27.04.2018 08:17
S0krat 27 8300 Источник
Судя по нарастающей в сети панике, очень многие либо только узнали о GDPR, либо оттянули удовольствие до предела.


Уже 25 мая угроза штрафа в 20 млн Евро или 4% от мирового оборота (что из этого больше) станет реальностью – впадать в панику или не впадать? Поскольку я уже ливанул ведро бензина в огонь, чувствую себя обязаным показать дорогу к пожарному выходу, не дожидаясь анонсированного в предыдущей статье события. Зарание прошу прощения за шероховатости – экспромт, очень fast и очень dirty, зато полезность зашкаливает (надеюсь).

С одной стороны, угроза вполне реальна. С другой, вряд ли 25 мая еврокоммиссары в пыльных шлемах ворвутся в офисы всех без исключения нарушителей – на такую честь могут рассчитывать только самые матёрые негодяи «с репутацией», уровня Facebook. Чего же опасаться и как парировать угрозы, если под вашей ответственностью проект из второго миллиона по популярности – то есть широко известный в узких круах, как группа Fleshgod Apocalypse?

Ответ подсказали наши немецкие коллеги по опыту вступления в силу закона об Impressum. Оказалось, что у них нашлось изрядное количество безработных юристов, охочих до лёгких денег – они массово находили нарушителей и крупным оптом их тиранили. То есть, я считаю главной угрозой проектам третьего-десятого эшелона не тщательное разбирательство со стороны евробюрократии, а нападение частной инициативы с поверхностным поиском типичных проблем и рассылкой шаблонных претензий.

Поэтому:

  • Первый приоритет – устранение грубых нарушений основных принципов GDPR.
  • Второй – устранение тех нарушений, которые легко обнаружить, особенно автоматизированным сканированием.

Устранение нарушений основных принципов GDPR


Выпишите все персональные данные, которые вы собираете, цели и способы их использования – каждую комбинацию «набор данных + цель + способ использования» отдельно.

Если какие-то персональные данные собираются «на всякий случай» «вдруг пригодятся» – это серьёзное нарушение, избавьтесь от них.

Определите законное основание для каждой комбинации – GDPR определяет 6 возможных законных оснований:

  • Согласие (consent)
  • Контракт
  • Требование закона
  • Жизненные интересы физических лиц
  • Общественные интересы
  • Законные интересы контроллера (т.е. ваши)

Это очень важная тема – выбирайте тщательно.

Разберём самые полезные для нас:

Согласие (consent)


Согласие в терминах GDPR – штука очень и очень непростая:
Согласие должно быть:

  • Выделенным: запросы на согласие должны быть отделены от других условий. Согласие не должно быть предварительным условием регистрации на услугу, если это не требуется для этой услуги.
  • Активным: предварительно отмеченные флажки ввода недействительны – используйте не отмеченные флажковые поля или аналогичные активные методы выбора (например, выбор двух равнозначных вариантов).
  • Гранулярные: дают раздельные варианты для отдельного согласования для разных типов обработки, где это необходимо.
  • Персонифицировано: назовите свою организацию и любые третьи стороны, которые будут полагаться на согласие. Даже четко определенные категории сторонних организаций не будут приемлемыми в рамках GDPR.
  • Документировано: ведите учет, чтобы продемонстрировать, на что согласился человек, включая то, что им сказали, и когда и как они согласились.
  • Легко отозвать: сообщите людям, что они имеют право отозвать свое согласие в любое время, и как это сделать. Должно быть так же легко отозвать, как и дать согласие. Это означает, что вам понадобятся простые и эффективные механизмы отзыва.
  • Без дисбаланса в отношениях: согласие не будет дано свободно, если есть дисбаланс в отношениях между физическим лицом и контролером – это сделает согласие особенно трудным для государственных органов и для работодателей, которые должны искать альтернативную законную основу.

В целом тема хорошо раскрывается в ICO's GDPR Consent Guidance (draft) – собственно, это я одну страничку оттуда привёл.

Контракт


Довольно очевидно – если у вас деловые отношения (любого вида – продаёте товары, оказываете услуги, нанимаете на работу и т.д.) с физическим лицом, то вы имеете право собирать и обрабатывать те персональные данные, которые необходимы вам для выполнения ваших обязательств. Это законное основание также покрывает ситуацию, когда физическое лицо ещё только предприняло некие шаги (например, прислало запрос) направленные на установление отношений.

Законные интересы контроллера


Опять непростая тема:
Вы можете обрабатывать личные данные без согласия владельца персональных данных, если у вас есть подлинная и законная причина (включая коммерческую выгоду), если только это не перевешивает вред правам и интересам личности.
То есть вы можете провести оценку баланса ваших интересов против риска для физического лица и решить, что ваши интересы важнее. Разумеется, придётся это задокументировать и, при случае, отстаивать.

Устранение легко обнаруживаемых нарушений


Что легко обнаружить (в том числе автоматически), например, в онлайн-проектах:

  • Отслеживание поведения без согласия.
  • Неправильную форму согласия.
  • Согласие по умолчанию.
  • Запрос лишних персональных данных (например, слишком много обязательных полей с персональными данными в формах).

Стоит всё это исправить – паучки уже могут стоять под парами, ожидая часа Ч…

Комментарии (27)


  1. Sky-Fox
    27.04.2018 11:45
    #10779178
    -2

    GDPR? — Неа, не слышал…
    А если серьезно:
    По данным опросов около 30% предпринимателей еще не слышали или не задумывались на эту тему… Только каждый пятый предпринял или планирует действия в этом направлении.
    Я думаю грядет охота на ведьм лавина исков с целью пополнить карманы адвокатов…


    1. herrjemand
      27.04.2018 12:23
      #10779276

      Незнание законов не освобождает от ответственности


      1. Sky-Fox
        27.04.2018 12:38
        #10779340

        Я с вами полностью согласен. Своим комментарием я только хотел показать реальное положение вещей. Я сам работаю в этой отрасли и мне волей неволей приходится сталкиваться и даже клиентам объяснять что где и как.
        Меня просто очень огорчает что в начале будут страдать маленькие предприниматели от юристов, конторы которых заточены на отлов и отстрел под это и иски которых не исходят от реальных лиц.


        1. herrjemand
          27.04.2018 12:54
          #10779380

          Я не знаю или ваша компания работает в странах ЕС, но все кто работают с ЕС были уведомлены уже давно. GDPR обсуждется уже более года всеми кому не попадя до такой степени что на западе это уже мем, так что меня удивляет что кого-то вообще удивляет что он близко.


          И потом, до него еще месяц, так что если поднажать то можно успеть.


          В добавок сначала будут уведомления, а потом в случае не выполнения обязательств, штраф.


  1. LoadRunner
    27.04.2018 14:04
    #10779570

    Сегодня в почте обнаружил обновление политики конфиденциальности от Twitter, Trello и GOG (а у них ещё отдельно для cookie).
    Совпадение?


    1. S0krat Автор
      27.04.2018 14:25
      #10779634

      25 мая близко...


  1. kashey
    27.04.2018 15:41
    #10779814

    Так можно IP в логах хранить или нельзя?


    1. S0krat Автор
      27.04.2018 16:36
      #10779950

      Это зависит. Что ещё у вас есть, кроме IP? К какой информации, связанной с этими IP, имеете доступ?


    1. tbp2k5
      28.04.2018 00:44
      #10780772

      Насколько я понимаю/знаю о классических логах (вспомогательный инструмент диагностики/отладки, ограниченное время жизни, и т.д.) можно не беспокоиться. Но если какая-будь «светлая голова» решит что логи можно по-парсить ну скажем для маркетинговых исследований не имея на то согласия пользователей то, скажем так, обосновать законность владения полученными данными будет нечем…


      1. S0krat Автор
        28.04.2018 05:44
        #10780960

        Не совсем. Всё зависит от того, что ещё вам доступно в дополнение к IP — достаточно ли этого для идентификации физлица или нет. Могут и логи веб-сервера сами по себе стать хранилищем персональных данных — у какой-нибудь соцсети запросто вообще.


        1. tbp2k5
          28.04.2018 11:55
          #10781500

          Опять-же, насколько я понимаю/знаю номинативная информация в промежуточных системах (разные кеши) и во вторичным источниках (логи используемые исключительно для технической отладки — прокси, отдельные сервисы и т.д.) отдельной декларации не требуют. Суть GDPR и его предшественников — в контроле использования персональной информации. Вторичные источники требуют лишь стандартных мер — защиты от утечек и уничтожение/анонимизация в разумные сроки (в Европе min/max зачастую определяется законами и составляет ~ 1 года).
          Я не юрист но с проблемой персональных данных мне приходиться сталкиваться регулярно. У нас (франция) GDPR называется RGPD и он заменяет/дополняет CNIL — локальное законодательство существующее уже 40 лет. Оно близкое по духу GDPR только штрафы поменьше но можно загреметь в тюрьму.


  1. nomoretears
    28.04.2018 02:42
    #10780896

    В сентябре занимался Privacy Shield и GDRP для друзей, написал по итогам небольшую заметку с описанием, что нужно сделать по каждому из основных шагов, мб кому пригодится — medium.com/@rsedykh/gdpr-and-privacy-shield-in-plain-russian-for-saas-9dfa03e72f9b.


    1. S0krat Автор
      28.04.2018 05:46
      #10780962

      Взгляд с другого ракурса :)


    1. Stas911
      30.04.2018 05:26
      #10783564

      Класс! Название наводит на мысль, что есть и английская версия статьи?


  1. D01
    28.04.2018 08:42
    #10781084

    Есть сайт, работающий в России и заточенный на наш рынок. Но естественно может кто угодно зарегистрироваться. Нужно ли специально отслеживать граждан ЕС и если такие попадутся, то что с ними делать?


    1. S0krat Автор
      28.04.2018 08:58
      #10781112

      Предыдущую статью прочитали? habr.com/company/plesk/blog/354386
      В каких моментах вы отметили, что это про ваш проект?


      1. D01
        28.04.2018 09:41
        #10781180

        Очень интересно, спасибо!)
        У меня например установлен счетчик Яндекс-метрики. Больше никаких моментов нет. Но судя по статье — это тоже проблема)


        1. S0krat Автор
          28.04.2018 09:52
          #10781200

          Если сайт только на русском, то проблема довольно теоретическая — по букве закона она есть, но вряд ли кто-то до вас докопается практически. Хотя решать вам, в конце концов.
          Почитайте metrika.yandex.ru/about/info/gdpr


          1. D01
            28.04.2018 10:09
            #10781228

            Спасибо!
            Да сайт только на русском и переводов не планируется


  1. S0krat Автор
    28.04.2018 08:57
    #10781110

    Упс.


  1. side2k
    28.04.2018 10:12
    #10781232

    Спасибо за разжёвывание. Не скажу, что ситуация прям ужас-ужас, но поработать над тем, чтобы соответствовать требованиям — явно придётся.


    1. S0krat Автор
      28.04.2018 10:19
      #10781250

      Пожалуйста :)

      Учтите — здесь буквально экстренный старт описан, причём только с технической стороны. То есть это шпаргалка «что начать делать ещё до того, как что-то начал понимать в GDPR».


      1. side2k
        28.04.2018 10:24
        #10781266

        Я понимаю. Но паника и спешка — плохие попутчики.
        Я знал, что есть GDPR, но только из ваших статей узнал, насколько всё может быть серьёзно, особенно для такого сайта, как мой. И немножко удивился, потому что британцы, для которых я этот сайт строю — ни о чём таком мне не говорили. Обрадую их на следующей неделе, а пока буду загружаться знаниями и писать предполагаемый план действий.


        1. S0krat Автор
          28.04.2018 10:37
          #10781284

          Если сайт не в продакшене, то можно не торопиться, конечно — можно и трансляцию 15-го подождать.
          Эту статью я написал в ответ на претензии, что напугал и бросил людей в панике.


          1. side2k
            28.04.2018 10:41
            #10781296

            Полтора года как в продакшене 8)


            1. S0krat Автор
              28.04.2018 10:47
              #10781310

              Тогда я бы начал паниковатьдействовать прямо сейчас по этой статье.
              В Великобритании GDPR будет действовать в полный рост.


              1. side2k
                28.04.2018 10:50
                #10781322

                Так я и действую. Составляю список данных, прикидываю сроки внедрения «правильной» галочки на согласие + возможности её отзыва. Ну и читаю сам regulation.