Виталий, спасибо за интересную статью! В нашей компании тоже в какой-то момент возникло желание оптимизировать рутинную задачу, связанную с синхронизацией данных между разными системами. Самый первый юз кейс был довольно простой: нам нужно было засетапить автоматическую интеграцию между Airtable и Google Sheets. Решением данной проблемы послужило создание своего продукта Coupler.io В работе, мы также используем Zapier для автоматизации передачи данных по триггеру. Основной юз кейс здесь: автоматизация процессов найма и онбординга сотрудников. Еще в какой-то момент мы экспериментировали со Stitch Data и использовали ее для сбора данных в Google BigQuery (а сейчас эту задачу уже покрывает собственный продукт).

Регламент вступит в силу 25 мая 2018 года. И это факт. И вот теперь с этим нужно как-то дальше жить — либо изучить, адаптировать для своей деятельности и не нарушать закон, либо «отпустить» эту тему и наблюдать.

Касательно вашего примера:

Я уверена, что вы сможете доказать, что open source — это ваше hobby за которое вы не получаете никакой финансовой награды, например (это первое, что пришло мне в голову).

А если и случится такой прецендент — он обязательно получит мировую огласку, а вы получите четкий ответ на этот вопрос.

Виталий, а что такое «явное согласие»? Может, в данном случае, это — кивок головы :)
Каждый случай нужно рассматривать отдельно и в пределах разумного, а также помнить об использование данных для личных и деловых целей. Рассматривая «edge cases», вы упускаете основное.

Хочу добавить к предыдущему ответу «и если у вас нет планов выходить на этот рынок. Потому что маленький доход сейчас — не значит, что на рынке ЕС для вашей компании нет перспектив.»

Ну, мы же никуда не спешим? Даже статьи не пишутся с первого раза, не говоря уже о законах. Главное, чтобы они там не договаривались так, как в Раде ;)

Я не лоббирую закон, просто делюсь информацией, которую мы собрали в процессе его изучения. Вы не должны после прочтения этой статьи бросать все свои дела и создавать «рабочие группы», и так далее. Никто, я думаю, до конца еще не знает, как это будет работать на практике.

статья 18 регламента:
„This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities. However, this Regulation applies to controllers or processors which provide the means for processing personal data for such personal or household activities.”

Интересный пример, давайте попробуем разобраться.
Вот как вижу его я:
Вы, Ростислав — data controller — вам дали визитку по своей воле. Вы предупредили человека — согласно требованиям регламента — (владельца визитки) о том, что передадите информацию «куму» (либо всем на своей улице) — и человек согласился. «Кум», получая визитку, становится data processor. «Кум» сдает визитку в базу холодных рассылок.
2) И, если вы таким образом сотрудничаете с «кумом», у вас есть с ним какой-то договор (дружеский, письменный) — что он не занимается незаконной деятельностью. И, вдруг, он совершил это «преступление». В этом случае — виноваты будете и вы и он — потому что согласно регламенту — вы должны сотрудничать и доверять данные только порядочным «кумовьям». Я все-же думаю, что в большей мере будете виновны именно вы, потому что именно вы собрали и передали информацию, а также несерьезно подошли к выбору «кума».
3) Если же вы умышленно взяли эту информацию для осуществления незаконной деятельности — тогда результат не меняется — вы понесете наказание (если «кум» на вас пожалуется..... ну и так далее).

«Diese Einführung des Marktortprinzips stellt sicher, dass endlich die europäischen Online-Unternehmen dieselben Regeln haben wie ihre Konkurrenten z.B. aus Silicon Valley.» — Я понимаю это так: хочешь торговать на нашем рынке — ок, только прими наши условия. Но при этом «условия» не заставляют вступать в коррупционные схемы, либо, каким-то образом вредить резидентам ЕС. Поэтому, я согласна с этим высказыванием.

Насчет его комментария касательно фейсбука — думаю, что пиарить любые решения как «панацею» для соблюдения регламента автором самого же закона — нельзя.

Да, рассказать об особенностях регламента в одной статье — очень сложно. А унифицировать подход к его имплементации — невозможно. Нужно обязательно рассматривать GDPR в разрезе каждой, связанной со сбором или обработкой данных, активности отдельно.

— Я думаю, что регламент будет неоднократно меняться. Поэтому, вы можете спокойно начинать изучение этого вопроса сейчас и следить за дальнейшим развитием событий.
— Мне кажется, что в организации должна быть «рабочая группа», в которую войдут специалисты из разных отраслей (включая, конечно же, технических) для того, чтобы вместе внедрить необходимые изменения: кто — на техническом, а кто — на правовом уровне.

Поскольку в Украине сейчас идет процесс евроинтеграции, то рано или поздно наша страна должна будет привести в соответствие с GDPR свой закон о «Защите Персональных Данных». Но, я прекрасно понимаю, что этот процесс может занять очень долгое время. Поэтому, вопрос «блокировать или не блокировать европейский трафик» зависит лишь от процента дохода, который ваша компания (или вы) получает(е) от пользователей (клиентов), живущих в странах ЕС.