В мае 2018 года в Европе вступают в силу обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation).

Все компании, которые обрабатывают (как внутри, так и за пределами ЕС) персональные данные граждан европейских стран, обязаны соблюдать требования этого документа. Сфера действия новых правил GDPR распространяется на все 28 стран ЕС. Этот документ заменит существующие законы о защите персональных данных в европейских странах. С учетом того, что новые правила GDPR будут применяться экстерриториально, их соблюдение будет обязательным для российских компаний, имеющих присутствие в ЕС. То есть для любого российского бизнеса, собирающему и обрабатывающему персональные данные хотя бы одного гражданина страны-члена ЕС.

По мнению Александра Бодрика, сертифицированного специалиста по управлению информационной безопасностью корпоративных и облачных ландшафтов, GDPR содержит существенное число требований, например, только обеспечение переносимости всех персональных данных (data portability) может вылиться в миллиардные затраты в масштабах страны. Российский бизнес казалось бы имеет альтернативу — просто не предлагать гражданам ЕС свои услуги в России, но как минимум два класса российских компаний точно подпадут под GPDR:

  • энергетические и финансовые гиганты, имеющие отделения в Европе;
  • интернет-компании, т. к. GPDR распространяется и на мониторинг активности граждан ЕС, а значит банальное использование cookies рекламными сетями уже подводит интернет-индустрию России под GDPR.

Для понимания значимости GDPR-риска, Александр проводит грубую оценку возможных потерь для десяти крупнейших компаний российской экономики, которые вероятно подпадут под GDPR: «Яндекс» (интернет-компания), «Альфа-банк» (инвестбанковские активы в Европе), «Газпром» (АЗС в Восточной Европе), «Сбербанк» (банковский холдинг Sberbank Europe), ВТБ (банки в Восточной Европе), «Лукойл» (активы в Восточной Европе), «Роснефть» (активы в Европе), РЖД (представительство в Европе и онлайн-продажа билетов), «Аэрофлот» (представительство в Европе и онлайн-продажа билетов), «ИнтерРАО» (активы в Европе). По данным рейтинга РБК 500 их совокупная выручка достигла 20,145 трлн. руб., соответственно, их суммарный GDPR-риск составляет 806 млрд. руб.
«Нормы GDPR конкретно коснутся тех, кто так или иначе работает со странами Европы. Это финансовые компании, технологические, медиа- и телеком-компании, фармацевтические, транспортные, интернет-магазины», – отмечает Тимур Аитов, заместитель генерального директора группы компаний «Программный Продукт» и заместитель председателя подкомитета по платежам и информационной безопасности ТПП РФ.

«К примеру, система «Платон», в которой зарегистрировано около 2 млн личных кабинетов, сразу подпадает под действие GDPR. В сфере внимания окажутся и те, кто намерен предоставлять свои товары и услуги в странах Европейской экономической зоны: использует для их описания европейские языки, ведет заметный (агрессивный) маркетинг в ЕЭЗ, осуществляет мониторинг поведения европейцев, анализируя его с целью подготовки прогнозов, выявления предпочтений и т. п.»

Текст GDPR и официальные разъяснения


  • Официальный текст на 24 европейских языках, есть на английском, но русского нет (ссылка)
  • Краткое описание (Summary) (ссылка)
  • Questions and Answers (ссылка)
  • Инфографика / краткое описание от European Commission (ссылка)
  • Контролирующие органы ЕС по защите данных (ссылка)
  • European Data Protection Supervisor (ссылка)
  • Перечень стран, обеспечивающих адекватный уровень защиты данных (ссылка)

Для подробного изучения этого вопроса мы рекомендуем ознакомиться с документом "Анализ возможных последствий и влияния Регламента General Data Protection Regulation (GDPR) Европейского Союза на бизнес российских операторов персональных данных (телекоммуникационные компании, интернет-компании) предоставляющих услуги через интернет для лиц в странах ЕС в контексте действующего и вступающего с силу регулирования в Российской Федерации" от Института Исследований Интернета. Важной особенностью является возможность изучить документ в первоисточнике, но с переводом на русский язык, который был выполнен Д.Ю.Н., Профессором Дипломатической Академии МИД РФ, Заведующей кафедрой международного частного права Касеновой М. Б. (см. приложение).

Есть так же заявление от Роскомнадзора, процитирую:
«Консультативный совет при Уполномоченном органе по защите прав субъектов персональных данных в 2018 году планирует представить предложения по правовому статусу «обезличенных» данных, а также по возможной корректировке законодательства о персональных данных в контексте реализации программы «Цифровая экономика».

Соответствующие решения приняты Советом на последнем заседании в 2017 году, состоявшемся в Роскомнадзоре.

В ходе заседания члены Консультативного совета обсудили новые требования Европейского союза, закрепленные Общим регламентом по защите данных (General Data Protection Regulation, GDPR), устанавливающим порядок обработки персональных данных. В ноябре на VIII Международной конференции «Защита персональных данных» руководитель Роскомнадзора Александр Жаров отметил, что требования Регламента Европейского союза по защите персональных данных не будут распространяться на российских операторов, осуществляющих деятельности на территории России, поскольку Российская Федерация не является участницей международных договоров с ЕС. На них распространяется действие только российских законов в этой сфере в соответствии с общепринятыми международными принципами обработки персональных данных.»

Требования GDPR и последствия их несоблюдения


Новый Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR) вносит ряд изменений в правила, регулирующие защиту персональных данных, включая некоторые обязанности:

  • учитывать правила защиты персональных данных на этапе планирования (например, ИТ-решений);
  • документировать процессы обработки персональных данных;
  • проводить оценку рисков, связанных с обеспечением неприкосновенности частной жизни;
  • уведомлять надзорные органы в области защиты персональных данных об инцидентах, связанных с обеспечением безопасности персональных данных.

Общий подход к обработке персональных данных сформулирован в виде 6 основных принципов:

  1. Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.
  2. Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
  3. Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки.
  4. Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
  5. Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
  6. Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.

Несоблюдение требований нового регламента GDPR может привести к наложению надзорным органом в области защиты персональных данных штрафа в размере до 20 млн евро или до 4 % от годового оборота компании.

Штраф может не применяться. Он должен быть действенным, соразмерным и вразумляющим, может быть наложен в дополнение или вместо других мер.


Требования действующего российского законодательства, в контексте возможных коллизий с нормами Регламента GDPR


Представляется, что настоящее время преждевременно анализировать возможные коллизии между нормативными требованиями действующего российского законодательства, и нормами Регламента GDPR. Это связано, прежде всего, с тем, что, предполагается принятие целого ряда разъяснительных и директивных документов применения Регламента GDPR Рабочей группой WP29. Во-вторых, несмотря на непосредственное действие Регламента GDPR в государствах-членах Евросоюза, на государства-члены возложена обязанность «трансформировать» национальное право к требованиям Регламента GDPR, включая «переходные положения». В-третьих, после мая 2018 г. начнет формироваться национальная правоприменительная (судебная, административная) практика. Кроме того, т.к. Регламент GDPR непосредственно будет применяться Судом справедливости Евросоюза (European Court of Justic), после мая 2018 г. также начнет формироваться практика Суда справедливости.

В действующем российском законодательстве в регулировании отношений в сфере персональных данных системообразующим актом является Федеральный закон «О персональных данных» от 27.07.2006 № 152- ФЗ, с поправками Федерального закон № 242-ФЗ 2015 г. (далее – «ФЗ РФ о персональных данных»). В этой связи целесообразно обратить внимание на то, что Регламент GDPR и ФЗ РФ о персональных данных имеют различное действие в пространстве, по кругу лиц, и во времени.

Обобщенно можно сказать о том, что Регламент GDPR и российское законодательство, регулирующее сферу персональных данных, имеют самостоятельную территориальную и «юрисдикционную» сферу применения; при этом некоторая общность подходов регулирования не дает основания сделать вывод относительно их «гармонизации».

В практическом плане для российских компаний, деятельность которых связана со сферой персональных данных, ориентированных на пользователей в Евросоюзе, имеющих договорно-правовые обязательства с контрагентами Евросоюза, – это означает «двойное обременение».

Какой подход следует избрать по мнениям экспертов?


Так как формирование практики выстраивания процессов обработки и хранения персональных данных по требования GDPR находится на начальной стадии, мы рекомендуем решить вопросы соответствия требованиям российского законодательства в области обработки и хранения ПДн (152-ФЗ и 242-ФЗ). По законам РФ допускается привлечение лица, отвечающего за обработку ПДн по поручению оператора. Европейский законодатель также разделяет понятия контроллер данных (data controller) и процессор данных (data processor). Поэтому по GDPR облако, где также хранятся персональные данные, будет являться процессором данных, а оператор ПДн — контроллером.

В случае, если в сфере защиты персональных данных по 152-ФЗ и 242-ФЗ сделано всё необходимое, следует начинать процесс адаптации к нормам GDPR.
«Для начала ИТ-директору полезно написать красочную «страшилку» и отправить руководству», – рекомендует Аитов. Адаптация к нормам GDPR – это огромная и длительная работа, которая ляжет на службы ИТ, ИБ, корпоративных юристов.
Европейцы от контроля за нормами GDPR отступать не намерены, и огромные штрафы появились неслучайно. Обстановка в мире непростая: поводы со стороны GDPR могут быть использованы в том числе для «наказания» крупных отечественных представителей бизнеса – конкуренцию никто не отменял. Однако неприятности могут возникнуть у компании любого размера.

Полезные ссылки и источники:
https://internetinstitute.ru
rkn.gov.ru
https://www.pwc.ru
https://habrahabr.ru

Комментарии (47)


  1. Terranz
    30.01.2018 23:59

    я таки не понял, обычным пользователям чего бояться?


    1. avost
      31.01.2018 00:12

      Пользователям, в смысле, сёрферам? Абсолютно нечего. Да и с чего бы…


    1. zharikovpro
      31.01.2018 12:24

      Как обычно при принятии новых законов про бизнес — повышения цен.


  1. hurtavy
    31.01.2018 00:26

    стоп-стоп-стоп! То есть требования ЕС на российских операторов не распространяются, а вот требования рос.законодательства, например, по переносу данных на территорию России, почему-то распространяются и на иностранные компании…
    Что за несимметричный ответ? Почему тот же Гугл должен на этом терять деньги, а «десять крупнейших компаний российской экономики» — нет?


    1. LeonidY
      31.01.2018 06:05
      +1

      Требования на гугл распространяются потому, что он ведет бизнес в России и собирает (обрабатывает) данные российских пользователей. Требования ЕС на российских операторов не распространяются если эти операторы не ведут бизнес в ЕС и не собирают (обрабатывают) данные граждан ЕС.


      1. hurtavy
        31.01.2018 11:38

        Нет. Ясно же написано, что не распространяются, потому что «Российская Федерация не является участницей международных договоров с ЕС». То есть, по простому, ложили мы на эти требования
        Мне просто кажется, что Жаров ерунду говорит, и никто не позволит российским операторам игнорировать


        1. ledascho
          31.01.2018 16:32

          Частное предприятие по вывозу мусора в деревне Пеньково проблем с GDPR иметь не будет. Условный ozon.ru, продающий книги жителям ЕС, обязан, с точки зрения судов ЕС, подчиняться этому закону под угрозой наложения штрафа. Разумеется, ozon может попробовать не подчиняться судебным решениям. Если его не интересует дальнейший бизнес в ЕС.


  1. a-l-e-x
    31.01.2018 00:52

    Я, конечно, не специалист, так что — только предположение. Александр Жаров может говорить что угодно, но, лично мне кажется, что если Аэрофлот или РЖД захотят работать с людьми в Европе напрямую (а по другому не получится) или нанимать работников в Европе напрямую, то GDPR им не избежать. Продали билет гражданину ЕС — будьте добры соблюдать. Думаю, что воплей по этому поводу будет ещё очень много.


    1. LeonidY
      31.01.2018 06:06

      Верно пишите. Проще всего Аэрофлоту и РЖД завести обработку персональных данных в ЕС в таком случае.


    1. el_gato
      31.01.2018 10:44

      Даже если нанимать работника в европе то избежать не удастся, это же работает и на европу тоже. И работник в европе должен будет обеспечить обработку данныых в соответствии с этими нормами, а нормы там включают в себя весьма неудобные моменты.


  1. Unsent
    31.01.2018 07:22
    +1

    Российским компаниям можно не соблюдать, но когда через пару лет европейские компании при выборе партнеров обяжут быть GDPR compliant, то быстро все начнут соблюдать.


    1. ledascho
      31.01.2018 16:34

      когда через пару лет европейские компании при выборе партнеров обяжут быть GDPR compliant

      Если этим партнерам передаются персональные данные пользователей — то не через пару лет, а с 26 мая сего года.


  1. igenkin
    31.01.2018 09:19
    +1

    GDPR не так страшен как кажется. При построении любого серьезного бизнеса он (бизнес) должен озадачиться сохранностью и безопасностью данных. В широком смысле этого слова — penetration tests, сегментирование сетей, разганичение доступа, пароли, бэкапы, DR и DR-планы, BCP, доступ в помещения, утилизация техники итд итп. (все слишком долго перечислять). Но это реально то, чем должен озаботиться любой серьезный бизнес. Без этого просто нельзя.

    Кроме того в GDPR написано что компании должны предоставлять «разумный» уровень защиты. Что есть «разумный» урочень там не описано и возможны трактовки. Если вы не делаете бэкапы, то при проблемах на вас наедут за отсутствие разумной защиты данных. Если вы делаете и делаете его правильно, то это и есть та самая разумность. Отсутисвие DR-плана это не разумно. Наличие хоть какого-то (пусть и не самого лучшего) это уже разумно. Отсутствие политики апдейтов для ОС и программ это не разумно. Наличине хоть плохонькой — уже разумно.

    GDPR основан на NIST SP 800-53 Rev. 4. Можно взять их Excel файл и пройтись по вопросам и для себя ответить имеется это или нет. Если нет — начать хоть что-то делать в этой области. Если имеется, но плохонько — наметить пути исправления ситуации. В конце концов когда будет аудит ответы на эти вопросы давать придется.


    1. el_gato
      31.01.2018 10:54

      Там больше геморроя не с вопросами безопасности данных, а такими положениями как например data portability
      Вот уходит ваш клиент к другому поставщику услуг и говорит вам, а перенесите ка все мои данные к нему, как вы это будете делать его не волнует, но право у него теперь есть, а у вас есть обязанность это сделать. Или прямо обратная ситуация.

      Но как вы упомянули — главное иметь план.


      1. igenkin
        31.01.2018 11:16

        А как сейчас решается вопрос ухода клиента от одного провайдера услуг к другому? Самый простой вариант — переезд из Amazon AWS в MS Azure или наоборот. А если это, скажем, из MS Dynamics 365 в SAP? А если что-то более комплексное? Будет решаться точно так же. Во-первых, на сколько я знаю из своего опыта, перенос осуществляется тем кто принимает, а не тот от которого уходят. Тот только отдает данные. Во вторых уход клиента это всегда проект с соответствующими ресурсами (финансовыми, временными и людскими). Тут же самый главный вопрос в том что нужна потенциальная возможность этого переноса данных. Т.е. чтобы не было так, чтобы провайдер сказал: «Опа! А я не могу.»

        Если же мы говорим о персональных данных отдельного пользователя, то никто никого не заставит переносить файлы из Dropbox в Google Drive — это на совести самого пользователя. А вот тот же Dropbox будет обязан предоставить доступ к данным (ну он-то и не отказывается) и закрыть аккаунт если надо (тоже проблем нет).


        1. el_gato
          31.01.2018 11:38
          +1

          я был месяц назад на семинаре от Datatilsyn — это орган в Норвегии регулирующий все в цифровом пространстве, там был ровно такой вопрос, «я вот из дропбокса хочу уйти в облако от майкрософт» и ответ был такой, что все файлы то они переносить не обязанны, но вот все что содержит ваши персональные данные — да. А если компания хранит данные пользователей в облаке, у тех же амазон, то надо с ними заключать договор об обработке персональных данных пользователей, и таким образом уже амазон подпадает под гдпр.


          1. igenkin
            31.01.2018 22:32

            Амазон да, — попадает под GDPR, спору нет. Но ему-то переживать не о чем — там и так все давно сделано нормально.

            Но перенос персональных данных единичного пользователя? Я даже догадываюсь что мне скажет тот-же Дропбокс если я им скажу, что хочу уйти в О365. Давайте рассмотрим самый простой вариант — персональные данные это данные вашего аккаунта (ФИО, кредитка итп). Для того чтобы переехать из одного сервиса в другой вам надо аккаунт и там и там. Кто будет создавать аккаунт на новом месте в О365? Пользователь? Или Дропбокс? Если пользователь, то что тогда после этого будет надо перенести Дропбоксу если уже все будет введено пользователем? Если Дропбокс, то получается он будет управлять вашим аккаунтом в О365. Не порядок.


          1. igenkin
            01.02.2018 00:34

            Я вот сейчас специально почитал на тему GDPR Data Portability. Вики, конечно, не истина в последней инстанции, но таки: «Data portability is a concept to protect users from having their data stored in „silos“ or „walled gardens“ that are incompatible with one another, i.e. closed platforms, thus subjecting them to vendor lock-in. Data portability requires common technical standards to facilitate the transfer from one data controller to another, thus promoting interoperability.»

            и еще "‘Data portability’, in accordance with the GDPR, is the right for an individual to require an organisation to give them back a copy of the personal data they previously provided or, crucially, to send this data to another organisation?—?which might be a competitor. The data has to be provided in a commonly used and machine-readable format, so that the new organisation can readily import and make use of the data."

            Т.е. никто не говорит, что один вендор должен сам переносить персональные данные пользователя к другому вендору. Вот пользователь может запосить и уже вендор обязан предоставить эти данные или пользователю или другому вендору. Будет ли этот другой вендор принимать эти данные или нет — в правилах не описано. Т.е. тот же Дропбокс может и отправить персональные данные пользователя в Микософт в формате XML. То, что, скажем, Микрософту они не нужны или нужны в JSON это уже проблемы Микрософта. Микрософт может просто сказать — вы можете прислать, но мы их проигнорируем исходя из T&C продукта O365 потому, что данные мы будем принимать только от пользователя и только через установленные формы на сайт О365. Поэтому GDPR прописывает что вендор обязан предоставить данные по требованию пользователя и передать их пользователю или другому вендору и формате, понимаемым компьютерами (коих вагон и маленькая тележка). Но никто не обязывает передавать данные в некоем одном, унифицированном формате через единый интерфейс. Один обязан предоставить. Но другой совершенно не обязан это принимать если это не соответствует условиям его бизнеса.


            1. el_gato
              01.02.2018 15:51

              в самом тексте GDPR написано
              что дата должна быть предоставлена in a structured, commonly used and machine-readable format, xml является таким? — да, JSON? тоже да. Понятно что тут скорее вопрос к юристам, как это будет на практике толковаться.
              а еще написано что
              In exercising his or her right to data portability pursuant to paragraph 1, the data subject shall have the right to have the personal data transmitted directly from one controller to another, where technically feasible.

              То есть от одного поставщика услуги напрямую к другому.


              1. igenkin
                01.02.2018 22:16

                Да, все верно, но «shall have the right to have» и «must be» это две большие разницы. Первое это «иметь право» и тут никто ничего не оспаривает. Второе это «обязан» Да, пользователь должен иметь право получить всю его персональную информацию и чтобы была возможность передать ее от одного к другому. Все верно, но эта фраза вовсе не означает, что принимающая сторона обязана принять эту информацию. Если у нее будет в terms & conditions написано, что она принимает информацию в определенном формате, то никто не заставит ее принять в другом формате. Тут даже до юристов не дойдет просто потому, что все прописано в T&C. Получить данные имеешь право. Провайдер может их переслать куда пользователь скажет. Примет ли это другая сторона? В правилах это не указано и слава богу!


                1. forenolla
                  01.02.2018 23:26

                  Data subject в любом случае, как правило, будет в приоритетном положении. Непонятно, почему вы думаете, что принимающая сторона не захочет принять данные? Это ведь в интересах принимающей стороны заполучить нового пользователя, который уходит от другого сервиса и хочет перенести свои данные. Это косяк принимающей стороны, если в ее terms&conditions такой формат не предусмотрен. Пользователь вряд ли пойдет тогда к такому сервису.
                  Например, пользователь читал книжки на одном сервисе и решил перейти в другой, хочет при этом захватить свои предпочтения в книжках (персданные). В таком случае старый сервис может быть не заинтересован такие данные передавать, а с data portability он обязан в structured, commonly used and machine-readable format передать данные пользователю, так как это право пользователя, гарантированное GDPR.


                  1. igenkin
                    02.02.2018 00:27

                    Передать данные пользователю — да, не вопрос. Даже передать другому провайдеру услуг — тоже не вопрос. Будет ли принимающая сторона что-то делать? — это совершенно другой вопрос, не регламентируемый GDPR.

                    Рассмотрим случай — компания в 3000 пользователей переходит с Dynamics 365 на SAP. В этом сучае SAP очень даже заинтересован в этом деле ибо это 3000 пользователей и большие деньги.

                    Рассмотрим другой случай пользователь имеет закладки в книгах (персональные данные). Провайдер услуг может сделать экспорт этих данных в некоем структурированном и открытом формате согласно GDPR. С другой стороны второй провайдер может и не принять эти данные просто потому, что ему особо незачем это делать. Весь же вопрос в затратах. Если пользователь уходит к нему, значит этот пользователь чем-то заинтересован и можем сам добавиь новые закладки если надо. Провайдеру не надо это делать — он уже заполучил пользователя. Один провайдер не может передать данные пользователя пока этот пользователь не существует в обоих системах. GDPR не прописывает то, что один провайдер должен создавать ваакунт и передавать все данные за пользователя (on behalf of a user). Т.е. чтобы один провайдер передал другому что-то в обоих системах этот пользователь уже должен существовать. А раз этот пользователь существует уже у второго провайдера к кому уходят, то ему не надо беспокоиться на тему принятия персональных данных. Ему это просто незачем.

                    Вы путаете «право пользователя получить эти данные» (то, что прописано в GDPR) и «обязанность провайдера услуг принять и обработать эти данные от другого провайдера услуг». Это две очень большие разницы. Пользователь может получить эти данные. Второй провайдер даже может предоставить некий интерфейс, чтобы пользователь сам ввел эти данные (фио, кредитку, почту, адрес, названия книг, закладки и пр), но вот его никто не обязывает вносить эти данные за пользователя. Говорят только о потенциальной возможности обмена данными. Т.е. скажем те-же закладки — пользователь может сказать провайдеру А — хочу чтобы вы их отослали провайдеру В. Нет проблем. Провайдер А отсылает это провайдеру В. Провайдер В говорит пользователю: «Ок, чувак, тут нам прислали, но у нас нет возможности обработать эти данные потому, что наш интерфейс принимает в JSON, а нам прислали в XML. Вводи-ка ты сам это все.» А пользователь уже ушел от А к В. Все. Он ему уже платит деньги. И пользователю ничего не остается как самому все делать.

                    Но! (всегда есть НО) Это не значит, что такое невозможно в будущем. Все эти enterprise service bus которые разрабатываются, cloud conenctors итд итп. Все медленно, но верно идет к тому, что перенос данных таки будет автоматическим. Когда-нибудь он будет. Но не прямо сейчас и не исходя из этого GDPR. По крайней мере не из этой версии GDPR.


                    1. ValdikSS
                      02.02.2018 12:11

                      Прошу прощения, влезу в вашу дискуссию, т.к. не до конца понимаю, что конкретно будет переноситься. Правильно ли я понимаю, что все, что можно перенести, должно быть перенесено? Т.е. личная информация о пользователе, его настройки, метаданные?

                      Если речь только о личной информации, то в каких случаях это может быть нужно? Это больше не для самих пользователей, а для организаций, взаимодействующих с компаниями, для совершения массового переноса клиентов?


                      1. ledascho
                        02.02.2018 13:41

                        Правильно ли я понимаю, что все, что можно перенести, должно быть перенесено?

                        Адвокат, проводивший у нас семинар по этой теме, упоминал даже «статистику, накопленную блоком управления ABS на вашем Мерседесе, при пересаживании на БМВ». Уж не знаю, сколько там было от шутки


                        1. ValdikSS
                          02.02.2018 13:42

                          В каких случаях это может потребоваться? Для кого это делается, для конечного пользователя? В чем смысл этого закона?


                          1. ledascho
                            02.02.2018 15:56

                            Подчеркну, что я не являюсь специалистом ни в юриспруденции, ни в области защиты данных.
                            Вопрос, кому именно принадлежат данные, собранные оператором данных о пользователе, в GDPR в явной форме не отвечен. Но GDPR требует от оператора, чтобы пользователю был предоставлен контроль над этими данными. www.google.de/search?q=gdpr+data+ownership
                            Огрубляя: данные о том, как я езжу на своем Мерседесе — это данные мои, а не концерна Даймлер-Бенц, даже если я явным или неявным образом разрешил производителю их собирать. Я должен иметь право их получить от их собирателя и распорядиться ими как мне заблагорассудится.


                            1. igenkin
                              02.02.2018 22:47

                              Получить — да. Это в законе явно прописано. Что вы с ними дальше будуте делать — ваше личное дело. Но там нет такого, что тот-же BMW вложит эти данные в машину в ABS, которую вы купите, чтобы эта статистика сохранилась и использовалась уже BMW. Вот конкретно это закон не прописывает.


                              1. ledascho
                                03.02.2018 01:10

                                Закон прописывает, что оператор данных должен передать по запросу данные как мне, так и любому другому уполномоченному мной оператору напрямую. Что с этими данными будет делать другой оператор — вопрос контракта между мной и другим оператором. Понятное дело, я не могу принудить БМВ принудить использовать эти данные. Я могу купить или не купить их машину, основываясь на их планируемом (не)использовании моих данных. Учитывая, что они продают мне (новую) машину, покрашенную в выбранный мной цвет и с выбранными мной опциями вплоть до формы колпаков на колесах, коммерческих причин отказать мне в индивидуальной прошивке бортового компьютера я на первый взгляд не вижу.


                                1. igenkin
                                  03.02.2018 02:12

                                  Причин нету если это коммерчески обосновано. Если не будет коммерческой выгоды использовать эти данные они имеют полное право их проигнорировать. Вот если от этого машина станет лучше ездить — тогда да. А если это «сферический конь в вакууме», то им будет глубоко плевать на то, что вы хотите чтобы они это использовали. Приведу реальный пример из собственной жизни — я хочу купить машину. Определенную марку и модель. Но мне не нравится цвет отделки салона. Я не могу прийти и сказать — дайте мне другой просто потому, что у них в наличие только определенные цвета. Тот, что мне нужен — нету. Что я делаю? Я все-таки ее покупаю. Почему? Потому что мне нужна определенная марка и модель, а цветом я могу поступиться. Т.е. производитель все равно получил от меня деньги, но при этом он не стал заморачиваться с предоставлением всех возможных цветов. Ему это было экономически невыгодно. А все это очень хорошо просчитывается. Так и тут — вы можете отказаться от покупки BMW если они не вставят ваши данные ABS от Мерседес туда, но это крайне маловероятно. :) Так и с примером выше — переход от Dropbox к O365.


  1. AbstractGaze
    31.01.2018 09:21

    А можно вопрос к комментирующим? Как это касается геймдева при котором требуется регистрация пользователей? Да и другой интернет дистрибуции, разумеется при условии что потребители могут быть из стран ес?


    1. geher
      31.01.2018 10:35

      Насколько я понимаю, то ответ прост.
      Пока нет никаких реальных пересечений с юрисдикцией ЕС, и вам по барабану пользователи из ЕС, можно и забить.
      Но если есть желание официально сотрудничать с партнерами из ЕС (хотя бы завести счет в европейском банке для своей конторы, лучше исполнять, ибо подобные контакты для конторы являются тем самым хвостом, который ЕС может и прищемить, если что не так.


    1. el_gato
      31.01.2018 10:55

      Да, если вы храните данные пользователей из стран ЕС, позволяющие их идентифицировать. Там еще вроде есть какие то дополнительные ограничения касающиеся с обработкой персональных данных несовершеннолетних, но это неточно.


      1. igenkin
        31.01.2018 11:22

        Совершенно верно. Аккаунт пользователя из ЕС есть? Email в нем есть? ФИО там есть? Кредитка для оплаты там есть? Значит надо соответствовать GDPR. Но если компания маленькая (до 250 чел), то особо переживать на тему GDPR не надо.


        1. AndreyKas
          31.01.2018 11:58

          Но если компания маленькая (до 250 чел), то особо переживать на тему GDPR не надо.

          Почему?


          1. igenkin
            31.01.2018 22:21

            Если более 250, то GDPR обязателен, а если меньше, то в законе существует послабление. Чуть позже могу подробнее написать.


            1. el_gato
              01.02.2018 15:56

              Тоже обязателен, но с послаблениями
              То есть вроде как если меньше 250 работников то некоторые положения выполнять не надо, но есть нюанс, и дальше перечисления: gdpr-info.eu/art-30-gdpr


              1. igenkin
                01.02.2018 22:23

                Ну так и я написал послабление. Причем на деле получается весьма не хилое послабление ибо все понимают, что одно дело процедуры безопасности в организации в 3000 сотрудников с развитой инфраструктурой и другое дело маленькая контора, где сейчас почти все в cloud — payroll, crm, email итд. В итоге, как вы же справедливо выше и заметили, облачный провайдер попадает под gdpr. И получается, что если бизнес использует только gdpr compliant провайдеров, то в итоге ему (малому бизнесу) остается очень мало для того чтобы самому быть таким.


                1. el_gato
                  02.02.2018 10:11

                  Вот у нас маленькая компания, человек 70, однако мы храним данные достаточно большого количества людей, десятки тысяч и мы полностью подпадаем под GDPR, без всяких послаблений. Хотя послабления там

                  • Each controller and, where applicable, the controller’s representative, shall maintain a record of processing activities under its responsibility. That record shall contain all of the following information:
                  • Each processor and, where applicable, the processor’s representative shall maintain a record of all categories of processing activities carried out on behalf of a controller

                  вот и все, все остальные положения обязательны для всех.
                  Да и эти положения нужно соблюдать даже для маленькой компании если:
                  • processing it(data) carries out is likely to result in a risk to the rights and freedoms of data subjects
                  • the processing is not occasional
                  • the processing includes special categories of data as referred to in Article 9(1)


                  и собственно какие данные включены в этот article 9
                  • data revealing racial or ethnic origin
                  • political opinions
                  • religious or philosophical beliefs, or trade union membership
                  • genetic data
                  • biometric data for the purpose of uniquely identifying a natural person
                  • data concerning health or data concerning a natural person’s sex life or sexual orientation

                  То есть по факту это обязательно для всех, и у нас тут (Норвегия) достаточно большой ажиотаж по этому поводу. Все компании дружно отправляют своих сотрудников на курсы по ГДПР и выделяют достаточно большие ресурсы для того чтобы привести все в порядок.


                  1. igenkin
                    02.02.2018 22:44

                    Я в Австралии. У нас все то-же :)


                  1. ledascho
                    03.02.2018 01:16

                    То есть по факту это обязательно для всех

                    Снова цитируя уже пару раз упомянутого мной в треде немецкого адвоката: «Не думайте, что этот закон касается только Гугла, Амазона с Фейсбуком и вашей софтверной компании. Любой сантехник, выписывающий счета своим клиентам, оперирует их именами и адресами, а значит, должен подчиняться этому закону.»


      1. Ndochp
        31.01.2018 14:03

        Имя акка не идентифицирует.
        Почта по большому счёту тоже — её не на паспорт выдают
        Требования, чтобы кредитка оплаты была кредиткой клиента в большинстве случаев не предъявляется. Значит кредитка мамы/папы/брата/друга клиента не идентифицирует.
        А можно и не хранить — в тех же мобильниках, насколько я понимаю данные кредитки у гугла, а не у разработчика каждой игрушки, в которую я платил.
        Разве нет?


    1. AndreyKas
      31.01.2018 11:20

      GDPR устанавливается обязанность соблюдать его требования при обработке персональных данных. Без привязки к сфере деятельности. Получаешь данные от пользователя(с помощью которых можно его идентифицировать) — соблюдай GDPR.


  1. whiskey
    31.01.2018 11:58

    Несмотря на то, что во многих разъяснениях Еврокомиссии стоит термин «EU citizen», речь в самом законе идет, судя по всему, о резидентах ЕС.


  1. fukkit
    31.01.2018 12:48
    -1

    Евробюрократия атакует.
    Вместо того, чтобы тупо увеличивать бизнесу накладные расходы на связанное с GDPR бумагозаполительство и отчеторисовательство, гораздо эффекивнее было бы обойтись реальной мерой защиты персональных данных: утекли профили/учётки — крупный (действительно крупный) штраф дырявой конторе + компенсация морального вреда — пострадавшим пользователям.
    Через суд, разумеется, по иску прокуратуры.
    Имхо, лучше наказывать лучше по факту и провинившегося, а не заранее и всех.


    1. ledascho
      31.01.2018 16:22

      Постановка вопроса у вас неверная: речь в GDPR идет не о защите данных пользователя от несанкционированного доступа (data security), а о защите пользователя от сбора избыточных данных о нем (data protection). Адвокат, который у нас на фирме обязательный семинар по GDPR проводил, употреблял емкое немецкое слово Verdatung (des Kunden).


      1. fukkit
        31.01.2018 17:34

        «Избыточность данных» — оценочная категория, если нет чётких критериев, покрывающих большинство случаев.


        1. ledascho
          31.01.2018 17:56

          Именно поэтому отныне и существует GDPR, который определяет, что является необходимыми, а что — избыточными для бизнеса данными клиента.
          en.wikipedia.org/wiki/General_Data_Protection_Regulation#Lawful_Basis_For_Processing