Pull to refresh

Comments 35

GDPR? — Неа, не слышал…
А если серьезно:
По данным опросов около 30% предпринимателей еще не слышали или не задумывались на эту тему… Только каждый пятый предпринял или планирует действия в этом направлении.
Я думаю грядет охота на ведьм лавина исков с целью пополнить карманы адвокатов…

Незнание законов не освобождает от ответственности

Я с вами полностью согласен. Своим комментарием я только хотел показать реальное положение вещей. Я сам работаю в этой отрасли и мне волей неволей приходится сталкиваться и даже клиентам объяснять что где и как.
Меня просто очень огорчает что в начале будут страдать маленькие предприниматели от юристов, конторы которых заточены на отлов и отстрел под это и иски которых не исходят от реальных лиц.

Я не знаю или ваша компания работает в странах ЕС, но все кто работают с ЕС были уведомлены уже давно. GDPR обсуждется уже более года всеми кому не попадя до такой степени что на западе это уже мем, так что меня удивляет что кого-то вообще удивляет что он близко.


И потом, до него еще месяц, так что если поднажать то можно успеть.


В добавок сначала будут уведомления, а потом в случае не выполнения обязательств, штраф.

Сегодня в почте обнаружил обновление политики конфиденциальности от Twitter, Trello и GOG (а у них ещё отдельно для cookie).
Совпадение?
Так можно IP в логах хранить или нельзя?
Это зависит. Что ещё у вас есть, кроме IP? К какой информации, связанной с этими IP, имеете доступ?
Насколько я понимаю/знаю о классических логах (вспомогательный инструмент диагностики/отладки, ограниченное время жизни, и т.д.) можно не беспокоиться. Но если какая-будь «светлая голова» решит что логи можно по-парсить ну скажем для маркетинговых исследований не имея на то согласия пользователей то, скажем так, обосновать законность владения полученными данными будет нечем…
Не совсем. Всё зависит от того, что ещё вам доступно в дополнение к IP — достаточно ли этого для идентификации физлица или нет. Могут и логи веб-сервера сами по себе стать хранилищем персональных данных — у какой-нибудь соцсети запросто вообще.
Опять-же, насколько я понимаю/знаю номинативная информация в промежуточных системах (разные кеши) и во вторичным источниках (логи используемые исключительно для технической отладки — прокси, отдельные сервисы и т.д.) отдельной декларации не требуют. Суть GDPR и его предшественников — в контроле использования персональной информации. Вторичные источники требуют лишь стандартных мер — защиты от утечек и уничтожение/анонимизация в разумные сроки (в Европе min/max зачастую определяется законами и составляет ~ 1 года).
Я не юрист но с проблемой персональных данных мне приходиться сталкиваться регулярно. У нас (франция) GDPR называется RGPD и он заменяет/дополняет CNIL — локальное законодательство существующее уже 40 лет. Оно близкое по духу GDPR только штрафы поменьше но можно загреметь в тюрьму.
Взгляд с другого ракурса :)
Класс! Название наводит на мысль, что есть и английская версия статьи?
UFO just landed and posted this here
UFO just landed and posted this here
Если сайт только на русском, то проблема довольно теоретическая — по букве закона она есть, но вряд ли кто-то до вас докопается практически. Хотя решать вам, в конце концов.
Почитайте metrika.yandex.ru/about/info/gdpr
UFO just landed and posted this here
Кстати, а если даже будут пытаться докопаться, то что? Какие у них есть практические возможности воздействовать на русскоязычный сайт, с хостингом в РФ?
Спасибо за разжёвывание. Не скажу, что ситуация прям ужас-ужас, но поработать над тем, чтобы соответствовать требованиям — явно придётся.
Пожалуйста :)

Учтите — здесь буквально экстренный старт описан, причём только с технической стороны. То есть это шпаргалка «что начать делать ещё до того, как что-то начал понимать в GDPR».
Я понимаю. Но паника и спешка — плохие попутчики.
Я знал, что есть GDPR, но только из ваших статей узнал, насколько всё может быть серьёзно, особенно для такого сайта, как мой. И немножко удивился, потому что британцы, для которых я этот сайт строю — ни о чём таком мне не говорили. Обрадую их на следующей неделе, а пока буду загружаться знаниями и писать предполагаемый план действий.
Если сайт не в продакшене, то можно не торопиться, конечно — можно и трансляцию 15-го подождать.
Эту статью я написал в ответ на претензии, что напугал и бросил людей в панике.
Полтора года как в продакшене 8)
Тогда я бы начал паниковатьдействовать прямо сейчас по этой статье.
В Великобритании GDPR будет действовать в полный рост.
Так я и действую. Составляю список данных, прикидываю сроки внедрения «правильной» галочки на согласие + возможности её отзыва. Ну и читаю сам regulation.
Сайтов физлиц всё-это касается? Начинаю переживать за уютные бложики
В GDPR формулировка такая:
This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities. However, this Regulation applies to controllers or processors which provide the means for processing personal data for such personal or household activities.

Вот и думайте — «purely personal or household activity» у вас в бложике или чуток «professional or commercial activity» тоже есть?
Не могли бы вы прояснить, откуда вы взяли требование гранулярности для consent'а?

Гранулярные: дают раздельные варианты для отдельного согласования для разных типов обработки, где это необходимо.

В докладе вы еще так же упоминали, что на каждый кусок данных и на каждую цель обработки нужно брать отдельный consent, что выливается в отдельные «галочки» в интерфейсе.

Я подозреваю, что на это может натолкнуть вот этот пункт из Recital 32:

When the processing has multiple purposes, consent should be given for all of them.

Но разве тут об этом? Да, я должен указать все, что я обрабатываю, и все цели, для которых мне нужны персональные данные (конкретно по каждому куску и цели), но где требование того, чтобы consent брать отдельно по каждому пункту? Можно описать все это и дать пользователю одну галочку. Я прочитал в документе почти все, что касается consent'а и не нашел противоречий этому.
Там набор взаимодополняющих пунктов, которые в итоге приводят к такому выводу.

Хорошо эта тема разжёвана в Article 29 Working Party Guidelines on Consent under Regulation 2016/679 в «3.2.Specific».

Ещё можно посмотреть в ICO Consent Guidance — хотя финальная версия у них сильно проигрывает черновой. Собственно, процитированный вами текст — перевод из черновика ICO.

PS: Главным является «отдельный консент на каждую цель» — я добавил «кусок данных» чтобы подчеркнуть, что надо четко указывать какие данные будут сохранятся для каждой конкретной цели.
Sign up to leave a comment.