Под угрозой все. Вообще все
Бытует мнение, что сочинение законов, которые нарушают практически все – это изобретение нашей Родины. Но, как и со слонами, всё не так однозначно: при изучении General Data Protection Regulation (GDPR) я понял, что в этом мы безнадёжно отстали от Европы. Шутка ли – завиноватить одним махом весь мир! Думаете, вашей компании не предстоит прогибаться под GDPR? Я развею это опасное заблуждение.
В этой статье я не буду описывать все закорючки GDPR, знакомство с которыми первым делом порождает вопрос «А нельзя ли просто забанить всех европейцев?» (и это не шутка, так и спрашивают), но сосредоточусь на запугивании тех, кто до сих пор не исследовал вопрос влияния GDPR на свою работу, априори полагая, что находятся вне зоны поражения.
Я технарь (program manager), поэтому пересказываю положения GDPR в применении к техническим аспектам, а не бумажному оформлению. И хотя я не юрист со специализацией на европейском праве, но потратил прорву времени на изучение GDPR и вполне разбираюсь в том, что пишу:
- читал сам закон;
- участвовал в семинаре по нему;
- читал официальные разъяснения к нему;
- читал частные мнения по поводу;
- читал судебную практику, из которой выросли некоторые новые положения этого закона;
- обсуждал всё это с нашим юристом-швейцарцем;
- и т.д.
В целом на погружение в тему ушло больше двух месяцев.
И такое «непрофильное» использование технического специалиста в данной ситуации неизбежно – многие опасные места в продуктах или инфраструктуре не обнаружит никакой юрист, только технарь, одновременно хорошо ориентирующийся в технических решениях и понимающий GDPR.
Итак, почему я утверждаю, что GDPR накрывает практически всех?
Три аспекта:
- Расширенная география действия.
- Расширенное толкование понятия персональных данных.
- Под ударом и «контроллер», и «процессор». (Кто это?!)
Рассмотрим подробнее:
Расширенная география действия
GDPR применяется к обработке персональных данных, осуществляемой организациями, действующими в ЕС.Кто расположен в Европе – те давно в курсе. Но формулировки GDPR распространяют влияние намного шире:
Это также относится к организациям за пределами ЕС, которые предлагают товары или услуги частным лицам в ЕС / гражданам ЕС (независимо от того, требуется ли оплата).У вашего бесплатного сервиса существует английская версия и регистрация пользователей (хотя бы только e-mail)? Поздравляю – вы влипли. Те, кто активно продаёт свои продукты и сервисы на европейском рынке – те уже знают про GDPR, а вот для бесплатных проектов это может быть сюрпризом. Так же сюрприз подстерегает тех, кто на европейском рынке как таковом не действует активно, но по факту часто обслуживает граждан Евросоюза (граждан, где бы они ни находились!). А так же тех, кто может быть обвинён в направленности на европейцев по формальным признакам – достаточно перевести сайт на один из языков Евросоюза (английский, например) и принимать оплату в Евро (например, через какую-нибудь мультивалютную платёжную систему).
Это также относится к организациям за пределами ЕС, которые отслеживают поведение, происходящее в границах ЕС.А это вишенка на торте – её подлость я раскрою чуть позже.
Расширенное толкование понятия персональных данных
Но даже если никакой регистрации пользователей нет – знаете ли вы, что именно GDPR теперь определяет как персональные данные?
Физические лица могут быть связаны с онлайн-идентификаторами, предоставляемыми их устройствами, приложениями, инструментами и протоколами, такими как адреса интернет-протокола, идентификаторы файлов cookie или другие идентификаторы, такие как теги радиочастотной идентификации. Это может оставить следы, которые, в частности, в сочетании с уникальными идентификаторами и другой информацией, полученной серверами, могут использоваться для создания профилей физических лиц и их идентификации.Опаньки! Особенно интересно становится, когда понимаешь, что адреса интернет-протокола (internet protocol addresses) в GDPR – это привычные нам IP адреса (IP addresses). Многие толкователи сего священного манускрипта, не мудрствуя лукаво, просто заносят IP адреса в список персональных данных, чем вызывают страшные пожары у технарей – такая трактовка не совсем верна, но довольно часто совпадает с правильным ответом.
Итак, в GDPR персональными данными объявляется не только информация, прямо идентифицирующая или позволяющая идентифицировать физическое лицо, но и та информация, которая, в совокупности с другой имеющейся или доступной информацией, с разумной вероятностью может быть использована для идентификации физического лица. Не удивлюсь, если в этом месте вы сломались – со мной уже пытались спорить, что в законе не могут использоваться какие-то «вероятности», тем более «разумные»… По сути, в GDPR говорится следующее: «если имеющийся у вас набор данных в совокупности с доступными вам из других источников данными позволяют вам с разумными затратами ресурсов идентифицировать физическое лицо, то это персональные данные». Google имеет достаточно данных, чтобы идентифицировать почти всех – значит он работает с персональными данными.
Под ударом и «контроллер», и «процессор»
Переходим к самой сложной комбинации: регистрации нет, да и сайт только на русском, т.е. на оказание услуг гражданам Евросоюза не нацелен. Свободны? А вот и нет!
GDPR применяется как к «контроллерам», так и к «процессорам» – контроллер указывает, как и почему обрабатываются персональные данные, и процессор действует от имени контроллера.Ничего не поняли или вроде бы поняли, но не нашли где засада?
Объясняю:
Если «выключатель» какой-то функциональности у вас в руках (в виде явной настройки или просто власти добавить функционал или нет), то вы «контроллер». А «процессор» – тот кто получает персональные данные через вас или мимо вас, но по вашему решению.
Читаем выше про «персональные данные в совокупности» и про Google, а потом вспоминаем – Google Analytics (или Яндекс.Метрика, или ещё что подобное) на сайте есть? Ну вот, Google «процессор», а вы «контроллер» и вы попали. Недавно Google явно задокументировал это:
Если ваше соглашение с Google включает эту политику или иным образом использует продукт Google, который включает эту политику, вы обязаны предоставить определенную информацию и получить согласие конечных пользователей в ЕС.Теперь делаем следующий шаг – вспоминаем «отслеживают поведение, происходящее в границах ЕС» и задумываемся ещё глубже: «А не бродят ли по моему исключительно посконному сайту русскоязычные туристы с территории Евросоюза?»
Спасение утопающих — дело рук самих утопающих
А для тех, кто уже надумался сам на сам и желает переобсудить надуманное в кругу других страдальцев, мы организуем митап. На тему GDPR не продаём никаких продуктов или сервисов, мы такие же пострадавшие, так что будет предельно честный разговор. Анонс о митапе появится в ближайшее время на meetup.com в Plesk-events, в «заблокированном» Telegram в чате NSK IT events, в пока еще работающем Facebook в группе NSK IT events. Для иногородних планируется трансляция.
P.S.: И не верьте тем, кто обещает «Купите наш Х – и станете соответствовать GDPR!» Равно как и тем, кто предлагает шпаргалки вида «пять простых шагов для соответствия GDPR». Достижение соответствия GDPR – задача комплексная, а решения в каждом случае индивидуальны. И мы это обсудим.
Комментарии (105)
AlePil
26.04.2018 12:14+1Капаюсь в GDPR и всей нормативке уже больше года и чем дальше в лес, тем больше дров. Наработалось несколько кейсов на тему «а черт его знает как соответствовать этим нормам и не схлопотать штраф». Действительно единственный 100% вариант — полностью отказаться от общения с публикой, с клиентом, с контрагентом.
Через час еду на встречу организованную нашим Garante Privacy и посвященную именно проблемам GDPR. Предварительно как бы обещали ответить на интересующие вопросы, а их только у меня на два листа 11 шрифтом. Посмотрим, что получится, если интересно, потом отпишусь.S0krat Автор
26.04.2018 12:26Разумеется, интересно! Интересно даже кейсы без ответов увидеть — может, получится разгрызть.
AlePil
27.04.2018 10:36Отчитываюсь — встеча состоялась и на вопросы (некоторые) пответы получили.
Прежде всего, самая забавная вещь, что же такое персональные данные. Ответ — все то, что может идентефицировать пользователя — физическое лицо. Тут есть один парадокс.
Вася Иванов. Это персональные данные? Как бы да, но не совсем. А потому как не указывает на конкретное лицо, которое мы можем выделить из тысяч Вась Ивановых, но стоит добавить немного инфы, как этот Вася становится конретной фигурой с конкретным местом жительства и всеми остальными атрибутами и правами, прописанными в регламенте.
Из обсуждения кого касается все-таки регламент. Всех, кто каким-то образом обрабатывает личные данные граждан ЕС. И тут стоит заметить, что в силу сразу вступают все нормы регламента и все его требования по документации и обработке.
На что обращать внимание. Все просто — на то, за что могут дать штраф.
Пристально стоит посмотреть на ст.ст. 25, 32, 28
Что будет смотреть первым делом Гарант — официальные уведомления клентов об использовании данных. То есть на правило пользования сервисов, уведомления о сборе куков, уведомления о сборе данных с указанием — зачем, как долго и как будут обрабатываться данные клиентов. Внимание уделялось на то, что не стоит брать типовые информативы, но продумывать все исходя из того — что реально берете и как реально используете и кто обрабатывает. То есть в любом случае этот маппинг делается —
1. Верификация обработки данных
2. Верификация рисков.
3. Прописать методы по минимилизации рисков. (причем тут не ограничено ничем, тоесть можно использовать любые доступные инструменты)
4. Регистр обработки данных. В общем и целом обязателен для всех.
Имея все вот это уже если задницу полную не прикроешь, то фиговый листок точно нацепишь и как-то более уютно себя почувствуешь.
Отдельные вопросы по DPIA и DPO… Обещали прислать письмецо с ответами. Но факт в том, что этот самый DPO должет иметь очень широкую автономность и как бы обязателен только для госструктур, для частников обязателен только в случае обработки специфических данных, НО в тоже время если обработка данных продолжительна либо их много (обожаю этот термин «larga scala») и если вы занимаетесь софтом — эта фигура обязательна.
Data Breach — в принципе обязанность доносить на самого себя. Потому лучше молчать пока это возможно и не вылазит наружу. Схатили шифровальщика, но есть бэкап и ничего не пострадало? Отметили и себя, собрали все логи и вс. информашки об инциденте, улучшили защиту, восстановили базы и никто ничего не заметил — ура, вытерли пот и работаем дальше. Но, если предотвратить утечку информации об инциденте видим, что не реально — стучим на себя первыми, дешевле будет.
Вот так вот сумбурно и вкратце по горячим следам. Сейчас ждем дополнительную информашку, которую должны прислать по емейл со всеми схемами и буду писать статью-схему по применениям. (надеюсь опубликовать и тут если НЛО пропустит). Вчера вечером обдумывал как лучше изложить — псевдокод какой-то получается)))
Что касается кейсов — да, есть интересные моменты, с очень нашей местной спецификой, но с фишкой, что затрагивает несовершеннолетних и малолетних, мы с партнером приводим в порядок IT структуру нескольких школ, и тут GDPR рулит во всей своей яростью + местное законодательство, которое не менее сурово и подводит тебя уже не под штрафы аминистративные, а под уголовную ответственность.
Постараюсь адаптировать, перевести и опубликую. Тема будет горячей еще долго, надеюсь, что буду полезным.AndreyKas
27.04.2018 11:11Большое спасибо за развернутый ответ.
А у вас нет информации относительно назначения представителя в ЕС — ст. 27 GDPR?AlePil
27.04.2018 13:56у нас всегда есть какая-нибудь информация! (шучу, не всегда)
Если честно, то по представителям знаю, что
1. Если юр лицо не резидент ЕС осуществляет деятельность на територии ЕС и взаимодействует с персональными данными граждан ЕС, то такому нерезиденту необходимо иметь своего представителя на територии союза. C(80) GDPR. Как правило такими представителями назначаются филлиалы и представительства юридических лиц, которых просто дополнительным документом уполномпчивают ведение необходимых переговоров и всех дел с Гарантом. Если читать регламент буквально, то основываясь на пар. 3 ст 27 представитель должен быть в той стране где находятся клиенты или по крайней мере их подавляющее большинство. Что делать в том случае, когда клиенты разбросаны по всему ЕС? Тут ситуация — сам задал вопрос и сам встал в тупик, если честно совсем. После длинных выходных буду звонить интересоваться. Что делать если нт представительства или филлиала? Искать юридическое или физическое лицо, резидента ЕС, занимающееся хозяйственной деятельностью и имеющее компетенцию для представления прав и осуществления обязанностей по соблюдению Регламента. Находим данное лицо, заключаем договор, вместе с ним исписываем кучу бумаги и… живем спокойно.
S0krat Автор
27.04.2018 16:43Про «несовершеннолетних и малолетних» прям сочувствую весь — страшное дело.
AlePil
29.04.2018 13:50Не такое страшное, если все разбить на маленькие заачи (как обычно), но очень много неприятных моментов, которые требуется учитывать. Работать со школами в этом плане дает опыт такой, что после любые проблемы в области GDPR всяких частных фирм просто семечки)))
elobachev
26.04.2018 12:46+1S0krat, спасибо за вашу статью, я уже почти решил, что стоит почитать и сам GDPR.
Но все же, не могли бы вы еще немного подогреть мой интерес… Какое все-таки отношение имеет европейский закон к резидентам РФ? Чего мне бояться, в случае его нарушения, как физическому лицу, или как владельцу ( или ген. директору ) юридического лица, зарегистрированного на территории РФ и не ориентированному на зарубежный рынок?S0krat Автор
26.04.2018 12:50Штрафа от 20 млн Евро, например. Который можно не платить, наверное — если запереться в России.
elobachev
26.04.2018 12:54Штраф на кого? Если я директор компании, которая игнорирует GDPR, меня будут на кипре вылавливать, когда я туда пузо погреть поеду, и этот штраф с меня вымогать? Если да, тол только ли директора это касается?
Если нет, и проблемы только у юрика, то что это за проблемы? Они касаются только активов компании, находящихся в ЕС, или их контрагентов тоже?S0krat Автор
26.04.2018 13:11Я по технической стороне дела, не по юридической, нюансов наказания провинившихся не знаю. Поскольку Plesk — компания международная, то у нас никакой возможности «пересидеть в норе» всё равно нет.
AndreyKas
26.04.2018 13:52Согласно ст.27 GDPR вы должны в пиьсменной форме назначить представителя в ЕС, если сами не находитесь в ЕС, вероятнее всего его и будут привлекать. Что будет если не назначить представителя — пока не ясно, мне кажется будут привлекать РосКомНадзор для решения вопроса =)))
AlePil
27.04.2018 16:58Привлекать представителя будут только для процедурной части, ответственность женесет юридическое лицо.
Можно игнорировать GDPR, не назначать никого представителем и вообще сказать «а нам все равно».
НО, тут ведь какое дело, если у вас тут есть партнеры по бизнесу то для них вы являетесь в неком роде ответственным за обработку их данных, а следовательно ваши партнеры (юр лица) могут получить штраф. Или отказаться от сотрудничества с компанией, которая не соответствует GDPR. Для физических лиц достаточно будет черного списка типа «Компании не соответсвующие евронормам и черт знает что делающие с вашими данными». Плюс еврорегулятор ведет сегодня какие-то переговоры с Гуглом и по слухам гугл вполне так сотрудничет с регулятором.
rumkin
26.04.2018 13:16Очень правильный закон. Сначала докажите (и сами убедитесь), что вы надежно оберегаете каждый байт с информацией обо мне от третьих лиц, а уже потом собирайте мои данные. Я бы еще добавил право на взлом, чтобы пользователь имел закрепленное законом право убедиться, что поставщик услуг не номинально заботится о безопасности, и еще лучше иметь возможность обратиться в суд с полученными результатами.
Сегодня в информационный бизнес не лезет только ленивый, а уровень компетентности в сфере ИБ на уровне не знания. Поэтому строгость закона очень правильная и заботится о пользователе, потому что он в данном случае в зависимом положении. А перегибы со временем устранятся, все-таки ЕС.
syouth
26.04.2018 22:57+4Довольно глупая позиция как по мне. Особенно последнее предложение.
Wan-Derer
28.04.2018 06:19Аха! Предположим, я журналист-любитель, временами от скуки тискаю статейки себе на сайт. Сайт на арендованном виртуальном сервере (хз как он работает и что собирает), на движке вордпресс (хз как он работает....), с плагинами (хз как они....).
И вот на мой уютненький заходишь несовершеннолетний ты… Здрасте! Я преступник!
Очень правильный закон, ага!rumkin
28.04.2018 16:20Хороший пример. Вы используете потенциально дырявую систему, а оправдывать вас должно незнание и отсутствие злого умысла!? Тогда откуда у вас появится стимул разобраться не наносите ли вы этим вреда?
AndreyKas
26.04.2018 13:27А какую судебную практику вы смотрели по не вступившей в силу норме?
S0krat Автор
26.04.2018 13:28«из которой выросли некоторые новые положения этого закона»
Например, история про IP адреса: pagefair.com/blog/2016/reprieve-for-it-departments-as-eu-court-rules-on-ip-addresses
newliteral
26.04.2018 13:27Интересно, а после выхода Британии из Евросоюза положения о формальных признаках, которые касаются английского языка, останутся в силе?
S0krat Автор
26.04.2018 13:30+1Британия будет поддерживать GDPR и после выхода — вероятно, в этом плане останется некое «общее юридическое пространство».
qrck13
26.04.2018 14:16А что, Британия — единственная англо-говорящая страна в ЕС?
khim
26.04.2018 18:29Есть ещё Мальта. Но там меньше полумиллиона жителей, так что идёт разговор о том, чтобы исключить английский из списка официальных языков ЕС. Впрочем вряд ли это так скро произойдёт.
qrck13
26.04.2018 18:54Вы не смешивайте диванную аналитику и факты, пожалуйста. Разговора такого никогда не было и не будет, как минимум из за 4.5млн населения Ирландии, которая никаким боком не собирается выходит из ЕС.
AbstractGaze
26.04.2018 13:35+4Я не юрист, и просто мимо проходил, но возник вопрос, например по праву «на забвение».
Пользуюсь я каким нибудь facebook, прошу удалить их мои ПД, по этому праву. Они их удаляют, но оператор связи с октября будет хранить эти данные еще месяц?
Т.е. оператор связи или нарушает закон «Яровой» или влетает на 20кк по GDPR?
Может кто более менее компетентный пояснить?AndreyKas
26.04.2018 13:50Согласно GDPR контролер может сохранить данные, которые необходимы для судебной защиты. По идее под это про любые данные можно сказать.
S0krat Автор
26.04.2018 13:54В GDPR есть 6 законных оснований для работы с ПД — одно из них «требование закона».
khim
26.04.2018 18:32Они их удаляют, но оператор связи с октября будет хранить эти данные еще месяц?
Там вроде и дольше можно хранить. Выдавать нельзя (хотя при запросе от правоохранительных органов — можно). Гугл гарантирует что удалённые данные не будут уже никому доступны только через полгода.
Это просто чтобы всех на уши не ставить и не заставлять решать проблему с бекапами и прочим.
Так что нет — в этом месте GDPR и «Закон Яровой» вполне совместимы.
catbearpanda
26.04.2018 15:11кто-нибудь знает, как не трекать аналитиксом тех, кто не дал согласие? и как не трекать вообще пока не дали согласие? как это все разделить?
JC_IIB
26.04.2018 15:15+2Справедливости ради, скажу, что никогда не видел в российском интернет-магазине возможность «оформить заказ без регистрации». Всем дай-подай имя, фамилию, почту, и непременно (!) мобильный телефон, все аккуратно собирают «базы клиентов».
В европейских же такая возможность есть, неодократно сталкивался — при оформлении заказа можно нажать кнопку «не хочу создавать учетку, просто перейти к оплате» и максимум, что у вас спросят — это на какой адрес прислать электронное письмо-подтверждение. Ну и адрес доставки, само собой. Это если не самовывоз.
Так что я в чем-то одобряю этот GDPR, особенно в части того, что необходимо реализовать возможность редактирования и удаления любых пользовательских данных.eugenebb
26.04.2018 19:19Использовал такое в европе, но как только карточкой захочешь платить, то большинство опять тоже самое как у нас — имя, адрес, телефон.
Похоже они используют для валидации что не fraudJC_IIB
26.04.2018 19:25Без проблем платил картой без регистрации. Точнее, не чисто картой, а через iDeal — это местная нидерландская платежная система, очень удобная, кстати. Но карта тоже участвует в платеже, так что это не совсем «без карты».
khim
26.04.2018 20:19Местные платёжные системы зачастую могут по номеру карты получить всё, что им нужно, так что адрес вводить не нужно — он у них уже есть.
AVI-crak
26.04.2018 20:27В европейских интернет-магазинах практикуется публичная оферта — цены на товары соответствуют реально имеющимся товарам на складе компании. Собственно интернет-магазин без публичной оферты не может приносить прибыль, чисто физически. Клиенты будут уходить туда где есть товар и можно его купить.
В этом варианте владельцы магазинов заинтересованны в количестве клиентов. Дополнительная персональная информация клиентов им не требуется, разве что спросят имя — чтобы уведомление выглядело более естественным. Впрочем, имя может быть любым, и не проверяется как лож. Сохранение конфиденциальности требуется (точнее именно так и появилось) при покупках интимного характера, ну или очень личного. У них вообще всё не очень гладко с сексуальной темой, точнее — полный бардак.
В наших интернет-магазинах (99,9% из них — прокладки) товара как такового нет, хотя есть не публичный договор с тем у кого он реально есть. При этом владелец товара по вине собственной жадности и криворукости не может полноценно торговать собственным товаром. Ему обязательно нужно вагонами, баржами, или на худой конец — партией в 100к штук.
В этом варианте продавец заинтересован содрать 9 шкур с нового покупателя, хотя своим «корешам» дарит товар за половину цены. То-есть на лицо явный обман с публичной офертой (если она и есть). И в этом случае закон сохранения персональных данных работает уже на самого продавца.
Таким образом GDPR (не в плане штрафов) полезен и там и тут. Но каким-то странным образом у нас он охраняет злодеев, а там покупателей.khim
26.04.2018 21:05Собственно интернет-магазин без публичной оферты не может приносить прибыль, чисто физически. Клиенты будут уходить туда где есть товар и можно его купить.
Amazon довольно часто требует положить товар в корзину, иначе цену не увидеть.AVI-crak
26.04.2018 23:13Догадайся где хозяин товара, а где прокладка.
khim
27.04.2018 01:30Не знаю, что вы понимаете под «хозяином товара» и «прокладкой», но если Amazon цену не показывает, то это значит что они ниже, чем «положено» производителем товара… уходить «туда где есть товар и можно его купить» в этом случае банально глупо — вы потеряете деньги.
Goodkat
27.04.2018 00:28Amazon довольно часто требует положить товар в корзину, иначе цену не увидеть.
Можете показать пример такого товара?
Никогда не видел такого на Амазоне, закупаюсь там регулярно.
Разве что некоторые скидочные купоны действуют только "в корзине", но и они явно указываются под ценой товара.khim
27.04.2018 01:25Могу, но не хочу. Любая такая ссылка приведёт к неизбежным комментариям вида виивсёврёти. Потому что сегодня цена есть, завтра нет, послезавтра опять есть.
Вот на страничка с пояснениями, на которую ведёт ссылка «why don't we show the price?», размещающаяся на таких страницах вместо цены. Она привычки исчезать и появляться не имеет.Goodkat
27.04.2018 01:53Спасибо, не сталкивался — видимо, чисто американская заморочка.
Не удивлюсь, если в Европе такое поведение запрещено законом.0xd34df00d
27.04.2018 04:45Я за два года очень активного использования американского Амазона тоже ни разу не сталкивался, надо сказать.
khim
27.04.2018 12:52На страницах с книгами, надо сказать, я тоже не сталкивался. На странице с электроникой — изредка, чаще всего я такое видел на страницах со всякой фототехникой. Там на страничке с пояснениями достаточно наглядно описано — когда такое может быть. Термин «Minimum Advertised Pricing» я оттуда узнал. Походил по ссылкам, почитал… вроде всё легально…
0xd34df00d
27.04.2018 19:35Я на амазоне заказываю практически всё, от книжек и железок до протеина, туалетной бумаги и чернил для перьевой ручки
Не, я не спорю с вами, конечно же, что такое может быть, я скорее говорю о том, как часто это встречается.
Andy_Big
27.04.2018 03:32У меня интернет-магазин и в нем можно купить без регистрации. Но ФИО, адрес, телефон и email требуются для того, чтобы можно было отправить товар, уведомить об этом и связаться с покупателем в случае каких-то вопросов (например, неверно указан индекс, такое бывает довольно часто).
Собственно регистрация у меня служит только одной цели — не заполнять при каждом заказе все эти данные.konst90
27.04.2018 11:22(например, неверно указан индекс, такое бывает довольно часто).
Я на Али пару раз ошибался с индексом (в рамках одного города) — сначала посылка приходила в почтовое отделение по индексу, а потом его на посылке исправляли и отправляли в нужное отделение исходя из адреса.Andy_Big
27.04.2018 12:07Отправка за границу — другое дело, в этом случае не проверяют соответствие индекса адресу. А при отправке у нас по стране оператор в почтовом отделении при приеме посылки вбивает адрес в программу, которая автоматом по индексу выдает населенный пункт :) Зачастую оператор готов сам исправить индекс на правильный если есть уверенность, что остальной адрес верный, но иногда такой уверенности нет.
vikarti
27.04.2018 09:46Справедливости ради, скажу, что никогда не видел в российском интернет-магазине возможность «оформить заказ без регистрации». Всем дай-подай имя, фамилию, почту, и непременно (!) мобильный телефон, все аккуратно собирают «базы клиентов».
Тем не менее — такое бывает. Литрес подойдет как российский интернет магазин? На сайте — есть опция сразу купить, спрашивают на какой адрес чек и ссылку книгу прислать и сразу выбор способа оплаты. На мобильных приложениях у них это вообще чуть ли не основной режим. Правда они при этом создают в фоне аккаунт (и можно объединять аккаунты).
ohmytribe
26.04.2018 17:22Кейс из Британии: Несколько месяцев вели консультации с юристами. В итоге всё, что сделали: возможность для админов по запросу пользователя найти все данные, которые мы о нём храним, и экспортнуть их в PDF для последующей отправки пользователю (так называемый Right to Access). Хотели ещё сделать возможность анонимизации всех персональных данных пользователя по запросу (так называемый Right to Be Forgotten), но в итоге при дальнейшем исследовании выяснили, что бизнес-критические данные можно хранить столько, сколько заявляем в T&C (у нас это 7 лет), поэтому задвинули на самое днище бэклога.
Кроме того, делаем pentest сертифицированной компаний в качестве доказательства, что у нас всё окей с аудитом безопасности.S0krat Автор
26.04.2018 18:50Удивительный минимализм. Если бы мы со стороны R&D нашего юриста не вразумляли — вообще бы без каких-либо данных остались, наверное.
Crysdd
26.04.2018 19:10Кроме того, делаем pentest сертифицированной компаний в качестве доказательства, что у нас всё окей с аудитом безопасности.
Можно про пентест подробнее? Я думал, если уязвимость нашли — значит она есть. Если не нашли — ничего не значит(возможно плохо искали).Stalker_RED
27.04.2018 00:46+1Аудит от сертифицированной конторы дает возможность заявлять «вот эти авторитетные люди нас проверили и не нашли дыр». В ряде случаев это работает. Ради подобных заявлений проводятся и аудиты ценных бумаг, и пожарная инспекция, и многое другое.
codemafia
26.04.2018 19:34Такое ощущение, что GDPR создан для заработка на консультациях. У нас тоже наняли юристов. В итоге, добавили на все формв галку о согласии пользователя на обработку персональных данных в течение длительного периода времени и отредактировали пользовательское соглашение.
TrllServ
26.04.2018 19:01+1Первая мысль от прочитанного — полтики в серьёз решили раздробить интернет.
Правильно ли я понимаю, что в скором времени будет проще держать 3 портала «для США», «для ЕС» и «для РФ», что б не нарушить законодательство одной из стран, которые запросто могут противоречить друг друг?S0krat Автор
26.04.2018 19:29Из-за GDPR это уже становится осмысленным — хотя бы из-за того, что по GDPR у европейца придется спрашивать сограсие (consent) на каждый чих отдельно, отчего нормальный человек может просто озвереть и сбежать.
TrllServ
26.04.2018 20:13Похоже, что тот GDPR может деструктивно повлиять на развитие веб и ПО.
Еще вопрос, может это не совсем в тему, но где-то рядом.
Допустим у меня программа чекает апдейты на сервере AWS, надо спрашивать согласие?
При отправке бага/краш лога кроме согласия на отправку, нужно теперь еще и согласие на ПД (ибо там конфиг компа)?
PS:
Как решать вопросы безопасности онлайн ресурса, если нельзя даже IP сохранить?
S0krat Автор
27.04.2018 11:25GDPR регулирует только работу с теми данными, которые идентифицируют физическое лицо. При чеканьи апдэйтов такие данные отправляются куда-то? При отправке бага/краш лога?
Сложно. IP какое-то время можно хранить, если обосновать это как ваш (контроллера) законный интерес — например, для работоспособности fail2ban.TrllServ
27.04.2018 16:30При чеканьи апдэйтов такие данные отправляются куда-то?
Сложно соотносить.
Например если при апдейте идет проверка лиц.ключа. Итого у сервера есть ключ и IP.
Ключ может быть аналогом куков? или для этого есть отдельное определение?
При отправке бага/краш лога?
При отправке багрепортов отправляются параметры компа, версия, перечень файлов при сбое ну и у сервера IP. Для идентификации эти данные не используются, но хранятся какое-то время(исправление ошибки). Теоретически могут использоваться для идентификации, надо доказывать, что это не делается? Как это доказать?S0krat Автор
27.04.2018 17:00Итого у сервера есть ключ и IP.
IP технически всегда есть — а пишется в логи? Ключ может быть связан с физлицом?
Если оба «да» -> GDPR.
Теоретически могут использоваться для идентификации, надо доказывать, что это не делается?
Если действительно могут -> GDPR.TrllServ
27.04.2018 17:12Если действительно могут
На самом деле, сейчас разработаны способы идентификации по множеству не очевидных параметров с достаточно высокой точностью. Хорошо, что это законотворцам не рассказали.
Правильно ли понимаю, что если данные не сохранять, то можно не боятся GPDR?
Если так, как доказывать?S0krat Автор
27.04.2018 18:51Если их можно не получать — правильно не получать. Но IP нельзя не получать, так что не сохранять — достаточно.
Если придётся доказывать — то посмотрят в логи и БД, не беспокойтесь. ;)
voidnugget
26.04.2018 19:42Есть пару стартапов, страдаю GDPR'ом с начала года.
В принципе не так страшен чёрт как его рисуют, просто нужно было нанять пару хороших юристов, составить EULA… дать пользователям возможность отключать сбор данных с потерей соответствующего функционала, и возможность "полностью" удалить аккаунт, объяснить зачем это всё собирается… провести много DevOps манипуляций и внедритьсемь кругов адавсяких методов логирования/контроля доступа.
Проблема крылась в слове "полностью", ведь записи с бухгалтерии тоже "персональные данные" которые "собираются", и просто так их не удалить без нарушения местного законодательства. В Штатах за это, вроде как, даже уголовная ответственность предусмотрена.
В целом, если у вас нет утечек, и даже если и были, но вы наладили оповещение, — особо переживать по поводу GDPR'a не стоит.
fizban
27.04.2018 07:41ведь записи с бухгалтерии тоже «персональные данные» которые «собираются», и просто так их не удалить без нарушения местного законодательства
Этот момент в GDPR обработан. Одно из шести законных оснований обработки персональных данных: Legal obligation, то есть требование законодательства. Если какой-то другой закон требует от тебя хранения или обработки ПД — то ты можешь их хранить или обрабатывать в том объёме и тот срок, который от тебя требует этот самый другой закон.orion76
27.04.2018 11:26Хм… дык надо в Думу РФ такой закон «задвинуть».
Ну хотябы чтобы можно(НУЖНО) было куки и мыло сохранять.
Пусть поддержат местных интернет-предпринимателей.
Глядишь и иностранные конторы или их филиалы под юрисдикцию РФ перейдут.
(почти шутка)
voidnugget
27.04.2018 19:04Да, там непонятки c определениями есть — Accounting не всегда может подпадать под Legal Obligation в разных странах… именно об этом и речь, что иногда пользователь может корзинить бухгалтерию, и это страшно (мало спал, видимо некорректно выразился).
MikailBag
26.04.2018 20:15+1Поможет ли сделать при первом входе на сайт баннер типа "посещая этот сайт, вы гарантируете, что вы не из ЕС"?
Eldhenn
27.04.2018 13:03Не из ЕС, не из США, не из России, вы подтверждаете, что никогда прямо или косвенно не будете участвовать в судебном преследовании компании-владельца сайта, в том числе, если владелец сменится…
AlexPu
26.04.2018 20:45Проживаю в Финляндии, работаю в компании которая без каких либо скидок работает с персональными данными. Еще год назад мы начали получать первую информацию по теме, были (и будут еще) конференции, семинары, консультации с консалтинговыми компаниями… Пару месяцев у нас в компании новый проект стартовал, который мы обозвали не мудрствуя лукаво GDPR…
Ну… не могу сказать, что специалист (напрямую вопросом не занимаюсь — только «в части касающейся»), но в целом… не могу сказать, что там так уж все страшно (автор определенно перегимает палку, хотя и во многом прав кончено)… Для истерик точно нет причин
StanisB
27.04.2018 03:35+2Согласен, автор слишком сгущает краски, а о самом важном не рассказал: как именно соответствовать и не попасть на штраф. Всё не так уж сложно:
1 — определяем относимся ли мы к области действия закона. Продаём в евро услуги или товары с доставкой в ЕС? Имеем адрес, указывающий на географическое положение в Европе (***-FR.com и тд)? Позволяем при регистрации в качестве места постоянного проживания указать Европу? (Важно: постоянного проживания (residency). Вопрос о гражданстве могу попозже прояснить, но пока что даю 75%, что простого паспорта Франции у пользователя, постоянно проживающего в России, не хватит для того, чтобы он мог с вас что-то требовать по GDPR.). Любым способом «нацеливаем» свои услуги на граждан ЕС? Если хоть на один вопрос ответили положительно, то да, попадаем под область действия закона. Но это — не конец света.
2 — что делать?
Первое — назначить представителя в ЕС. На первый взгляд, требование тупое, но подумайте ещё 5 секунд. Вы собираете ПЕРСОНАЛЬНЫЕ ДАННЫЕ пользователя. Эти данные могут быть использованы ему во вред, не говоря уже о конституционных правах на личную жизнь и всё такое. Если вы хотите делать бизнес с европейцами, то уж извольте приложить некоторые усилия для этого. У нас тоже много законов, которые можно не знать, а потом как попасть со штрафами, что и почкой не расплатитесь. А тут вы собираете с пользователей, живущих в определённом правовом поле (вполне цивилизованном) их личную информацию и я думаю, что такие пользователи заслуживают права жить по своим законам и быть уверенными в своих правах, а не лезть при посещении каждого сайта в интернете в справочники по законодательству конкретной страны (вы же сами не хотели бы так делать?).
Второе: создать механизмы, требующиеся по закону:
-Right to be forgotten (всё просто и давно нам известно)
-Right to access (собираете всю инфу о пользователе, включая собранную автоматически, а затем отправляете ему)
-Нотификация при утечке данных или обнаружении уязвимости (вполне себе честно, не находите?).
-А также то, что вообще-то и так в любой юрисдикции нужно делать — ТРЕБУЙТЕ СОГЛАСИЯ пользователя на сбор его данных и вообще на пользование вашим сервисом НА ВАШИХ ЗАКОННЫХ УСЛОВИЯХ (это про нюансы хранения информации, сроки и т.д.). Вообще, в любой нормальной стране e-contracts уже давно не являются чем-то удивительным. Обычный контракт. Условия заключения тоже обычные — предложение, явное согласие и желание быть связанными обязательством (про consideration не будем, это в РФ не нужно). От пользователя надо только потребовать активного действия — проставления галочки или пары дополнительных кликов.
-Data portability — возможность отдать пользователю в общеизвестном формате (думаю, JSON/XML подойдут) все данные, КОТОРЫЕ ОН САМ ПРЕДОСТАВИЛ (логов не нужно).
Изи же? Чего паниковать? Ничего технически нереализуемого я в законе не увидел. Это не сомнительные пакеты, принимаемые нашей ГД в 0.1 чтении. Да, он добавляет разработчикам работы, но он и защиту предоставляет людям. Не какую-то мифическую защиту от террористов, а защиту и некоторые гарантии от вполне себе распространённых преступлений. Ну и права какие-никакие даёт. Решили вы новую жизнь начать и удалить аккаунт с сайта знакомств — пожалуйста. Зачем таким апокалиптичным выставлять этот закон?AlexPu
27.04.2018 07:30Дык я что, возражаю? Правда я не в курсе что там в отношении компаний которые находятся за пределами ЕС. Ну… как-то не очень интересно… но наверное автору статьи виднее — он по крайней мере в жтом как-то разбирался.
Вот то что касается того, как этот закон работает (его нормы пока не применяются, но он как-бы работает) на территории ЕС автор конечно сгущает краска, как вы выразились… Сильно скущает… Но в принципе ничено неправильноо он не написал вроде…
>>Да, он добавляет разработчикам работы, но он и защиту предоставляет людям.
что там насчет защиты не знаю — увидим когда оно начнет применяться на практике, а вот то что касается работы — да, данный закон самим фактом своего существования одномоментно создал десятки тысяч новых рабочих мест
и это… Right to be forgotten — все далеко не просто — данный принцип применим не всегда… вот скажем в нашей компании он не может быть применен в принципе
S0krat Автор
27.04.2018 11:30Не планировал, но набросал продолжение — очень короткое и практическое, чтобы брать и исправлять самое важное.
habr.com/company/plesk/blog/354494
> ТРЕБУЙТЕ СОГЛАСИЯ пользователя на сбор его данных и вообще на пользование вашим сервисом НА ВАШИХ ЗАКОННЫХ УСЛОВИЯХ
Ой много в это месте нюансов… В частности, по GDPR вы обязаны отделить данные, что необходимы для возможности использования вашим сервисом, и что опциональны на самом деле — и на вторые контракт не распространяется, не имеете права связывать. И т.д.
StanisB
27.04.2018 14:00Согласен, но опять же, что в этом страшного? Ведь мяч по-умолчанию на вашей стороне. Кроме того, все нюансы уже давно были опробованы в судах и исходя из этих решений родились «лучшие практики». Пример: как собирать согласие пользователя с точки зрения UX/UI и т.д. Ну а если хочется проявить индивидуальность, тогда лучше спросить у юриста.
За вторую часть спасибо! Она действительно убирает панику и даёт дельные советы. В целом, моя претензия была лишь к этому. Обозначили проблему, но забыли упомянуть, что с ней более-менее легко не столкнуться :)S0krat Автор
27.04.2018 17:04Ничего страшного — просто куча работы (у нас в пару-тройку человеко-лет вылилось, наверное).
Пожалуйста :)
AlexPu
28.04.2018 21:34вообще GDPR он не запрещает собирать данные. Более того, степень необходимости тез или иных данных вы определяете сами (другое дело, что согласия пользоателя по любому нужно спрашивать, и GDPR тут в общем-то не при чем).
GDPR он про ЗАЩИТУ данных. Кроме того, он еще определяет, права того, кого эти данные описывают (неправильно говорить кому они принадлежат, ибо принадлежность данных вопрос очень щекотливый… это мое личное мнение впрочем).
Я приведу пример (он не всеобъемлющий, просто для иллюстрации): человек, чьи персональные данные находятся в вашем реестре должен иметь возможноть в произвольный момент времени запросить кто когда и зачем просматривал эти данные. Соответственно вы должны фиксировать каждый факт доступа к этим данным, вместе с причиной доступа. Повторбсь это просто пример… один из множества…
Авторы законопроекта серьезно рассчитывают, что на рынке появятся компании, чьей специализацией будет как раз хранение реестра персональных данных и регламентированный доступ к таковым. До этого пока далеко, но зачатки этого бизнеса уже просматриваются. Беда в том, что сам доступ к этим данным по больщому счету никому не нужен, но такой сервис должен отвечать на вопросы типа «является ли человек с идентификационным номером 122314 старше 40 лет?», «какой процент среди моих клиентов составляют лица состоящие в браке?», «Верно ли для клиента XXX утверждение » итп. т.е. идеи такого сервиса уже есть, а вот как его реализовать пока думают…
khim
28.04.2018 23:54т.е. идеи такого сервиса уже есть, а вот как его реализовать пока думают…
Но то есть закон пока есть, а как это будет работать — никто не знает… странно, тут многие уверяют, что только в России так законы принимают…AlexPu
29.04.2018 10:29Нет, просто в России многие понимают закон как сервис
Ну и читать не все умеют
Noiwex
26.04.2018 23:51Очередной буллшит по типу Cookie law. Политиканы как всегда живут в своём мире.
skand888
27.04.2018 03:35Самый важный вопрос — а что будет тем, кто ничего не будет делать? Если нет юридического лица в ЕС. Думаю, это процентов 80-90 интернета. Не будут же они блокировать…
StanisB
27.04.2018 13:00+1Пока что ещё нет точного ответа, так как закон вступит в силу только с 25 мая. Но пока что обсуждается такой вариант:
в ЕС есть так называемая DPA (data protection authority). Она(они) следит за исполнением закона. Закон для неевропейских компаний может быть соблюдён путём обычного контракта. Думаю, они предложат заключить вам контракт о том, что вы соблюдаете этот закон. Если вы отказываетесь, тогда есть два механизма. Первый — обычное правило международного частного права — court injunctions. Суд в ЕС просто просит российский суд (по месту регистрации ответчика) выпустить постановление о прекращении безобразия. 99,9%, что это требование будет выполнено. Также есть вариант самостоятельного обращения клиента либо той же DPA в суд прямо по месту регистрации вашего бизнеса (в российский суд, то бишь). Опять же, наш суд легко может согласиться с требованиями GDPR и обязать вас либо их исполнять, либо прекратить оказывать услуги в ЕС. Но если наша страна в очередном патриотическом приступе вдруг встаёт в позицию «хайли лайкли гоу фак ёрсэлф», то есть и второй способ для европейцев — принятие мер по запрету оказания услуги/доставки товаров. Товары можно на границе задерживать, а оказание услуг блокировать можно сами понимаете как.
Далее моё личное мнение (я такого обсуждения не видел, но не могу представить почему бы нет). В теории, можно сделать белый список сайтов. При переходе на сайт, не находящийся в этом списке из ЕС, пользователю 10 раз будут показывать, что-то типа «вы идёте на опасный сайт, они ваши данные не пойми как хранят, потом задолбаетесь по судам иностранным бегать» и т.д. Ну и в список вносить после проверки на соответствие закону (такая проверка в нём прописана). Это просто идеи. Такое не обсуждалось, вроде бы (я не встречал), но я не вижу причин не предположить такой механизм.
xyu_c_ropbl
27.04.2018 11:30«процессор». (Кто это?!)
Вероятно по-русски правильно обработчик, речь же об обработке ПД. А controller – ответственный за обработку.S0krat Автор
27.04.2018 11:31:)
У меня всё по теме на английском, в том числе и в голове — так тяжело переводить… Простите великодушно.
Kanut79
27.04.2018 11:32На мой взгляд закон скорее полезен чем вреден. Сейчас все пытаются собрать как можно больше персональных данных о пользователе, чаще всего просто исходя из того что «а вдруг пригодится». Но о том чтобы эти данные оставались недоступны каким-либо третьим лицам заботяться не особо. В результате постоянные утечки. Это если данные изначально не собираются чтобы их кому-то продать.
А этот закон заставит фирмы как минимум подумать о том нужны ли им все эти данные на самом деле и что случится если вдруг эти данные утекут куда-то, куда не должны утекать.
И ясное дело что этот закон создаст проблемы для фирм, и что эти проблемы приведут к повышению расходов, и что эти повышения в результате оплатят сами пользователи.
Но во первых лично мне кажется что оно того стоит. А во вторых не факт что бесконтрольные утечки и распространение данных не стоят пользователю гораздо больше, даже если рассматривать чисто экономическую сторону вопроса.
dbagaev
27.04.2018 18:28А у меня такой вопрос: распространяется ли закон на физических лиц, которые владеют сайтом?
Например, я имею личный блог, в нем стоит счетчик гугл-аналитики и прикручены комментарии от Discourse. Ни о какой коммерции, естественно, речь не идет. Я имею какое-то количество посетителей из Европы, да и сам живу в Европе. Формально, мой блог является контроллером, да еще и двух сервисов, каждый из которых хранит личные данные пользователей. Попадает ли мой блог под действие закона? Если да, то что делать?S0krat Автор
27.04.2018 18:59В GDPR формулировка такая:
This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities. However, this Regulation applies to controllers or processors which provide the means for processing personal data for such personal or household activities.
Вот и думайте…
PavelMSTU
27.04.2018 19:18Да… Роскомнадзор со совим хайпом вокруг «блокировки» Телеграмма — это просто розовые пушистики!
Феерическая жжесть!
kashey
Я понял, что мы все умрем. Но что делать *
* — в конце или точка, так как «ну что поделать то», или восклицательный знак (гори оно все огнем), или вопросительный знак (И что делать?). Никак не могу решить.
S0krat Автор
Простой и универсальный ответ только один — избавлятся от персональных данных полностью.
Остальные варианты намного сложнее…
LoadRunner
И не писать логи.
fizban
Писать. Но без айпишников. :)
korsarnsk
Писать с апишниками, но нулевым последним octet'ом ;)
adeptoleg
и перед прочтением зжечь
vesper-bot
По описанию, сессионные куки уже позволяют идентифицировать пользователя. Или все-таки их мало, по этой GDPR?
S0krat Автор
Это зависит. Куки с сайта vasyapupkin.net — вряд ли, а вот что какой-нибудь Facebook вешает — однозначно да.
korsarnsk
Идти слушать трансляцию www.meetup.com/plesk-events/events/250168226 :)
S0krat Автор
Не планировал, но набросал продолжение — очень короткое и практическое, чтобы брать и исправлять самое важное.
habr.com/company/plesk/blog/354494