Как стать автором
Обновить

GDPR — новые правила обработки персональных данных в Европе для международного IT-рынка

Время на прочтение 9 мин
Количество просмотров 343K
Всего голосов 19: ↑19 и ↓0 +19
Комментарии 76

Комментарии 76

В GDPR также предусмотрено право на забвение (right to erasure, right to be forgotten), которое дает европейцам возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам.

Вот и подвезли пушку для стрельбы по воробьям. Пожалуй это единственный метод заставить пару ЕСовских интернет-магазинов перестать присылать мне физические бумажные каталоги...


Вот интересно будет ли это работать для третьих лиц, потому-что каталоги приходят и на имя прежних жильцов.

Это подпадает под точность информации.

Почтовый адрес — это тоже персональная информация, и в данный момент это ваша персональная информация, поскольку она косвенно указывает на вас. На этом основании вы имеете право требовать ее удалить либо поправить.
право на забвение из прецедента превратилось в закон и теперь распространяется, по-сути, не только на поисковики, но и на любых операторов ПДн.
И да и нет. Право за забвение может быть инициировано исключительно самим пользователям. А тут за пользователя решают третьи лица — кому и как хранить его данные и передавать / не передавать еще кому-либо.
Было бы ментально близко к праву быть забытым, если бы, например, я сам мог определять — хочу ли я локализовывать какие-либо свои данные в РФ или я готов доверить их иностранной компании, чтобы они хранились за границей.
Не обольщайтесь. Если только вы не гражданин ЕС
GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС
данные резидентов и граждан ЕС

Как-то так.

О чем вы? У нас такой уже есть, причем, местами, даже послабее европейского. У нас не заставляют удалять и обеспечивать переносимость.
Я как раз об этом. Думаете в Думе не доработают?

Ты так переобулся в воздухе?

«причем, местами, даже послабее европейского» — значит надо сравняться или даже лучше перегнать.
НЛО прилетело и опубликовало эту надпись здесь
Если дело дойдет до суда и штрафа, то может быть наложен арест на имущество, находящееся в юрисдикции ЕС. Пройдет поезд границу — и «Поезд дальше не идет, просьба освободить вагоны» )
НЛО прилетело и опубликовало эту надпись здесь
А под какие конкретно пункты сервис с API нужен? Кроме переносимости вроде бы ни для чего… Да и тут правильнее формат обмена стандартизовать хотя бы, а сервисы потом уже придумывать.

не предусмотрен, как не описано никого способа официальной сертификации.

Общий подход европейцев к обработке персональных данных

Там все веселее. Я лично тормознул первый раз на фразе
Целью обработки персональных данных является служба человечеству

линк

(Disclaimer: Я читал оригинал) Спасибо, на удивление толковая статья. Основные моменты перечисленные верно. Резюмируя, это в целом бесполезный и безсодержательный документ описывающий в общих чертах "как оно должно бы быть, как нам кажется" однако без конкретных требований. Очень многие моменты оставлены без объяснений. В текущем виде документ не защищает ни кого ни от чего. Если компания небольшая (до 250 сотрудников) и не работает с sensitive personal data (например медицинские записи) то для выполнения GDPR нужно грубо говоря только сайт обновить (утрирую).

Я бы не назвал его бессодержательным. Документ солидный и готовился ни один год. Он конечно не содержит жестких императивов. Скорее закон модульный. Но он создает стандарты и новые принципы для Европы по обработки перс.данных и вводит определенные новшества в сфере цифровых прав человека. Например, право на перенос данных, которое до этого не существовало.

Право на экспорт данных есть в EU Data Protection Directive в GDPR лишь слегка изменили формулировку. И формат не описан, указано что он должен быть читаем для компьютера (далее включаем фантазию) Опять же это одно из немногих исключений(почти все есть в статье) все остальное — вода.


Никаких стандартов только демагогия из серии "The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed". А в граммах это сколько? Как и кто сможет это проверить?


Нет процедуры сертификации, грубо говоря любой может утверждать что соответствует GDPR и проверить как и доказать это нельзя. Достаточно лишь "demonstrate compliance of processing activities with GDPR"


Один из ключевых елементов Supervisor Authority (бюрократ из EU через котрого идет вся работа), а теперь внимание если вы компания не из EU и сервера ваши тоже не в EU кто будет вашим supervisor authority? Сюрприз "controllers without any establishment in the EU must deal with local supervisory authorities in every Member State they are active in, through their local representative" хочется спросить "Вы там что курили господа?"

Смотрится как закон-заглушка, взломали и угнали данные — значит не защищал — штраф, не стер личные данные по указанию юзера — тоже штраф.

Да есть похожее впечатление. Безусловно есть положительные моменты но в основном это бюрократия типа обновления соглашения пользователя или того как сейчас за Вами все бегают с предложением согласиться на cookie а будут с согласием на обработку данных. Практической пользы чуть более 0.

Действительно, многие полагают, что в DPD можно считать, что право доступа (right to access) дает также право на экспорт (переносимость) данных. Все же, это право доступа ограничено форматом, который выберет контроллер данных, субъект данных не решает. Право на переносимость является новым отдельным правом, оно конкретизировано, облегчает способность перемещать, копировать или передавать данные от одного оператора данных к другому в структурированном, широко используемом
и машиночитаемом формате. В целом, весь GDPR направлен на расширение и конкретизацию возможностей субъектов данных в отношении своих личных данных.

Касательно демагогии, уверена, что будут дальнейшие разъяснения Working party 29(а если нет, так судебная практика). Можно следить за гайдлайнами WP 29 ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083, которая подробно объясняет, каким образом отдельные положения Регламента должны работать. Они уже, например, опубликовали гайдлайн по data portability и др.

По сертификации — ст. 42-43 GDPR. Посмотрела, пока что еще нет механизмов сертификации на ЕС уровне.

Относительно supervising authority, так же есть гайдлайн. Там описаны критерии определения (с примерами наглядными) lead supervising authority. ec.europa.eu/information_society/newsroom/image/document/2016-51/wp244_en_40857.pdf

Спасибо за комментарий, изучу.

чем ближе к часу Икс, тем может быть теплее…
правильно я понимаю, что как только на коммерческом сайте англоязычная версия — сразу попадаем под GDPR? будь там хоть только форма обратной связи.
Некоторые люди думают что даже еще интереснее.
Пример — у меня подписка на рассылку одного автора художественной литературы (там новости, иногда фрагменты новых книг и так далее), так вчера прилетело письмо с заголовком GDPR Compliance и
By this point you've likely received plenty of these emails about the new General Data Protection Regulation («GDPR»), that comes into effect May 25, 2018. To help comply with GDPR consent requirements, I need to confirm that you would like to receive content from me.

I do hope my newsletter is still of interest to you. If you'd like to continue hearing from me, please update your subscription settings.
и ссылка где можно имя обновить и надо поставить галочку.
Причем рассылка изначально через MailChimp шла и идет.
И все равно — GDPR.

Это компания, организующая рассылки, хвост себе прикрывала отпиской.
что как только на коммерческом сайте англоязычная версия — сразу попадаем под GDPR? будь там хоть только форма обратной связи.

Дождитесь завершение брекзита и спокойно используйте English :). А если серьезно, то ключевым будет не версия на английском, а если хотя бы один пользователь из ЕС отправит вам данные через эту форму.
Один из ключевых элементов Supervisor Authority (бюрократ из EU через которого идет вся работа), а теперь внимание если вы компания не из EU и сервера ваши тоже не в EU кто будет вашим supervisor authority?

Спасибо «корпорации добра» Google. Всего за 50 млн евро они «протестировали» GDPR на практике, и теперь есть четкий ответ на ваш вопрос. При полном отсутствии компании в ЕС дело будет рассматривать контролирующий орган того государства, где была зарегистрирована жалоба. У Гугл есть формальная штаб-квартира в Ирландии (сугубо для целей минимизации налогообложения, как я понимаю). Но в итоге, жалобы против них рассматривали французы, т.к. после общения с ирландскими коллегами пришли к выводу, что ни в Ирландии, ни вообще в ЕС у Гугла нет главных бизнеса или операций.

Подробнее можно ознакомиться здесь (анг.). Особенно будет интересно тем, кто любит использовать предустановленные чек-боксы (pre-ticked checkboxes).
Последнее время все страны взялись делать законы без учета реалий жизни. Конечно, красиво сказать «всем жителям… мы разрешаем по всему миру требовать обращения с ними по закону ...» — но это не менее бред, чем кричать в чужой стране, что «я привык курить в общественном месте, а у вас тут нельзя, а по закону… моей страны — можно».

И, если уж по-честному, страна, где находится пользователь, должна бы его защищать, давая ему жить на территирии страны по законам этом страны!

Вы не упомянули еще одно права субъекта данных. Это право на отказ быть субъектом профилирования и системы автоматического принятия решения. Грубо говоря житель EU может требовать чтобы его заявку на потребительский кредит рассматривал живой человек а не AI система. И так про все что имеет "legal effects"

Чудесное поле для DDoS фирмы, а не сайта.
>>GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании.
Буквально в прошлую пятницу на ms digital platform господа из ernst&young (http://msplatform.ru/, презентация Евгения Кима) утверждали ровно обратное. Что gdrp жёстко ограничивает своё применение территорией ЕС и не применим за его границами. Посему мы тут можем расслабиться, если не ведём бизнеса в ЕС. И кто правду говорит?
Не, вы что-то путаете, я тоже смотрел трансляцию этой секции и данную презентуху. Спикер как раз проговаривал, что GDPR действует не только внутри границ ЕС, в случае если компания не в ЕС что-то делает с персданными гражданина ЕС, то автоматом срабатывают нормы GDPR, в какой бы стране это не происходило.
Ну и там еще много ньюансов.
Вроде видеозапись секции доступна там, можете еще раз пересмотреть.
В России только глава Роскомнадзора ляпнул, что GDPR никак не будет касаться России. Все в отрасли усмехнулись на это.
А я в зале сидел. Евгений Ким четко сказал, что
1. вы попадаете под действие GDPR если производите операции с ПД на территории ЕС
2. если гражданин ЕС передает свои ПД на территории РФ, то это его собственный риск и GDPR на такую ситуацию не распространяется, т.к. РФ не входит ни в ЕС, ни в список стран, считающихся доверенными.
Отдельно Евгений подчеркнул, что из российских компаний оно грозит только тем у кого есть европейские дочки и те кто непосредственно оказывает услуги и продает товары на территории ЕС использую ПД, находящихся на территории ЕС (особое внимание обратили на то, что нигде речь не идет о гражданах ЕС — всегда речь идет о лицах, находящихся на территории ЕС в момент получения и обработки ПД)
Понятно что возникает много вопросов, но принципа экстерриториальности, как у американцев нет.
В общем только я расслабился, а вы меня опять напугали :-(. Надо будет Евгению написать, чтобы еще раз вопрос прояснить.
Понимаете, тут нет «последней инстанции», да, толковаться может расширенно.
К слову, вчера был на Пиринговом форуме, там была отличная сессия «Интернет в эпоху границ и ограничений – возможно ли регулировать технологии?» и там тоже эксперты отвечали на вопрос про GDPR. Внезапно встал вопрос — что «пакет Яровой» напрямую нарушает нормы GDPR. Как понимаю, видеозапись выложат позже, сюда её закину, вполне интересно по сабжевой теме.
Как обещал — видос с секции «Интернет в эпоху границ и ограничений – возможно ли регулировать технологии?» (с 6:03:32):
Ну мне кажется, что все согласились что никакой экс-территориальности в GDRP сейчас нет, а дальше «поживем -увидим»
Ну всё-таки не совсем так, послушайте внимательно спич Михаила Якушева на видео по сабжу.
Тогда цитата из презентации Кима
О применимости GDPR к российским компаниям (2/3)
Комментарии:
1. В критериях применимости отсутствует привязка к гражданству субъекта ПДн; под защиту
GDPR попадают ПДн всех субъектов в момент нахождения их внутри ЕС
2. Формулировка «предложение товаров и услуг находящимся на территории ЕС субъектам
персональных данных» главным образом нацелена на организаций, которые не имеют штабквартиры или какого-либо иного присутствия на территории ЕС и используют веб-сайты для
предоставления/продвижения/оплаты своих услуг
3. Согласно критерию №1, если у организации есть дочерние структуры в ЕС, то эти дочерние
структуры попадают под GDPR
4. Согласно критерию №2, в контексте формулировки про «отслеживание» [субъектов ПДн],
российские организации подпадают под действие регламента GDPR в случае, если они будут
отслеживать действия физических лиц для создания профилей, в том числе, в целях принятия
решений для анализа/прогнозирования их личных предпочтений, поведения (например,
скоринг, мониторинг транзакций, аналитика данных для целей таргетированной рекламы)
Ну и еще раз перечитал презентацию Кима. Сохранил на диск для предъявления желающим повесить на меня соответствие GDPR. Пусть аргументированно спорят с E&Y :-).
У меня тут лежит требование одного из клиентов соответствовать законам ФРГ о резервном копировании (я даже не знал существовании такого) с ссылкой на сайт на немецком. Такими темпами скоро заставят учить индонезийский, например (что пора учить китайский и так понятно)
Пора бы законникам понять, что не бывает в отношении онлайн бизнеса такого:
Посему мы тут можем расслабиться, если не ведём бизнеса в ЕС

Сайт (кроме идиотских закрытий доступа к нему) доступен всему миру, в т.ч. и на МКС, в т.ч. и на Эвересте, в т.ч. и на полярной научной станции — и все эти «визиторы» име имеют равные права.

Иначе быстро дойдем до того, что, скажем, людям какого-то вероисповедания (как пример) по закону прикажут показывать другой контент, и как владельцу сайта проверить в реальном времени — непонятно. Сделать же сложную регистрацию и проверку каждого посетителя — означает подорвать бизнес.
Проблема негров-айтишников шерифов-юристов не волнуют. Законы пишут они, в суде решения проталкивают-принимают они, с правоохранителями общаться тоже будут они. После приравнивания лицензий на ПО к произведениям искусства в общем удивляться не чему… :-(
Распространяется ли GDPR на какой-либо онлайн сервис будет определено в каждом отдельном случае.
Настоящая доктрина, выработанная судебной практикой, гласит, что если ваш веб-сайт целенаправленно предлагает товары/услуги гражданам ЕС, то он должен соблюдать законодательство ЕС, включая законы о защите потребителей и защите персональных данных

Например, вот пример российского сайта, который, на мой взгляд, должен соответствовать требованиям GDPR, поскольку он предлагает товары в евро, а также язык может меняться на немецкий, английский, испанский (Австрия, Германия, Испания, Великобритания являются членами ЕС) export.airsoftstore.ru/de

Экстерриториальное действие GDPR очень спорно, горячо обсуждаемо.

Все же, считаю, что это нормальное вполне реальное положение, потому что интернет не имеет физических границ, но это не должно отменять права человека на защиту его персональных данных в соответствии с законодательством страны, где он постоянно проживает. Все это вопросы международного частного права, подсудности, применимого права итд.

на ms digital platform не был, однако в GDPR абсолютно четко написано что GDPR распространяется на все компании которые продают услуги или товары жителям EU или обрабатывают их личные данные (в документе "мониторят") в том числе это распространяется на компании которые в EU не представлены и данные в EU не хранят.


В некоторых толкованиях приводятся такие признаки как наличие сайта на языке страны члена EU или указанные цены на товар в валюте EU и так далее.


Вопросы "я как они дотянутся" оставляю за скобками.

Прочитал статью и, к счастью или сожалению, не увидел ничего нового, все понятия, ключевые требования, принципы обработки и так далее уже существуют в тех или иных политиках_ которые учитывают многие компании, ориентированные на внешний рынок. Если я не прав, то просьба пояснить. Кратко — хотелось бы видеть конкретные сравнения.
В целом да, кардинальных изменений не произошло. ЕС просто давно шел к созданию единого для всех стран-членов закона о персданных, и вот это произошло. По большей части они формализировали то, что выработано судебной практикой, а также удовлетворили потребности общества, дав им бОльший контроль над своими данными. Ведь не секрет, что в ЕС (особенно после Сноудена, дела Шремс), паранойя по поводу персданных.

Думаю, что практический эффект отразится на больших компаниях или компаниях, которые имеют дело с большими объемами перс данных. Мне кажется, что на них и рассчитан закон, в первую очередь: ФБ, гугл, убер, airbnb, booking итд
Любая компания, обрабатывающая данные, должна удалять чьи-либо персональные данные по запросу, если это не противоречит интересам общества или иным фундаментальным правам европейцев


А вот тут конкретизируйте пожалуйста, потому что я такое впервые вижу, хотя работал в Европе когда бывшая команда начала адаптацию наших проектов под GDPR. Как мои персональные данные относятся к фундаментальным правам других людей или общества?
Это относится, главным образом, к публичным личностям, к которым общество проявляет повышенный интерес (работники власти чаще всего). Например, некий политик запросит у новостного сайта удалить информацию о нем, ссылаясь на право на частную жизнь или у гугла удалить какие-то результаты поиска о нем (к примеру, инфу про его собственность на Мальдивах). В ЕС такой сервис прежде, чем удалить, должен оценить не повлияет ли такое удаление на фундаментальные права европейцев: свободу слова (для новостного сервиса), право на доступ к информации (для юзеров)
Спасибо, резонно, но вызывает больше вопросов чем ответов. Какая нормативно-правовая база будет регулировать и определять что является такой информацией а что нет. Дом дому рознь, даже на Мальдивах.
Если не закон, то судебная практика. В ЕС есть CJEU (Court of Justice of EU), он устанавливает судебные прецеденты, которые потом применяются национальными судами.
Занимаюсь реализацией, когда читаешь эти правила — глаза на лоб лезут, как к примеру обеспечивать Right To Be Forgotten из бэкапов (не только цифровых, но и бумажных бэкапов отправленных на хранение в индию?)
Но всякие крутые аудиторские конторы которые приходят, консултируют — приходят к выводу, что ни чего особенно менять в не нужно, организовать пару процессов и назначить ответственных. Так что возможно оно только выглядит так плохо.
Понятно, что это несколько усложняет жизнь бизнесу и конечно придется какое-то время привыкать. Надо будет перепроверить модели угроз и несколько переделать свои политики.
Гайдлайны, практика и LegalTech позволят создать со временем удобную для всех реализацию. Но важно то, что в центре GDPR все же находится человек, права и свободы которого имеют высшую ценность.

Если я правильно понимаю к бэкапам это не очень относиться, т.к. это не публично доступная информация. Если есть четкая политика по хранению и жизненному циклу данных (data retention) и вы реализуете мероприятия по их защите (шифрование) то в принципе все хорошо. Потенциальное плохое место это передача данных 3-ей стороне, я не очень изучал конкретно этот вопрос, но он упоминается в документе.


Disclaimer: я не юрист, я инженер просто мне по служебной необходимости пришлось изучать этот вопрос.

Этот закон получается аналог российского закона, обязывающий хранить данные пользователей РФ на территории страны?
Я бы сказал, что не аналог, а полная противоположность. GDPR защищает приватность пользователя, и утверждает, что хозяином персональных данных является сам пользователь. Тут подробнее:
habr.com/post/359014
Наш же закон просто о том, что компании вдобавок к основному хранилищу должны ещё хранить данные в РФ, то есть просто увеличивается кол-во мест, откуда эти данные могут украсть, или к ним могут получить доступ третьи лица.
Ждем, когда резиденты ЕС начнут требовать от ФСБ удаления сканов своих паспортов
А разве _их_ касается?
Скажут что даже в GDPR предусмотрена ситуация когда обработка данных требуется по закону. Это если вообще не ответят в стиле «Применимое в РФ законодательство — опубликовано в Российской Газете».
*тихонько* Как же надоели эти уведомления от всех сервисов, где я хоть раз ввел мыло, о том, что они в курсе нового европейского подхода. И ведь в спам не кинешь: вроде как по делу шлют, но число таких писем оказалось велико.
В один прекрасный момент пользователь решает перейти на сервис “Читай онлайн”. В данном случае право на переносимость данных позволяет получить от “Электронной книжки” персональные данные (например, предпочтения в литературе и другие) и передать их другому сервису.

мне кажется что тут ошибка,
«предпочтения в литературе» не являются персональными данными
Да?
А если например эти предпочтения кореллируют с моими сексуальными и политическим предпочтениями? А если у меня в Google Books к конкретным кускам книг куча комментариев в том числе вида «А вот это мне напоминает ситуацию что была у меня <дата> с <...>»?

Вот мне кстати где письма про GDPR от:
— Bookmate (они правда юридически в США — но то что я НЕ в ЕС они знать не могут — нет такого поля в анкете)
— Litres — при заходе через европейский VPN — там и цены на сайте в Евро
— Pocketbook — при входе в Cloud Reader там вообще ToS на немецком и упомянута немецкая контора (https://cloud.pocketbook.digital/browser/#/impressum ).

А вот маленький американо-карибский стартап Bookfusion (делает вообщем то же самое что изначально заявлял Bookmate, читалка с синхронизацией но без всяких библиотек куда ты по умолчанию все грузишь а они потом с других дерут за подписку) — прислал что обновляют Privacy Policy в связи с GDPR. Галочки что согласны — ставить надо.
я не спорю с тем что библиотеки обрабатывают персональные данные,
но не все данные что они обрабатывают, являются персональными

насколько глубоко вы в теме?
приведенные вами аргументы, это всего лишь ваши предположения или результат анализа директивы?
Анализа (GDPR вполне понятным языком написан), но у меня не юридическое образование, к качеству моего анализа вполне возможны претензии. (только в моем посте опечатка — для Bookfusion читать 'галочку что согласны — ставить не надо').
Если можно идентифицировать человека по какой-то информации, это уже персональные данные. Данные в сочетании с другими данными позволяют идентифицировать человека, в статье указано «предпочтения в литературе и другие», т.е. информация о купленных книгах, электронная почта и т.п. в совокупности могут быть использованы для идентификации.

Сейчас даже по обезличенным данным возможно идентифицировать человека...(https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3022646, www.theguardian.com/technology/2017/aug/01/data-browsing-habits-brokers, law-journal.hse.ru/data/2015/04/20/1095377106/Savelyev.pdf)
Поэтому все компании хотят себя как можно лучше защитить и запрашивают согласие на обработку любой информации… на всякий случай…

Даже если вы ничего не храните о пользователях, приготовьтесь к шквалу звонков и писем в духе «Расскажите, что у вас на меня есть?»
нашли повод ничего не делать и зарабатывать на штрафах

А какая русская абревиатура сокращения аналогична GDPR?

152-ФЗ обычно пишут. Это не совсем однозначное определение (нумерация законов не сплошная, каждый год рестартует), но в контексте все понимают.

Если нужно точно указать - то это Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных»

Мне не точно. Мне надо, чтобы было всем понятно. Я пишу софт, и в софте есть настройки, и мне в настройках нужно коротко значение настройки в контексте сокращения.
Например: "Показывать ссылку GDPR" или "Отображать окно подтверждения GDPR". Но только по русски.
Чтобы не нужно было писать каждый раз 4 длинных слова в кавычках.

Для такой задачи я бы использовал что-то типа "требовать согласия на обработку ПДн". Вот это вот сокращение "ПДн" в контексте по факту уже общепринято, хотя и не официально. Особенно в паре со словом "обработка".

а что значит буква "н" в  "ПДн" ?
Я думал что было бы логичнее использовать "ЗПД", ну раз "ПДн" используют, буду я тоже так использовать.

Дн = Данные

Не спрашивайте, откуда такое дурацкое сокращение возникло, но - что есть, то есть.

Спасибо.

Я подумал, и раз уж единого правила нет. Я попробую на Вики добавить сокращение ЗПД. А Вас бы попросил указать это сокращение в тексте, так как многие им руководствуются.

Надеюсь Вы присоединитесь

Или ОПД. Или ППД .

Как лучше использовать?

Даже не знаю какое лучше сокращение. Как думаете?

Согласие обработки ограничений/правила персональных данных.

Зарегистрируйтесь на Хабре , чтобы оставить комментарий