Уже через неделю GDPR или Общий регламент по защите данных станет обязательным к исполнению. Похоже, что в отличие от любого другого современного закона у GDPR проявился интересный побочный эффект — он вызвал массовую истерию в обычно рациональном технологическом секторе.
Эта статья является попыткой успокоить нервы тех, кто чувствует, что (их) мир на грани краха. Вообще, когда дело доходит до каких-либо законов, в том числе этого, главный принцип — Don't Panic. Статья предназначена конкретно для владельцев маленьких и средних компаний, которые активны в интернете и сейчас оказались немного в шоке.
Немного о себе: я около десяти лет занимаюсь технической экспертизой для сделок M&A (с командой из восьми человек). Этот опыт, а также убеждённость, что за конфиденциальность в интернете стоит бороться, привели меня к детальному изучению политики конфиденциальности в Сети. В итоге я сейчас отлично понимаю воздействие GDPR и вижу, как компаниям реагировать на новые правила.
Для начала: каждая компания, каждый проект или хобби обязаны соответствовать закону. Возможность этого обычно зависит от того, что вы делаете, от вашего местного законодательства и, очевидно, от самих законов. Не имеет значения, вы работаете ради прибыли или для удовольствия, зарабатываете копейки или миллиарды долларов, имея десятки тысяч сотрудников. Соблюдение закона — норма. Если вы ведёте бизнес за рубежом, то возможно, придётся соблюдать законы другой страны. А учитывая транснациональный характер веба, есть довольно высокая вероятность, что ваш маленький домен затронут законы нескольких юрисдикций. Для людей из относительно незначительных стран (с точки зрения властей остального мира) это не новость. На них уже влияют законы могущественных государств и поэтому они, вероятно, хорошо приспособились. А вот для жителей крупных стран, которые раньше могли игнорировать чужие законы, тут новая ситуация, которая может потребовать некоторого нового уровня понимания.
Самый простой способ прийти к этому пониманию — осознать факт, что вы и сейчас обязаны соответствовать большому количеству законов, чтобы иметь возможность работать на европейском рынке. Даже ларёк с лимонадом обязан соответствовать следующему законодательству:
- законы о безопасности пищевых продуктов
- законы коммерческой деятельности
- муниципальное право
- административное право
- трудовое законодательство
- возможно, и другие нормативные акты
Так что и раньше ничто не давалось просто. Сейчас до кучи добавился ещё один закон — и это не конец света. Статья не предназначена для крупных компаний, а я не юрист (да, это один из тех скучных отказов от ответственности), текст написан не на юридическом языке. Однако будут некоторые юридические термины из GDPR, которые я не смогу обойти. Определения этих терминов будут даваться сразу при первом упоминании, а для дополнительной информации пользуйтесь вашей любимой (обязательно GDPR-совместимой) поисковой системой.
Первое, что нужно понять в терминах GDPR, это формулировка «один закон для всех». GDPR написан для замены своего предшественника DPD (Европейская директива по защите данных, European Data Privacy Directive). У неё был досадный недостаток — это беззубая директива, а не жёсткое регулирование. Поэтому её практически все игнорировали. Старая история: сначала происходит саморегулирование, если оно не работает — появляется директива, и если по-прежнему нет эффекта, то наконец выходит закон с наказанием за несоблюдение. Как гласит надпись на вывеске с картой: «Вы находитесь здесь!». Теперь ровно через семь дней у нас вступит в силу закон, который уже будет жёстким и который вы — для разнообразия — не сможете игнорировать.
Почему поднялась паника? Я видел много разных объяснений, но большинство из них вращается вокруг довольно ограниченного числа заблуждений. Попытаюсь рассмотреть их одно за другим с точки зрения владельца малого бизнеса, чтобы снизить эмоциональный фон до какого-нибудь приемлемого уровня. Сначала нужно развенчать заблуждения — это позволит более подробно сосредоточиться на том, что на самом деле имеет значение.
- Мне выставят штраф до 20 млн евро за малейшее нарушение GDPR
Ну, GDPR действительно имеет потенциал эскалации до такого уровня, но в духе добродушных европейских правоприменителей из различных агентств сначала предупредить, что вы не соблюдаете закон, дать некоторый период времени на устранение недостатков, а если вы игнорируете их — оштрафовать. Этот штраф будет пропорционален преступлению. Конечно, вы можете проигнорировать штраф, и тогда последствия непредсказуемы, но если вы его заплатили и устранили недостатки, можете считать вопрос закрытым. Типичная практика ЕС в случае повторных нарушений по одному и тому же вопросу — увеличение штрафа. Он быстро может увеличиться, так что большинство компаний, как правило, оперативно исправляют проблему, как только их оштрафовали в первый раз. Я уверен, что всё будет происходить именно так, потому что так всё работало до сих пор. Каждое взаимодействие с агентствами по защите данных происходит по одинаковой схеме: предупреждение, штраф, увеличение штрафа. Неизвестно ни одного случая — я хотел бы удивиться, но не могу найти ни одного — когда на компанию накладывают огромный штраф, не предоставив возможность приведения бизнеса в соответствие с законом.
Отметим, что 20 млн евро или 4% от мирового оборота — это максимальный штраф. Конкретно он определяется как «штраф в размере до €20 млн или 4% от годового мирового оборота за предыдущий финансовый год для предприятия, в зависимости от того, что больше». Максимальный штраф введён для гарантии, что гиганты вроде Facebook и Google не проигнорируют закон, просто заплатив штраф и продолжая прежнюю практику. Ни в коем случае не следует думать, что вам, владельцу малого бизнеса, выпишут штраф в 20 миллионов за каждое найденное нарушение.
- GDPR позволит кому угодно подать на меня в суд, даже из-за рубежа
По GDPR такое невозможно, но вам может быть интересно узнать, что и сейчас кто угодно может подать в суд на вас или ваш бизнес по любой причине. Это прямое следствие коммерческой деятельности и не имеет никакого отношения к конкретному закону. GDPR позволяет частным лицам обращаться к своим регуляторам и жаловаться, если вы решите игнорировать их запросы. Поэтому если Джон Доу попросил, чтобы его данные удалили с вашего сервера, а вы отправили его к чёрту, Джон имеет право предупредить своего регулятора о вероятности несоблюдения вами GDPR. Если организация по защите данных в стране Джона посчитает, что это имеет смысл, то отправит вам письмо, упомянутое выше. Если нет, вы никогда не услышите о них. Агентства по защите данных будут функционировать в качестве координационных центров-посредников. Если вы считаете, что это избирательное правоприменение, то должны быть рады новому закону: с введением функции посредников значительно снижается бремя регулирования. Эта норма гарантирует, что граждане не смогут использовать GDPR для преследования предприятий. Вводится некий барьер перед принятием решения.
- Штрафы драконовского размера выносятся без предупреждения
Нет, штрафы будут пропорциональными и взиматься только после того, как компании дали возможность исправиться. Так было во всех законах ЕС относительно конфиденциальности, и этот не будет отличаться. Регулирующие органы ЕС считают своей миссией обеспечить соблюдение закона, а не создать источник дохода.
- GDPR потребует рассмотрения жалоб/документов на 28 разных языках
Текст GDPR доступен на английском языке, типичный регулятор отправит вам уведомление на языке, который вы можете понять. Так происходит со всеми юридическими вопросами в ЕС, от дорожных штрафов до закона «Об авторском праве» и всего остального. Если ЕС хоть с чем-то хорошо справляется, так это с работой на разных языках. Таким образом, если вы получите какие-то документы, они будут на языке, который вы можете прочитать, а если не можете, то вам будет доступен английский перевод. Вот кстати пример: в прошлом году в Париже мне выписали штраф за парковку: я оставил автомобиль не на той стороне дороги в определённый день. Я припарковался в понедельник на правильной стороне, но, видимо, во вторник нужно было ставить свой автомобиль уже с другой стороны, а я как глупый турист подумал, что всё нормально, потому что все остальные тоже там парковались. Через несколько дней я получил по почте свой талон с французским текстом, английским текстом и — что самое удивительное — идеально сформулированным голландским текстом с инструкциями, как подать в суд, если я хочу оспорить штраф, и инструкциями по уплате штрафа, если я не хочу его оспаривать.
- GDPR потребует нанимать персонал, и моя организация слишком мала, чтобы позволить себе это
Нет, GDPR требует назначить определённые должности для гарантии, что кто-то отвечает за конфиденциальность данных.
- Безликие бюрократы будут использовать избирательное правоприменение GDPR для наполнения казны ЕС за счёт иностранных компаний
ЕС склонен использовать штрафы как средство принуждения компании к соблюдению закона. Если компания крупная, с крупными европейскими представительствами или используют ЕС для ухода от налогов, то она справедливо беспокоится об этом конкретном аспекте, особенно если она построила свой бизнес на массивных базах данных с профилями граждан ЕС. Если это не вы, то скорее всего можете игнорировать этот аспект законодательства ЕС. Но если вы — Марк Цукерберг, то я бы определённо не советовал игнорировать его. Впрочем, шансы Марка прочитать эту статью в моём в блоге равны нулю.
- ЕС слишком далеко. Как иностранец я просто соблюдаю мои местные законы и игнорирую остальное
Как только вы начинаете вести бизнес за границей, вам придётся соблюдать законы этих стран. Возможно, вы надеялись на что-то иное, но так было всегда. Для физических продуктов есть различные органы, которые обеспечивают соблюдение законов в других странах, включая правила производства, транспортировки, хранения, состав ингредиентов (вплоть до их происхождения) и так далее, в зависимости от контекста и характера вашего бизнеса. Для онлайн-бизнеса ситуация никогда не отличалось. Например, вы должны соблюдать закон «Об авторском праве», законы об азартных играх в интернете, DMCA и множество других законов, которые по существу местные по своей природе (хотя законы об авторском праве давно приведены в соответствие в разных странах, что упрощает ситуацию).
- Обработка всех этих запросов от конечных пользователей станет огромной нагрузкой
Тогда автоматизируйте их. Если вы раньше смогли автоматизировать сбор данных, то определённо можете автоматизировать остальную часть жизненного цикла. Когда речь идёт о получении сочных кусочков данных, компании не испытывают никаких непреодолимых технических проблем, а как только речь идёт об их удалении — мы внезапно возвращаемся в каменный век и начинаем вручную удалять данные, как ремесленник с зубилом и молотком, и даже для маленького сайта работа якобы займёт десятилетия. Это лукавые аргументы, и если человек такое говорит, то в целом выглядит довольно глупо, ведь никто никогда не жаловался на сбор данных. На самом деле есть целые армии программистов, упорно работающих, чтобы очистить данные с публичных веб-сайтов, а это намного больше работы, чем правильно налаженный жизненный цикл этих данных после сбора. Так что да, это бремя. Но нет, бремя не огромно, если вы явно не сделаете его таковым, но это ваша проблема.
- Закон внезапно свалился на нас, нет абсолютно никакого способа подготовиться к нему за неделю
На данный момент закон действует более двух лет, и DPD — Европейская директива о защите данных — действует более двух десятилетий. Так что нет, этот закон ни на кого не свалился, хотя вполне возможно, что вы узнали о нём только несколько недель или месяцев (или дней?) назад. Если так, всё равно не паникуйте. Скорее всего, у вас всё будет в порядке.
- Невозможно соответствовать этому закону
Ну, мой сайт полностью соответствует закону, так что хотя бы здесь закон, кажется, работает. Почему? Потому что я не храню никакой информации о вас. Это сознательный выбор с моей стороны, который я сделал задолго до того, как GDPR вообще начали обсуждать. Но если у вас более сложная ситуация, вы тоже можете стать совместимыми или, по крайней мере, — и это главное — вы можете попытаться. Например, часто приводят аргумент, что ни один веб-сервер (или даже интернет-сервис) не сможет быть совместимым, потому что все веб-серверы регистрируют IP-адреса, а IP-адреса являются PII. Но этот аргумент не выдерживает критики. Есть несколько причин, вот основные: веб-серверы регистрируют только IP-адреса, если вы так их настроили. Почти у всех веб-серверов есть опция форматирования, которая определяет, что именно регистрируется — и вы можете настроить свой веб-сервер, чтобы регистрировать не весь адрес, а только маску сети. У вас также есть возможность вести логи и раскрыть в политике конфиденциальности, что вы делаете это. Но тогда придётся разрешить удаление этих данных по запросу, что может оказаться обременительным (или нет, это зависит от объёма таких запросов). Наконец, у вас может быть законная причина для регистрации IP-адресов при условии, что вы удаляете их после использования. GDPR позволяет хранить адрес в течение 30 дней с возможным продлением ещё на 60 дней, после чего пользователю высылается автоматический ответ, что его IP-адрес удалён — этого достаточно для соответствия закону. Это одна из причин, почему я думаю, что GDPR — удивительно хороший закон. В большинстве случаев законы о технологиях в итоге абсолютно неработоспособны, а здесь большинство сценариев, похоже, хорошо работают для всех участвующих сторон.
- Соблюдение этого закона приведет к тому, что мой бизнес станет убыточным
Мне ужасно жаль это слышать. Но подумайте вот о чём: закон написан с явной целью обуздать некоторые из самых серьёзных нарушений конфиденциальности граждан ЕС в интернете. Если соблюдение закона приведёт к тому, что ваш бизнес станет убыточным, то это как будто признаться, что ваш бизнес построен на грубых нарушениях конфиденциальности. Если такова реальная бизнес-модель, то скатертью дорога вам и вашей компании. Но если бизнес-модель не такая, то скорее всего всё у вас будет в порядке.
- Это несправедливо: у меня нет представительства в ЕС, потому что я не оттуда, почему моя компания должна соответствовать?
Потому что вы хотите вести бизнес в ЕС. Для этого создано много законов с трансграничным действием, но гармонизация законодательства между странами показывает, что люди не всегда понимают трансграничную природу законов. DMCA — хороший пример. Кроме того, конфиденциальность является довольно горячей темой, а среди правозащитников есть надежда, что ЕС здесь прокладывает путь, а остальные страны последуют примеру.
Тот факт, что у вас или вашей компании нет представительства в ЕС, не означает, что вы можете игнорировать закон. Если бы вы могли его игнорировать, это автоматически поставило бы в невыгодное положение тех, кто играет по правилам. Вы игнорируете закон на свой страх и риск.
- Я не хочу, чтобы меня арестовали за нарушения GDPR, когда я поеду в отпуск в Европу (да, я действительно видел такое)
Это настолько притянуто за уши, что просто смешно. ЕС не действует таким образом, и вообще, зачем вам сознательно нарушать закон и продолжать это делать после того, как вы об этом узнали? Я ещё не слышал ни об одном человеке, которого за завтраком в постели французской гостиницы во время заслуженного отпуска подняли и увели в наручниках. Возможно, вы будете первым. Если такое случится, дайте знать — я навещу вас в тюрьме, а может даже перечислю несколько долларов в фонд защиты. (Извините за легкомысленный тон в этом разделе, но меня действительно раздражают такие опасения. Единственный такой случай, о котором я знаю, был американский арест Дэвида Карратерса из betonsports.com). [Вероятно, автор не знает о многочисленных задержаниях российских хакеров во время отдыха за границей — прим. пер.]
- Мой бизнес не может соответствовать этому драконовскому и обременительному закону
В этом случае, пожалуйста, закройте сайт или не обслуживайте клиентов из ЕС. Но имейте в виду, что 1) вы оставляете хорошее поле для конкурента и 2) вероятно, вы занимаетесь чем-то таким, чем не следует, так что я бы сказал, что закон работает по назначению.
- Закон настолько сложен, что его невозможно понять
С выходом этого закона меня на самом деле удивило, насколько легко он читается. Он не особенно большой и использует в основном простой язык, и обычно (но не всегда, и это обоснованная жалоба) определяет термины. Это особенно раздражает (что понятно) в определениях того, какого размера компания должна принять определённые меры. Я понимаю жалобы и понимаю позицию законодателей — вероятно, это можно было прописать более чётко. Но были веские причины оставить именно такие формулировки, о причинах чего я надеюсь рассказать позже.
- Я не могу позволить себе риски, связанные с этим законом, поэтому закрою сайт или буду блокировать европейцев
Ладно. До свидания. Но убедитесь, что вы действительно понимаете риски. И поймите, пожалуйста, что надёжно заблокировать европейцев и выйти из-под действия этого закона может оказаться сложно. Нужно понимать, что для вас могут действовать многие другие европейские законы. В этом отношении новый закон ничем не отличается от других. За использование интернета в качестве глобальной мировой площадки вы платите тем, что взаимодействуете с юрисдикцией каждой страны, где ведёте бизнес.
- Для пользователей должна быть предусмотрена возможность отказаться от соблюдения закона, чтобы я мог его игнорировать
На этот раз законодатели поняли потенциальную проблему — и фактически предупредили её. Подозреваю, что фиаско «закона о кукисах» заставило их понять, что компании совершенно не стесняются в таких вещах — и с радостью шантажируют пользователей, заставляя их соглашаться с тем, с чем те предпочли бы не соглашаться, ради возможности онлайн-взаимодействия.
- Для крупных компаний нагрузка управляема, для малых — слишком тяжела
Из того, что я за последние пару лет видел в своей практике, бремя примерно пропорционально трём вещам:
- Объём данных в вашем распоряжении.
- Количество сотрудников в вашей компании.
- Тип данных, которыми вы распоряжаетесь.
По сути, бремя большой компании, владеющей огромными объёмами конфиденциальных данных, скорее всего, будет очень большим. Нагрузка на небольшую компанию, владеющую небольшими объёмами данных, не являющихся конфиденциальными, будет очень низкой или даже нулевой.
- Никто не знает, что на самом деле означает GDPR
Текст легко доступен. Хотя и в самом деле пока нет полноценных программ сертификации, но со временем они тоже появятся. В некотором смысле таких программ не хватает: было бы неплохо иметь возможность сказать: «Мы соответствуем закону, потому что у нас есть значок от такого-то сертификационного органа». Но в то же время отсутствие сертификационных требований на самом деле сделано с дальним прицелом — ради снижения нагрузки на небольшие компании.
В любом случае, теперь вы поняли суть. Каждое из этих заблуждений похоже на сухие щепки в руках тех, кто хочет сжечь GDPR на старом добром костре — он подстрекает панику у других и в целом не способствует обсуждению. Как правило, заявления делаются людьми, которые действительно не в теме или чей бизнес зависит от возможности нарушать частную жизнь других людей. Они надеются, что разжигая этот огонь смогут поднять волну против GDPR, хотят поиграть в политику. Как всем известно, в наше время политика действует в области, где факты отсутствуют, так что всё по плану. С учётом этого давайте посмотрим на некоторые реальные последствия GDPR, на каком уровне вы наиболее вероятно столкнётесь с требованиями закона и как, по моему мнению, будет развиваться ситуация.
«Истерия вокруг GDPR, часть 2. Полезные советы»
Комментарии (94)
facha
21.05.2018 15:10Интересно, как будут проверять на соответствие закону. Вот если я пользователю говорю, что вся его приватная информация по его запросу удалена. А на самом деле она просто больше не видна извне… Вот прям представляю, как ко мне в Первомайск приезжает аудитор из Германии, подсаживается — «Битте, давайте посмотрим, не хранятся ли у вас IP пользователей в логах веб-сервера»
Vestild
21.05.2018 15:22Как бы да, но… пока вы там в Первоймайске один сидите, вы Неуловимый Джо.
Если же у вас масштабы гугла, то вероятность утечки того, что вы храните, а что нет ~ 100%.
dartraiden
21.05.2018 16:21Допустим, если у вас случится утечка, из которых станет ясно, что вы просто пометили, допустим, аккаунт aaa@bbb.com, как deleted@aaa@bbb.com, то, возможно, вам грозит штраф, а при отказе его выплачивать — могут быть проблемы при въезде в Европу.
Kanut79
22.05.2018 09:37Ну есть два наиболее частых на мой взгяд варианта: утечка данных и обиженные сотрудники :)
Anton23
21.05.2018 15:41+1Статья(риа-новости) — «слегка» бредовая.
alizar
21.05.2018 16:00Автор — Игорь Ашманов.
Anton23
21.05.2018 19:07+1Причем тут это? То что ее автор — «крупный» человек в IT, не отменяет ее бредовость.
Зачем захватывать каких то жуликоватых ноунэймов если и так полно первокласных специалистов по всему миру?
Там просто список уголовников и ICO аферистов, которые нанесли ущерб гражданам США и были экстрадированы в США, т.к. нашему правительству плевать на них. Там ни слова о работе, просто выдача преступников. кодеров с радостью уезжают без какого бы то не было принуждения?
«Американцы придумали криптовалютный мир как замену доллару»
— это даже звучит смешно.
а бумажек-то можно напечатать (нарисовать в компьютерах) — сколько нужно.
— еще одна смешная вещь.
то есть способов дешево забирать у нас математических и программистских гениев и специалистов, есть и один особо эффективный.
— легче купить. Т.к. если ты(США) посадил человека в тюрьму, а потом заставляешь его работать на себя, то очень высокий риск что этот человек «подложит тебе подлянку».
Почему российских хакеров судят в Америке, а не в России? Вот пример — кардер Селезнев. У которого папа известный чиновник. Как думаете, что бы с ним было в России?
И довольно большая часть мира послушно исполняет: американцев боятся.
— интересно, почему их боятся больше, чем нас? У нас же какое то новое супер вооружение, какие то новые супер крутые технологии! Может наоборот, их не боятся, а хотят с ними дружить?
P.S. Некоторые аргументы взял из комментов одного крупного вк-паблика.alizar
21.05.2018 19:24Полностью с вами согласен. Я считаю, что в этой статье автору удался каминг-аут. :)
MTyrz
22.05.2018 14:38Причем тут это? То что ее автор — «крупный» человек в IT, не отменяет ее бредовость.
Не отменяет, а объясняет.
От Ашманова такая позиция вполне ожидаема, как скажем, и от Клименко.
0mogol0
21.05.2018 16:01Блин, интересно, а есть нормальное разъяснение по применению этого закона к стрит-фотографии?
Вероятно, автор не знает о многочисленных задержаниях российских хакеров во время отдыха за границей
А вот этот коммент переводчиков меня просто порадовал… Какое отношение они имели к GDPR?
Если же имеется в виду, задержание вообще, то в Европе ещё задерживали кучу различных «воров в законе», «наркоторговцев» и прочих персонажей (в том числе по запросам из России), но как-то они видимо в образ «русских хакеров» не укладываются.m1rko Автор
21.05.2018 16:10Какое отношение они имели к GDPR?
Вы правы, никакого отношения к теме статьи это не имеет. Это офтопик. Но автор сам говорит об аресте Дэвида Карратерса (betonsports.com), который тоже не имеет отношения к GDPR. То есть он сам начал этот офтопик, а я просто дополнил его, устранив информационный пробел.
Я как переводчик решил добавить этот комментарий, потому что мне показалась общеизвестной информация об арестах российских/украинских владельцев сайтов за границей во время отпуска (форумы кардеров и другие сайты). Мне показалось, что автор явно не знает об этих фактах. И наоборот, опасение «ареста во время отпуска в Европе» исходит именно от тех людей, которые знают об этих фактах. Так что я просто устранил пробел между знанием тех, кто спрашивает, и незнанием того, кто отвечает (автора статьи). Может быть, я ошибся.
Конечно, просто так никого не задерживали, и почти все задержанные действительно занимались нечистыми делами, с этим я не спорю.Ringtail
21.05.2018 16:32Так кардерство — это уже уголовщина, а GDPR уголовной ответственности не предусматривает.
zlob
22.05.2018 11:03+1А если вы уклоняетесь от уплаты штрафа (читай налога) по GDPR это все еще не уголовка?
Kanut79
22.05.2018 11:10«Вы» это в данном случае кто? Частное лицо или фирма? Если фирма уклоняется от уплаты налогов или штрафов, то это не означает что автоматически выдаётся ордер на арест для всех её сотрудников или даже владельцев.
zlob
22.05.2018 11:39Если я ИП, я частное лицо или фирма? А в широком смысле (со)владелец/ген. дир./член совета директоров.
Вариант с неуловимым Джо не рассматриваем. Рядовые сотрудники не интересны, их и к юр. лицу то не просто привязать.Kanut79
22.05.2018 11:52Насчёт российских ИП не знаю, немецкие ИП это изначально всё-таки фирма. Всякие (со)владелецы/ген. диры/члены совета директоров по дефолту к фирме не приравниваются и если фирма косячит, то штрафы и наказания идут на фирму. Их привлечь теоретически тоже можно, но уже совсем по другим статьям и намного сложнее.
Ringtail
21.05.2018 18:34Не юрист, но о личных фото статья 2, параграф 2, пункт c) говорит: "This Regulation does not apply to the processing of personal data… by a natural person in the course of a purely personal or household activity". То есть для своего фотоальбома в любом случае что угодно фотографируйте.
О профессиональной фотографии статья 85, параграф 2 GDPR говорит: "For processing carried out for journalistic purposes or the purpose of academic artistic or literary expression, Member States shall provide for exemptions or derogations from Chapter II (principles)… [перечень других частей — по сути почти весь GDPR] if they are necessary to reconcile the right to the protection of personal data with the freedom of expression and information." То есть странам ЕС предписано составить список разумных исключений для стрит-фотографии и прочего. (Германия, наверное, традиционно будет строга в этом плане, например — у них и без GDPR с этим всегда строго было.)
0mogol0
21.05.2018 22:30Германия, наверное, традиционно будет строга в этом плане, например — у них и без GDPR с этим всегда строго было
Блиин, учитывая, что я сейчас в Германии — это совсем не радует.
Тут ведь проблема в том, что, как говорят, формально даже открытый на фейсбуке альбом — это уже не personal / household. В общем, будем ждать новых разъяснений.Ringtail
21.05.2018 22:35Ну неспроста же у вас запрещены видеорегистраторы и гуглопанорамы :)
0mogol0
21.05.2018 22:43Ну они не запрещены. На гуглопанорамах можно просто потребовать убрать свой дом, если не хочется светится.
А регистраторы в соответствии с последним решением верховного суда могут (или даже обязаны) быть использованы в суде, если доказывают невиновность владельца. Другой вопрос, что их нельзя использовать для обвинения посторонних, плюс они обязаны стирать записанное по умолчанию через 15-60 минут.
А вот в Австрии они вроде действительно совсем запрещены.Ringtail
21.05.2018 22:47Однако ж на панорамах отсняты только крупные города и с 2011 года ничего не обновляется. Да и с регистраторами это все же довольно драконовские правила все равно.
0mogol0
21.05.2018 22:49Вот честно скажу, не проверял дату последнего обновления панорам. Но в большинстве случае, панорам мне хватает. Хотя совсем уж деревни могут быть не обсняты.
А с регистраторами — да, в сравнении с Россией правила дико жёсткие. Но не могу сказать, что меня это огорчает. ;-)
Kanut79
22.05.2018 09:39В Германии законы очень близкие к GDPR действуют уже несколько лет. Так что если вы до сих пор не получили проблем, то вряд ли получите их с введением GDPR.
vikarti
22.05.2018 15:17А зачем он в данном случай открытый для всех? Или это касается и альбома открытого для группы людей но НЕ всех?
0mogol0
22.05.2018 15:19Ну если снимаешь, то что считаешь «художественным фото», а не «мы на фоне памятника», то почему бы не делиться им со всеми?
Проблема в том, что в городе безлюдных пейзажей не бывает. Не говоря уже о том, что иногда хочется интересного персонажа сфотографировать.
mickvav
21.05.2018 16:01Хм, а если сайт предпринял все возможные разумные меры, чтобы НЕ работать с гражданами ЕС (забанил по GeoIP И написал дисклеймер И потребовал паспорт), но все же нашелся человек (с двойным гражданством, например), который обошел эти ограничения с целью подставить сайт/организацию — ЕС будет пытаться изъять из такой организации штраф?
Loki3000
21.05.2018 16:08И дополнительный вопрос: сайт не на языке стран Евросоюза является достаточным препятствием для взаимодействия с гражданами оного?
sondern
21.05.2018 18:22Я думаю не важно на каком языке сайт. Если вы предоствляете услугу на территории ЕС то долнжы подчиняться GDRP. В ЕС живут люди гворящие на разных языках (не обязательно европейских), которые являются гражданами ЕС.
Ringtail
21.05.2018 16:19Нет, конечно. Ну не говоря уж о том, что у ЕС вообще нет цели извлекать из кого-то штраф, есть цель — чтоб с пользовательскими данными обходились повнимательнее.
sondern
21.05.2018 18:19Я думаю у правительства ЕС нет такой цели. И думаю что закон был направлен против фейсбукуа и гугля, но проблема в том что это никого не волнует. Есть закон. И его начнут использовать коммерческие структуры в конкурентных целях. Почему я выполняю закон и несу дополнительные расходы а мой конкурент нет? Я пишу жалобу и конкурента штрафуют. Это делается сплошь и рядом и без GDRP. Для мелкого бизнеса это ещё одна головная боль.
Ringtail
21.05.2018 18:39Ну в результате и вы, и конкурент будете выполнять GDPR — задача закона выполнена :) Сходу к тому же никого штрафовать не будут. Попросят объясниться, разберутся, если там совсем уж кромешного ада не было — для начала предупреждение сделают.
CKA304HUK
21.05.2018 20:15Вы верите в хорошее государство и/или разумную бюрократию.
Скажите, из какой вы страны, что у вас сохранилось такое чувство?Ringtail
21.05.2018 20:22+1Я живу в Финляндии. Вот прямо сейчас занимаюсь последними допиливаниями для GDPR в нашей конторе. Персональных данных в силу профиля деятельности собираем довольно много. Тем не менее всех дел — как на любую обычную фичу средних размеров, разве что писанины побольше обычного. Все абсолютно спокойно относятся и никто не паникует "все, сейчас нас сразу оштрафуют на 20 млн. и придется закрыть лавочку и всем разойтись по домам".
Вообще, по обсуждениям GDPR (на Hacker News они под тыщу комментов собирают) очень ярко видна разница в менталитете — россияне и американцы действительно не верят в хорошее государство, вот и нервничают. Европейцы государству доверяют, и в основном практически не парятся.
CKA304HUK
23.05.2018 23:42Наблюдение верное, особенно если учесть транзитный статус. В GDPR мне действительно не нравится не сама тематика, а именно концепция внедрения еще одной регуляции, которая усложняет транзакции между индивидуумами.
sondern
21.05.2018 20:28Сходу никто не штрафует. Сначала вам присылают уведомление о том, что у вас нарушение. Требуют его устранить. Если вы получили такое уведомление то избежать штрафа у вас уже я думаю не получится. Дальше в зависимоти от того что вы нарушили запрашивают у вас оборот, прибыль и ещё кучу всяких данных. Это нужно чтобы вычислить размер штрафа. Вы должны понести ощутимый урон, но чтобы ваш бизнес не разорился. Они не могут выставить 20 млн штрафа фирме с оборотом 1млн в год.
vikarti
22.05.2018 15:52А вот чисто гипотетически как это работает например в случае:
— есть сайт (хостинг веб-сайта где удобнее, хостинг бэкэнда — вообще непонятно где) правительственной организации (она себя таковой считает и в ее стране власти это мнение — поддерживают, ЕС может иметь другое мнение)
— на сайте пишутся обычные логи с полными IP + есть ряд анкет (с достаточно чувствительными данными) и граждане ЕС вполне могут захотеть их заполнить, благо есть вариант на английском языке.
— на любое официальное требование будет ответ — мы законы соблюдаем. Местные (аналога GDPR там нет). А анкеты — у нас есть законное право предлагать их заполнять и затем обрабатывать. Стирать ничего не будем в принципе — система так устроена что ну не умеет.
— на не официальные вежливые просьбы например выдать что хранится по конкретному субъекту — данные выдаются если получается идентифицировать что о себе субъект спрашивает.
Что интересно ЕС в таком случае делать будет? А должна ли по смыслу GPDR?
Kanut79
22.05.2018 15:57По идее вас никто не будет трогать пока один из ваших EC-пользователей не решит пожаловаться на вас своему регулятору. Потом этот самый регулятор проверит насколько вы соотвествуете GDPR и eсли по его мнению что-то будет не так, то вам выпишут предупреждение и укажут какие пункты вы должны изменить.
Schmidt
23.05.2018 15:35По идее не все так просто, в Германии нарушение GDPR является еще и нарушением закона о добросовестной конкуренции — UWG.
Следовательно, любой потенциальный конкурент может потребовать у вас компенсацию за нарушение GDPR и в случае судебных разбирательств суд встанет на его сторону, т.е. вам придется заплатить не только компенсацию, но и перенять судебные издержки.
Это очень популярная тема, в Германии есть даже такое евление как Abmahnwelle т.е. волна требований компенсаций (десятки тысяч писем) от ушлых адвокатских фирм с целью защиты интересов зачастую фиктивных клиентов.
Два три таких письма с легкостью разоряют небольшой бизнес, что делать, когда их будут десятки?Kanut79
23.05.2018 15:44По идее не все так просто, в Германии нарушение GDPR является еще и нарушением закона о добросовестной конкуренции — UWG.
Извините, но какое отношение UWG имеет к выполнению или не выполнению GDPR как таковому? Его на мой можно будет применить если кто-то будет утверждать что он соблюдает GDPR, а на самом деле этого не делает. Это максимум. Или какой конкретно параграф UWG вы имеетe в виду?Schmidt
23.05.2018 15:57Соблюдаете вы GDPR или нет – никого не интересует, вы обязаны документировать и по требованию заинтересованной стороны доказать, что вы его соблюдаете.
Если вы нарушаете GDPR то вы автоматически нарушаете и UWG, посмотрите §3a, а следовательно ваши конкуренты имеют право на компенсацию понесенных убытков, кроме того, вы обязаны перенять издержки на адвокатов.
Kanut79
23.05.2018 16:11Там ещё надо сначала доказать что всё это было сделано именно для того чтобы получить преимущества перед конкурентами. Что практически недоказуемо. Кроме того вряд ли кто будет судится по немецкому закону с иностранным онлайн-порталом у которого весъ контакт с Германией это только пользователи.
Так что на мой взгляд это просто беспричинная паника и всё.Schmidt
23.05.2018 16:19«Там ещё надо сначала доказать что всё это было сделано именно для того чтобы получить преимущества перед конкурентами.»
Если вы не можете доказать, что у вас есть обоснованная необходимость собирать и хранить данные (например вы устовили внешний скрипт на сайт), то вы нарушаете UWG. Я шлю вам Unterlassungserklarung и следом счет от моего адвоката на 8000 евро.
И вы будете вынуждены его оплатить.
За нарушение TMG, т.е. за то, что иходные данные на сайте были указаны не в полном обьеме, некоторые адвокатские конторы рассылаюю тысячи подобных писем в год.
Это не паника, а абсолютно адекватные ожидания.Kanut79
23.05.2018 16:41Если вы не можете доказать, что у вас есть обоснованная необходимость собирать и хранить данные (например вы устовили внешний скрипт на сайт), то вы нарушаете UWG.
Извините, но тут я с вами не согласен. И BGH вроде бы тоже:
+Nach der Rechtsprechung des BGH mussen aber bei einem Versto? gegen solche Ordnungsvorschriften i.S.d. Art. 24 ff. DSGVO in jedem Fall neben dem objektiven Versto? in subjektiver Hinsicht hinzukommen, dass der Gesetzesversto? bewusst und planma?ig erfolgt ist, um sich gerade einen sachlich nicht gerechtfertigten Vorsprung gegenuber gesetzestreuen Mitbewerbern zu verschaffen. Das wird man in der Praxis wohl eher schwer nachweisen konnen.
Schmidt
23.05.2018 16:58Не люблю, когда цитируют тексты, не вникая в их смысл.
Еще раз, если вы нарушаете GDPR, то я, как ваш конкурент, имею права: а) потребовать чтобы вы это делать прекратили б) потребовать от вас компенсации издержек на реализацию этого права в) потребовать от вас компенсации ущерба, нанесенных вашими действиями.
После вступления GDPR в силу вы будете обязаны доказывать, что у вас есть правовые основания для сбора и передачи данных. Т.е. если вы получаете письма на сервера mail.ru в России, то вы в суде должны доказать, что у вас была объективная необходимость передачи дынных в третьи страны, которая согласно §49 GDPR есть только в исключительных случаях, и что эта необходимость была выше защиты прав пользователя.
Я как ваш конкурент считаю, что такой объективной необходимости у вас не было, и что вы нарушили GDPR и создали себе необоснованные преимущества.
Поэтому я предлагаю вам подписать вам Unterlassungserklarung и оплатить 8000 евро издержек на моего адвоката.
Вы можете отказаться, но тогда будет суд, который примет мою сторону и в дополнение к 8000 евро, вы заплатите еще 10 000.
Kanut79
23.05.2018 17:08Не люблю, когда цитируют тексты, не вникая в их смысл.
Чтобы вам было проще вникнуть в тот текст, который я вам процитировал: www.datenschutz-guru.de/abmahngefahren-durch-die-dsgvo
Еще раз, если вы нарушаете GDPR, то я, как ваш конкурент, имею права
А я имею право потребовать от вас доказать что я нарушал GDPR именно с целью получить перед вами преимущество. И если вы этого сделать не сможете, то я имею полное право потрeбовать возмещение адвокатских издержек уже с вас.
Я как ваш конкурент считаю, что такой объективной необходимости у вас не было, и что вы нарушили GDPR и создали себе необоснованные преимущества
Считать вы можете что угодно. Но как я уже писал выше вам сначала надо доказать что я всё это делал именно чтобы получить преимущества перед вами.
Вы можете отказаться, но тогда будет суд, который примет мою сторону и в дополнение к 8000 евро, вы заплатите еще 10 000.
А вот это уже ваши фантазии. И выиграть это дело в суде вам будет не так просто как вы это себе представляете. Кроме того, как я уже писал выше, в плане вещей, релевантных для UWG, GDPR ничего не меняет по сравнению с уже существующим немецким законодательством. И это не только моё личное мнение, но и мнение юристов.
Schmidt
23.05.2018 17:18В GDPR презумпция виновности. И это одно из главных новшеств GDPR. Вы, как провайдер, после 25 мая обязаны доказывать, что вы приняли все необходимые технические и организационные меры, я не я — ваш конкурент.
Поэтому права что-то потребовать у вас нет.
Т.е. что у вас на сайте размещен адрес е-мейла по которому письма отправляются на российский сервер — уже является нарушением GDPR. Т.е. объективно и беспристрастно. И это вы как провайдер должны будете мне — вашему конкуренту доказывать, что по-другому вы совсем никак не могли войти в контакт с клиентом. А еще вам надо будет показать не договор на «Datenverarbeitung im Auftrag» с вашим хостером почты в России. Нет такого договора? Ну что, милости прошу к нашему шалашу.
Поэтому я предлагаю не доводить дела до суда, а просто заплатить адвокату 8000 евро. На первый раз.Kanut79
23.05.2018 17:25В GDPR презумпция виновности. И это одно из главных новшеств GDPR.
И что? Какое отношение это имеет к UWG? Вы поймите я не оспариваю что кого-то могут оштрафовать за нарушения GDPR, я оспариваю ваше заявление что это автоматом даёт кому-то право судиться по UWG.
И это вы как провайдер должны будете мне — вашему конкуренту доказывать,
Нет, не должен буду. Потому что UWG презумпции виновности не подразумевает. Доказывать должны будете вы. Причём сначала вы должны будете доказать что я вообще собирался работать на немецком рынке(потому что GDPR может и европейский закон, а вот UWG локальный немецкий), а потом что я нарушал с целью получить перед вами преимущество.
Поэтому я предлагаю не доводить дела до суда, а просто заплатить адвокату 8000 евро. На первый раз.
Да предлагайте вы что угодно. Владелец какого-нибудь интерент-сервиса из США или тем более Китая посмотрит на ваше предложение, покрутит пальцем у виска и пойдёт заниматься своими делами.Schmidt
23.05.2018 17:37«я не оспариваю что кого-то могут оштрафовать за нарушения GDPR»
Я, как ваш конкурент, не могу вас штрафовать, я лишь требую от вас исправить нарушения закона и оплатить издержки на моего адвоката. Все.
И это мое законное право в соответствии с UWG и любой суд встанет на мою сторону, т.к. вы объективно нарушаете GDPR, передавая дынные в третьи страны без предварительного письменного согласия пользоваля.
«Владелец какого-нибудь интерент-сервиса из США или тем более Китая „
Я не работаю ни в Китае ни в США.Kanut79
23.05.2018 18:56Я, как ваш конкурент, не могу вас штрафовать, я лишь требую от вас исправить нарушения закона и оплатить издержки на моего адвоката. Все.
Да требуйте вы что угодно. Только сначала докажите обоснованность своих требований в суде:)
И это мое законное право в соответствии с UWG и любой суд встанет на мою сторону, т.к. вы объективно нарушаете GDPR, передавая дынные в третьи страны без предварительного письменного согласия пользоваля.
И я ещё раз повторю что вы ошибаетесь. Pотому что одного только факта нарушения мною GDPR мало чтобы признать ваши требования законными. Для этого надо ещё как минимум доказать что я собирался работать на немцком рынке и что нарушения были сделаны мною с целью получить преимущество. И это точно так же написано в том тексте что я вам процитировал.
«Владелец какого-нибудь интерент-сервиса из США или тем более Китая „
Я не работаю ни в Китае ни в США.
Вот только вопрос изначально был задан о стране в ЕС не входящей. И мне что-то не приходят в голову страны, не входящие в ЕС, жители которой вдруг испугаются какой-то непонятной немецкой бумажки :)
Schmidt
23.05.2018 19:06"Только сначала докажите обоснованность своих требований в суде:)"
Зайти в немецких суд обходится в 2400 — 3000 евро минимум. Выйти ещё как минимум столько же. На это и расчёт.
Kanut79
23.05.2018 19:13Это если проиграешь и не имеешь нормальной юридической страховки.
И «расчёт» этот может быть и срабатывает с немцами, но с иностранцами не живущими в Германии прокатывает не особо. Да и с немцами прокатывает всё хуже и хуже.Schmidt
23.05.2018 19:16С иностранцами не живущими и не работающими в ЕС — не сработает. Они как неуловимый Джо.
Насиловать будут тех, кто в ЕС работает на постоянной основе и насиловать буду жестко.
Schmidt
23.05.2018 19:17А проиграешь ты гарантированно и никакая страховка не поможет.
Kanut79
23.05.2018 19:22Извините, но это только ваше личное мнение с которым лично я не согласен. И хотя с UWG я пока в суде не сталкивался, а вот с юридическими троллями вполне. И суд выиграл несмотря на то, что все знакомые мне так же твердили что никаких шансов у меня нет:)
Schmidt
23.05.2018 19:30Значит хреновый был троль — Abzocker скорее всего.
Если вы совершили нарушение как предприниматель, то вы обязаны его устранить по первому требованию конкурентов и оплатить их издержки на адвокатов. Тут нет предмета для дискуссии. Единственный способ отмазаться — доказать, что нарушения не было. Что будет весьма нетривиальной задачей. не
Поэтому адвокаты сейчас регистрируют фирмы однодневки пачками.
Kanut79
23.05.2018 19:40Единственный способ отмазаться — доказать, что нарушения не было.
Вы как-то странно понимаете немецкую юридическую систему. Тут как бы презумпция невиновности и доказывать изначально должен как раз таки не я.
И если честно не вижу смысла в дальнейшей дискуссии: у вас одно мнение, у меня другое. Доказать мы друг-другу ничего не докажем.Schmidt
23.05.2018 19:44Ещё раз для тех кто в танке. В области защиты данных действует презумпция виновности оператора данеых.Оператор данных должен по первому требованию заинтересованной стороны ДОКАЗАТЬ, что он принял все "необходимые технические и организационные меры". Таков закон, тут уже ничего не попишешь.
Kanut79
23.05.2018 20:24Ещё раз для тех кто в танке. В области защиты данных действует презумпция виновности оператора данеых.
Ещё раз для тех кто в танке: мы говорим о UWG.Schmidt
23.05.2018 20:28И?
GDPR говорит, что ты должен доказывать, что у ты ВСЕ делаешь правильно, а UWG, что ты должен оплачивать гонорар адвоката, если этого доказать не сможешь.
Все ещё связь неочевидна?
Kanut79
23.05.2018 20:55Вы действительно не понимаете что у вас есть два разных закона и даже если вы нарушили один из них, то это абсолютно не означает что вы нарушили и второй?
Похоже не понимаете…Schmidt
23.05.2018 21:01Открываем 3а UWG и убеждаемся, что означает. Если это 1 000 000 раз сработало с TMG, почему не будет работать с DSGVO?
Kanut79
23.05.2018 21:14Потому что с TMG это тоже не работает автоматом и по всем параграфам. Это во первых.
А во вторых вот вам простой пример почему это не работает так, как вы думаете: я регистрирую домен в зоне .fr и делаю страницу на французском, с регистрацией только по французским адресам. Но условия GDPR не выполняю и получаю штраф от ЕС. А теперь расскажите на каком основании вы собираетесь применять ко мне UWG?Schmidt
24.05.2018 00:10Я не специалист по французскому праву и не имею привычки говорить о вещах, о которых я понятия не имею.
Kanut79
24.05.2018 09:11Я не специалист по французскому праву
Причём здесь французское право? Вы утверждали что нарушение GDPR автоматом приводит к тому что меня можно привлечь по UWG и даже к тому что у меня не будет шансов выиграть суд. Я вам привёл пример нарушения GDPR, ну вот и расскажите мне за что меня теперь привлекать по UWG.
не имею привычки говорить о вещах, о которых я понятия не имею.
Извините, но именно этим вы и занимаетесь. Потому что если бы вы разбирались в вопросе, то вы бы знали что пару лет назад BGH принял решение, что мало одного нарушения TMG как такового, а надо ещё доказать что нарушение было сделано с целью получить преимущeство. И это как раз таки было написано в том тексте, который я вам линканул и в который вы похоже так и не смогли «вникнуть».
И хотя в Германии прецедентного права нет, но BGH свои решения меняет редко и поэтому теперь стало гораздо сложнее применять этот самый UWG.Schmidt
24.05.2018 09:22В UWG написано: "любой кто нарушает требрвания закона, чувствительно нарушая интересы участников рынка, действует нечестно."
А следом: "Нечестные действия запрещены".
Я не вижу смысла обсуждать здесь ваши фантазии.
Kanut79
24.05.2018 09:24В UWG написано: «любой кто нарушает требрвания закона, чувствительно нарушая интересы участников рынка, действует нечестно.»
Не написано там такого. Вы бы научились сначала законы читать прежде чем такие заявления делать.
Я не вижу смысла обсуждать здесь ваши фантазии.
«Фантазии»? Или элементырные примеры показывающие дыры в ваших утверждениях? :)Schmidt
24.05.2018 09:28Мне не нужны твои примеры. Впрочем как и твои фантазии насчёт того, что написано или не написано в законе, который ты даже не открывал.
На этом дискуссия закончена.
vikarti
24.05.2018 13:55В изначальном вопросе вообще подразумевалось (но возможно нечетко было сказано):
— на официальный запрос — будет официальный ответ с содержанием вида 'решения не наших властей/суда — мы не выполняем' (и иначе просто сделать не могут — локальные особенности)
— существование прямого конкурента (тем более еще и немецкого) — просто невозможно
andrew8712
21.05.2018 20:50+1Всю почту забил спам от сервисов об этом GDPR. Даже и не знал, что являюсь пользователем такого количества сайтов.
VBKesha
21.05.2018 21:18А как быть сервисам которые собирают например базы форумых спамеров с почтой и IP. Теперь спамер может требовать их удалить что ли?
yorgo
22.05.2018 09:00Нет, если персональные данные конкретного лица необходимы компетентным органам в рамках расследования.
VBKesha
22.05.2018 09:19Каким органам? Какое расследование?
Это просто сервисы которые регистрируют спам атаки на форумы и заносят IP и email в базу.
Нет никаких органов расследований, просто я ставлю плугин. И если человек находится в базе этого сайта ему идёт отказ в регистрации.Kanut79
22.05.2018 09:50Если мыло и айпишник действительно являются «персональными данными», то да. Но они явяляются таковыми только если позволяют идентифицировать владельца. То есть если мыло например содержите его имя-фамилию, а айпишник у него постоянный и привязан к личному адресу(с «фирменным» адресом не прокатит).
Но тут есть ещё один ньюанс: в большинстве стран ЕС спаммерство незаконно и единственное что позволяет спаммерам существовать это их анонимность. То есть если спаммер настолько глуп что потребует удаления своих личных данных, то вы должны это сделать. Но перед этим имеете полное право сделать заявление в полицию и передать эти данные им.
Germanets
22.05.2018 11:09В дополнение всплывающей строки о том, что сайт использует куки, теперь появится ещё и вторая:
«Для продолжения работы с сайтом требуется подтвердить, что вы не из ЕС: Да, Нет(закрыть страницу)».
joyfolk
22.05.2018 14:04Не понятны риски в случае конфликтов таких трансграничных законов. Например GDPR и закона Яровой.
Serdonda
22.05.2018 14:08Для пользователей должна быть предусмотрена возможность отказаться от соблюдения закона, чтобы я мог его игнорировать
Не понял. Так можно или нельзя взять у пользователя согласие на то что он отказывается от соблюдения gdpr?
В частности имеется ряд онлайн-сервисов услуги которых нужны пользователям. Но сервисы не хотят «заморачиваться» этими новыми правилами вплоть до того что готовы отказывать в регистрации пользователям которые настаивают на соблюдении gdpr.
Как правильно в таком случае оформить процедуру что пользователь отказывается от gdpr либо не регистрируется?Kanut79
22.05.2018 14:18Не понял. Так можно или нельзя взять у пользователя согласие на то что он отказывается от соблюдения gdpr?
Нельзя. Выделенное жирным шрифтом это «заблуждения».
Tiendil
24.05.2018 15:45>Тогда автоматизируйте их.
Как будто всё остальное уже автоматизировали и больше делать нечего.
Все эти инициативы бьют, в первую очередь, по малому бизнесу и просто любителям. У больших контор есть ресурсы и на адвокатов и на автоматизацию.
Если же ты пытаешься сделать что-то полезное малыми силами, то сразу сталкиваешься с огромным количеством несущественной для конечной цели работы, которую тебе навязывают под угрозой анальной кары. Тут и GDPR-ы и НДС-ы, и требования к локации хранения данных, и гугловская обязаловка по HTTPS и новые критерии попадания в поисковую выдачу, etc…
Это просто могила какая-то. Чем дальше, тем сложнее становится сделать элементарный бложик с комментариями.
dartraiden
Как пользователю, мне это нравится. Я теперь буду гарантированно иметь кнопку «удалить аккаунт», смогу посмотреть, что конкретно обо мне хранит сервис, а также рарешить использование своих данных для какой-то конкретной цели и не разрешить для другой.
А что сейчас? Изредка удаление аккаунта реализовано легко и просто. Гораздо чаще нужная ссылка «удалить» запрятана на дне запертого шкафа с бумагами, который стоит в неработающем туалете, на двери которого табличка «Осторожно, леопард!». А ещё чаще — «извините, возможности нет, просто не пользуйтесь» (иногда, к счастью, можно поменять имя/почту и таким образом «выпилиться»).
AlexTest
Так не пользуйтесь такими сервисами — они сами и отомрут! Пользуйтесь тем, где все сделано, как вам кажется "по уму".
У всех пользователей сети всегда была возможности не сливать свои реальные личные данные кому попало в т.ч. куки, а если постараться, то даже реальный IP всегда можно было скрыть.
Но с такой заботой о народе, которому, как раз в силу такой заботы — очень часто плевать на здравый смысл, скоро следует ожидать принятия законов, обязывающих например всех изготовителей и продавцов топоров обеспечить возможность автоматического пришивания отрубленных пальцев и других конечностей, а возможно и воскрешения убиенных — типа не ведал пользователь топора, что он творит!
Как я понимаю — такие законы поощряют людей жить с выключенным мозгом, примерно так же, как инструкция, что нельзя котов сушить в микроволновке и ей подобные.
Kanut79
Извините, но у меня возник один простой вопрос, а вот вы, как человек с «включённым мозгом», можете мне сказать какие конкретно данные обо мне собирают различные сервисы и что они с ними дальше делают? И ладно если речь идёт о вещах, попадающих для меня под категорию «развлекательных»: фэйсбук, инстаграмм, твиттер, контакты и т.д. и т.п. А как быть с моим онлайн-банком, оператором мобильной связи, муниципальными службами и т.д. и т.п.? Ну чтобы я знал кому из них можно доверять, а кому нет?
AlexTest
Насчет того, что с этой информацией будут делать дальше — все зависит от бизнеспроцесса.
Например если в незнакомой компании вас просят представится, то скорее всего это делают для того, чтобы иметь возможность обращаться именно к вам, упоминать вас в других беседах, ссылаться на ваши высказывания в дальнейшем и т.д. и т.п. И заметьте — если вы представитесь, то у вас нет никакой возможности стереть эти данные из памяти других людей, а также всех остальных — кому они о вас расскажут и т.д.! Кошмар — не правда ли?
Что можно сделать:
1. Не представляться и ходить в маске.
2. Представляться вымышленным именем, использовать грим и одноразовую одежду.
3. Другие варианты.
В интернете можно делать все тоже самое.
А это уже риторический вопрос, тут каждый сам должен решать кому в этой жизни можно доверять, а кому нет и оценивать свои риски. И никакими законами этого решить вместо вас никто не может. К примеру вас ведь не смущает тот факт, что если сумма вашего вклада превышает максимальный гарантированный лимит возврата, то в случае банкротства банка — вы все выше этого лимита скорее всего потеряете? А вероятность того, что может «рухнуть» любой, даже очень надежный банк — далеко не нулевая!
Kanut79
А как нaпример насчёт моего айпишника? Моего браузера? Моих геокоординат? Других данных, которые я никуда не ввожу, но которые теоретически можно собрать? Как быть если я зашёл со смартфона? Как мне узнать связан ли этот сервис с другими и собирают ли они информацию обо мне «совместно»?
Рухнет там банк или не рухнет это вопрос отдельный. Меня же сейчас интересует что этот самый банк делает с моими личными данными. Даёт он например кому-либо ещё эту информацию или нет. И если даёт, то какую и зачем.
AlexTest
Так причем тут интернет вообще? Это регулируется совсем другими законами, соглашениями и договорами. Вам знакома например такая древняя концепция как «врачебная тайна»? Она существовала задолго до интернета и в том или ином виде узаконена во всех государствах. Просто берете и читаете соотв. закон — там будет четко расписано, что можно делать с вашими мед. данными, кому их передавать и что будет за несоблюдение этого закона. Т.е. никакой GDPR не нужен для этого, как впрочем и для остальных видов деятельности (в т.ч. банковской), работающих с персональными данными. Там уже давным давно все зарегулировано другими законами. Ну а если что-то и не было покрыто законом, то всегда можно составить доп. договор регулирующий этот конкретный случай использования персональных данных, и уже за нарушение этого договора — подавать в суд.
Kanut79
Как мне быть если я считаю что отдельные сервисы вполне могут получать какие-то конкретные данные, а другие нет? И почему я не имею права знать кто какие данные обо мне собирает и что с ними делает?
Ну во первых с чего вы решили что GDPR это только интернет? А во вторых мой онлайн-банк это онлайн-сервис.
Ну так вот GDPR это закон, который регулируют что теперь можно и нельзя делать с моими персональными данными. И не только с медицинскими или банковскими. Просто раньше эти законы были локальными и их иностранные фирмы игнорировали. А теперь это общий закон ЕС и игнорировать его сложнее.
AlexTest
А кто у вас это право забирает — изучите как работает и что отправляет браузер — будете знать. И кстати — большинство этих данных на самом деле не о вас, а о ваших устройствах/программах.Как только вы будете понимать что вы отправляете — вы будете понимать как и для чего это используется и что с этим можно делать.
Так я уже писал, что уже есть куча законов в т.ч. общих по ЕС о ПД. GDPR — это просто еще один, который еще больше все запутывает и усложняет. И его кстати очень легко игнорировать за пределами юрисдикции ЕС, разве что ЕС пойдет по маразматическому пути возведения «золотых огненных стен» и не будет пускать своих жителей на сервера за пределами EC.
Ringtail
Вы же прекрасно понимаете, что 99+% людей ничего не знают и не обязаны знать об устройстве браузера, скриптах аналитики, куках и прочем, но тем не менее не очень бы хотели, чтобы всякие Фейсбуки без их ведома собирали о них самую разнообразную информацию. Или вы придерживаетесь точки зрения "если тебя обманули, то сам лох"?
AlexTest
Нет я не понимаю почему 99+% людей игнорируют очевидные причинно-следственные связи, для понимания которых никаких специальных знаний не нужно! Вернемся к тому с чего я начал. Вы сейчас, условно говоря, занимаетесь тем, что оправдываете тетку, которая решила высушить в микроволновке кота. Она же не обязана знать что такое сверхвысокочастотное излучение (СВЧ), полярные молекулы, как работает магнетрон и т.п. — верно? И самое главное — её же подлые производитель и продавец не предупредили, что кота нельзя сушить в микроволновке — правильно? Значит для людей, не обладающих специальными знаниями про СВЧ печи надо создать закон, перечисляющий всех и всё что нельзя пихать в микроволновки — так по вашему?
Ringtail
Вы занимаетесь передергиванием. Знать, что кота лучше не засовывать в микроволновку != знать о том, как работает браузер и что, например, гуглы-фейсбуки могут быть в курсе о всех ваших действиях на сторонних сайтах, если на этих сайтах стоят их скрипты. У меня есть нужны знания, чтобы открыть dev tools и узнать, что тот же Хабр грузит сторонние скрипты с Гугла, Яндекса, Criteo, DigitalTarget и IO Techologies, а у 99+% людей — нет. Хабр притом это делает без моего ведома (не считая того, что это написано где-то посреди скучной длинной простыни на странице "Конфиденциальность", и то там, по-моему, неактуальный список) и не дает мне никакого выбора на этот счет, а ставит перед фактом.
Говорить "не нравится — не пользуйся — выключи JS, не ходи на эти сайты" тоже глупо. Это говно сейчас примерно на каждом первом сайте стоит. Это все равно что предлагать уехать в тайгу и заниматься натуральным хозяйством. Людям может быть необходимо пользоваться теми или иными ресурсами для жизни и для работы, у них не всегда и в принципе-то есть выбор.
AlexTest
Ringtail
Ну так выглядит вполне логично, что закон и должен защищать интересы 99+% людей, а не корпораций, пользующихся их незнанием.
Kanut79
Хорошее предложение, но спасибо, обойдусь. Танцы с бубном это для любителей и фанатов такого дела.
Извините, но у вас очень наивный взгляд на эти вещи. Онлайн-сервисы давно уже научились кооперировать между собой и обмениваться данными пользователей. Поэтому вы на данный момент не можете сказать какие данные о вас собирает конкретный сервис исходя только из того что за данные вы ему сами дали.
Правда? И как это позволяет лично вам определить использует сервис данные только у себя, обменивается ими с кем-то или даже продаёт их?
А на мой взгляд он как раз таки всё упрощает. Для пользователя уж точно.
AlexTest
Ну ок. А как лично вы сможете это определить используя GDPR? Я скажу — никак. Как и до GDPR так и после, например факт продажи ваших персональных данных может быть установлен только на основании расследования или обнародования информации по конкретному случаю утечки или использования таких данных третьей стороной. И если такой факт был установлен — вам ничего не мешало и раньше судиться с таким сервисом безо всяких GDPR.
Kanut79
Такой закон есть далеко не во всех странах ЕС. Да и там где он есть он далеко не всегда дотягивает по строгости до GDPR.
Даже в этих законах есть дыры, позволяющие передавать данные другим. Например если это «необходимо для выполнения контракта», «для оптимирования работы», «для снижения расходов» и т.д. и т.п. Теперь пользователя должны информировать о том как используют их данные, то есть в том числе и о том кому и зачем их дают.
И это кстати относится и к случаю когда я дал своё разрешение. Ранше я его давал и сервис мог делать с моими данными что хотел. Теперь он должен меня информировать как он пользуется этим правом и кому конкретно даёт мои данные.
Вот именно. Раньше я должен был сам судиться с сервисами. И сколько людей готовы судится с фирмами, да ещё и сидящими неизвестно где заграницей?
А теперь мне достаточно сообщить моему регулятору и фирма получит штраф от ЕС. А потом я так же при желании могу с ней судится.
И это гораздо более сильное давление на фирмы по сравнению с маловероятным частным судебным иском.