказать что это паблик интерес.

Ну давайте. Там ссылка на статью 89 о том что архив созданный ради паблик интерес должен выполянть следующее условие:

Those safeguards shall ensure that technical and organisational measures are in place in particular in order to ensure respect for the principle of data minimisation. Those measures may include pseudonymisation provided that those purposes can be fulfilled in that manner.

Тут вот люди радующиеся GDPR радуюются собственно потому что биг-корпорации не смогут более манипулировать их данными. А archive.org предоставляет такую возможность любому желающему. Даже какому-нибудь чикатиле или какой-нибудь алькаиде. Потому что тупо копия без какой-либо псевдонимизации. Если нас искренне беспокоит вопрос того что Facebook передал данные какому-то аналитическому агенству не спросив об этом пользователей то почему вопрос тотального сбора информации на archive.org остается вне нашего поля зрения? Как то странно выглядит, прям как у классиков: «тут не играем, это рыбу заворачивали».

в 89 есть пункт 3, о том что возможны отступления для публичных архивов, если анонимизация противоречит целям или делает невозможным их достижение. Если на сохраненных страницах все имена будут заменены на случайные — очевидно же, что цель не достигнута, т.к. защита данных касается только живых людей, и искажение в архиве приведет к его непригодности. Но это очевидно нам, насчет авторов GDPR не уверен.

нет никаких исклчений ни для нон профит ни для фопов
только для тех кто будет использовать данные в бытовых целях, типа визитку стоматолога хранишь.
все остальные — подпадают

non-profit архив — частный случай, это не любая non-profit компания, см. мой коммент выше. Для просто non-profit да, исключений нет

Вот так)
Все правильно фб сделал

Facebook has even blocked accounts of users who have not given consent. In the end users only had the choice to delete the account or hit the ‘agree’ button—that’s not a free choice; it more reminds of a North Korean election process," said Schrems in a statement. "Many users do not know yet that this annoying way of pushing people to consent is actually forbidden under GDPR in most cases.

Так что пока не факт, что правильно

Это же не слова судьи. И не слова депутата или чиновника контролирующего исполнение GDPR.

Во многих случаях (соцсети и ФБ в том числе) использовать сервис можно только после согласия на передачу ПД.

Пример из реальной жизни: нельзя забронировать/арендовать/купить квартиру не передав второй стороне и посредникам, если они есть, свои ПД в виде имени и фамилии. Нельзя вызвать такси не указав адреса куда приехать (тоже ПД, особенно в связке с номером телефона), а на добавку многие откажут также если не указать второй адрес — куда ехать..

Не хочет посетитель сайта передавать ПД — его право. Но и сайт заточенный под работу с ПД в праве отказать посетителю в услуге дав ему возможность разглядывать только give me consent pop-up.

Это же не слова судьи. И не слова депутата или чиновника контролирующего исполнение GDPR.

Поэтому фб могут оказаться как правы, так и неправы

не, с этим обломятся,я в курсе что эти умалишенные даже в законе прописали что якобы я теперь им в сервисе не могу отказать (могу!)
это какой то театр абсурда — вот наши правила,вы должны им следовать если хотите что бы мы пользовались вашим сервисом! вы не хотите что бы мы пользовались вашим сервисом? вы на это не имеет права, мы можем пользоваться всем чем захотим.
Пусть тратять деньги на суды, их пошлют ооочень далеко и еще и возместят убытки за судебные разбирательства

Хорошо если так, но пока не факт

Интересно, как этот закон повлияет на отношение пользователей к своим данным в долгосрочной перспективе? Не выйдет ли так что все привыкнут к right to be forgotten и начнут бездумно оставлять свои данные где угодно?

right to be forgotten діє не завжди — є ціла купа випадків, коли цей right не застосовується: фінансові відносини, позички у банках і ще інші (про які треба шукати, бо не знаю ;) )

Это я знаю, но я не про банки. Я про то что пользователи могут привыкнуть что с сайта соцсети или с форума можно данные потребовать удалить и станут менее бдительными при предоставлении данных. То есть закон немного воспитает бизнес (склонит к шифрованию и т.д.), но не будет способствовать воспитанию пользователей (ведь всё можно потребовать удалить, зачем думать над тем что оставляешь в сети).

Сегодня и вчера прям волна писем с апдейтами полисей от различных сайтов и приложений.

Ну что, запрещаем в ЕС github, gitlab, bitbucket и штрафуем, штрафуем, штрафуем? :D

law.stackexchange.com/...​ns/24623/gdpr-git-history

Is name, surname and email in the Git commit history a personal information according to the coming GDPR (General Data Protection Regulation) and is there any special treatment required?

Git is a distributed system and therefore it is probably impossible to have a complete control of it — especially for opensource projects.

ПМСМ этот закон какой-то эпик-фейл европейской бюрократии: его писали совершенно не учитывая реалии окружающего мира опираясь на какие-то непонятные даже самим авторам благие намерения.

полностью согласен, это очень похоже на подход «все запретить!», просто обернуто в какой то странный либеральный пакетик с нечистотами

А размытость формулировок поражает, надеюсь гитхаб закроет европейцам доступ

Там в комментариях пишут что типа есть решение как удалить имя из коммита. И даже как удалить имя из файла, хотя это и ломает репозиторий.

Но еще есть Maven Central с подписанными jar. Да думаю еще можно много чего такого же найти.

причем это огромный гемор для бесплатного сервиса, когда огромное колличество средств тратиться на полностью шаровое предоставление сервиса всем желающим. Нет, давайте им всем покажем кто тут главный)))
Платный гитхаб в меньшинстве если не ошибаюсь (хотя у самого платная подписка)

problem solved
<div> <input type="checkbox" id="EUGDPR" required /> <label for="EUGDPR" style="display: inline-block">I'm not EU Citizen or EU Resident or in the European Union</label> </div>

По-моему,

or in the European Union

лишнее. Факт нахождения в отпуске в ЕС например не значит что на него сразу распространяется GDPR. Кроме того, коррекна ли такая формулировка с юридической точки зрения? Есть ли такое понятие, как EU Citizen?

вот в том то и дело что последняя часть самая важная
ВОт что написано в законе
This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:
— the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or
— the monitoring of their behaviour as far as their behaviour takes place within the Union.
Отпуск подпадает под определение

Непонятно, тем не менее, что такое

in the Union

Имеются в виду граждане или резиденты или достаточно прокси-сервера в Европе.

так а думаешь почему я так возмущен, закон полнейшее говно, вот это официальная формулировка, любой кто серфит находясь в ЕУ — подпадает под закон, исходя из этой формулировки

Да, мне тоже дико не нравятся их формулировки. Рай для юристов, но для всех остальных ад.

Citizenship of the European Union is enshrined in the EU Treaty: ’Every person holding the nationality of a member state shall be a citizen of the Union. Citizenship of the Union shall be additional to and not replace national citizenship’.

ну и конечно в термс оф сервис запретить пользоваться сервисом этим же категориям

Я как-то в интернете прочитал про пару американских сервисов для инвестиций и торговли акциями (там было приложение где можно торговать маленькими суммами без комиссии). Обидно было читать их термс, в которых было указано что сервисы только для резидентов США.

все равно не открыли бы акаунт без ССН

Аналогично наш ING, первый вопрос, являешься ли ты US person, если да, то давай досвиданья

в статье о том, насколько компании [не]готовы к GDPR есть куча весёлых моментов:

„There are some companies we’ve talked to, where they say, ‘Are you kidding? If we told them how we were using their data, they’d never give it to us in the first place,’” Straight says.
To put that in perspective, a 4 percent fine on Amazon would be $7 billion. (Interestingly, since a company like Amazon reports huge revenues and relatively small profits, a 4 percent fine could cost them over two years of profit.)

Готовы слушать Марка перед евро комиссией?)

Делаем ставки, будут ли задавать такие же дебильные вопросы, как ранее американские сенаторы?)

пока вроде норм, довольные рожи своим гдпр)))

Вот были бы в украинском законе точно такие же санкции честко прописанные — Монобанк и Ингосстрах уже бы попали на заметные штрафы. А так нарушение очевидно, а наказать за него долго и марудно.

И не только.

Сегодня прилетел инвайт на местное событие. Вроде и событие интересное, но ... я не оставлял фирме проводящей мероприятие свой e-mail.

Вот-вот-вот. Хотя закон принят уже.

Хихихи
Вначале пусть пришлют копию своих еу документов)))

1The controller shall facilitate the exercise of data subject rights under Articles 15 to 22. 2In the cases referred to in Article 11(2), the controller shall not refuse to act on the request of the data subject for exercising his or her rights under Articles 15 to 22, unless the controller demonstrates that it is not in a position to identify the data subject.

Without prejudice to Article 11, where the controller has reasonable doubts concerning the identity of the natural person making the request referred to in Articles 15 to 21, the controller may request the provision of additional information necessary to confirm the identity of the data subject.

такой вопрос, достаточно ли будет чекбокса при регистрации с «я подтверждаю что не являюсь резидентом ЕУ» и соответствующие рестрикты в термс оф сервис, что бы не усложнять все с геоайпи?
Реалзиация геоайпи и проверок при регистрации уж точно не является первостепенной задачей, что б они сдохли))

А разве закон предоставляет право гражданину ЕС отказаться от защиты своих прав? Не слышал о таком. Думаю будь такой пункт о нем бы на каждом углу говорили.

Ну работает же это для малолеток, возрастные ограничение. Этого должно быть достаточно для обжалования, ему сообщили что сервис не предназначен для европейских пользователей, он соврал отметив чекбокс что он не является резидентом еу — нах с пляжа

при наличии на сайте публичной оферты не прокатит точно :) по самой сути этого документа.

камон, у фейсбука стоят точно такие же правила в термсах, должно работать
www.facebook.com/terms.php
кучу ограничений в том числе и по возрасту.
Это по прежнему частный сервис и правила принадлежат владельцу сервиса

пользовательское соглашение и публичная оферта — сильно разные вещи. Первое заключается с пользователями и регламентирует правила, вторая — обязательство оказать услуги или продать товар любому дееспособному совершеннолетнему человеку. В этом весь ее смысл, что продавцу нельзя отказать по своему желанию никому. Про оферту написал, т.к. чаще всего у нас сайты — это е-комерц, а там она используется гораздо чаще, чем пользовательское соглашение.

Ааа, понял, спасибо за разьяснение

GeoIP теж мало допоможе, бо залізуть через впн :)

Збирай, аналізуй дату і як тільки зрозумієш, що з того боку — резидент ЄС терміново блокуй йому доступ і видаляй всю пріват дату, не забувши відправити клієнту бандероль з дискетами

та норм, запрет в правилах на использование и никто не пострадает, все в выиграше)

та нє, якшо в органах контролю такі звірі, як тут пишуть, то необхідно докласти всіх розумних зусиль аби резиденти ЄС не могли користуватися сервісом :)

Да ты просто тупишь) представь что у тебя дилемма, вложить в неприбыльный сайт 20-40к баксов и время что бы соответствовать gdpr, или иметь маленький шанс, допустим 0.01% залететь на лимон штрафа не делая ничего предосудительного.
Само наличие дилемы- херня

Це перший раз на лімон :) а всі наступні будуть з 100% ймовірністю. Там же нібито звірі, які максимізують надходження зі штрафів

От вже з приводу звірів не треба іронізувати. Якщо б ви в Україні були — я б вам розповів, як ще до gdpr в Німеччині за відсутній Імпресум штрафують ФОПи з сайтами з 1,5 відвідувачів на день, як проходять суди, і чим все закінчується. Але ж в Німеччині ви і самі це маєте знати.

А геоайпи и не нужен. Проще и безопаснее работать по GDPR со всеми клиентами. Геоайпи не идеален, да и вообще если клиент из Европы сидит через прокси-сервер, это не значит что закон перестает действовать. А за работу по GDPR с клиентами не из Европы штраф никто не затребует.

Как раз в GDPR особо оговорено что ограничивать сервис низзяяяя.

Кинь цитату, они не могут мне диктовать кому предоставлять сервис а кому нет

ico.org.uk/...​s-for-processing/consent
“Consent should be separate from other terms and conditions and should not generally be a precondition of signing up to a service.”

Это про другое совсем, я имею право отказывать в сервисе кому угодно

and should not generally be a precondition

«взагалі-то вам не слід відмежовуватись, хоч вам і нав’язали дебільний закон»

я вижу другие цели:
— получить постоянный доход от регистрации мелких фирм, вплоть до ларьков с камерой видеонаблюдения, в которых может купить товар житель ЕС. GDPR предусматривает возложения контроля за исполнением на местную полицию, которая, разумеется, будет рада новым возможностям.
— получить мощные политические рычаги, которые в любой момент можно задействовать. Например, Россия уже заявила, что используют закон для борьбы с сайтом Миротворец. Также можно давить на крупные фирмы, в т.ч. в коррупционных целях.
— не платить пособия и соцпакет на бездельников, которым большие фирмы не из ЕС теперь поручат быть DPA. Те обязанности, которые прописаны для этой должности, выглядят смешно, т.к. бОльшая часть работы по документированию процессов работы с данными и составлению полиси делается единожды юристами, а дальше эта кадровая должность приносит фирме чистый расход на ЗП, который, естественно, все будут минимизировать, набирая самых неквалифицированных.
— ну и, как обычно, все это подхватят дурачки, которые свято верят в идеальность чиновников ЕС, заботящихся о Правах Человека. Человеки — они ж хорошие, а фирмы — злобные капиталисты. Как не проголосовать за политика, который за хороших человечков и против плохих фирм? ну подумаешь, теперь будут жить под угрозой пожизненной выплаты долгов даже одиночки (частных предпринимателей GDPR считает фирмами), за файлик с имейлами, логом с айпишниками или даже именами, или за незарегистрированную камеру наблюдения.

От що тільки ЄС не зробить аби зламати картельну змову українських галєр!

Россия уже заявила, что используют закон для борьбы с сайтом Миротворец.

Какой закон? GDPR никоим образом не касается ни РФ ни Украины.

не платить пособия и соцпакет на бездельников, которым большие фирмы не из ЕС теперь поручат быть DPA

Наличие Data Protection _O_fficer необходимо только при определенных условиях.

получить постоянный доход от регистрации мелких фирм

Регистрации ГДЕ?
Я так потнимаю Вам очень ьстрашно жить в этом мире потому что вокруг сплошные заговоры рептилоидов.

1. на сайте Миротворца есть данные по гржданам ЕС, размещенные там без их согласия. Этого достаточно для попадания под GDPR.
2. я условие написал — большие фирмы. Или 250 человек не подпадет под него?
3. регистрации здесь ico.org.uk/registration/cctv

на сайте Миротворца есть данные по гржданам ЕС, размещенные там без их согласия.

ну тогда может и да, но в GDPR есть условие под кот-е Миротворец может попасть. Вот например ico.org.uk/...​r-processing/public-task

я условие написал — большие фирмы. Или 250 человек не подпадет под него?

Необходимость в DPO диктуется не размером компании, а задачами и объемом денных:
Under the GDPR, you must appoint a DPO if:

you are a public authority (except for courts acting in their judicial capacity);
your core activities require large scale, regular and systematic monitoring of individuals (for example, online behaviour tracking); or
your core activities consist of large scale processing of special categories of data or data relating to criminal convictions and offences.
ico.org.uk/...​data-protection-officers

Насчет CCTV — как я вижу это было уже давно и не связано напрямую GDPR.
Повторюсь — смешно и грусно смотреть на то что люди думают что вот упала планка GDPR кот-я неизвестно откуда взялась. Законы защищающие приватные данные приняты уже давно и во всем цивилизованном мире. И влететь на хороший штраф можно было уже давно. GDPR просто расширил юрисдикцию и прописал конкретику. И все.

на сайте Миротворца есть данные по гржданам ЕС, размещенные там без их согласия. Этого достаточно для попадания под GDPR.

Только кто владелец миротворца у нас до сих пор не решат. ЕС не найдет кому там штраф выписывать и возможно обойдется блокировкой сайта в своих странах.

Регистрации ГДЕ?

В UK при определенных условиях нужно контроллеру данных регистрироваться, и стоит это 35 фунтов в год.

Так это про видеонаблюдение. Не про GDPR.

не только. Вот визард, по которому можно понять, нужно ли регистрироваться контроллеру ico.org.uk/...​register/self-assessment . А сама ссылка на регистрацию здесь — ico.org.uk/registration/new , там цена не знаю какая, но подозреваю что может быть разной в зависимости от выбранных опций, иначе была бы указана.

„You are only processing personal data for the core business purposes. You therefore do not have to register with the ICO.” Как бы и без визарда было понятно.
Мои ответы соотв. деятельности нормальной софотварной конторы.

Сейчас появиться новый вид бизнеса — сидит себе такой кулл хацкер в Бобруйске, взломал какой-нить ресурс из Европы, где есть приватные данные, стянул чутка — для демонстрации — и шантажирует несчастную фирмочку, ибо если всплывет факт утечки — штраф 20М или 4% годового оборота(? или дохода?).
Или не совсем шантажировать, а добровольно-принудительно склонить жертву к платному исправлению найденной уязвимости с ценником 10х

очередной раз левацкие дурачки своей гиперактивностью все сделали наоборот, большим корпорациям и так пофиг, мелоч в перечне из расходов, а всем остальным неслабый такой удар под дых, я теперь должен соответствовать сложным требованиям не имея прибыли или имея 10к прибыли в месяц под угрозой 20мм штрафа, такого абсурда еще не делали, можно поздравить с первой волной) причем нарушения этих правил не всегда зависит от тебя (как в случае с взломом)

сли всплывет факт утечки — штраф 20М

nein

Я боюсь, что этого хаккера ждут большие проблемы в личной жизни.

Смешные вы... Требования о защите персональных данных существуют уже давно. И кулхацкеры бомбят конторы уже давно. Тот же Убер бомбанули сравнительно недавно.

Это ужасный прецедент который потенциально может парализовать всю отрасль.
Ладно еу большой, единые правила
Каждый город, штат, каунти может выпустить свою версию законов для защиты своих резидентов, на весь мир ин йор фейс так сказать

ну якшо кожен може мати АР-15 вдома, то шо тут скажеш

Каждый город, штат, каунти
в африке)

а что города и различные териториальные единицы есть только в США? да и все равно, ар15 имеет такое же отношение к гдпр как и дети в Африке, енджой)

має відношення до

свою версию законов для защиты своих резидентов

:)

понимаешь, есть огромная разница между
— вы находитесь у нас в городе — соблюдайте наши законы
— вы находитесь во всем мире — соблюдайте наши законы, хоть вы и не хотите о нас ни знать
ни ведать

— вы находитесь у нас в городе — соблюдайте наши законы
— вы находитесь во всем мире, ви працюєте з особистими даними наших резидентів, а ми гарантуємо нашим резидентам дотримання їхніх прав і не дуже хочемо будувати від вас, дикунів фаєрвол

ладно я понял что ты считаешь этот закон правильным и тебя не смущает что вскоре может появится 100 таких законов с разными требованиями и тебе как владельцу даже нон профит или опен сорс тулзы (да и просто — блогеру со своим вордпресик сайтом) прийдется им всем соответствовать под угрозой 100*20 000 000 евро штрафа, ясно понятно
даже с текущим законом ты не считаешь что налагать 20М евро штрафов на опенсорс\нонпрофит\обычную кулинарную блогершу по причине того что они хранят айпи адресс в побочных процессах — это абсурд в свободном интернете?

налагать up to 20М евро штрафов

fixed

налагать min 10M max NO LIMIT евро штрафов

fixed
Точнее сразу давайте к первоисточнику

There are two tiers of administrative fines that can be levied:

1) Up to €10 million, or 2% annual global turnover — whichever is higher.
2) Up to €20 million, or 4% annual global turnover — whichever is higher.

давайте к первоисточнику

давайте!
1Administrative fines shall, depending on the circumstances of each individual case, be imposed in addition to, or instead of, measures referred to in points (a) to (h) and (j) of Article 58(2). 2When deciding whether to impose an administrative fine and deciding on the amount of the administrative fine in each individual case due regard shall be given to the following:
....

gdpr-info.eu/art-83-gdpr

хорошо, заменяем — ап ту анлимитед (2-4% от дохода карл, не профита!), так звучит лучше?

я от не розумію в чому у вас проблема з ҐДПР? спека є, можно прочитать і побачити, що вони зверху ліміт накладають щоб якась, наприклад, бельгія на локальному рівні не зробила from 500 Міо або 50% турновер — whichever is smaller

я от не розумію в чому у вас проблема з ҐДПР?

да во всем, вам просто он нравится, вы не ставите себя ни на секунду на сторону исполнителя, это лютый пздц а не закон
Во первых налагать свои цивильные законы на весь мир — это очень опасная практика, я вам привел пример когда 100 разных энтити придумаевт свои правила (от мала до велика, да кто хочет)
Во вторых — самый большой удар этот закон наносить небольшим бизнесам или вообще нон профитам\опенсорсу, что уже намекает на тупость закона, так как волну подняли как раз из-за около-монополистов
В третьих — озвученные цифры штрафов чудовищны по своим обьемам, вы возьмите какой нибудь пример и посчитайте, ах да еще и каждая страна в ЕУ будет по своему эти штрафы толковать

0 нічого лютого нема. треба берегти чужу персональну дату і не роздавати/продавати її на ліво і право без явної згоди на таке власника такої дати

1 сто різних ружей в одній каунті
2 контра: самий більший крон цей закон нанесе по мишам рокерам з марсу. це так само правда
3 оголошені цифри це верхня межа можливого штрафу, який згідно спеки може бути, а може і не бути і при визначені його розміру є речі, які мусять бути прийняті до уваги по списку в статті 83. Ви ж наче до першоджерела пропонували звернутися?

не ну ты реально упоротый)

При чем тут ружья в каунти, это их дело какие законы налагать на свои територии, по вашей немного чокнутой аналогии — представте что они выдадут закон

«Мы требуем защиты наших граждан и будем налагать штрафом любых физических или юридическихз лиц по всему миру, у которых не будет ружья дома во время визита нашего резидента в этот дом\строение. Размер штрафа — не более 10 лимионо или 4% от доходов этого хаусхолда\легал энтити за год. так же у нас есть определенные требования к видам и типам оружия которым вы потенциально будете защищать наших граждан, требования по подготовке персонала, если здание больше 100кв. м — должен быть офицер специальный и тд»

Как тебе такой аргумент, как ты там сказал —

а ми гарантуємо нашим резидентам дотримання їхніх прав і не дуже хочемо будувати

Как тебе такой закон, ведь тоже о своих гражданах пекуться, ну, у них свой взгляд на безопасность, имеют право

у которых не будет сейфа для зберігання ружья

fixed

нет, именно ружья! нет ружья — нечем защитить безопасность резидентов удельного города Х которые у вас гостят!
или вы против что бы наши резиденты были в безопасности по всему миру?

2 контра: самий більший крон цей закон нанесе по мишам рокерам з марсу. це так само правда

ты точно сегодня не пил?
или ты отрицаешь, что любой блогер который поднял себе сайтик с комментами на вордпрессе теперь должен выполнить и контролировать огромное колличества сложных предписаний, иначе штраф ап то 10 лимонов
любой нон профит — туда же
любой начинающий биз — ту да же
опен сорс — ту да же

А вот огромным корпорациям — да им понт это все, у них и так целые отделы следят за комплаенсом, одни законом меньше\больше руководится при разработке — обычное бау

огромное колличества сложных предписаний

як наприклад?

як приклад — юридический и технический анализ для выявления всех несоответствий с этими требвоаниями вот этого огромного документа с расплывчатыми требвоаниями gdpr-info.eu
як приклад — после первого пункта — устранение всех несоответствий, даже если вы всего лишь по умолчанию где то в куки айпи храните — нужно кодить апдейт. А это всего лишь мелкая мелоч
як приклад — нужно технически реализовать все права владельца данных, даже если это был всего лишь айпи — он уже имеет право у вас требовать ВСЕ права указаные в секции 3
як приклад — реализовать вот эту часть gdpr-info.eu/art-32-gdpr
и тд и тп

Это такая странная презумция виновнсти — мне достаточно зайти на сайт один раз, не регаться, ничего — и я могу повесить на владельца сайта огромное колличество задач и на это мне дал право этот тупой закон

Так і якщо ви нє рєгалісь формою ім‘я-прізвище, то по якому набору даних вас можна ідентифікувати?

О так ты ни в чем не разобрался! Айпи считается персональными данными

Сам по собі ні. Спробуйте ідентифікувати персону за допомогою наступного ip:109.42.65.21

обана ты тут решил взывать к здравому смыслу?)
ну нет, раз уж начал по букве закона — так и проодолжай
‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

www.whitecase.com/...​-personal-data-some-cases
eugdprcompliant.com/personal-data

Я могу вычислить твою локацию и провайдера по айпи, это тоже персональные данные

Ну і де тут ip адреса?

а если ты заметил там нет конкретики, айпи адресс полностью подпадает под

can be identified indirectly,
location data,
an online identifier
to the physical,

Там вже є рішення суду за вашим же посиланням коли айпішник є персональною датою. І це не кейс кулінарного блогера з блогом на вордпресі

ну тоесть прецедент есть, спасибо что хоть с этим согласились
вон ты кинул айпишник, раскажи мне что это не индирекли айдентифайс йор локейшн, ага, значит айпи является персональными данными о тебе, спасибо за отличный четкий закон))
geoiplookup.net/ip/109.42.65.21

Дуууже далеко

пофигу. страна город, это персональные данные
этот айпи можно трекать — твой идентификатор

Ну от уявіть що вас ідентифікували в Арканзасі. Ідентифікували достатньо точно?

Конечно, достаточно точно что бы считать это моими персональными данными, это и в законе написано)

Ну ви зараз в Арканзасі?

Я могу вычислить твою локацию

Ні, це рейдомний айпішник

Дай свой) это же не персональные данные по твоему)

109.41.66.75

Тут дуже багато людей довкола і багато з них втичуть в мобіли, дуже ймовірно, деякі з них з того ж самого ip, де я саме знаходився коли постив комєнт?

ну и что, значит ли это что я могу послать все твои требования удалить запись о Виталии Чыхирове потому что это однозначно не определяет ТОЛЬКО тебя и вокруг есть и другие с таким ФИО?
ты или трусики надень или крестик сними, по закону это персональные данные, здравый смысл — это то за что я тут пытаюсь топит, а ты за закон. Если же здравый смысл важнее — тогда закон — полное дерьмо и ставит под удар миллионы законопослушных граждан\мелких бизнесов

Ви з першим айпішніком розберіться. Хто з під нього сидить. Я ж спеціально постив не свій, щоб ви змогли довести що сама по собі ір може когось ідентифікувати

я определил твою локацию. точка. это по закону персональные данные. точка. есть что возразить?

Ні, з локацією ви промазали на 2 км. Вас не смутило, що маркер показує посеред дороги?

нет, в законе нет точных критериев что считается локацией а что нет, точность в два километра вполне нормальная для обозначения вашей локации
джпс координаты тоже не точны до метра, и что?

Як з першим айпішником бути? Бо там наче б то є і локація і айріадреса? Ви можете тільки по цим даним ідентифікувати натурал персон? Бо з моїм айпішником експеримент не може дати результату бо до нього супутні прізвище і ім‘я

слу, тебе поболтать или по закону все таки?
не надо тут здравым смыслом, ты мне закон покажи что 2 км пресижин трекинг не является достаточной точностью для слова ЛОКАЦИЯ
по зравому смыслу я и так знаю что этот закон — ху*та

Вже 10км. Айпішник той самий

3 оголошені цифри це верхня межа можливого штрафу, який згідно спеки може бути, а може і не бути і при визначені його розміру є речі, які мусять бути прийняті до уваги по списку в статті 83. Ви ж наче до першоджерела пропонували звернутися?

окей, вырхняя граница 10 лимонов
они решают ну 120к штраф. бизу который сейчас зарабатывает допустим 3к в месяц. нету больше бизнеса, банкрот
Этот закон убьет именно мелкие бизнеса, потому что мастодонтам эти 20 лямов больно, но не смертельно

А ведь требования ко всем едины, у тебя операционный бюджет 10 лямов или 500 баксов — должен соответствовать

contra

они решают ну 1200 штраф

им нужно кормить комитеты которые будут отвечать за нарушение в каждой стране, штрафы будут огромными, о чем говорит кап, который указан в законе

«Далі закон — вєртісь как хочешь» так по-вашому воно працює?

Конечно, все цивильные иски огромны и раздуты, потому что этот аппарат надо содержать за чей то счет
Наивно полагать что те кто получат возможность обогатиться этого не сделают

Гг, тобто по вашому найбагатші — податківці, а соцслужбовці — продають власні меблі аби працювати?

а по вашему тот кто обратится в комитет\суд из-за якобы нарушений этого закона будет просить 120 евро?

gdpr-info.eu/art-82-gdpr

Той хто зверніться в суд буде вимагати компенсації шкоди, якщо така сталася, і ця компенсація ніяк не пов‘язана з розміром штрафу

ото «уп то» каже, шо то верхня границя — (2x)0Міо або x% annual global turnover

ну ок, вам випишуть штраф у розмірі 7400€

так нормально?

74€

і розходимось

ты либо тролишь и тогда твои комменты можно игнорить, либо очень далек от реальной жизни

Я сє перепрошую. А ви часом AFD не підтримуєте? Сорі за офтоп.

Придивляюся до die PARTEI

Це абсолютно нічого не пояснює. Якби всі на основі таких даних робите такі далекосяжні висновки, то, дійсно, гдпр був би не потрібен

вот такой кейс мы недавно разбирали в кружке юных DPA

если кто-то оставит свой биологический материал вас на лужайке. то вы как владелец земли становитесь администратором персональных данных ведь на основание биологического материала можно идентифицировать личность особенно если личность была в поле зрения камер/людей в момент оставления биологического материала у вас во дворе

А не является ли такой материал псевдоанонимизированным?

нет только если он не смешан с материалами других личностей

І, до речі, якщо хтось не в курсі, то закон стосується не тільки онлайну, а й офлайну теж. Фактично за законом, якщо ви взяли в когось візитну картку (це нормально, бо людина передала її добровільно), а потім занесли дані з візитки в контакти (не має значення онлайн, чи офлайн ручкою записали) без додаткової згоди власника візитки — то це вже порушення закону. Бо це неузгодженне зберігання даних. Сумніваюсь, що за це реально когось притягнуть до відповідальності, але якщо закон в 2018 році залишає таку можливість, то це, я б сказав, не дуже добрий закон.

якраз зранку про це писали на welt.de з посиланням bitkom адвокатів :)

А, ну я там же і читав )))) Там ще про вотсап в тій статті було )

лучше б приняли какой-нибудь General Silence Protection Regulation: открываю сайт, а без моего согласия запускается видеоролик орущий так что слышно из лежащих на столе наушников (благо они были включены).

Знайомі фотографи в Європі, до речі, зараз в паниці, бо якщо розглядати закон, то формально зробити фотографію, на якій відображена людина, в якої можна розрізнити колір шкіри, то вам вже потрібно брати дозвіл в цієї людини. Бо по закону дані, по яким можна ідентифікувати людину не можна не тільки розповсюджувати, а й зберігати. А до таких даних (по закону ж) відносяться в тому числі дані про етнічні властивості.

еще до GDPR не разрешалось фоткать людей на улице без их согласия (если мы сейчас говорим о фотографировании конкретного человека на улице, а не ситуации когда я фоткаю биг бэн и на фоне есть пару десятков людей).

Ты имеешь право делать фото в публичный местах, в том числе и людей

Більше того, навіть якщо ви просто викинули візитку, смартфон з контактами, амбарну книгу з контактами у смітник — це ще тяжче порушення

Ну вообще выбросить рабочий смартфон в мусорник, не сделав предварительно сброса до заводских настроек, довольно неразумно даже с точки зрения личной безопасности. А с нерабочего вряд ли кто будет что-то пытаться достать.

Якщо б цей закон прийняли на Росії — писали б зараз, як це порушує принципи демократії і бла бла бла. А раз в Європі — закон добрий. Звісно добрий, що якийсь перукар має ставити на сайт ссл через наявність там примітивних контактної форми типу ім’я, коментар, а потім може сісти на два роки за те, що у нього на сервері зберігались логі апач, про що він навіть не знав. Чудовий закон. Сучасний і демократичний.

Скажу більше, формально ви маєте право брати візитку, але повинні пояснити, як будете використовувати її далі — може у вас база даних кліентів, а там все не зашифроване...

Гі, от тупо одночасно з вашим коментарем написав окремий коментар, і саме теж з прикладом про візитку )))

Єдине — не має значення, чи ви дані зберігаєте в базі, чи в блокноті. Якщо у вас картотека олдскульна — ви туди теж не маєте права записувати дані з візитки без згоди.

А кожного разу коли я копіюю текстовий файл з контактами на своєму запароленому компі я теж мушу отримувати згоду?

з кожним коментом у вас зростає срок — зупинітся!

Не у нас, а у вас

Якщо серйозно, мабуть рахується факт першого збереження інформації. Не знаю. В Європі зараз всі от так сидять і гадають — що можна, а що ні. Треба дочекатися перших вироків судів, тоді буде по-троху ставати зрозуміло.

Там прикол не стільки в збережені, скільки в секюрності збереження, передачі третім особам, яким той пан візитку не лишав, і секюрному діспозалі прайват дата

В Європі зараз всі от так сидять і гадають — що можна, а що ні.

ага, два роки гадають по українським форумам

Спробуйте на європейські форуми зайти

В европейских блогах всё то же самое. Статьи, в которых авторы говорят «посмотрим как оно вообще будет» и комментарии с риторическими вопросами и выводами «посмотрим как оно будет». Но кто-то должен будет пострадать чтобы остальные уже более-менее конкретно могли понять что можно, а что нельзя.

А як потім довести що пояснював способи використання і отримав згоду? Розпискою?

Мотив дати візитку в тому, щоб отримувач, а не хтось інший мав контактні ваші дані, а наприклад не в тому щоб отримувач передав її куму для бази холодних дзвінків. Якось так

Где это написано что куму передавать нельзя? Ну кроме GDRP который теперь требует явного согласия даже на перенос информации в телефон.

Практически все визитки которые мне давали как раз давались для того чтобы при случая я поделился информацией и с другими людьми котомы нужны услуги. Ни разу в жизни не получал визитку в сопровождении фразы «только никому не давай мой номер телефона».

Где это написано что куму передавать нельзя?

Where the controller intends to further process the personal data for a purpose other than that for which the personal data were collected передав її куму, the controller shall provide the data subject prior to that further processing with information on that other purpose and with any relevant further information as referred to in paragraph 2.
gdpr-info.eu/art-13-gdpr

который теперь требует явного согласия даже на перенос информации в телефон.

а де це написано в ҐДПР?

Ни разу в жизни не получал визитку в сопровождении фразы „только никому не давай мой номер телефона”.

ніразу в жизни мене ніхто не просив бути безкоштовним рекламним агентом ¯\_(ツ)_/¯

Тоесть вы ни разу не получали визитку ни от сотрудника СТО, ни от врача, ни от сотрудника автосалона, ни от парикмахера, ни от участника профессиональной конференции, ни разу не посещали выставки, ни разу не ездили в такси.

Ну ОК. А откуда в вашей глуши интернет?

мене ніхто не просив бути безкоштовним рекламним агентом ¯\_(ツ)_/¯

То что в GDRP написано про запрет передать куму я знаю. Где кроме GDRP написано?

который теперь требует явного согласия даже на перенос информации в телефон.
а де це написано в ҐДПР?

отвечу в твоем стиле тезка: написано

з цитатою з ҐДПР будь ласка, якшо хочете дотримати штилю

От якщо я дав візитку куму, а кум заніс дані з неї в базу холодних дзвінків, тоді треба карати кума. А не карати мене за те, що я дав номер комусь, хто можливо зробить щось зле. Якщо хтось комусь вставив викрутку в вухо, наприклад, то карають того, хто це зробив, а не того, хто позичив викрутку, бо думав, що треба гвинт закрутити. Якось так.

Якщо хтось комусь вставив викрутку в вухо, наприклад, то карають того, хто це зробив, а не того, хто позичив викрутку
передав її куму для бази холодних дзвінків

!!!

Неуважно прочитав. Якщо передав цілеспрямовано для бази дзвінків — за це доцільне покарання. Але має бути доведено, що він передав її саме для цього.

Интересный пример, давайте попробуем разобраться.
Вот как вижу его я:
Вы, Ростислав — data controller — вам дали визитку по своей воле. Вы предупредили человека — согласно требованиям регламента — (владельца визитки) о том, что передадите информацию «куму» (либо всем на своей улице) — и человек согласился. «Кум», получая визитку, становится data processor. «Кум» сдает визитку в базу холодных рассылок.
2) И, если вы таким образом сотрудничаете с «кумом», у вас есть с ним какой-то договор (дружеский, письменный) — что он не занимается незаконной деятельностью. И, вдруг, он совершил это «преступление». В этом случае — виноваты будете и вы и он — потому что согласно регламенту — вы должны сотрудничать и доверять данные только порядочным «кумовьям». Я все-же думаю, что в большей мере будете виновны именно вы, потому что именно вы собрали и передали информацию, а также несерьезно подошли к выбору «кума».
3) Если же вы умышленно взяли эту информацию для осуществления незаконной деятельности — тогда результат не меняется — вы понесете наказание (если «кум» на вас пожалуется..... ну и так далее).

Ольга, давайте начнем с того что согласие должно быть явным.

Далее в сфере оборота визиток и контактов знакомых маляров все договоры устные и подразумеваемые. Теперь при общении с кумом, подругой etc. надо письменно закреплять условия передачи данных, а перед этим спросить маляра/маникюрщицу о согласии передать данные не забыв сообщить цель передачи и то как данные будут использоваться.

Виталий, а что такое «явное согласие»? Может, в данном случае, это — кивок головы :)
Каждый случай нужно рассматривать отдельно и в пределах разумного, а также помнить об использование данных для личных и деловых целей. Рассматривая «edge cases», вы упускаете основное.

Драсьте, приехали.

Кивок головы конечно может быть принят тоже. Хотя бумага в этом деле надежнее. Но вообще дело в том что явно согласие должны быть дано в ответ вопрос о передаче данных (телефона, визитки, адреса сайта etc.) четко описанному кругу лич с четко описанной целью.

Вы точно-точно уверены что готовы к GDPR? Ведь explicit consent это то вокруг чего собственно вертится весь сыр-бор. Сохранность данных и прочее то уже второстепенные новеллы.

Тут народ взял моду кидаться ссылками и цитатами со всяхк ждпр.орг и прочую муть, но я зацитирую один из официальных сайтов ЕС
eur-lex.europa.eu/...​TXT/?uri=celex:32016R0679

Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.

Не знаю как можно продемонстрировать кивок головы. Записать на видео? Да, там есть устное согласие, но как его показать?

Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject’s agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement.

К слову у нас ведь так и происходит: каждая передача персональных данных сопровождается глупой бумажкой. Теперь это и в ЕС. Приехал поселяться в отель/апартаменты: поставь галочки в бумажке что даешь право на сбор твоих персональных данных. Вызвал убер — сев в машину поставь галочки в бумажке. И т. д.

Да, я к стоматологу ходил и тоже подписывал аж несколько бумажек с согласием на обработку персональных данных. И это весьма забавно, учитывая что длинный текст этой бумажки вообще мало кто будет читать, и что данные собственно необходимы для заведения медкарты и без этих данных человека как бы нельзя обслужить

Распечатать пачку бланков с разрешением на обработку данных и требовать каждого кто дает визитку заполнить 😁

Теперь для европейцев логичней разместить на визитке такой текст самому. Типа как надпись на пачке сигарет.

Ні, ви це серйозно? Який дейта контролер? Який дейта процесор? Які угоди з кумом? Ми зараз не говоримо про базу даних на кілька сотень тисяч користувачів. Ми зараз говоримо про візитівку перукаря, яку я дав куму, бо йому сподобалась моя зачіска. Все. Ви дійсно вважаєте, що законом треба регулювати такі ситуації? Ви якось розрізняйте реальну безпеку даних в глобальних масштабах, і популізм, яким є цей закон.

от зараз було реально обідно... однією фразою так принизить роботу цілого органу, і навіть не дітородного, а законодавчого органу ЄС...

Неа, если вы взяли визитку как физлицо — то никому ничего не должны

GDRP не делает таких различий.

Можно цитату из закона где говорится что физлица подпадают под закон?)
Везде написано о легал ентити

Да вот как раз бы хотелось ссылку на то что закон имеет какую-то ограниченную сферу дейстия и не распространяется на физлиц.

Ой все

EUGDPR.org
The Regulation

Increased Territorial Scope (extra-territorial applicability)
Arguably the biggest change to the regulatory landscape of data privacy comes with the extended jurisdiction of the GDPR, as it applies to all companies processing the personal data of data subjects residing in the Union, regardless of the company’s location.

Слова организации, компании сам жирным выделишь?)

Называется вставлю какую-то цитату наобум — а вдруг прокатит.

Не прокатило.

Ты упоротый?Это официальное саммари закона
Твоя очередь, укажи где говорится что закон распространяется на физлиц

Дал цитату выше. То что ты процитировал это не официальное саммари закона, это какой-то сопроводительный текст с неофициального сайта .org, поддерживаемого фирмой Trunomi.

Так что кто тут упоротый в своем нежелании разбираться в таких банальных мелочах, не говоря уже о вдумчимом изучении текста закона — очевидно.

Ладно, согласен, все еще упоротее чем мы думали. Поставлю приписку что вход европейским резидентам запрещен)

Хотите цитатку из закона?

Нате.

‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;
(18) This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities. However, this Regulation applies to controllers or processors which provide the means for processing personal data for such personal or household activities.

in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity — Fuck the EU

Є там відмінності 100%. Але що це змінює? Фізичні особи про GDRP і знати не будуть. Якщо людина настільки дурна, що не може запам’ятати — «біля адреси горить зелений замок — з’єднання захищене. Не горить — не захищене», то 95% цього GPRD така людина взагалі не зрозуміє.

Россия от GDPR только выиграет. Например, у россиян есть закон, обязывающий хранить логи и личные данные пользователей в течение 6 месяцев для возможности передачи правоохранителям по запросу, а в GDPR есть пункт о том, что хранение данных в таких случаях легально. В более демократичных странах, где таких законов нет, GDPR сработает на всю мощь. Не говоря уже об очевидных вещах в плане оправдания их изоляционизма отсылкой на бесчеловечные законы GDPR (представьте, что Вас как ЧП оштрафовали на 20 млн евро — это будет означать конфискацию всего личного имущества и в лучшем случае — процедуру банкротства).

Оштрафують на €19 999 999,99 кляті капіталісти

SSL не проблема в 2018 году — они теперь бесплатные. Только один раз заплатить админу за настройку. Но GDPR это гораздо больше чем SSL, и вот это уже проблема.

Ви проспали — наш закон про захист персональних даних максимально наближений до ЄС. От тільки в ньому нема прописаних санкцій, на відміну від...

Интересный вопрос: а должны ли выполнять GDPR приложения работающие на любого вида хостингах физически размещенных в ЕС даже если они работают с данными неграждан ЕС? Например украинская служба такси для своего мобильного приложения использует OVH, а в качестве датацентра выбрала что-то в Европе.

Формально нет.

должна, т.к. выбор процессора данных (датацентра в ЕС) лежит на контроллере (украинская служба такси) и он был сделан в пользу размещения в ЕС. См. пункт 3, разъяснение от iapp.org/...​s-to-help-you-understand

Нет. Не должна. Но должна выполнять тербования украинского закона. А он на само деле отличается только отсуствием чекто прописанных санкций за нарушение.

а ось Монал закривається для європейців — дуже гарне пояснення автора «манал я ваш гдпр»

monal.im/...​moving-monal-from-the-eu

манал я монал, первый раз слышу про эту приложуху

На мой взгляд у GDPR есть лишь один плюс.

Он заставит (точнее надеюсь что может заставить) бизнес так перестроить работу с данными клиентов, чтобы эти данные нельзя было трактовать как персональные данные в терминах GDPR.

Тоесть чистыми персональным данными останутся лишь бухгалтерские операции. Остальные данные будут разделены по группам или анонимизированы или и то и другое. И в принципе клиент от этого тоже выиграет так как уже нельзя будет (условно говоря) одни запросом вытянуть всю историю по Васе Пупкину.

бажання зрозуміле, але так не буде — за цим проектом стоять зелені та ліваки в ЄП, тому ви тепер навіть IP не можете просто так зберігати

у цих хлопців це принципова боротьба покращувати життя вже сьогодні, так що чекайте нових законів

п.с. німецькі перехідні положення до інших законів до цього закону десь 450 сторінок і тп

за цим проектом стоять зелені та ліваки в ЄП

От дивно що ліваки боронять приватну, а не соціялістичну дату

там аби що боронити, щоб тільки проти америки та капіталістів, які наживаються на приватних данних простих трудящих... IP всіх країн, єднайтесь!

чи там пропонують відібрати приватну дату у богатих і віддати бідним?

скоріше загоняють бідних у дата-колгосп

пише аккаунт з датаколґоспу за клікодні, ліл

ось один з авторів закону — депутат від зелених пояснює скептичним айтішникам, що все буде нормально. але з тексту видно, що він веде свою боротьбу проти гігантів зі сша

дивні ідеї про кнопку від фб, яку тепер просто так ставити не можна і він пропонує рішення в два кліка (отут доу вже порушує)

www.janalbrecht.eu/...​eufig-verbreitete-mythen

весь текст заповнено словами тіпа «напевно», «звичайно ж», «скоріш за все» і тп

тут не все английский знаю, а вы простыню на немецком кидаете

«Diese Einführung des Marktortprinzips stellt sicher, dass endlich die europäischen Online-Unternehmen dieselben Regeln haben wie ihre Konkurrenten z.B. aus Silicon Valley.» — Я понимаю это так: хочешь торговать на нашем рынке — ок, только прими наши условия. Но при этом «условия» не заставляют вступать в коррупционные схемы, либо, каким-то образом вредить резидентам ЕС. Поэтому, я согласна с этим высказыванием.

Насчет его комментария касательно фейсбука — думаю, что пиарить любые решения как «панацею» для соблюдения регламента автором самого же закона — нельзя.

Я понимаю это так: хочешь торговать на нашем рынке — ок, только прими наши условия.

тогда почему эти уроды налагают этот закон не только на бизнес а и на всех остальных?

статья 18 регламента:
„This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities. However, this Regulation applies to controllers or processors which provide the means for processing personal data for such personal or household activities.”

no connection to a professional

вы понимаете что нон профит — это профешинл, нот хаусхолд?
опен сорс — профешнл, нот хаусхолд

Вот прецедент, когда мир становится хуже от таких непродуманых оголтелых законов
monal.im

I simply do not have the resources or the time to jump through the regulatory hoops required by the EU. While I do not live in the EU, I frequent Europe and do not want to get into legal trouble on vacation. As GDPR approaches, I get the impression that it is an end of an era for the internet. The days of someone making something, putting it on the internet and offering it to the world seem to be over.

Регламент вступит в силу 25 мая 2018 года. И это факт. И вот теперь с этим нужно как-то дальше жить — либо изучить, адаптировать для своей деятельности и не нарушать закон, либо «отпустить» эту тему и наблюдать.

Касательно вашего примера:

Я уверена, что вы сможете доказать, что open source — это ваше hobby за которое вы не получаете никакой финансовой награды, например (это первое, что пришло мне в голову).

А если и случится такой прецендент — он обязательно получит мировую огласку, а вы получите четкий ответ на этот вопрос.

Вот я и говорю, правильно будет закрыть доступ технически или легально

если в онлайне уже так и делают (причем задолго до GDPR), и Forbidden при заходе с европейских айпи, например, на американские интернет-магазины уже никого не удивляет, то в оффлайне это будет смотреться, мягко говоря, не очень. Представьте себе украинский магазинчик, оборудованный видеонаблюдением, где-нибудь рядом с Польшей, куда иногда заходят туристы из ЕС, с надписью «только для граждан Украины» (подставьте любую страну не-ЕС). Потому что сборы и риски, связанные с GDPR значительно превышают недополученную прибыль в случае, если продавать будут только местному населению.

ну так ви констатуєте що так написано, а він питає, чого це так

purely personal
no connection to a professional or commercial activity

досвіченому юристу більше і не треба :) так чи інакше щось буде пов’язано з професійною діяльністю

Передавая телефон маляра нельзя быть 100% уверенным что это «для внутреннего употребления».

Albrecht як німецький юрист він прекрасно знав, що можна було прописати »Tätigkeit ohne Gewinnerzielungsabsicht« aber nein :) es wurde so allgemein wie möglich formuliert und so schwammig wie es nur geht

В принципе, было бы прикольно взять и закрыть сайт для европейских кастомеров, мол извините но ваше оголтелое законодательство на данный момент не поддерживается, стей тюнед
Но без гигантов это делать смысла нет а гиганты на это не пойдут, огромный кусок рынка

Некоторые так и раньше делали, как и закрывали услуги для американцев

Нам кстати уже приходил запрос на удаление негативного отзыва о компании, с отсылкой на GDPR. ;-)

Додайте хоча б попап про куку. :)

Ну і заодне вишліть будь ласка мені інформацію про те, яку мою персональну інформацію ви зберігаєте і з ким шарите ^____^

Зачем попап про куку? Если GDPR хотя бы имеет благие намерения, но черезседалищную их реализацию, то cookie law ЧДА закон ради закона.

GDPR наоборот пришел на смену cookie law. Теперь нельзя показать попап с полиси и кнопкой аксепт — на каждое действие, связанное с персональными данными, должны быть небольшие и accessible пояснения, зачем конкретно этот кусок данных обрабатывается (не забывайте, что в современном понимании accessible включает доступность для людей не только с физическими расстройствами, но и с ментальными, которые не могут сконцентрироваться на чтении длинной полиси).

Вот хитрожопые)
Но, в принципе, если начать называть компании типа Иван Иваныч Иванов то можно и гдпр)

Компания не физлицо. Причем здесь GDPR?

ico.org.uk/...​register/self-assessment самозанятое лицо подпадает под GDPR, да и в Украине физлицо-предприниматель все еще физлицо.

Компания не может требовать удаления данных о компании, ссылаясь на GDPR. Это уже не персональные данные, а данные о компании. Кроме того, отзывы третьих лиц вряд ли являются той информацией, которая подпадает под GDPR. Иначе отзывы на фриланс-биржах, ибеях и алиэкспрессах можно выключать. Представляете себе такое?

это я потерял контекст, не увидев, что Ваш комментарий - это к Максу. Подумал, общий - мол GDPR неприменим к физлицам, только к компаниям.

Да и не мой то комментарий к Максу был 😀 

rapidbi.com/...​ers-and-micro-businesses вот еще для самозанятых/ФЛП чеклист

Поскольку в Украине сейчас идет процесс евроинтеграции, то рано или поздно наша страна должна будет привести в соответствие с GDPR свой закон о «Защите Персональных Данных». Но, я прекрасно понимаю, что этот процесс может занять очень долгое время. Поэтому, вопрос «блокировать или не блокировать европейский трафик» зависит лишь от процента дохода, который ваша компания (или вы) получает(е) от пользователей (клиентов), живущих в странах ЕС.

именно, если процент дохода из Европы небольшой — проще заблокировать и не связываться с этим оголтелым прецедентом, когда кто-то считает в праве требовать выполнение придуманых им правил у всего мира

Хочу добавить к предыдущему ответу «и если у вас нет планов выходить на этот рынок. Потому что маленький доход сейчас — не значит, что на рынке ЕС для вашей компании нет перспектив.»

дада, обицянки, это то что очень любят популисты)

поки наші компанії серйозно будуть виходити на ринок ЄС, того ЄС вже може і не буде :)

закон о «Защите Персональных Данных».

сильно защищает наши ПД?

Наш менеджмент из США уже проводит тренинги: как компании обеспечить обработку и хранение данных в соответствии с GDPR. Компания имеет подразделения в ЕС.
Думаю, работа центров обработки информации Google или Amazon, — которые расположены в ЕС и обслуживают граждан Евросоюза, — так же будет адаптирована к положениям GDPR.

В этих документах человек сможет прочесть, какие именно персональные данные вы собираете, с какой целью, на какой срок, а также узнать о своих правах.

согласно GDPR человек может потребовать удалить свои данные из вашей базы на следующий же день.

на выдачу данных дают 30 дней, я так понимаю на удаление — тоже

Мне интересен такой момент: все бухгалтерские проводски это в чистом виде персональные данные. Как быть в данном случае? Ведь по идее в случае конфликта норм законов решение должно приниматься в пользу гражданина. Таким образом при навыках бюрократического крюкотворства можно потребовать удалить записи о своих покупках.

Там была где-то приписка о данных которые обязаны хранить компании в соответствии с законами страны где зареганы, это исключение
Так что с этим то как раз неоднозначностей нет

Ну як це на практиці — ага, треба видаляти данні? Тобто або видаляємо, або робимо окремий маркер з позначкою, що цей запис видалено.

Видаляти ясна річ фізично не так легко на великих проектах, тому доведеться ще переписати купу коду, щоб скажімо видаленого юзера системи не можна було знайти через пошук і тп

Там же ще про кодовані данні — що, зберігали прізвища європейця у відкритому вигляді... ну як же так :) Все краще закодувати.

А як буде з трекінгом? А якщо треба бекап підняти за вчора, а у вас сьогодні 100 юзерів видалились. Окремі таблиці з трекінгом видалень і потім видалення і тп :)

Тобто, якщо підходити формально до цього закону (а саме так до нього будуть підходити адвокати вашого противника), то там треба переписати купу софта по всій Європі.

А якщо треба бекап підняти за вчора, а у вас сьогодні 100 юзерів видалились.

А вообще закон таки гарный надо признать вот прямо как товарищи пишут «юзэр выдалился а бекапы-то остались...» т.е. где на самом деле хранится та инфа кто её пользует как она попадает и куда и вообще вот это всё никто из товарищей не знает.

По-своему это гениальная позиция я щетаю.

Тобто, якщо підходити формально до цього закону (а саме так до нього будуть підходити адвокати вашого противника), то там треба переписати купу софта по всій Європі.

А чого ж нэ пэрэрпысалы доси? Бо насправди всем плевать да? Хотя вроде как должны бы б задумать всё это изначально это ведь не какое-то удаление из поисковых запросов гугла это ведь непосредственно личная инфа в использовании а выходит лежит как попало бери не хочу.

А тому що ніхто з індустрії не просив цей закон підписувати. І до того ж це було прийнято в європейському парламенті — от сидиш ти собі в Бухаресті чи Тімішоара, а десь в Брюселі приймають закони, які ти потім повинен виконувати.

В Австрії десь місяць тому прийняли свої розяснення, що пркатично нівелюють всі труднощі цього закону. В деяких ЄС-країнах взагалі пофіг. Ну а у Західній Європі будуть адвокати один за одним в пошуках наживи.

Про особисту інформацію — там цей термін розширили і вже не все так просто. Питання про не лежало, а про використання і тп

где на самом деле хранится та инфа кто её пользует как она попадает и куда и вообще вот это всё никто из товарищей не знает.

Знать-то допустим знают, но как ты из существующих сейчас подходов к бэкапам выпилишь данные одного пользователя? Правильный ответ — никак, потому что бэкап представляет собой дамп базы и на 100% что-то вырезать из дампа не поломав его не представляется возможным (или очень сложно). А это уже нарушение буквы закона.

На выполнение требования по удалению.

На удаление — «разумный срок».

из базы — не проблема, но они должны быть удалены из всех бэкапов базы (не сломав их, т.к. за нарушение консистентности данных те же штрафы) и из всех логов. Бэкапы и логи при этом, по GDPR, обязаны быть заархивированы и зашифрованы. А не бэкапить персональные данные вовсе — запрещено, т.к. это противоречит пункту о необходимости защиты сохранности персональных данных.

GDPR хорошая вещь. Спам и холодные рассылки бесят всех. Я недавно тренинг на эту тему проходил.
Теперь разработчиков веб сайтов и приложений, требующих регистраций, обяжут оставлять опцию «я хочу подписаться спам» — выключенной по умолчанию.
Раньше было наоборот — регистрации сделаны таким образом что пользователь по умолчанию подписывается на спам, а чтоб его не получать, нужно галку снять.

І як це допоможе у боротьбі зі спамом — його як слали без дозволу, так і будуть слати

а так закон написаний eu-бюрократами в припадку імітації бурної діяльності

будете мати право пожалітися єврокомісару. Хай працює. Але, то якщо ви громадянин ЄС, або спам з ЄС.)

А что без GDPR мешает пожаловаться на спамеров? Как GDRP поможет жаловаться?

Я не вижу тут никаких улучшений потому что по GDPR можно жаловаться лишь на законопослушные бизнесы которые просто провтыкали что какая-то норма этого закона требует от них определенное действий. А спамеры как были так и останутся.

покращень взагалі нема — 261 сторінка розмитого тексту з дивними загальними формулюваннями і якщо раптом якийсь суд в португалії зрозуміє його по-своєму, то буде цікаво подивитись як відповідатиме українська фірма, на яку раптом прийде повістка до суду міста лісабон

навіщо так далеко — просто отримає рекламацію від єврокомісара відповідального за Україну. Та рахунок.

ок, а кому вы можете пожаловаться на спам без GDPR?

А что об этом говорят существующие законы борьбы со спамом по которым уже успешно штрафуют?

Вот к примеру в далеком 2005 году
www.neweurope.eu/...​bitel-gets-spamming-fine

А куда вы на карманников укравших кошелек жалуетесь? И много ли их находят?

бінго! за думкою авторів цього закону, якщо ваша фірма обробляє дані клієнтів з європи, або ваш сайт чи проект націлено на ринок ЄС... хм... скажімо у вас є французька версія сайту, або англійська, позначена ще флагом великої британії, то ви підпадаєте під дію цього закону.

думаєте вас не зможуть дістати європейські пристави? а валютний рахунок у вас через який банк йде? і тп

Британия выходит же ж ))

ну поки ж ще ні — частинка все одно залишиться

всьо сложно

частинка все одно залишиться

которая Ирландия?

Для Британії трохи власні закони, як часто — assets.publishing.service.gov.uk/...​sheet01_Bill_overview.pdf

т.е. если англ. версия сайта то она только для британцев?)))

А есть другие евронации британского языка?

если сайт будет сделан на, предположим, трех языках, то почти половина клиентов из ЕС будет читать его на английском.

Да, но везде заявляют что на GDPR в Британии это никак не повлияет. Они там ещё хотят вносить контроллеров данных в реестр (открытый, лол) за 35 фунтов в год.

важно не то есть английская версия или нет а то предоставляет ли ваш сайт услуги для ЕС

коли ви робите англійску версію сайту, то ви ваші послуги робите також для Ірландії?

або прийом оплати в євро?

etc.

Одним из признаков предоставления услуг (которые как и ПД описаны очень размыто и обще) является версия сайта на языке страны ЕС. Английский как раз один из таких языков. Это на любом тренинге по GDPR расскажут в первую очередь.

factors such as the use of a language or a currency generally used in one or more Member States with the possibility of ordering goods and services in that other language, or the mentioning of customers or users who are in the Union, may make it apparent that the controller envisages offering goods or services to data subjects in the Union

закон касается резидентов ЕС а не только граждан ЕС

Я ушел в сторону. Вы, скорее правы, не поможет. Потому что GDRP защищает ПД. А ваш адрес, если он не ФИО@com.ua, не является ПД. Более того, даже если по email вас можно идентифицировать, то не факт что он сохранен где-то там в базе.

email є персональними данними — про це вже купу разів писали роз’яснення юристи і тп

ПД є те що однозначно ідентифікує вас як фіз особу. Ви заходите на укр.нет та влаштовуєте собі адресу ВасяП@ukr.net. То ВасяП тепер точно Ви?

а у юристів на це інша думка :) бачите, не співпало

У юристов не иное мнение, просто они предлагают считать любой e-mail персональными данными, хотя любой e-mail таким не является. Наприпер DOU <support@dou.ua> никого не идентифицирует. А есть еще всякие rooo@localhost, no-reply@blahblahblah.com и т. д. которых и в природе нет.

Предложение юристов считать любой адрес как ПД это банальная перестраховка как и внедрение GDPR в украинских фирмах не работающих с европейскими заказчиками напрямую.

Та же самая история например с cookies которые опять же не идентифицируют личность. И пара слов Вася Пупкин тоже не идентифицируют: в мире миллион Васей Пупкиных, к тому же это может быть вообще вымышленные/сгенерированные данные, особенно если речь идет о посещении сайта. Чтобы точно идентифицировать Васю, надо к имени добавить хотя бы дату и местро рождения. Или ИНН (который сам по себе как раз отлично идентицицирует личность даже без имени). Или номер паспорта (та же ситуация что и с ИНН).

В общем к чему это я?

Закон написан так что нет четкого понимания что именно является ПД. И наверное будет дешевле считать ПД любую информацию которая теоретически может быть ПД, чем потом тратиться на суды и адвокатов доказывая что на самом деле это не ПД (даже если 100% это не ПД).

По моему сейчас так и происходит. Когда указываем свои ПД кампания с нас берет подписку что мы согласны с всевозможной обработкой....и даже передачей 3й стороне. Причем либо ты ВСЕ подписываешь либо нет, вычеркнуть пункты нельзя. Так что наши ПД где угодно.))

еще бы, у юристов наступает золотое время)

Речь не про тех кто ворует базы адресов, а про использование информации легально предоставленной,, но не той целью с которой она предоставлена. В этом случае можно хзасудить компанию которая допустила передачу данных третьей стороне. Например — вы обратились в банк за кредитом оставив естественно личные данные , необходимые для определения вашей кредитоспособности. Банк без вашего согласия передал их страховым и вам начинают названивать страховые агенты.

ви серйозно думаєте засудити страхувальну компанію?

штрафи будуть платити після веєрних нападів представники малого та середнього бізнеса, всі великі контори з адвокатами якось себе від того захистять, бо вони великі

на практике редко когда это дойдет до суда — компания обязана удалить данные по требованию клиента в течение 1 месяца со дня обращения. причем не только из своей базы, но и изо всех мест куда они их передали. если не удалят и звонки будут продолжаться — тогда уже можно обращаться в суд

они это обязаны сделать и без GDPR — zakon2.rada.gov.ua/laws/show/2297-17 под угрозой штрафов (не таких больших, но при достаточном количестве обращений существенных) zakon5.rada.gov.ua/laws/show/3454-17

Нет)
1The controller shall provide information on action taken on a request under Articles 15 to 22 to the data subject without undue delay and in any event within one month of receipt of the request. 2That period may be extended by two further months where necessary, taking into account the complexity and number of the requests. 3The controller shall inform the data subject of any such extension within one month of receipt of the request, together with the reasons for the delay. 4Where the data subject makes the request by electronic form means, the information shall be provided by electronic means where possible, unless otherwise requested by the data subject.
If the controller does not take action on the request of the data subject, the controller shall inform the data subject without delay and at the latest within one month of receipt of the request of the reasons for not taking action and on the possibility of lodging a complaint with a supervisory authority and seeking a judicial remedy.

Вы описали классический случай воровства базы адресов.

не воровство а нарушение добросовестного использования (fair use в западном законодательстве).
клиент сам добровольно предоставил данные. но только для конкретной цели, а не для чего-то еще

Чего-то еще в описанном случае было бы если бы сам банк начал названивать клиенту предлагая платежные карты или депозиты.

Так сейчас же бланк согласия обезличен. Для всех целей по умолчанию.

Фантазирую на тему: в случае обнаружения факта наличия ваших ПД у юрлица которому вы их не предоставляли пишите два письма. Одно юрлицу с требованием немедленно удалить ваши ПД. Второе еврокомиссару про сам факт. Пока все.
Также себя вести в случае рекламного спама от банков, магазинов, пр.

Що, серйозно на трейнінгу так і сказали? Поганий трейнінг. Викинули гроші.

все что нужно разработчикам я узнал. И что не так? Вы хоть читали этот ГДПР или одна бабка нашептала?

Расскажите мне как разработчик разработчику что есть ПД. Как определить когда определенный набор байтов ПД, а когда просто набор байтов.

программистским языком - ПД это уникальный ключ, по которому можно идентифицировать личность человека. например "Vitaliy Berdinskikh Software Engineer в EPAM". а вот Вася Пупкин участник форума Прекрасное IT это не ПД. Не являются ПД любые идентификаторы, никнеймы и тд, присвоенные в компьютерной системе без указания реальных имен и по которым нельзя определить личность

в GDPR The principles of data protection should apply to any information concerning an identified or identifiable natural person. ... 1.26 Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them. Т.е. все следы и их комбинации, позволяющие идентифицировать человека при повторном заходе, должны защищаться как ПД. www.defcon.org/...​ckersley-Panopticlick.pdf Не про GDPR, но хорошо демонстрирует, насколько уникален браузер каждого. panopticlick.eff.org — демонстрация работы. Представим теперь, что здесь и на Уютном айти эти данные собираются в лог (там десятки бит на браузер, незаметно передать элементарно). А также что у Макса появился доступ к аналогичным логам на Уютном. Все — персональные данные Васи Пупкина надежно связаны с личностью и персональными данными здесь.

уникален браузер каждого.

человека или ОС?

человека — у меня показало уникальность среди полутора миллиона с чем-то зашедших туда проверить — Your browser fingerprint appears to be unique among the 1,579,388 tested so far. Currently, we estimate that your browser has a fingerprint that conveys at least 20.59 bits of identifying information. И это без учета айпи и много чего еще, что можно предпринять для деанонимизации. Впрочем, библиотека старая и опенсорсная, можно проверить, установив на сайте github.com/Valve/fingerprintjs2 (пока не наступило 28 число, бгг).

Vitaliy Berdinskikh

и только в том случае если в ЕРАМ не работает еще один Vitaliy Berdinskikh. Мало ли)

GDPR — обширная тема, которую нужно детально изучать.

Самое время за неделю +1 день до Часа Ч ))

К тому же применение этого регламента, в отличие от любого другого закона, требует внимания не только со стороны менеджмента компании, но и технических специалистов.

Ни разу не так чОрным по бИлому написано «регламент в первую очередь за регламент который нужно прописать как регламент и в первую очередь вести все записи по регламенту» а как именно оно технически реализовано дело настолько десятое...

Впрочем таки да понятно на технических специалистов уважаемые насяльника и повесят ))

— Я думаю, что регламент будет неоднократно меняться. Поэтому, вы можете спокойно начинать изучение этого вопроса сейчас и следить за дальнейшим развитием событий.
— Мне кажется, что в организации должна быть «рабочая группа», в которую войдут специалисты из разных отраслей (включая, конечно же, технических) для того, чтобы вместе внедрить необходимые изменения: кто — на техническом, а кто — на правовом уровне.

от мріяли організації всього світу

должна быть «рабочая группа», в которую войдут специалисты из разных отраслей (включая, конечно же, технических) для того, чтобы вместе внедрить необходимые изменения: кто — на техническом, а кто — на правовом уровне.

тепер хоч буде чим зайнятись

Я не лоббирую закон, просто делюсь информацией, которую мы собрали в процессе его изучения. Вы не должны после прочтения этой статьи бросать все свои дела и создавать «рабочие группы», и так далее. Никто, я думаю, до конца еще не знает, как это будет работать на практике.

і до речі, це європейський закон — там тепер щоб щось змінити, треба щоб почали вити представники декількох країн, потім будуть довго домовлятись і тп

Ну, мы же никуда не спешим? Даже статьи не пишутся с первого раза, не говоря уже о законах. Главное, чтобы они там не договаривались так, как в Раде ;)

он принят в окончательной редакции 14 апреля 2016, но вой до сих пор не поднялся. И вряд ли поднимется, т.к. GDPR не угрожает рейтингу политиков. Он же составлен так, что подвести под штраф можно кого угодно, но при этом если штрафовать точечно — массовых протестов не будет, будет наоборот поддержка.

Статья хорошая для тех, кто вообще ничего не знает о GDPR, т.к. сам закон гораздо обширнее и в каждом конкретном случае нужно изучать его в контексте конкретного бизнеса или даже активности.

Да, рассказать об особенностях регламента в одной статье — очень сложно. А унифицировать подход к его имплементации — невозможно. Нужно обязательно рассматривать GDPR в разрезе каждой, связанной со сбором или обработкой данных, активности отдельно.

GDRP вбиває проекти:

www.ituade.com.ua/...​eyskyh-korystuvachiv-id25
www.ituade.com.ua/...​v-klout-zakryvaetsya-id28

хотіли як краще (і то не факт), а вийшло так, що великі концерни і так все зроблять бо у них купа бабла i адвокатів, а малі фірми будут тільки допісувать черговий cookie button, export button etc.

GDRP вбиває проекти:

Ну да конечно биднэньки проэкты...

Сам сервіс безкоштовний, а бізнес-модель дозволяє продавати не персональні данні користувача для рекламодавців.
Проект з’явився на світ ще 2008-го року і обробляв дані з Facebook, Google+, Instagram, LinkedIn, Twitter, YouTube та Wikipedia, щоб вирахувати так званий Klout score — міру впливу людини в інтернеті за шкалою від 1 до 100.

А Цукерман сидит такой перед комиссией конкресса потеет и думает «за что!? не продавал я они сами пришёл!!!» (к) (тм)

більшість інтернету десь так само «безкоштовні»

Це ледь не галузевий стандарт, що ми даємо тобі безкоштовно новини, сервіс, досуг і тп, а ти дивишся нашу рекламу для тебе

Потім приходит EU, де через бюрократів не може взлетіти ні один проєкт (StudiVZ, Lokalisten etc.), і робить тіпа правила для всього світу

більшість інтернету десь так само «безкоштовні»

Типа по паспорту? Товарищ лейтенант у вас методичка не той стороной повёрнута!

Юристы хотели чтобы они были востребованы еще больше. Никто не хотел «как лучше».

Предвестником этого был совершенно бесполезный cookie law.

Подписаться на комментарии