Comments 159
Я понял, что мы все умрем. Но что делать *
* — в конце или точка, так как «ну что поделать то», или восклицательный знак (гори оно все огнем), или вопросительный знак (И что делать?). Никак не могу решить.
* — в конце или точка, так как «ну что поделать то», или восклицательный знак (гори оно все огнем), или вопросительный знак (И что делать?). Никак не могу решить.
Простой и универсальный ответ только один — избавлятся от персональных данных полностью.
Остальные варианты намного сложнее…
Остальные варианты намного сложнее…
Идти слушать трансляцию www.meetup.com/plesk-events/events/250168226 :)
Не планировал, но набросал продолжение — очень короткое и практическое, чтобы брать и исправлять самое важное.
habr.com/company/plesk/blog/354494
habr.com/company/plesk/blog/354494
UFO just landed and posted this here
S0krat, спасибо за вашу статью, я уже почти решил, что стоит почитать и сам GDPR.
Но все же, не могли бы вы еще немного подогреть мой интерес… Какое все-таки отношение имеет европейский закон к резидентам РФ? Чего мне бояться, в случае его нарушения, как физическому лицу, или как владельцу ( или ген. директору ) юридического лица, зарегистрированного на территории РФ и не ориентированному на зарубежный рынок?
Но все же, не могли бы вы еще немного подогреть мой интерес… Какое все-таки отношение имеет европейский закон к резидентам РФ? Чего мне бояться, в случае его нарушения, как физическому лицу, или как владельцу ( или ген. директору ) юридического лица, зарегистрированного на территории РФ и не ориентированному на зарубежный рынок?
Штрафа от 20 млн Евро, например. Который можно не платить, наверное — если запереться в России.
Штраф на кого? Если я директор компании, которая игнорирует GDPR, меня будут на кипре вылавливать, когда я туда пузо погреть поеду, и этот штраф с меня вымогать? Если да, тол только ли директора это касается?
Если нет, и проблемы только у юрика, то что это за проблемы? Они касаются только активов компании, находящихся в ЕС, или их контрагентов тоже?
Если нет, и проблемы только у юрика, то что это за проблемы? Они касаются только активов компании, находящихся в ЕС, или их контрагентов тоже?
Я по технической стороне дела, не по юридической, нюансов наказания провинившихся не знаю. Поскольку Plesk — компания международная, то у нас никакой возможности «пересидеть в норе» всё равно нет.
Согласно ст.27 GDPR вы должны в пиьсменной форме назначить представителя в ЕС, если сами не находитесь в ЕС, вероятнее всего его и будут привлекать. Что будет если не назначить представителя — пока не ясно, мне кажется будут привлекать РосКомНадзор для решения вопроса =)))
Главное, чтобы он приводился в исполнение так же как Cookie Law (никак).
Для платных сервисов — добавлять к цене, аналогично с ПДВ, 4% GDPR.
Для бесплатных непонятно — к ним будет применяться штраф в 4% от оборота (0 евро) или 20 млн. евро?
Для бесплатных непонятно — к ним будет применяться штраф в 4% от оборота (0 евро) или 20 млн. евро?
Очень правильный закон. Сначала докажите (и сами убедитесь), что вы надежно оберегаете каждый байт с информацией обо мне от третьих лиц, а уже потом собирайте мои данные. Я бы еще добавил право на взлом, чтобы пользователь имел закрепленное законом право убедиться, что поставщик услуг не номинально заботится о безопасности, и еще лучше иметь возможность обратиться в суд с полученными результатами.
Сегодня в информационный бизнес не лезет только ленивый, а уровень компетентности в сфере ИБ на уровне не знания. Поэтому строгость закона очень правильная и заботится о пользователе, потому что он в данном случае в зависимом положении. А перегибы со временем устранятся, все-таки ЕС.
Довольно глупая позиция как по мне. Особенно последнее предложение.
Аха! Предположим, я журналист-любитель, временами от скуки тискаю статейки себе на сайт. Сайт на арендованном виртуальном сервере (хз как он работает и что собирает), на движке вордпресс (хз как он работает....), с плагинами (хз как они....).
И вот на мой уютненький заходишь несовершеннолетний ты… Здрасте! Я преступник!
Очень правильный закон, ага!
В описаной ситуации всё выглядит именно так :( Если по букве закона.
Хороший пример. Вы используете потенциально дырявую систему, а оправдывать вас должно незнание и отсутствие злого умысла!? Тогда откуда у вас появится стимул разобраться не наносите ли вы этим вреда?
А теперь вопрос: с какого дуба читатель сайта вводит некие персональные данные?
Всё, что собирает счётчик — он собирает без участия пишущего на сайте. Wordpress или другой движок тоже не журналистом сделан, его установил хостинг в нужной хостингу конфигурации.
Мутно там всё, у кого адвокат лучше, то и выкрутится.
Всё, что собирает счётчик — он собирает без участия пишущего на сайте. Wordpress или другой движок тоже не журналистом сделан, его установил хостинг в нужной хостингу конфигурации.
Мутно там всё, у кого адвокат лучше, то и выкрутится.
А какую судебную практику вы смотрели по не вступившей в силу норме?
«из которой выросли некоторые новые положения этого закона»
Например, история про IP адреса: pagefair.com/blog/2016/reprieve-for-it-departments-as-eu-court-rules-on-ip-addresses
Например, история про IP адреса: pagefair.com/blog/2016/reprieve-for-it-departments-as-eu-court-rules-on-ip-addresses
Интересно, а после выхода Британии из Евросоюза положения о формальных признаках, которые касаются английского языка, останутся в силе?
Британия будет поддерживать GDPR и после выхода — вероятно, в этом плане останется некое «общее юридическое пространство».
А что, Британия — единственная англо-говорящая страна в ЕС?
UFO just landed and posted this here
Согласно GDPR контролер может сохранить данные, которые необходимы для судебной защиты. По идее под это про любые данные можно сказать.
В GDPR есть 6 законных оснований для работы с ПД — одно из них «требование закона».
Они их удаляют, но оператор связи с октября будет хранить эти данные еще месяц?Там вроде и дольше можно хранить. Выдавать нельзя (хотя при запросе от правоохранительных органов — можно). Гугл гарантирует что удалённые данные не будут уже никому доступны только через полгода.
Это просто чтобы всех на уши не ставить и не заставлять решать проблему с бекапами и прочим.
Так что нет — в этом месте GDPR и «Закон Яровой» вполне совместимы.
кто-нибудь знает, как не трекать аналитиксом тех, кто не дал согласие? и как не трекать вообще пока не дали согласие? как это все разделить?
Справедливости ради, скажу, что никогда не видел в российском интернет-магазине возможность «оформить заказ без регистрации». Всем дай-подай имя, фамилию, почту, и непременно (!) мобильный телефон, все аккуратно собирают «базы клиентов».
В европейских же такая возможность есть, неодократно сталкивался — при оформлении заказа можно нажать кнопку «не хочу создавать учетку, просто перейти к оплате» и максимум, что у вас спросят — это на какой адрес прислать электронное письмо-подтверждение. Ну и адрес доставки, само собой. Это если не самовывоз.
Так что я в чем-то одобряю этот GDPR, особенно в части того, что необходимо реализовать возможность редактирования и удаления любых пользовательских данных.
В европейских же такая возможность есть, неодократно сталкивался — при оформлении заказа можно нажать кнопку «не хочу создавать учетку, просто перейти к оплате» и максимум, что у вас спросят — это на какой адрес прислать электронное письмо-подтверждение. Ну и адрес доставки, само собой. Это если не самовывоз.
Так что я в чем-то одобряю этот GDPR, особенно в части того, что необходимо реализовать возможность редактирования и удаления любых пользовательских данных.
UFO just landed and posted this here
В европейских интернет-магазинах практикуется публичная оферта — цены на товары соответствуют реально имеющимся товарам на складе компании. Собственно интернет-магазин без публичной оферты не может приносить прибыль, чисто физически. Клиенты будут уходить туда где есть товар и можно его купить.
В этом варианте владельцы магазинов заинтересованны в количестве клиентов. Дополнительная персональная информация клиентов им не требуется, разве что спросят имя — чтобы уведомление выглядело более естественным. Впрочем, имя может быть любым, и не проверяется как лож. Сохранение конфиденциальности требуется (точнее именно так и появилось) при покупках интимного характера, ну или очень личного. У них вообще всё не очень гладко с сексуальной темой, точнее — полный бардак.
В наших интернет-магазинах (99,9% из них — прокладки) товара как такового нет, хотя есть не публичный договор с тем у кого он реально есть. При этом владелец товара по вине собственной жадности и криворукости не может полноценно торговать собственным товаром. Ему обязательно нужно вагонами, баржами, или на худой конец — партией в 100к штук.
В этом варианте продавец заинтересован содрать 9 шкур с нового покупателя, хотя своим «корешам» дарит товар за половину цены. То-есть на лицо явный обман с публичной офертой (если она и есть). И в этом случае закон сохранения персональных данных работает уже на самого продавца.
Таким образом GDPR (не в плане штрафов) полезен и там и тут. Но каким-то странным образом у нас он охраняет злодеев, а там покупателей.
В этом варианте владельцы магазинов заинтересованны в количестве клиентов. Дополнительная персональная информация клиентов им не требуется, разве что спросят имя — чтобы уведомление выглядело более естественным. Впрочем, имя может быть любым, и не проверяется как лож. Сохранение конфиденциальности требуется (точнее именно так и появилось) при покупках интимного характера, ну или очень личного. У них вообще всё не очень гладко с сексуальной темой, точнее — полный бардак.
В наших интернет-магазинах (99,9% из них — прокладки) товара как такового нет, хотя есть не публичный договор с тем у кого он реально есть. При этом владелец товара по вине собственной жадности и криворукости не может полноценно торговать собственным товаром. Ему обязательно нужно вагонами, баржами, или на худой конец — партией в 100к штук.
В этом варианте продавец заинтересован содрать 9 шкур с нового покупателя, хотя своим «корешам» дарит товар за половину цены. То-есть на лицо явный обман с публичной офертой (если она и есть). И в этом случае закон сохранения персональных данных работает уже на самого продавца.
Таким образом GDPR (не в плане штрафов) полезен и там и тут. Но каким-то странным образом у нас он охраняет злодеев, а там покупателей.
Собственно интернет-магазин без публичной оферты не может приносить прибыль, чисто физически. Клиенты будут уходить туда где есть товар и можно его купить.Amazon довольно часто требует положить товар в корзину, иначе цену не увидеть.
Догадайся где хозяин товара, а где прокладка.
Amazon довольно часто требует положить товар в корзину, иначе цену не увидеть.
Можете показать пример такого товара?
Никогда не видел такого на Амазоне, закупаюсь там регулярно.
Разве что некоторые скидочные купоны действуют только "в корзине", но и они явно указываются под ценой товара.
Могу, но не хочу. Любая такая ссылка приведёт к неизбежным комментариям вида виивсёврёти. Потому что сегодня цена есть, завтра нет, послезавтра опять есть.
Вот на страничка с пояснениями, на которую ведёт ссылка «why don't we show the price?», размещающаяся на таких страницах вместо цены. Она привычки исчезать и появляться не имеет.
Вот на страничка с пояснениями, на которую ведёт ссылка «why don't we show the price?», размещающаяся на таких страницах вместо цены. Она привычки исчезать и появляться не имеет.
Спасибо, не сталкивался — видимо, чисто американская заморочка.
Не удивлюсь, если в Европе такое поведение запрещено законом.
UFO just landed and posted this here
На страницах с книгами, надо сказать, я тоже не сталкивался. На странице с электроникой — изредка, чаще всего я такое видел на страницах со всякой фототехникой. Там на страничке с пояснениями достаточно наглядно описано — когда такое может быть. Термин «Minimum Advertised Pricing» я оттуда узнал. Походил по ссылкам, почитал… вроде всё легально…
У меня интернет-магазин и в нем можно купить без регистрации. Но ФИО, адрес, телефон и email требуются для того, чтобы можно было отправить товар, уведомить об этом и связаться с покупателем в случае каких-то вопросов (например, неверно указан индекс, такое бывает довольно часто).
Собственно регистрация у меня служит только одной цели — не заполнять при каждом заказе все эти данные.
Собственно регистрация у меня служит только одной цели — не заполнять при каждом заказе все эти данные.
(например, неверно указан индекс, такое бывает довольно часто).
Я на Али пару раз ошибался с индексом (в рамках одного города) — сначала посылка приходила в почтовое отделение по индексу, а потом его на посылке исправляли и отправляли в нужное отделение исходя из адреса.
Отправка за границу — другое дело, в этом случае не проверяют соответствие индекса адресу. А при отправке у нас по стране оператор в почтовом отделении при приеме посылки вбивает адрес в программу, которая автоматом по индексу выдает населенный пункт :) Зачастую оператор готов сам исправить индекс на правильный если есть уверенность, что остальной адрес верный, но иногда такой уверенности нет.
Справедливости ради, скажу, что никогда не видел в российском интернет-магазине возможность «оформить заказ без регистрации». Всем дай-подай имя, фамилию, почту, и непременно (!) мобильный телефон, все аккуратно собирают «базы клиентов».
Тем не менее — такое бывает. Литрес подойдет как российский интернет магазин? На сайте — есть опция сразу купить, спрашивают на какой адрес чек и ссылку книгу прислать и сразу выбор способа оплаты. На мобильных приложениях у них это вообще чуть ли не основной режим. Правда они при этом создают в фоне аккаунт (и можно объединять аккаунты).
Как насчет всех европейских магазинов не скажу, а в германии с регистрацией или без регистрации — разницы не имеет. Для самого онлайн-шопа это фикция: и так и так данные будут сохранены, и будет создана учетная запись, в том же виде что и для зарегистрированного клиента, потому как этого требует налоговое законодательство (на 10 лет с момента выставления счета).
Разница только в том, что в одной учетке пароль есть, а в другой(гостевой типа) нет, и гость будь добр в следующий раз при покупке снова заполняй свои данные (адрес, емэйл, телефон и т.д.).
Так что обольщаться не стоит…
Разница только в том, что в одной учетке пароль есть, а в другой(гостевой типа) нет, и гость будь добр в следующий раз при покупке снова заполняй свои данные (адрес, емэйл, телефон и т.д.).
Так что обольщаться не стоит…
Кейс из Британии: Несколько месяцев вели консультации с юристами. В итоге всё, что сделали: возможность для админов по запросу пользователя найти все данные, которые мы о нём храним, и экспортнуть их в PDF для последующей отправки пользователю (так называемый Right to Access). Хотели ещё сделать возможность анонимизации всех персональных данных пользователя по запросу (так называемый Right to Be Forgotten), но в итоге при дальнейшем исследовании выяснили, что бизнес-критические данные можно хранить столько, сколько заявляем в T&C (у нас это 7 лет), поэтому задвинули на самое днище бэклога.
Кроме того, делаем pentest сертифицированной компаний в качестве доказательства, что у нас всё окей с аудитом безопасности.
Кроме того, делаем pentest сертифицированной компаний в качестве доказательства, что у нас всё окей с аудитом безопасности.
Удивительный минимализм. Если бы мы со стороны R&D нашего юриста не вразумляли — вообще бы без каких-либо данных остались, наверное.
Кроме того, делаем pentest сертифицированной компаний в качестве доказательства, что у нас всё окей с аудитом безопасности.
Можно про пентест подробнее? Я думал, если уязвимость нашли — значит она есть. Если не нашли — ничего не значит(возможно плохо искали).
UFO just landed and posted this here
UFO just landed and posted this here
Первая мысль от прочитанного — полтики в серьёз решили раздробить интернет.
Правильно ли я понимаю, что в скором времени будет проще держать 3 портала «для США», «для ЕС» и «для РФ», что б не нарушить законодательство одной из стран, которые запросто могут противоречить друг друг?
Правильно ли я понимаю, что в скором времени будет проще держать 3 портала «для США», «для ЕС» и «для РФ», что б не нарушить законодательство одной из стран, которые запросто могут противоречить друг друг?
Мысль правильная — и да, это те чего хотят спецслужбы… а за ними и политики…
Из-за GDPR это уже становится осмысленным — хотя бы из-за того, что по GDPR у европейца придется спрашивать сограсие (consent) на каждый чих отдельно, отчего нормальный человек может просто озвереть и сбежать.
Похоже, что тот GDPR может деструктивно повлиять на развитие веб и ПО.
Еще вопрос, может это не совсем в тему, но где-то рядом.
Допустим у меня программа чекает апдейты на сервере AWS, надо спрашивать согласие?
При отправке бага/краш лога кроме согласия на отправку, нужно теперь еще и согласие на ПД (ибо там конфиг компа)?
PS:
Как решать вопросы безопасности онлайн ресурса, если нельзя даже IP сохранить?
Еще вопрос, может это не совсем в тему, но где-то рядом.
Допустим у меня программа чекает апдейты на сервере AWS, надо спрашивать согласие?
При отправке бага/краш лога кроме согласия на отправку, нужно теперь еще и согласие на ПД (ибо там конфиг компа)?
PS:
Как решать вопросы безопасности онлайн ресурса, если нельзя даже IP сохранить?
GDPR регулирует только работу с теми данными, которые идентифицируют физическое лицо. При чеканьи апдэйтов такие данные отправляются куда-то? При отправке бага/краш лога?
Сложно. IP какое-то время можно хранить, если обосновать это как ваш (контроллера) законный интерес — например, для работоспособности fail2ban.
Сложно. IP какое-то время можно хранить, если обосновать это как ваш (контроллера) законный интерес — например, для работоспособности fail2ban.
При чеканьи апдэйтов такие данные отправляются куда-то?Сложно соотносить.
Например если при апдейте идет проверка лиц.ключа. Итого у сервера есть ключ и IP.
Ключ может быть аналогом куков? или для этого есть отдельное определение?
При отправке бага/краш лога?При отправке багрепортов отправляются параметры компа, версия, перечень файлов при сбое ну и у сервера IP. Для идентификации эти данные не используются, но хранятся какое-то время(исправление ошибки). Теоретически могут использоваться для идентификации, надо доказывать, что это не делается? Как это доказать?
Итого у сервера есть ключ и IP.
IP технически всегда есть — а пишется в логи? Ключ может быть связан с физлицом?
Если оба «да» -> GDPR.
Теоретически могут использоваться для идентификации, надо доказывать, что это не делается?
Если действительно могут -> GDPR.
Есть пару стартапов, страдаю GDPR'ом с начала года.
В принципе не так страшен чёрт как его рисуют, просто нужно было нанять пару хороших юристов, составить EULA… дать пользователям возможность отключать сбор данных с потерей соответствующего функционала, и возможность "полностью" удалить аккаунт, объяснить зачем это всё собирается… провести много DevOps манипуляций и внедрить семь кругов ада всяких методов логирования/контроля доступа.
Проблема крылась в слове "полностью", ведь записи с бухгалтерии тоже "персональные данные" которые "собираются", и просто так их не удалить без нарушения местного законодательства. В Штатах за это, вроде как, даже уголовная ответственность предусмотрена.
В целом, если у вас нет утечек, и даже если и были, но вы наладили оповещение, — особо переживать по поводу GDPR'a не стоит.
ведь записи с бухгалтерии тоже «персональные данные» которые «собираются», и просто так их не удалить без нарушения местного законодательства
Этот момент в GDPR обработан. Одно из шести законных оснований обработки персональных данных: Legal obligation, то есть требование законодательства. Если какой-то другой закон требует от тебя хранения или обработки ПД — то ты можешь их хранить или обрабатывать в том объёме и тот срок, который от тебя требует этот самый другой закон.
Хм… дык надо в Думу РФ такой закон «задвинуть».
Ну хотябы чтобы можно(НУЖНО) было куки и мыло сохранять.
Пусть поддержат местных интернет-предпринимателей.
Глядишь и иностранные конторы или их филиалы под юрисдикцию РФ перейдут.
(почти шутка)
Ну хотябы чтобы можно(НУЖНО) было куки и мыло сохранять.
Пусть поддержат местных интернет-предпринимателей.
Глядишь и иностранные конторы или их филиалы под юрисдикцию РФ перейдут.
(почти шутка)
Да, там непонятки c определениями есть — Accounting не всегда может подпадать под Legal Obligation в разных странах… именно об этом и речь, что иногда пользователь может корзинить бухгалтерию, и это страшно (мало спал, видимо некорректно выразился).
Поможет ли сделать при первом входе на сайт баннер типа "посещая этот сайт, вы гарантируете, что вы не из ЕС"?
UFO just landed and posted this here
Согласен, автор слишком сгущает краски, а о самом важном не рассказал: как именно соответствовать и не попасть на штраф. Всё не так уж сложно:
1 — определяем относимся ли мы к области действия закона. Продаём в евро услуги или товары с доставкой в ЕС? Имеем адрес, указывающий на географическое положение в Европе (***-FR.com и тд)? Позволяем при регистрации в качестве места постоянного проживания указать Европу? (Важно: постоянного проживания (residency). Вопрос о гражданстве могу попозже прояснить, но пока что даю 75%, что простого паспорта Франции у пользователя, постоянно проживающего в России, не хватит для того, чтобы он мог с вас что-то требовать по GDPR.). Любым способом «нацеливаем» свои услуги на граждан ЕС? Если хоть на один вопрос ответили положительно, то да, попадаем под область действия закона. Но это — не конец света.
2 — что делать?
Первое — назначить представителя в ЕС. На первый взгляд, требование тупое, но подумайте ещё 5 секунд. Вы собираете ПЕРСОНАЛЬНЫЕ ДАННЫЕ пользователя. Эти данные могут быть использованы ему во вред, не говоря уже о конституционных правах на личную жизнь и всё такое. Если вы хотите делать бизнес с европейцами, то уж извольте приложить некоторые усилия для этого. У нас тоже много законов, которые можно не знать, а потом как попасть со штрафами, что и почкой не расплатитесь. А тут вы собираете с пользователей, живущих в определённом правовом поле (вполне цивилизованном) их личную информацию и я думаю, что такие пользователи заслуживают права жить по своим законам и быть уверенными в своих правах, а не лезть при посещении каждого сайта в интернете в справочники по законодательству конкретной страны (вы же сами не хотели бы так делать?).
Второе: создать механизмы, требующиеся по закону:
-Right to be forgotten (всё просто и давно нам известно)
-Right to access (собираете всю инфу о пользователе, включая собранную автоматически, а затем отправляете ему)
-Нотификация при утечке данных или обнаружении уязвимости (вполне себе честно, не находите?).
-А также то, что вообще-то и так в любой юрисдикции нужно делать — ТРЕБУЙТЕ СОГЛАСИЯ пользователя на сбор его данных и вообще на пользование вашим сервисом НА ВАШИХ ЗАКОННЫХ УСЛОВИЯХ (это про нюансы хранения информации, сроки и т.д.). Вообще, в любой нормальной стране e-contracts уже давно не являются чем-то удивительным. Обычный контракт. Условия заключения тоже обычные — предложение, явное согласие и желание быть связанными обязательством (про consideration не будем, это в РФ не нужно). От пользователя надо только потребовать активного действия — проставления галочки или пары дополнительных кликов.
-Data portability — возможность отдать пользователю в общеизвестном формате (думаю, JSON/XML подойдут) все данные, КОТОРЫЕ ОН САМ ПРЕДОСТАВИЛ (логов не нужно).
Изи же? Чего паниковать? Ничего технически нереализуемого я в законе не увидел. Это не сомнительные пакеты, принимаемые нашей ГД в 0.1 чтении. Да, он добавляет разработчикам работы, но он и защиту предоставляет людям. Не какую-то мифическую защиту от террористов, а защиту и некоторые гарантии от вполне себе распространённых преступлений. Ну и права какие-никакие даёт. Решили вы новую жизнь начать и удалить аккаунт с сайта знакомств — пожалуйста. Зачем таким апокалиптичным выставлять этот закон?
1 — определяем относимся ли мы к области действия закона. Продаём в евро услуги или товары с доставкой в ЕС? Имеем адрес, указывающий на географическое положение в Европе (***-FR.com и тд)? Позволяем при регистрации в качестве места постоянного проживания указать Европу? (Важно: постоянного проживания (residency). Вопрос о гражданстве могу попозже прояснить, но пока что даю 75%, что простого паспорта Франции у пользователя, постоянно проживающего в России, не хватит для того, чтобы он мог с вас что-то требовать по GDPR.). Любым способом «нацеливаем» свои услуги на граждан ЕС? Если хоть на один вопрос ответили положительно, то да, попадаем под область действия закона. Но это — не конец света.
2 — что делать?
Первое — назначить представителя в ЕС. На первый взгляд, требование тупое, но подумайте ещё 5 секунд. Вы собираете ПЕРСОНАЛЬНЫЕ ДАННЫЕ пользователя. Эти данные могут быть использованы ему во вред, не говоря уже о конституционных правах на личную жизнь и всё такое. Если вы хотите делать бизнес с европейцами, то уж извольте приложить некоторые усилия для этого. У нас тоже много законов, которые можно не знать, а потом как попасть со штрафами, что и почкой не расплатитесь. А тут вы собираете с пользователей, живущих в определённом правовом поле (вполне цивилизованном) их личную информацию и я думаю, что такие пользователи заслуживают права жить по своим законам и быть уверенными в своих правах, а не лезть при посещении каждого сайта в интернете в справочники по законодательству конкретной страны (вы же сами не хотели бы так делать?).
Второе: создать механизмы, требующиеся по закону:
-Right to be forgotten (всё просто и давно нам известно)
-Right to access (собираете всю инфу о пользователе, включая собранную автоматически, а затем отправляете ему)
-Нотификация при утечке данных или обнаружении уязвимости (вполне себе честно, не находите?).
-А также то, что вообще-то и так в любой юрисдикции нужно делать — ТРЕБУЙТЕ СОГЛАСИЯ пользователя на сбор его данных и вообще на пользование вашим сервисом НА ВАШИХ ЗАКОННЫХ УСЛОВИЯХ (это про нюансы хранения информации, сроки и т.д.). Вообще, в любой нормальной стране e-contracts уже давно не являются чем-то удивительным. Обычный контракт. Условия заключения тоже обычные — предложение, явное согласие и желание быть связанными обязательством (про consideration не будем, это в РФ не нужно). От пользователя надо только потребовать активного действия — проставления галочки или пары дополнительных кликов.
-Data portability — возможность отдать пользователю в общеизвестном формате (думаю, JSON/XML подойдут) все данные, КОТОРЫЕ ОН САМ ПРЕДОСТАВИЛ (логов не нужно).
Изи же? Чего паниковать? Ничего технически нереализуемого я в законе не увидел. Это не сомнительные пакеты, принимаемые нашей ГД в 0.1 чтении. Да, он добавляет разработчикам работы, но он и защиту предоставляет людям. Не какую-то мифическую защиту от террористов, а защиту и некоторые гарантии от вполне себе распространённых преступлений. Ну и права какие-никакие даёт. Решили вы новую жизнь начать и удалить аккаунт с сайта знакомств — пожалуйста. Зачем таким апокалиптичным выставлять этот закон?
UFO just landed and posted this here
Не планировал, но набросал продолжение — очень короткое и практическое, чтобы брать и исправлять самое важное.
habr.com/company/plesk/blog/354494
> ТРЕБУЙТЕ СОГЛАСИЯ пользователя на сбор его данных и вообще на пользование вашим сервисом НА ВАШИХ ЗАКОННЫХ УСЛОВИЯХ
Ой много в это месте нюансов… В частности, по GDPR вы обязаны отделить данные, что необходимы для возможности использования вашим сервисом, и что опциональны на самом деле — и на вторые контракт не распространяется, не имеете права связывать. И т.д.
habr.com/company/plesk/blog/354494
> ТРЕБУЙТЕ СОГЛАСИЯ пользователя на сбор его данных и вообще на пользование вашим сервисом НА ВАШИХ ЗАКОННЫХ УСЛОВИЯХ
Ой много в это месте нюансов… В частности, по GDPR вы обязаны отделить данные, что необходимы для возможности использования вашим сервисом, и что опциональны на самом деле — и на вторые контракт не распространяется, не имеете права связывать. И т.д.
Согласен, но опять же, что в этом страшного? Ведь мяч по-умолчанию на вашей стороне. Кроме того, все нюансы уже давно были опробованы в судах и исходя из этих решений родились «лучшие практики». Пример: как собирать согласие пользователя с точки зрения UX/UI и т.д. Ну а если хочется проявить индивидуальность, тогда лучше спросить у юриста.
За вторую часть спасибо! Она действительно убирает панику и даёт дельные советы. В целом, моя претензия была лишь к этому. Обозначили проблему, но забыли упомянуть, что с ней более-менее легко не столкнуться :)
За вторую часть спасибо! Она действительно убирает панику и даёт дельные советы. В целом, моя претензия была лишь к этому. Обозначили проблему, но забыли упомянуть, что с ней более-менее легко не столкнуться :)
UFO just landed and posted this here
т.е. идеи такого сервиса уже есть, а вот как его реализовать пока думают…Но то есть закон пока есть, а как это будет работать — никто не знает… странно, тут многие уверяют, что только в России так законы принимают…
«какой процент среди моих клиентов составляют лица состоящие в браке?»,
После такого запроса каждый человек на свой запрос
кто когда и зачем просматривал эти данные
получит ничего не значащий ответ "смотрели, состоите ли вы в браке, причина "(пробел)"" (или "вы клиент компании ХХХ", если те раскроют критерии выборки). Такую причину ещё нужно суметь сформировать для пользователя по каждому запросу статистики к такой объединенной БД, а потом ещё и проверить каким-то образом, верна ли предоставленная причина, причем до того, как отдавать данные на выход. Возникает вопрос — кто это будет делать, и сколько это будет стоить, а ответы на него даже сейчас ИМХО туманны как не знаю что. Вот и нет такого бизнеса, потому что монетизировать хотя и можно, но проверки валидности каждого запроса обойдутся в слишком неясную сумму.
UFO just landed and posted this here
Самый важный вопрос — а что будет тем, кто ничего не будет делать? Если нет юридического лица в ЕС. Думаю, это процентов 80-90 интернета. Не будут же они блокировать…
Пока что ещё нет точного ответа, так как закон вступит в силу только с 25 мая. Но пока что обсуждается такой вариант:
в ЕС есть так называемая DPA (data protection authority). Она(они) следит за исполнением закона. Закон для неевропейских компаний может быть соблюдён путём обычного контракта. Думаю, они предложат заключить вам контракт о том, что вы соблюдаете этот закон. Если вы отказываетесь, тогда есть два механизма. Первый — обычное правило международного частного права — court injunctions. Суд в ЕС просто просит российский суд (по месту регистрации ответчика) выпустить постановление о прекращении безобразия. 99,9%, что это требование будет выполнено. Также есть вариант самостоятельного обращения клиента либо той же DPA в суд прямо по месту регистрации вашего бизнеса (в российский суд, то бишь). Опять же, наш суд легко может согласиться с требованиями GDPR и обязать вас либо их исполнять, либо прекратить оказывать услуги в ЕС. Но если наша страна в очередном патриотическом приступе вдруг встаёт в позицию «хайли лайкли гоу фак ёрсэлф», то есть и второй способ для европейцев — принятие мер по запрету оказания услуги/доставки товаров. Товары можно на границе задерживать, а оказание услуг блокировать можно сами понимаете как.
Далее моё личное мнение (я такого обсуждения не видел, но не могу представить почему бы нет). В теории, можно сделать белый список сайтов. При переходе на сайт, не находящийся в этом списке из ЕС, пользователю 10 раз будут показывать, что-то типа «вы идёте на опасный сайт, они ваши данные не пойми как хранят, потом задолбаетесь по судам иностранным бегать» и т.д. Ну и в список вносить после проверки на соответствие закону (такая проверка в нём прописана). Это просто идеи. Такое не обсуждалось, вроде бы (я не встречал), но я не вижу причин не предположить такой механизм.
в ЕС есть так называемая DPA (data protection authority). Она(они) следит за исполнением закона. Закон для неевропейских компаний может быть соблюдён путём обычного контракта. Думаю, они предложат заключить вам контракт о том, что вы соблюдаете этот закон. Если вы отказываетесь, тогда есть два механизма. Первый — обычное правило международного частного права — court injunctions. Суд в ЕС просто просит российский суд (по месту регистрации ответчика) выпустить постановление о прекращении безобразия. 99,9%, что это требование будет выполнено. Также есть вариант самостоятельного обращения клиента либо той же DPA в суд прямо по месту регистрации вашего бизнеса (в российский суд, то бишь). Опять же, наш суд легко может согласиться с требованиями GDPR и обязать вас либо их исполнять, либо прекратить оказывать услуги в ЕС. Но если наша страна в очередном патриотическом приступе вдруг встаёт в позицию «хайли лайкли гоу фак ёрсэлф», то есть и второй способ для европейцев — принятие мер по запрету оказания услуги/доставки товаров. Товары можно на границе задерживать, а оказание услуг блокировать можно сами понимаете как.
Далее моё личное мнение (я такого обсуждения не видел, но не могу представить почему бы нет). В теории, можно сделать белый список сайтов. При переходе на сайт, не находящийся в этом списке из ЕС, пользователю 10 раз будут показывать, что-то типа «вы идёте на опасный сайт, они ваши данные не пойми как хранят, потом задолбаетесь по судам иностранным бегать» и т.д. Ну и в список вносить после проверки на соответствие закону (такая проверка в нём прописана). Это просто идеи. Такое не обсуждалось, вроде бы (я не встречал), но я не вижу причин не предположить такой механизм.
«процессор». (Кто это?!)
Вероятно по-русски правильно обработчик, речь же об обработке ПД. А controller – ответственный за обработку.
UFO just landed and posted this here
А у меня такой вопрос: распространяется ли закон на физических лиц, которые владеют сайтом?
Например, я имею личный блог, в нем стоит счетчик гугл-аналитики и прикручены комментарии от Discourse. Ни о какой коммерции, естественно, речь не идет. Я имею какое-то количество посетителей из Европы, да и сам живу в Европе. Формально, мой блог является контроллером, да еще и двух сервисов, каждый из которых хранит личные данные пользователей. Попадает ли мой блог под действие закона? Если да, то что делать?
Например, я имею личный блог, в нем стоит счетчик гугл-аналитики и прикручены комментарии от Discourse. Ни о какой коммерции, естественно, речь не идет. Я имею какое-то количество посетителей из Европы, да и сам живу в Европе. Формально, мой блог является контроллером, да еще и двух сервисов, каждый из которых хранит личные данные пользователей. Попадает ли мой блог под действие закона? Если да, то что делать?
В GDPR формулировка такая:
This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities. However, this Regulation applies to controllers or processors which provide the means for processing personal data for such personal or household activities.
Вот и думайте…
This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities. However, this Regulation applies to controllers or processors which provide the means for processing personal data for such personal or household activities.
Вот и думайте…
Да… Роскомнадзор со совим хайпом вокруг «блокировки» Телеграмма — это просто розовые пушистики!
Феерическая жжесть!
Феерическая жжесть!
GDPR полная противоположность нашему закручиванию гаек. Я всем, чем только можно приветствую необходимость оказываться от хранения личных персональных данных (ФИО, адрес, телефон), и проверяемо надежного хранения остального (логин/пароль и аватарка с котиком). Конец эпохи беспредела соцсетей.
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Ну лично я смогу узнать какой портал что конкретно обо мне хранит.Может получиться как с калифорницским законом о вредных веществах. Принятие которого привело к тому, что на всех зданиях появились почти одинаковые таблички, обьясняющиее, что часть материалов, использованных в конструкции может быть канцерогеном.
Толку от этого — нуль (ну разве что производители табличек заработали).
Примерно то же самое произошло с куками: теперь все сайты дружно заставляют пользователя согласится с тем, чтобы он включил-таки куки (тольком не обьясняя зачем).
Если окажется, что GDPR покрывает данные, нужные подавляющему большинству сайтов, то GDPR просто добавит ещё одну бессмысленную плашку, скорее всего.
В идеале буду знать когда произойдут утечки данных и при необходимости смогу отреагировать на это.Допустим утекает ваши данные: номер мобилы, адрес проживания и фио
Как на это можно «реагировать»? Срочно менять всё по списку утечки?
Формально договорные отношения есть. Те самые 100500 страниц ToS.
А сейчас вот читаю рассылку от Facebook — новые Platform Guidelines где:
А сейчас вот читаю рассылку от Facebook — новые Platform Guidelines где:
- Запрос приложением вообще любых разрешений кроме самых базовых вида имя/аватарка/e-mail — добро пожаловать на App Review Facebook'ом
- Исключения — свои собственные приложения и приложения где все юзеры с правами — прописаны в настройках приложения
- Рекламные провайдеры — тоже должны спецдоговоренности иметь
- Провайдеры инструментария — спецдоговоренности + в будущем если работают с большим количеством данных — то попросят сообщить о клиентах.
Именно. Конец соцсетей. И это прекрасно.
Как насчет всех европейских магазинов не скажу, а в германии с регистрацией или без регистрации — разницы не имеет. Для самого онлайн-шопа это фикция: и так и так данные будут сохранены, и будет создана учетная запись, в том же виде что и для зарегистрированного клиента, потому как этого требует налоговое законодательство (на 10 лет с момента выставления счета).
Разница только в том, что в одной учетке пароль есть, а в другой(гостевой типа) нет, и гость будь добр в следующий раз при покупке снова заполняй свои данные (адрес, емэйл, телефон и т.д.).
Так что обольщаться не стоит…
Разница только в том, что в одной учетке пароль есть, а в другой(гостевой типа) нет, и гость будь добр в следующий раз при покупке снова заполняй свои данные (адрес, емэйл, телефон и т.д.).
Так что обольщаться не стоит…
Sign up to leave a comment.
GDPR как оружие массового поражения