GDPR: как работать с персональными данными ваших работников, фрилансеров и европейских сотрудников контрагентов

[Alter2]

Вся эта защита персональных данных теряет всякий смысл, поскольку все ее применяют по принципу «либо соглашаетесь, либо не пользуетесь нашим сервисом».
Нужно дополнение к закону, запрещающее такой подход везде кроме случаев, когда оказание услуги в принципе невозможно без хранения личных данных. Во всех остальных случаях у человека должно быть право выбрать, соглашаться ли ему на хранение его личной информации, либо оказали услугу и удалили с сервера и из логов всю личную информацию кроме логина и хэша пароля.

[Effesa]

Так все это уже есть: и минимизация данных и сроков их хранения (когда нужно обрабатывать только реально необходимое), и обязанность дробить цели и данные, которые запрашиваются для оказания услуги. Все работает. С единственной оговоркой: не в России или где-то еще в СНГ, а в ЕС. У нас пока штрафы смехотворны, чтобы реально кого-то «напрячь» в случае нарушения законодательства о персональных данных.

[Effesa]

Плюс сайт хранит девичью фамилию матери. Зачем это все надо непонятно.

И правда, зачем? А то, что вам это не понятно — плохо, прямое нарушение GDPR — писать понятно и чтобы информацию можно было легко найти. Хотя я догадываюсь, что девичья фамилия материи — это типа способ восстановить забытый пароль. Кстати, весьма спорный в плане GDPR, т.к. если мама еще жива, то она сама должна решать, где размещать свою фамилию в связке с вами )) Т.е. от вашей мамы они согласие на использование ее фамилии не получили.

Напишите им об этом. В копию поставьте вот этих ребят: kancelaria@uodo.gov.pl; zwme@uodo.gov.pl