Comments 41
UFO landed and left these words here
Если вы работаете только на территории своей страны (не в ЕС) и ваши пользователи тоже только из вашей страны, то разумеется никакой GDPR вы исполнять не обязаны. Но если вы хотите работать на территории ЕС, с пользователями ЕС, то необходимо выполнять законы ЕС.

В принципе, аналогичные законы есть и в РФ.
Тут возникает много вопросов. Что значит «работать на территории ЕС»? Почему вдруг если пользователь из ЕС приходит на мой вебсайт — это я работаю в ЕС? Верно ли, что компании из ЕС должны подчиняться законам, например, Саудовской Аравии и КНДР?
Угу. Интернет глобален, и попытка его зарегулировать локально ни к чему хорошему не приводит.
Если вы целеноправленно оказываете услуги жителям EC, то попадаете под действие GDPR. Не оказываете — не попадаете. Все просто.
А если не оказываешь услуги, но житель ЕС зарегистрировался на моем российском форуме и указал свое имя-фамилию?
UFO landed and left these words here
А если он переведён на, например, немецкий, то, тем самым подразумевается ваш таргетинг на Германию

А если он ориентирован на немцев, живущих в России и притом граждан России (такие есть, и их довольно много)?

UFO landed and left these words here

Ну вот немцы в таких случаях и говорят что-то типа…
Одно дело это das Recht haben (иметь право) другое дело das Recht bekommen (добиться его выполенния).


Если у вас какой-то сайт и на нем тусюйтуся немцы, то можно особо не партися… Они самыи знают на что идут… И санкционировать вас просто некому.


Интереснее если ваши клиенты корпоративные и сами подлежат GDPR и в процессе работы с вами должны вам сообщить личные данные пусть даже собственных сотрудников.


  • Хлопс и вы уже data (sub-)processor и перед тем как с вами начнут работать потребуют много бумаг (как минимум) ;)
А если он переведён на, например, немецкий

А если там модуль гугл-транслейса с автовыбором языка?
А это уже будет суд решать :) К сожалению, в регламенте столько общих формулировок, что однозначные трактовки зачастую сложно дать.
попадаются признаки оказания услуг гражданам ЕС:
  • услуги/товары адаптированы на местные языки жителей ЕС;
  • услуги/товары оплачиваются в местных валютах ЕС;
  • услуги/товары предоставляются на национальных доменах верхнего уровня стран ЕС.

Например в этом источнике

В принципе, аналогичные законы есть и в РФ.

История была.
Закончился вклад в банке, забрал деньги, отозвал свои персональные данные, потребовал уведомить письменно об уничтожении моих ПД. Через некоторое время пришло уведомление. Через пол года пришел в другой банк, при оформлении договора мне сообщили, что я был клиентом такого то банка, который они купили…

Тут есть момент, из отчётности то они удалить ничего не могут. Следовательно в любом случае какие-то данные останутся. Аналогично как быть с бэкапами.

Даже если что-то осталось, то использовать они это уже не имеют права.

Это не означает, что они должны удалить ВСЕ данные по вам.
Более того, они часть данных обязаны хранить для гос.органов в любом случае.
Если это ник и email — это является персональными данными по их мнению?
ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en
  • a name and surname;
  • a home address;
  • an email address such as name.surname@company.com;
  • an identification card number;
  • location data (for example the location data function on a mobile phone)*;
  • an Internet Protocol (IP) address;
  • a cookie ID*;
  • the advertising identifier of your phone;
  • data held by a hospital or doctor, which could be a symbol that uniquely identifies a person.


Email в общем случае, не попадает. Но не понятно, что будет, если пользователь сам введет почту с именем и фамилией, хотя его просили просто указать почту.

Проблема с Cookie ID. Если id сессии, что хранится в куках сюда может и не будет относиться, то даже по куке для автоматической авторизации уже вопрос.
С кукисами все плохо. в GDPR есть одно только упоминание про Cookies, но оно довольно сильно аффектит. Вот здесь дельно описано:
www.itgovernance.eu/blog/en/how-the-gdpr-affects-cookie-policies
www.cookiebot.com/en/gdpr-cookies

Получается, что даже куки для неавторизованного пользователя ( то есть про него вы ничего не знаете), который шарится по вашему сайту — уже перс данные, так как для в куке уникальный ключ, на основании которого аналитика трекает поведение.
А если там нет уникального ключа, а, например, хранится состояние «Да» для закрытия попапа? Простите, статьи не читал, не умею бегло читать на английском.
Тут нет точного ответа по таким вводным данным:)
Главное что я понял, что точно все куки аналитики и рекламы попадают под GDPR (ну потому что даже если там не хранятся перс данные(в общем понимании) — но там есть уникальные ключи, за счет которых трекинг происходит). А вот куки, которые для работоспособности «в зависимости от» могут попадать.
Во второй статье (хотя ее можно расценивать как рекламу сервиса) но дельно в начале расписано как провести аудит куков. Хоть вместе с Google переводчиком советую почитать.
Спасибо. Вот только через переводчик и читать, напрямую у меня второй сайт не открывается, видимо, попал под бомбёжки.
Даже не знаю, есть ли готовые форумы, к примеру, соответствующие всему этому маразму. phpBB автоматом создаёт сессию, пишет в БД ip и лепит куку с идентификатором, в последней версии обзавёлся только стандартным баннером с «Ok» на кнопке. И ведь я абсолютно уверен, что меньше кук ставить не будут, а сделают больше баннеров и кнопок согласия на всю страницу (
Мне нравится вот это «штрафы большие и придётся соответствовать».

Да не придется, блин, чтобы там ни принимали в ЕС (, Саудовской Аравии, Китае, РФ, или КНДР).
Ну если в ЕС не собираетесь в течение жизни — то может и не надо.
Если у вас интернет магазинчик, торгующий спинерами и чехольчиками, не придется. А если дочки или контрагенты в EC, то ой как придется.
Мы вот сейчас переводим сервис на поддержку GDPR, ибо много клиентов из ЕС, которые платят нам много денег. Если возникнут проблемы с работой сервиса на территории ЕС нам будет очень плохо.
Хотели как лучше, а получилась бюрократия.

А если в TOS написать большими английскими буквами, что этот сайт вне юрисдикции европы, не соответствует GD#!@ и не хочет работать с клиентами из европы? Клиенты-то не сильно снизятся, никто ж не читает. А вот проверки лесом посылать можно будет?

Можно ровно до тех пор, пока не совпадут два факта:


  1. Как-то придется пересечься с юрисдикцией ЕС (хотя бы просто выехать в страну ЕС, или даже в страну, готовую вас выдать в ЕС).
  2. Вы заинтересуете кого-то в ЕС настолько, чтобы заморочиться вашими нарушениями (заинтересуете не обязательно по линии нарушений, но повод докопаться будет).
хотя бы просто выехать в страну ЕС, или даже в страну, готовую вас выдать в ЕС

Вы путаете с уголовным кодексом. Штрафы за несоблюдение GDPR налагаются на компанию, это не уголовное преступление, чтобы кого-то преследовать/выдавать.

На вопрос выше: если фирма не имеет отделения/счетов/каких-либо активов в EC, то можно GDPR просто игнорировать. Хотя лучше не надо — там прописаны вполне разумные вещи, которые хорошо бы реализовать каждой компании независимо от каких-либо внешних директив.

А разве за систематическую неуплату штрафов принадлежащей вам или управляемой вами конторой нельзя получить на свою голову вполне уголовное преследование?
Типа за осознанное препятствование правосудию или неисполнение решения суда.

Нет, нельзя. Максимум за затягивание банкротства, если фирма находится в юрисдикции ЕС и не может выплатить штрафы. Если вне юрисдикции — нет ни штрафов, ни ответственности.

А если при регистрации не запрашивается страна? То есть в если мы не в курсе что клиент из ЕС или нет, должны ли все равно соответствовать

А вот мне хочется сказать спасибо! Дельные вещи, реализация которых уж точно не сделает магазин хуже.
Кнопка Export Personal Data Art. 20 GDPR. Выгружать можно в любом формате: XML, JSON, CSV
— это офигенно, я считаю.
Пускай у нас есть интернет магазин. Тогда мы можем использовать данные человека для доставки ему товаров, рассылки ему писем о новых акциях и для составления маркетинговых профилей. Это означает, что на каждую такую активность мы должны спрашивать отдельное разрешение. При чем человек может сначала согласится, а потом запретить нам какие-то действия, которые являются необязательными для предоставления ему услуги.
А можно подробнее — Export Personal Data. Это выгрузка именно собранных данных (например, данных по аккаунту юзера) или же всей информации? То есть, если у меня в системе есть чаты и новости от юзеров, то мне надо выгружать все данные ассоциированные с юзером (все его сообения с чатов, все новости написанные им)?
GDPR касается персональных данных (PII). Поэтому достаточно будет сделать выгрузку только этой информации (public Id, имэйл, имя, фамилия, телефон, ссылка на фотографию и т.д.).
GDPR интересная тема для обсуждения. Но для начала нужно понять что у нас с 152 ФЗ РФ и как мы соответствуем требованиям законам РФ. Здесь мороки не меньше, да штрафы не так пугают но проблем получить можно не меньше в целом…
Большое спасибо за статью. Вы не в курсе, относительно
Если контроллер или процессор не зарегистрированы в зоне EU, то должен быть назначен официальный и документально подтвержденный представитель в EU Art. 27 GDPR
: предоставляет кто-либо подобные услуги?
Only those users with full accounts are able to leave comments. Log in, please.