Comments 103
Хм, интересно, а как там на счёт данных сотрудников?
Могут ли сотрудники/бывшие сотрудники компании потребовать удалить какие-то данные о себе?
Ну и могут быть забавные вещи, например у нас в России для прохода во многих местах требуют паспорт и переписывают с него данные.
Получается потом граждане ЕС могут с них требовать их удаления (понятно, что только чисто теоретически)? (или GDPR только про цифровые данные и сервисы)?

Сотрудники — Да могут. И их данные нужно удалить.


При этом правда есть такое в законе, что часть данных вы обязаны хранить для обеспечения закона.
Те например данные как имя фамилия и данные об оплатах зарплаты должны храниться в архиве бухгалтерии и их удалить невозможно.


Иначе можно было бы направить запрос налоговики чтобы они забыли о вас :)

Иначе можно было бы направить запрос налоговики чтобы они забыли о вас :)

Или ещё лучше в полицию :)

Не совсем так. Согласно регламенту удалить данные безусловно нужно только в случае, если они были получены по согласию (consent).
Данные сотрудника получаются по трудовому договору, поэтому их можно хранить до окончания действия договора. И даже дольше, если это необходимо компании для каких-то легитимных целей.

И так и не так :)
Некоторые данные работников работадатель обязан хранить по закону, например имена, банковские данные и тп. Их работадатель удалить не может, тут вы правы.

При этом, если работодатель собирает и хранит какие либо другие данные о работнике, например сколько у работника детей, имя-фамилия жены, где учаться дети :) Какой любимый цвет работника — то эти данные не обязательные для работы, и их работник может потребовать удалить… Даже если давал разрешение на сбор их. Спорный вопрос, что из этого можно собирать самостоятельно, без разрешения работника. (работник правда может подписать трудовой договор в котором это всё разрешено автоматически.)

Данные о детях и жене не нужны для трудового договора, и не понятно, зачем они нужны работодателю. Тут скорее нарушается другой пункт — о минимизации данных.

И кстати, регламент запрещает запрашивать разрешение на обработку таких данных внутри договора. Это должен быть отдельный документ.
Про детей — Работодатель может собирать эти данные для того что бы дарить на праздники Вашим детям подарки. Повышение лояльности и все такое.
Если Вы откажетесь предоставлять информацию о детях, то, вероятно, Вас не уволят. Посему, выходит, что вы предоставляете эти данные добровольно и по собственному желанию. На обработку персональной информации детей до 16 лет (в некоторых странах до 13) должен дать согласие родитель. То есть, Вы выходите владельцем этих данных. И да, Вы можете потребовать их удалить.
Про информацию о других членах семьи и/или не только — В случае если Вы в своей мед. карте или договоре страхования, кредита, ипотеки… указываете персональные другого человека, то контроллер этих данных должен уведомить этого другого человека и/или получить согласие на обработку его персональных данных (про согласие еще не точная информация). Например, письмо из банка: «Уважаемый Петр Васильевич. Ваш сын Гоша берет у нас кредит в 100500 денег. Вы указаны поручителем и мы будем теперь вечно хранить Ваши данные и звонить Вам если Гоша не будет платить.» А внизу две кнопки «Ок», «Не Ок»
Есть мнение, что если вы предоставляете банку ПДн третьих лиц, вы сами являетесь контроллером по отношению к ним, а не банк. И сами должны уведомлять субъекта.

П.С. Поручителем нельзя указать человека заочно. Поручитель несет материальную ответственность и оплачивает кредит за счёт собственных средств в случае отказа платить основным заемщиком.
А мне намного интереснее, последуют ли компании MRG этим непонятным европейским правилам )
Законы н непонятные, а вполне удобночитаемые и легко исполняемые.
Да последуют.
GDPR создан безусловно с благими намерениями. Благими намерениями, как известно, выстлана дорога в ад. Вангую, что ад GDPR будет очень некомфортным для всех.
Не надо ванговать. Все нормально проходит и будет проходить дальше нормально.
Защита данных — весьма хитрая задача. Информация обладает свойством сверхрекучести, и если в периметре есть хотя бы микроскопическая дырочка, данные через неё утекают почти мгновенно, и притом сразу все. Это факт, который можно отказываться принимать, но от факта принятия реально ничего не изменяется. Надёжные периметры создавать можно, но это очень затратно и очень неудобно. GDPR требует, чтобы были созданы миллионы надёжных периметров. Чтобы наш сильно информационно связный мир был расчерчен миллионами глухих заборов. Невзламываемых. По ходу дела, GDPR — один из тех законов, которые невозможно исполнить.

Мы здесь в России знаем, что бывает когда принимается закон, который невозможно исполнить. У нас половина законодательства такая. Ну ладно, не половина, но всё же существенная часть. А случается вот что: закон в силу объективных причин нарушается примерно всеми, и реально работает только как инструмент полицейского произвола. То есть нарушают все, а привлекаются к ответственности только те, кому не повезло быть слишком вкусными. Или кому просто не повезло оказаться в неправильном месте в неправильное время.

Ад с точки зрения бизнеса: теперь все становятся преступниками, и только молитва правильным богам (а также регулярно заносимые тортики) поможет избежать драконовских штрафов. Розовые сопли типа «будем паиньками и сделаем как положено по закону» — в пользу бедных. Полностью законопатить все дырки не удастся никому. У малых бизнесов на это нет ни специалистов, ни оборудования, ни банально денег, а у крупных бизнесов слишком велик периметр.

Ад с точки зрения нас, физиков: существенное снижение удобства при существенном возрастании стоимости. Если смотреть на динамику применения российского закона о персональных данных, то если раньше подписывать бумажку-согласие нужно было только в редких случаях (например, при оформлении кредитки), то теперь кипу бумаг нужно подписывать даже для того, чтобы ветеринар посмотрел, что за прыщик вскочил у собачки. Если дальше так дело пойдёт, скоро будем подписывать договор и согласие на обработку персональных данных чтобы купить жвачку в ларьке. Естественно, жвачка эта будет уже не полдоллара.
Кроме того, GDPR даст ложное ощущение защищённости. Мне кажется, лучше знать о своей беззащитности перед big data, чем быть беззащитным (см. выше про сверхтекучесть информации), но об этом не знать.

Ад с точки зрения властей: в условиях, когда есть закон, который охватывает всех, и который невозможно исполнить, ситуация быстро станет неуправляемой. Расцветёт коррупция. Начнёт перекидываться на другие сферы. Практика избирательного применения закона разъест саму основу знаменитого европейского законопослушания.

Несомненно, то, что творится с персональными данными — форменное безобразие. Но, ребята, нельзя же подходить к решению задач так тупо. Типа «а давайте законодательно запретим зиму, и не нужно будет покупать шубу». Прям как дети, ё моё…
Интересно почитать вашу точку зрения, но…
Я занимаюсь «проблемой» GDPR уже почти два года, я знаю людей, которые принимали непосредственное участиеЮ со стороны Италии, в разработке данного Регламента с самого начала. GDPR не говоорит о том, контроллер или процессор долже гарантировать на 100%, что данные клиента-физика никуда не убегут. Это глупо и все это понимают. Регламент говорит о процедурах хранения и обработки данных, о том, что контролллер обязан уведомлять физика как, почемуу, и кем будут обрабтываться его данные и кому и при каких условиях они будут переданы и зачем. Регламент обязывает принимать адекватные меры по защите данных физических лиц. Среди мер, которые регулятор называет оязательными — регулярные бэкапы, антивирус и файрвол. Этого не было ранее? Национальные законодательства стран ЕС уже имели схожие нормы, которые так или иначе действовали, Регалмент просто-напросто унифицирует законодательство и вводит некоторые дополнительные обязательства, главным из готорых является составление регистров обработки данных. Этои регистры делаются за пару человеко-часов, и они не для всех обязательны, что тоже стоит заметить.
<<<GDPR требует, чтобы были созданы миллионы надёжных периметров.

Я не знаю откуда вы это взяли. GDPR требует, что бы госучреждения и иные лица, занимающиеся обработкой персональных данных физических лиц, принимали минимальные меры по защите того, что они обрабатывают, а также имели четкую схему обработки и, что не мало важно, уничтожения этих данных, когда они больше не нужны. Большинство норм Регламента, я повторяюсь, уже были в действии и уже так или иначе выполнялись. Пройдет пару месяцев, отретушируются документы, которые подписывает физик, обновятся антивирусы и сетевые политики и все мягко забудут про весь этот хайп.
Не стоит нагнетать там, где надо просто пару раз вдумчиво и с карандашом почитать один документ.
контроллер обязан уведомлять физика как, почему, и кем будут обрабатываться его данные и кому и при каких условиях они будут переданы и зачем
Обязан соврать в каждом пункте. Контролер не имеет сколь-либо приемлемо качественной информации по каждому из этих пунктов. Он может говорить о своих текущих намерениях, но насколько эти намерения соответствуют действительности и не поменяются ли они завтра, через месяц, год или десять, он не может иметь ни малейшего представления.
Все сервисы, на которые я подписан, дружно поприсылали мне изменения в Privacy Policy. Если честно, не читал ни одного, даже на свой интерес к этой теме. Мне слишком грустно смотреть на то, как люди под принуждением дают заведомо невыполнимые обещания.

… что не мало важно, уничтожения этих данных, когда они больше не нужны
Это вообще смешной пункт. Кажется, историю с «забыть Герострата» ещё в Древней Греции проходили, но народ, кажется, вообще ничему не учится. Информацию. Вообще. Никак. Невозможно. Уничтожить. Точка.

Если немножко зажмуриться, всё это, конечно, выглядит достаточно невинно. Мы, лягушки, сидим в кастрюле, и температура воды поднимается всего на пару градусов. Но что-то подсказывает, что самая правильная с точки зрения выживания стратегия — устраивать переполох на полную катушку при любом повышении температуры воды.
Контролер не имеет сколь-либо приемлемо качественной информации по каждому из этих пунктов

Контролёр не знает кому и с какими целями лично он передаёт данные? Ну тогда правильно что такого контролёра оштрафуют.

Он может говорить о своих текущих намерениях, но насколько эти намерения соответствуют действительности и не поменяются ли они завтра, через месяц, год или десять, он не может иметь ни малейшего представления


Если он не знает свои текущие намерения, то опять же правильно что такого контролёра оштрафуют. А если в будущем у него намерения поменяются, то он должен заново сообщить об этом пользователю и спросить у пользователя разрешения использовать данные для своих новых намерений.

Это вообще смешной пункт. Кажется, историю с «забыть Герострата» ещё в Древней Греции проходили, но народ, кажется, вообще ничему не учится. Информацию. Вообще. Никак. Невозможно. Уничтожить. Точка.


Вы как сервис должны уничтожить те данные, которые хранятся у вас. Если вы данные давали кому-то ещё, то вы должны затребовать чтобы он тоже позаботился об их удалении. Если он этого не сделает, то оштрафуют его, а не вас. В чём проблема?

Если немножко зажмуриться, всё это, конечно, выглядит достаточно невинно. Мы, лягушки, сидим в кастрюле, и температура воды поднимается всего на пару градусов. Но что-то подсказывает, что самая правильная с точки зрения выживания стратегия — устраивать переполох на полную катушку при любом повышении температуры воды


Ну так и расскажите мне пожалуйста, какие конкретно минусы по вашему с этого закона получает «лягушка», читай средний обыватель.
Единственное что вижу я теоретически возможное повышение цен на услуги. Но на мой взгляд даже если такое и произойдёт то оно того стоит.
Возможно ещё что GDPR ускорит централизацию и консолидацию в сфере онлай-бизнеса. Ну так это всё равно происходит и от этого никуда не денешься. Да и само по себе ничего плохого это не несёт.

Контролёр знает свои текущие намерения. По крайней мере думает, что знает. В больших организациях левая рука никогда досконально не знает, всех подробностей про правую, а голова вообще витает в облаках и «определяет основные направления...». Впрочем, важно не это, а то, что своего будущего не знает никто.

если в будущем у него намерения поменяются, то он должен заново сообщить об этом пользователю
Но свои ПД я уже отдал. Даже если я резко отпишусь от сервиса, всё равно я их уже отдал, и лишь один Аллах ведает, куда они расползлись. Получаю ситуацию «поздно пить Боржоми».

Вы как сервис должны уничтожить те данные, которые хранятся у вас.
Предположим, я это сделать не могу. Причин — миллион. Во-первых, у моих менеджеров на компьютерах не отрублены USB-порты и Интернет (пробовали отрубить, но пришлось врубить, когда они дружно принесли заявления). Во-вторых, некоторые данные я обязан хранить по другим законам. Например, для того, чтобы предоставить налоговому аудитору. В-третьих, архитектура моей инфосистемы банально может не поддерживать затирание данных задним числом. Очень популярная, кстати, тема в мире BigData.

какие конкретно минусы по вашему с этого закона получает «лягушка», читай средний обыватель
Вы сами перечислили два минуса, из которых первый не убивает, а второй страшен как смерть, и то, что оно всё и само к тому катится, оптимизма ни разу не прибавляет.
Я думаю, вопрос нужно ставить не так. Более правильная формулировка: «Какие конкретно плюсы с этого закона получает средний обыватель?» Если честно, никаких плюсов кроме призрачной возможности пошакалить на судебных тяжбах, я не наблюдаю. Нам, обывателям, важно, чтобы наши ПД не попадали к тем товарищам, которые нам больше всего угрожают, а именно к бандитам и спецслужбам. Но в этом плане GDPR, похоже, полностью беспомощен. Или нет? Поправьте меня, если я не прав.
Контролёр знает свои текущие намерения. По крайней мере думает, что знает. В больших организациях левая рука никогда досконально не знает, всех подробностей про правую, а голова вообще витает в облаках и «определяет основные направления...».

Тогда по моему мнению вы заслуживаете быть оштрафованным.

Но свои ПД я уже отдал. Даже если я резко отпишусь от сервиса, всё равно я их уже отдал, и лишь один Аллах ведает, куда они расползлись. Получаю ситуацию «поздно пить Боржоми».

Вы можете потрeбовать стереть ваши данные и сервис обязан это сделать. Если существует закон обязывающих сервис хранить ваши данные какое-то время, то он обязан стереть их по прошествию этого срока и пока он их не сотрёт он не имеет права их использовать как-то иначе кроме как для исполнения этого закона. Если он нарушит эти правила и это вcплывает, то он будет оштрафован.

Предположим, я это сделать не могу. Причин — миллион. Во-первых, у моих менеджеров на компьютерах не отрублены USB-порты и Интернет (пробовали отрубить, но пришлось врубить, когда они дружно принесли заявления). В-третьих, архитектура моей инфосистемы банально может не поддерживать затирание данных задним числом. Очень популярная, кстати, тема в мире BigData.

Это ваши проблемы и ваш технический долг. Либо вы их решаете, либо не работаете с жителями ЕС, либо платите штрафы.

Вы сами перечислили два минуса, из которых первый не убивает, а второй страшен как смерть, и то, что оно всё и само к тому катится, оптимизма ни разу не прибавляет.

Ничего страшного как смерть я не вижу. И этот процесс идёт уже давно и без всякого GDPR и практически во всех областях бизнеса. GDPR тут мало что меняет.

Нам, обывателям, важно, чтобы наши ПД не попадали к тем товарищам, которые нам больше всего угрожают, а именно к бандитам и спецслужбам. Но в этом плане GDPR, похоже, полностью беспомощен. Или нет? Поправьте меня, если я не прав.

Ну во первых если произойдёт утечка данных сервис обязан теперь вас об этом известить. Во вторых если утечка произошла по вине сервиса, то он должен будет оплатить приличный штраф.
Эти два факта уже большой плюс по сравнению с тем что мы имеем сейчас.
А на тему со спецслужбами: если у них есть решение суда на то чтобы получить эти данные, то они их получат. Если решения суда нет, то сервис уже не сможет добровольно отдать им ваши данные(естественно если вы не давали на это согласия). Если же сервис отдаст данные спецслужбам без судебного решения и вашего разрешения, то он платит штраф.

Кроме того если кто-то нарушал ваши права до введения GDPR вы должны были сами с ними судится. Если вы этого не делали, то он уходил безнаказанным. А мало кто был готов судится с иностранными фирмами и большими концернами.
После введения GDPR вы всё ещё можете судится, но дополнительно ЕС может назначать штрафы провинившимся фирмам. И тут для фирм не работает презумпция невиновности. Tо есть они сами должны доказать что они не виноваты. Если они это сделать не могут, то платят штраф или получают втык от ЕС. Вплоть до замораживания счетов и прочего подобного веселья.
… заслуживаете быть оштрафованным… будет оштрафован… штраф… штраф… не работает презумпция невиновности… штраф ...
Ах, как мы все любим насилие. Прям жить без него не можем. Пусть придёт суровый добрый дядя и накажет плохих парней. А мы возьмём попкорна и посидим посмотрим. Приходит дядя, и мы почему-то не сидим с попкорном, а лежим попой вверх получаем розги. А плохие парни делают маленький бизнес на поставке розг. Как так получилось? Почему всё пошло наперекосяк? Потому что сами тупые, насмотрелись боевиков про добрых и бравых супергероев.

Когда «добрый дядя» наказывает меня, я несу убыток. Когда он наказывает моего клиента, я тоже несу убыток. Когда он наказывает моего поставщика, я тоже несу убыток. Когда наказывает поставщика моего поставщика, я тоже несу убыток. Вездесущие штрафы, замораживания счетов и прочие варианты веселья — это всё за счёт тех самых простых граждан, которых добрые дяди как-бы защищают. А за чей ещё?

если произойдёт утечка данных сервис обязан теперь вас об этом известить
Что мне делать с этой инфой? Покрыться холодным потом? Поменять фамилию? Поменять место жительства? Сделать пластическую операцию? Вообще, человека, видевшего подноготную по себе на всяких трешовых ресурсах всякой такой ерундой не испугать. Ну у текла и утекла, далеко не в первый и далеко не в последний раз. Разница только в том, что в данном случае я об этом узнал.

Если я знаю, что я беззащитен перед расползанием моих ПД куда попало, я осторожен. Я сам принимаю контрмеры. Я сам просчитываю последствия заполнения каждого поля и нажатия кнопки «Отправить». Последствия нажатия каждой кнопки «лайк». Я готов к тому, что те данные, которые я отпустил гулять на волю, будут сопоставлены и кто-то попытается этим воспользоваться. Я учусь прятать то, что мне нужно прятать. Я не надеюсь на доброго дядю, приучил себя справляться сам. Это — единственная выигрышная стратегия выживальщика в дивном новом мире больших данных, оплодотворяемых т.н. ИИ.

Безопасность нельзя делегировать. Когда мы делегируем безопасность, мы в опасности. Безоглядно положились на антивирус — получаем зоопарк вирусов. Безоглядно положились на закон о защите ПД — получаем… кстати, что? Казалось бы, ничего страшного, но здесь фишка в том, что информация — мощный инструмент обретения власти. Давая информацию о себе, мы даём инструмент манипулирования собой. А вы думали, почему все так яростно охотятся за этими самыми ПД?
Если у вас на фирме бардак и левая рука не знает что делает правая, если вы сами не знаете какие вы данные собираете и зачем, если вы храните данные непонятно как и кто попало имеет к ним доступ, то вас вообще нельзя пускать к персональным данным других людей. И я рад что есть закон, который долбанёт вас как следует если вы к ним полезете.

И GDPR это не панацея, не решение всех проблем и не 100% гарантия что с вашими данными ничего не случится. Это всего лишь инструмент который позволяет вам немного лучше контролировать что с вашими данными происходит. Но это однозначно шаг вперёд в вопросах защиты персональных данных.
У нас на фирме всё хорошо с персональными данными. И нашими, и чужими. В пределах разумного, конечно. И у клиентов, которым мы, бывало, помогали проходить сертификацию их (сделанных нашими руками) систем — тоже. С формальной точки зрения. То есть все пункты соблюдены, комар носа не подточит. Но реально, когда начинаешь просчитывать сценарии, понимаешь, что немножко технической сноровки и социальной инженерии, и всё это яйца выеденного не стоит. Такие дела.
У нас на фирме всё хорошо с персональными данными.

Вот это по вашему «все хорошо»:
левая рука никогда досконально не знает, всех подробностей про правую, а голова вообще витает в облаках и «определяет основные направления…

Во-первых, у моих менеджеров на компьютерах не отрублены USB-порты и Интернет (пробовали отрубить, но пришлось врубить, когда они дружно принесли заявления).

архитектура моей инфосистемы банально может не поддерживать затирание данных задним числом

?
Лично для меня это «очень хорошо» не называется.
Удивительно то, что вы сейчас комментируете не Регламент, который вы не читали, не правоприменитульную практику ЕС… Вы коментируете свои личные убеждения по поводу Регламента, который вы не читали и правоприменительной практики в ЕС, о которой понятия не имеете.
Если контроллер не имеет понятия какие данные он собирает и зачем они уме нужны, то он не только должен быть оштрафован на полную сумму, но и вообще закрыт как субъкет хозяйствования. Точка.
Совершенно верно. Регламент не читал (м.б. прочитаю на досуге, почему бы и нет). Относительно правоприменительной практики ЕЭС ни в зуб ногой, и надеюсь с ней никогда не познакомится непосредственно. Но у меня есть некоторый опыт по части российского закона о защите ПД как с позиции обывателя, так и с позиции архитектора инфосистем. Ни то, ни другое не доставляет оптимизма от слова «совсем». Опыта вполне достаточно, чтобы составить чёткое мнение о том, что законы о защите ПД (а) несостоятельны в плане достижения задекларированных целей, (б) доставляют массу неудобств и (в) уводят решение серьёзной проблемы в бесперспективное русло.

Понимаете, принуждение (в т.ч. законодательное) — это не универсальное решение, применимое к любой задаче. Что бы ни утверждали поклонники насилия. Наступление зимы невозможно предотвратить законом о запрете зимы. Есть задачи, которые принуждением решаются, а есть те, которые не решаются. Всё как везде — каждый метод имеет свою область применимости. Заставить всех написать красивые Privacy Policy, делать бэкапы (кстати, бэкапы — это плюс один канал утечки), поставить антивирусы и файрволлы… ага, ещё и руки мыть перед едой и не есть незнакомые грибы. Заставить можно, но единственный эффект — самоуспокоение. Мой внутренний параноик говорит мне, что самоуспокоение — это как раз то, что в данной ситуации нужно меньше всего.
Если господа принуждальщики не могут решить задачу, то, может быть, лучше им стать в сторонке, не отсвечивать и не мешать искать действительно эффективные решения? А то ведь и так всё хреново, а тут ещё и этот геморрой…
Относительно правоприменительной практики ЕЭС ни в зуб ногой, и надеюсь с ней никогда не познакомится непосредственно. Но у меня есть некоторый опыт по части российского закона о защите ПД как с позиции обывателя, так и с позиции архитектора инфосистем. Ни то, ни другое не доставляет оптимизма от слова «совсем»

А вот у меня есть достаточно длительный опыт в плане правоприменительной практики Германии и того как здесь работают законы о защите ПД. И с точки зрения пользователя и с точки зрения программиста, который должен делать продукты следующие этим законам.
И на мой взгляд работают они конечно неидеально, но не то чтобы особо плохо. И
хорошо что общеевропейские законы приблизили к немецким и дали Германии инструмент для преследования нарушителей, находящихся вне Германии.

Если господа принуждальщики не могут решить задачу, то, может быть, лучше им стать в сторонке, не отсвечивать и не мешать искать действительно эффективные решения?

Если у вас есть вариант более эффективного решения, то озвучьте его. Если у вас его нет, то на мой взгляд лучше иметь неидеальное решение, чем вообще никакого.
мне нравятся все эти «не читал но осуждаю»… Не зватает еще что-нибудь типа «и вообще в гейропе все г…
такое ощущение, что это не хабр, а однокласники, прости господи…
Если у вас есть вариант более эффективного решения, то озвучьте его.
Решения у меня нет. Но даже если бы оно и было, не имело бы никакого смысла его озвучивать, потому что всё равно никто не услышит и к сведению не примет.

Пока есть тщательно разрекламированные решения типа «запретить, держать, не пущать, штрафовать», невозможно даже начать конструктивное обсуждение альтернатив. Живём в навязанной повестке дня, ломая копья вокруг истинности оценочных суждений «GDPR — это хорошо» и «GDPR — это плохо». Друзья, оценочные суждения не бывают ни истинными, ни ложными. Не об этом надо думать, а о корнях проблем, эффективности методов их решений и перспективах развития ситуации. Но, повторюсь, в такой обстановке мы даже не можем начать продуктивно об этом думать.
Решения у меня нет.

На этом могли бы и остановиться. Потому что всё остальное это фантазии человека, который по своим же собственным словам даже не читал закон, который он тут ругает.
И учитесь говорить за себя, если вам какая-то там обстановка мешает думать, то это не значит что так же обстоят дела и у других людей.

Может быть, мне не везло, но я ни разу не видел по этому вопросу обсуждений альтернатив, выходящих за рамки «что бы такое законодательно запретить, чтобы всем стало хорошо».
Ситуация выглядит так, как будто не только мне оно мешает думать.

А закон как-нибудь на досуге прочитаю. Любопытство возьмёт верх.
Вангую, что ад GDPR будет очень некомфортным для всех.

Подозреваю, что он будет некомфортным для тех, кто хранит данные. И совсем наоборот для физ.лиц, которые теперь могут потребовать удалить данные о себе.

И получить отписку об удалении данных, хотя все прекрасно понимают что на самом деле данные всё равно удаляются лишь пометкой об удалении. Только недалёкий человек поверит что его данные в самом деле удалены. Закон для идиотов, от идиотов.

Ну тут не совсем. Если Компания не будет удалять данные, а будет лишь делать пометку об удалении, то если (когда) случиться утечка персональных данных и вместе с ней утекут данные пользователей, которые формировали запрос на удаление данных — компания попадет на не хилые $$ + репутационные риски. Европейским крупным компаниям будет выгодней все же удалять данные.

И без GDPR утечка персональных данных представляет существенные репутационные риски. GDPR к ним добавляет произвольные штрафы. Штрафы — это, конечно, неприятно, но не всё ли равно, когда твоя компания уже банкрот?


Недопустимость утечек стала ещё более важна.

Если вы по другим законам не обязаны хранить данные и пользователь потребовал их удаления, то вы должны их физически удалить. Если вы этого не сделали и это всплывет, то вы получите штраф.
И только недалёкий человек верит что такое никогда-никогда не всплывёт :)

Такое всплывает когда? Правильно, при утечке персональных данных. Когда пользовательская база Facebook или подобной компании утечет, что произойдет с самой компанией? Правильно, про существование этой компании можно будет смело забыть. Потому нет никакого смысла для больших компаний на самом деле выполнять требования GDPR, потому как поймать на невыполнении требований об удалении данных практические невозможно без событий, и без GDPR приводящих к уничтожению крупных компаний до основания.


Никакой Facebook и Google не будут в самом деле удалять ваши данные, прекратите верить в сказки. Это не имеет никакого смысла для них.


Другое дело что если раньше, когда злодей удалял вашу переписку и ваш аккаунт, по обращению в поддержку всё можно было вернуть, то сейчас такое запрещено законом и вам никто не поможет. Даже если данные не удалены на самом деле. Кому такое нужно? Даже и не знаю, мне — точно не нужна такая забота.

Такое всплывает когда? Правильно, при утечке персональных данных.

Или если недовольный сотрудник(или бывший сотрудник) даст регулятору ЕС анонимную «подсказку» что вашу фирму неплохо бы проверить. Или если достаточное количество пользователей просто нажалуется регулятору и он решит эту проверку провести.

Когда пользовательская база Facebook или подобной компании утечет, что произойдет с самой компанией? Правильно, про существование этой компании можно будет смело забыть.

Не смешите меня. Утечки происходят постоянно и далеко не всегда приводят к закрытию компании. У twitter'a вроде бы недавно были утечки, у Sony, у google, у вконтакте. И это конечно наносило им вред, но к закрытию компаний не привело.

Никакой Facebook и Google не будут в самом деле удалять ваши данные, прекратите верить в сказки.

Ну значит будут платить штрафы пока не научатся это делать. А небольшая добавка к бюджету ЕС тоже не особо плохое дело.

И что эта проверка даст? Компания скажет: вот интерфейс в базе данных, в нём данные не находятся. База данных наша проприетарная облачная, исходники мы вам не дадим. А если даже и дадим, то вы никогда не узнаете из тех ли исходников собрана та база, которой мы на самом деле пользуемся, или из других. А кроме базы есть ещё пару слоёв абстракции над данными на физических носителях. Хорош уже верить в сказки, сколько можно?


Да, компании будут тщательней относиться к данным, будут больше скрывать принципы своей работы, утечки будут стоить дороже. В остальном очень сомнительно что этот закон приведёт к фактическому выполнению хотя бы некоторых из заявленных целей. Потому что ну просто потому так работает мир, потому что выгодно делать так, а не иначе. Только недалёкие составители этих законов этого не понимают.

Компания скажет: вот интерфейс в базе данных, в нём данные не находятся. База данных наша проприетарная облачная, исходники мы вам не дадим. А если даже и дадим, то вы никогда не узнаете из тех ли исходников собрана та база, которой мы на самом деле пользуетесь, или из других

И таким образом не пройдёт проверку и заплатит штраф. Потому что это фирма должна доказывать что у них всё в порядке, а не регулятор что есть ошибки. Не хочешь показывать или показываешь вещи, которые регулятора не убеждают -> плати штраф.

Ну и кроме того что например мешает просто до официальной проверки потребовать удалить данные нескольких юзеров, а потом проверить остались ли данные во всех используемых фирмой базах данных?

Ну вы считаете что компания с многомиллионным бюджетом не найдет несколько талантливых разработчиков высокого уровня, которые изобретут любые доказательства за увеличенный годовой бонус в акциях этой же компании?


Очень сложно делать утечки когда твоё состояние непосредственно зависит от успеха компании, акциями которой ты владеешь. Не важно, что обычно момент появления права продажи акций откладывается на несколько лет. Важно что ты можешь стать беднее на полмиллиона долларов из-за возможного падения курса акций твоего работодателя. Очень серьёзные аргумент против утечек, знаете ли.

Ну вы считаете что компания с многомиллионным бюджетом не найдет несколько талантливых разработчиков высокого уровня, которые изобретут любые доказательства за увеличенный годовой бонус в акциях этой же компании?

А вы считаете что ЕС, которой светят многомиллиардные плюсы в бюджет, не найдёт парочку людей которые хотя бы смогут установить попытку скрытия? Кроме того шила в мешке не утаишь и если компания начинает мухлевать и подтасовывать факты, то это всё равно рано или поздно всплывёт(опять недовольный сотрудник, который в курсе, или обычная утечка) и тогда будут не только денежные штрафы, но и уголовное преследование как владельцев фирмы, так и тех самых «талантливых разработчиков».
Так что не проще ли фирмам не заморачиваться такой ерундой и не рисковать штрафами и уголовным преследованием, а просто взять и стереть данные? И да, я вполне верю что какие-то фирмы решат рискнуть, но большинство скорее всего решит не рисковать.

Так я о чём говорю? Большим компаниям, у которых и так всё очень хорошо с конфиденциальностью данных пользователей и без GDPR, не имеет экономического смысла в самом деле выполнять требования по удалению данных. Ведь именно потому что у них всё хорошо с конфиденциальность, о формальном подходе к удалению данных никто не узнает.


Я не вижу чтобы закон требовал у компаний, как вы пишите, доказывать что у них всё в порядке. Есть требование продемонстрировать, а это весьма отличное требование от требования доказать.


Да, если у небольших компании всё очень печально с конфиденциальностью, дампы полной БД доступны каждому разработчику, то тут, конечно, лучше данные в самом деле удалять. Про большие компании вроде FB так точно нельзя сказать. Они и до GDPR не давали свободного доступа даже своим инженерам к полной БД. Почитайте про то, какие требования предъявляются к людям, обслуживающим сервера Google, на которых все данные и так зашифрованы. Утечками их не испугаешь.


Если утечки не пугают, то и к GDPR можно формально подойти.

Большим компаниям, у которых и так всё очень хорошо с конфиденциальностью данных пользователей и без GDPR, не имеет экономического смысла в самом деле выполнять требования по удалению данных.

Извините, но я с вами не согласен. Хотя бы потому что, как показывает практика, у больших компаний тоже куча проблем в этой области и тоже регулярно бывают утечки. Даже у таких гигантов как google. Кроме того штраф в 4% от годового оборота у большой компании будет больше, так как у неё больше оборот. Сколько у google был оборот в прошлом году? :)

Я не вижу чтобы закон требовал у компаний, как вы пишите, доказывать что у них всё в порядке. Есть требование продемонстрировать, а это весьма отличное требование от требования доказать.

Правда? А в чём вы видите принципиальную разницу? Вот попросят вас «продемонстрировать» что ваша инфраструктура и бизнес-процессы полностью соответствуют GDPR. И если ваша «демонстрация» регулятора не устроит, то вы платите штраф. Вам будет легче от того, что использовали слово «продемонстрировать»? :)

Если вам так хочется прибывать в иллюзии что большие компании будут в самом деле выполнять сказочные требования GDPR, то я не тот человек который должен разубеждать вас.

Надо просто принять закон, обязующий компании хранить все полученные данные о пользователях неограниченное время. Тогда все находящиеся в стране, принявшей закон, компании получат (частичную) защиту от GDPR (а сама страна получит ухудшение репутации и, может быть, что‐то ещё похуже). Как думаете, кто‐нибудь так сделает?

Ну для того чтобы это работало компания должна как минимум находится под юрисдикцией этой страны. И даже если такая страна вдруг найдётся, я всё же очень сомневаюсь что это будет одна из стран, куда фирмы захотят «переехать». И даже если какие фирмы и переедут, то я сомневаюсь что пользователи будут охотно работать с такими фирмами. Так что особой пользы в таком хаке я не вижу.

Туда можно отлично перетащить archive.org. И хостинги для всякой мелочи (блоги, сайты‐визитки, …). Если результат будет удобнее, то пользователи будут вполне охотно работать.

Это гики может там будут охотно работать. А средний обыватель скорее всего побоится. Особенно если ему по телевизору покажут парочку страшных передач о защите персональных данных и нехороших странах, которые обходят европейские законы:)

Получается что если ко мне(владельцу сайта) придёт полиция что бы я дал им данные злоумышленника(например постил детское порно), то у меня может не остаться этих данных?

Данные можно (иногда нужно) хранить для соответсвия законодательству.*

*не юрист
Блин. Ну если я удаляю какие-то данные то я автоматически не могу представить их следствию и это например переписка, история авторизаций, ip. Если все это не будет удалятся то в чем смысл закона? Если я удаляю письмо с gmail то по GDRP он должен быть затёрт нулями, но потом следствие не получит эти данные.
Ну если я удаляю какие-то данные то я автоматически не могу представить их следствию

А вы обязаны по закону предоставлять их следствию? В течении неограниченного срока? Хотелось бы мне узнать что это за закон такой :)
А если вы обязаны предоставлять их скажем в течении трёх лет, а пользователь хочет их удалить, то вы храните их три года в соотвествии с законом и удаляете потом.

Ну насколько я знаю не обязан но по факту обычно владельцы сайтов сотрудничают со следствием. К тому же гугл приходят письма из суда об передаче переписки определенных людей.
Ну никто вам и не мешает дальше сотрудничать. Но если вы данные стёрли не нарушая никаких законов, то и к вам никаких претензий со стороны следственных органов быть не может.

Как насчет децентрaлизованных пиринговых сетей, tor, i2p и т.п.?
Еще непонятно при чем тут форумы. Если форум хранит ники и хеши от паролей — это разве персональные данные?

Была статья, где расписывалось, что важно «идентифицируемые» данные. Если ник идентифицирует однозначно человека, то да персональные.
Например, email идентифицирует, если на форуме есть привязка email к вашим комментариям, то да, вы можете запросить удалить их с форума, так же как и хеши от паролей.
Но никто не запрещает их хранить, так как они нужны для нормального пользования форумом.
В контексте этого закона, как лучше поступить:
  • Включить резгистрацию пользователей в моём блоге, чтобы они могли оставлять комментарии.
  • Запретить регистрацию и позволить оставлять анонимные комментарии.
  • Или вообще запретить комментирование? Но это будет как-то совсем грустно.
  • Встроить стороннюю систему комментариев, типа disqus (а дальше пусть они парятся).
  • Сделать регистрацию, требующую только логин, пароль и почту (указать что почта используется «для уведомлений об ответах на ваши комментарии», если такой функционал вообще есть, отдельный бонус за необязательную почту).
  • Анонимные комментарии с капчей.
Варианты 2 и 3 можно вообще совместить.
Встроить стороннюю систему комментариев, типа disqus (а дальше пусть они парятся).

По итогу получается еще больший геморрой: ведь в этом случае твой сайт передает информацию о пользователе третьим лицам (сервису комментариев). Так что вместо упрощения придется еще больше обрасти всякими галочками и подтверждениями.
Да в принципе нет — они сами об этом говорят —
In most all cases, unless a publisher integrates Disqus with their own user management system through Single Sign-On (SSO), users sign-up and login to comment through Disqus. This makes Disqus a controller and we are taking necessary steps to ensure we have lawful basis for the collection of personal data that is necessary for using Disqus to comment on publisher sites.
и
Publishers may receive questions from visitors of their site about the data that Disqus may store about them. Publishers can refer these users to us at disqus.com/support/.
В любом случае у них наверняка уже есть боилерплейт со всеми подтверждениями с легкой интеграцией в сайт.
Если Disqus поменяет правила регистрации или начнут утекать данные, то ваш сайт будет ответственным за это.
Никто не снимает ответственности с Disqus, но если у вас нет соглашения с Disqus (DPA) как написано в статье, то вас могут привлечь.
А логин, почта и пароль не являются персональными данными подпадающими под действие закона?
loki3000 neocode — главная проблема что логин, если его кто-то видит вообще, МОЖЕТ БЫТЬ персональными данными. Никто не остановит талантливых личностей от вписывания в логин своих имя-фамилию-паспортныеданные.

Так как нам можно использовать деперсонализированные данные то наиболее дуракостойкий подход видится таким —
  • логин, для входа — храним от него соленый хеш, и, например первые-последние пару символов что-бы показывать в профиле пользователя только ему самому,
  • дисплей нейм — имя, которое видят все, для этого нужно добавить «consent» что пользователь согласен, что оно будет показываться на комментарии, в профиле и прочих местах (количество коих лучше уменьшить),
  • почта для восстановления пароля — аналогично — хеш и пару начальных-конечных символов,
  • опционально — почта для контакта — опять-же описываем как она будет использоваться, можно просто сделать галочкой для предыдущего поля, и сохранять почту еще и текстом если пользователь подтверждает согласие,
  • пароль — тут все стандартно, никто не хранит пароли плеинтекстом,
Итого у нас есть только одно обязательное поле, которое можно считать персональными данными.
Как вожможный сценарий:
1) Включить опциональную регистрацию
2) При регистрации пользователь должен поставить галочку «Да, я подтверждаю, что я НЕ являюсь гражданином ЕС»
3) Без этой галочки — не регистрировать («Извините, из-за Вашего замечательного закона я не могу Вас зарегистрировать»)
4) Но для тех, кто не может зарегистрироваться, оставить возможность анонимных комментов. :)
Мне вот непонятно: типичная регистрация на сайте содержит логин, пароль, email. Если я правильно трактую статью, то логин и email подпадают под действие этого закона. Так и есть? И что делать в этом случае? Спрашивать пользователя можно ли хранить его регистрационные данные?

Я бы тоже хотел знать является ли логин персональными данными. Это же просто рандомная строка, которую просто придумывают...

Исходите из такого принципа: к любым данным, которые теоретически могут представлять из себя персональные данные, стоит относится как к персональным. Логин и мыло теоретически могут содержать имя и фамилию человека. Следовательно они теоретически могут быть персональными данными.

Я могу на анонимный форум или доску выложить свои (или даже чужие) персональные данные. Получается что любая(!) информация, вводимая пользователями, должна рассматриваться как потенциально содержащая персональные данные?

Я конечно могу ошибаться, но насколько я понял GDPR, если вы знали что выкладываете данные в открытый доступ, то в таком случае это уже ваши личные проблемы.
GDPR же рассмартривает данные которые вы даёте(или с точки зрения GDPR «одалживаете») онлайн-сервису потому что сервис считает что эти данные нужны ему для работы.

П.С. Hо если вам хочется интересную головоломку, то можете подумать как быть с данными, которые люди пересылают друг-другу в различных мессенджерах и приватных чатах :)
По мессенджерам и чатам на первый взгляд все просто: все логи также являются собственностью пользователей, которые хранит компания-оператор средства общения. То есть, если кто-то потребует удаления своих данных, то и все логи должны быть удалены. Хотя моменты тоже есть. Например, является ли диалог собственностью двух пользователей, или каждого по отдельности? Если один будет настаивать на удалении лога, а второй захочет его сохранить, должен ли диалог удалиться полностью, или только реплики отдельного участника? Но обычно все же сервисы прописывают в соглашениях с клиентами возможность «отказа от предоставления услуг без объяснения причин», поэтому, наверное, лучше удалить лишнее, чем оставить что-то сомнительное. Впрочем, могу ошибаться, нюансов действительно много.

Данные, используемые для личных целей, не подпадают под действие gdpr.

Речь идет об информации, которая собирается СОЗНАТЕЛЬНО. Приведу примеры.
Ситуация 1. Если на сайте есть форма, где нужно заполнить имя, адрес, телефон, почту — то эти данные подпадают под GDPR без сомнения.
Ситуация 2. Кто-то ведет блог на вашем сайте, где упоминает данные неких третьих лиц. Логично, что и вам, и автору контента хочется, чтобы публикация была доступна всегда и в будущем на нее можно было бы ссылаться, поэтому настраивать автоматическое удаление публикаций (представим на секундочку, что это сделают на Хабре) — не вариант. Также логично, что формат блога не предусматривает обязательное появление в нем чьих-то персональных данных, но не может гарантировать, что там не будет, например, фотографий с третьими лицами или упоминаний их имен-фамилий. То есть, они все же могут там появиться.
В чем же разница между 1 и 2? Дело в том, что закон — о защите персональных данных. В том числе, от использования со злым умыслом. В случае 1 хакеры могут попытаться взломать базу, и они при этом уверены, что там хранится информация пользователей и они смогут ее использовать каким-то образом. В случае 2 информация и так доступна публично. Тем не менее, в случае 2 упомянутые в блоге лица также вправе требовать удаления данных с упоминаниями о себе, что вы, вероятно, должны сделать и без GDPR. Но вы не обязаны это делать автоматически, так как вы не могли предусмотреть их появления в этом месте.

А как быть в случае, если я фотограф, подписал релиз модели, а потом модель захотела удалить опубликованные мной снимки?

Собственно, она могла этого захотеть и до GDPR. Здесь дело в том, как прописан с ней договор, и какая мотивация отказа. Если, например, снимок получился слишком откровенным, а в контракте речи об этом не шло — тогда это очень даже оправдано. Но и в других случаях она может запретить вам публиковать снимки с ней, и имеет шансы добиться этого через суд даже если в контракте вроде бы полностью передала вам все права. Другое дело, что придется возвращаться деньги, а также немотивированные капризы плохо сказываются на репутации.
В GDPR есть несколько типов согласия. Например, когда данные отправляются заинтересованным пользователем (legitimate interest) — Согласие не нужно.
Примером может быть отправка CV работодателю. Тот факт, что Вы отправляете свое резюме в компанию уже как бы подразумевает Ваше согласие на обработку Ваших персональных данных. То же самое и при регистрации на сайте: когда вы у пользователя спрашиваете только Логин+Пароль+Е-маил — Согласие не нужно. Вы же не профилируете пользователя по Логину или Е-маилу?
Получается что если в форму регистрации затолкать так же имя, фамилию, домашний адрес и номер карты, то тоже получается legitimate interest — он же, типа, сам захотел зарегистрироваться?
Не совсем. Ведь, вы начинаете собирать персональные данные и в таком случае Вам необходимо будет дать объяснение пользователю как Вы будете обрабатывать, хранить и когда удалите его данные (согласие с Term of Use и Privacy policy)
Можно ли поставить флажок, позволяющий пользователям отказаться от своих прав по закону GDPR?
Нет, ни в коем случае.

.
Да, пользователь может отказаться от этой филькиной грамоты GDPR.
Никто не смеет мне указывать, кому я хочу отправить МОИ ДАННЫЕ.


GDPR — тоталитарный закон от марионеток в европейских парламентах, служащий узурпации персональных данных Хозяином и удушению всех альтернативных свободных сервисов.


Не надо пытаться выдать GDPR как "заботу о вашей безопасности" — это не забота, а Власть Мордора и тоталитаризм.

Никто не смеет мне указывать, кому я хочу отправить МОИ ДАННЫЕ

Прикольное передёргивание. А ведь ВАМ ни кто и не указывает как вам распоряжаться ВАШИМИ ДАННЫМИ. Наоборот, дают правовую возможность что-то сделать, если кто-то ДРУГОЙ решит воспользоваться ВАШИМИ данными не так, как вы этого хотели бы.


GDPR — тоталитарный закон от марионеток в европейских парламентах, служащий узурпации персональных данных Хозяином

Стоп. Строкой выше вы хотели сами распоряжаться вашими данными, а теперь себя называете узурпатором? Похвальная самокритичность! Да, по новому закону вы и ТОЛЬКО вы являетесь единственным Хозяином своих персональных данных и можете узурпировать их использование и удушать "альтернативные свободные" спам-сервисы.


а Власть Мордора и тоталитаризм.

Тоталитаристы из Мордора наступили мразям спамерам на яйтса и спамеры так прикольно визжат!

Да, пользователь может отказаться от этой филькиной грамоты GDPR.
Никто не смеет мне указывать, кому я хочу отправить МОИ ДАННЫЕ.

Нет, не может отказаться. Единственный способ это сделать это не ничем пользоваться. Если вы пользуетесь, то вы автоматом попадаете под GDPR.

Tочно так же вы не можете отказатся от защиты в виде УК: если над вами совершенно уголовное преступление, то государство будет его расследовать и наказывать преступника вне зависимости от того хотите вы этого или нет.
Нет, это мои персональные данные.

Может я хочу, чтобы МОИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ, которые я добровольно опубликовал, были на каждом компьютере Евросоюза — ни одна зараза не должна ограничивать меня и запрещать мне распространять мои персональные данные.

Ни одна зараза — что бы она о себе там не мнила!
Может я хочу, чтобы МОИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ, которые я добровольно опубликовал, были на каждом компьютере Евросоюза — ни одна зараза не должна ограничивать меня и запрещать мне распространять мои персональные данные.

Извините, а каким местом GDPR запрещает вам это делать? Публикуйте их сколько угодно. Если вы сами добровольно выложили свои данные в публичный доступ, то GDPR тут вообще непричём.
И если вы сами добровольно отдали свои данные какому-либо сервису, разрешили с ними делать что угодно и никогда не потребует их стирать, то никаких проблем с GPDR не будет ни у вас, ни у сервиса.
Но если вы вдруг всё-таки захотите ваши даные стереть и потребуете это у сервиса, то он обязан это сделать вне зависимости от того какие вы там галочки до этого ставили или не ставили.

Так что я не понимаю в чём должна заключаться проблема: GDPR никомy не запрещает выкладывать данные в публичный доступ или разрешать поступать с ними тем или иным споосбом. Это ваше решение, вы его принимаетe и сами несёте за него ответственность.
Этого вам никто не запрещает, GDPR не говорит о том, что вы (либо кто-то иной) не имеете права размещать свои данные где хотите.
Не так давно я написал статью GDPR — палка о двух концах.

Истерия на тему внезапных громадных штрафов действительно немного поутихла.

А вот так называемое право на забвение пугает всё больше и больше, когда вижу, насколько сильно народ верит в такое:
Как у всего остального, у информации тоже есть жизненный цикл. Бесконечное накапливание — не вариант. Вам нужно планировать, как получать данные, обрабатывать их, хранить, позволять владельцам данных вносить изменения и в конечном итоге — как их удалять. Чтобы быть справедливым к создателям GDPR: вы должны были раньше наладить такие процессы. Даже без всякого GDPR всё равно это должно быть. Просто здравый смысл требует грамотного управления жизненным циклом конфиденциальных данных, и для этого не нужно принимать закон. Подумайте вот о чём: в какой-то момент ваши субъекты данных умрут. Значит, существует по крайней мере одна веская причина, чтобы удалить информацию о конкретном человеке.
А как же история? Как же понимание людей, народов, человечества? Так и будет у нас каждый день, как в дне сурка, только без дня и без сурка (с)?

Данные, которые вы обрабатываете от имени пользователей, являются их данными. GDPR очень прямо это формулирует. Отсюда и части закона по согласию/удалению/исправлению/изучению (и переносимости данных). В лучшем случае вы — хранитель этих данных, а если пользователи соглашаются на конкретное использование данных, то вам разрешено их обрабатывать. Но это не ваши файлы.
GDPR не различает хобби и бизнес, что мне кажется правильным. Не имеет никакого значения, воспринимаете вы свой проект как хобби или нет. Как только вы начнёте сбор данных о частных лицах из ЕС, директива начнёт действовать — и вам придется соблюдать законодательство.
Что, теперь нельзя создать проект специально для исследований по психологии, социологии, а хоть бы и медицины? Это ж те самые области, за уровень развития которых человечеству должно быть стыдно, и при таком удалястском подходе они обречены.
А как насчёт того, чтобы поиграть в бога на своём игровом сервере, как Rimas, например?
Создать мир со своими правилами становится всё сложнее — можно провести параллели с требованиями принимать на работу полный набор категорий граждан.
А как же история? Как же понимание людей, народов, человечества?

Ну историю, исторические личности и людей, принимающие активное участие в общественной жизни, никто особо и не предлагает подвергать этому самому «праву на забвение». Они в общем-то всегда имели особый статус.
А если говорить о истории народов и человечества, то там, опять же за исключением исторических личностей, вполне себе хватает и «анонимизированных данных».

Что, теперь нельзя создать проект специально для исследований по психологии, социологии, а хоть бы и медицины?

Почему нельзя, можно. Просто результаты нужно публиковать в анонимизированном виде. И это правило, а именно о тайне медицинских данных, действовало в большинстве стран ЕС и до GDPR.

А как насчёт того, чтобы поиграть в бога на своём игровом сервере, как Rimas, например? Создать мир со своими правилами становится всё сложнее — можно провести параллели с требованиями принимать на работу полный набор категорий граждан.

Я не совсем понимаю причём здесь GDPR? Хотите играть, ну и играйте.

Ну историю, исторические личности и людей, принимающие активное участие в общественной жизни, никто особо и не предлагает подвергать этому самому «праву на забвение». Они в общем-то всегда имели особый статус.
Это ещё попробуй отдели, кто насколько влияет на историю. Да и те же политики только так трут Интернет.

Почему нельзя, можно. Просто результаты нужно публиковать в анонимизированном виде.
Речь о запрете не только публикации, но и хранения, а без этого исследование не провести.

В принципе, можно использовать аргумент об общественной значимости, но это ж надо доказывать. :(
Я понимаю вашу мысль, но не совсем понимаю почему именно GDPR должен внезапно создать эти проблемы. Потому что то, что вы описываете релевантно и для закнов, существовавших и до GDPR.

Кроме того хранить данные о «простых» людях, нужные для историков, в принципе тоже можно в анонимизированном виде. Ведь если речь идёт о таких вещах, то историку не особо важно как конкретно завли каждого матроса, который участвовал в штурме Зимнего :)
Тут скорее беспокоит тот самый дух закона (хотя надо смотреть на практику применения). Ситуация, когда штрафуют за мемуары, с правдивыми сведениями, уже не кажется невероятной.
Ещё дальше
Придём к тому, что нельзя делать очень уж сложные игры, потому что некоторых это огорчает.
Извините, но какое отношение к GDPR имеют мемуары или уж тем более сложные игры?

Ну если так рассуждать, то да, можно спокойно собирать вещички и двигать в направлении кладбища :)
хороший тоталитарный закон и очень денежный, государство разрешило себе наказывать всех, преступников(включая госслужащих) закона что попали на видео и владельца видео что согласия не взял у преступника на публикацию этого видео, лепота.
Здравствуйте! Спасибо за статью. Подскажите, пожалуйста, а что делать с пользователями, которые уже подписаны? (компания не делает частые маркетинговые рассылки, если делаются какие-либо рассылки то только по делу: тарифы, счет фактуры). Можно ли использовать согласие по умолчанию? Т.е. написать письмо клиентам и спросить в нем о согласии: если не согласны на сбор и обработку данных, то предложить им связаться с нами по электронному адресу для отписки?
По хорошему вы им теперь даже емэйл с вопрос послать не имеете право. И если вы это сделаете и кто-то пожалуется, то теоретически вас могут оштрафовать. То есть я сомневаюсь что оштрафуют, но могут.
И опять же по хорошему вы должны ждать пока ваши клиенты не спросят вас «а где наши рассылки?» и тогда уже отреагировать новым пользовательским соглашением, которое вы им предложите.
Мне вот непонятно, не получится ли так что этот закон создаст проблемы законопослушным компаниям, но никак не отразится на непослушных? Если совсем уж явно не подставляться, вставляя ФИО в рассылку от своего имени, сказать «даа, удолили» нетрудно, как проверить что удалили?
Проверить никак нельзя. Но если факт обмана всплывёт, то соответственно и штраф будет выше.
А вероятность что такое всплывёт не так низка, как многие думают :)
Интересно.
А на Blizzard этот закон сильно влияет?
Хотелось бы удалить имя фамилию из профиля, сохранив при этом профиль — но техподдержка требует скан паспорта.
Можно ли принудить их сделать по-моему?
Если я не совсем ошибаюсь, то вы можете либо согласиться с условиями Blizzard и сохранить аккаунт, либо потребовать у них удалить аккаунт целиком. Заставить их оставить аккаунт и удалить лишь часть данных вы не можете.
Тут интересная штука есть, GDPR говорит, что вы имеете право на исправление своих персональных данных, но не регламентирует, как компания должна предоставить Вам такой механизм.
техподдержка требует скан паспорта.
Вполне логично — они должны подтвердить что вы это вы, а не кто-то левый стирает данные для чужого аккаунта. Насколько я помню GDPR не запрещает подтверждение личности при таких запросах.
Скажите, а куда может обратиться обычный пользователь, резидент ес, в случае обнаружения нарушения его прав согласно gdpr? К адвокату, или есть какие-то специальные сервисы?
Only those users with full accounts are able to leave comments. Log in, please.