25.05.2018 09:19
iou-iou 23 9000 Источник

Что такое GDPR?


Это новое регулирование в ЕС, которое вступает в силу 25 мая 2018 и содержит новые правила, касающиеся персональных данных лиц, находящихся в ЕС.

GDPR касается персональных данных всех лиц, находящихся на территории ЕС.

Что относится к персональным данным?


  • Имя
  • Адрес
  • Место нахождения
  • Он-лайн идентификаторы
  • Информация о здоровье
  • Информация о доходах
  • Информация об интересах в области культуры
  • Другая информация, которая помогает определить конкретного человека

Кого касается GDPR и его требования?


(1) Компаний в любой стране мира, которые:

  • Предлагают товары/услуги лицам в ЕС или
  • Мониторят их поведение

(2) Компаний, которые имеют представительство / филиал в ЕС и обрабатывают персональные данные

Когда можно обрабатывать персональные данные?


  • Если есть согласие пользователя*: Consent
  • Если есть договорное обязательство с пользователем: Contractual obligation
  • Если есть обязательство по закону (законодательство ЕС или национальное): Legitimate obligation
  • Если требуется в общественных интересах (по законодательству ЕС или национальному): Public interest
  • Если требуется для обеспечения жизненно важных интересов человека: Vital interests of individual
  • Для законных интересов компании, но только после проверки того, что нет серьезного нарушения основных прав и свобод лица, чьи данные обрабатываются. Выводы в каждом отдельном случае могут быть обоснованы на конкретных фактах конкретной ситуации: Legitimate interest

При сборе данных пользователей их нужно уведомлять, что данные будут обрабатываться.

* Согласие пользователя на обработку его данных должно:


  • Быть свободным (никто и ничто не заставляло его соглашаться, отказ не должен вызывать негативных последствий для пользователя. Предоставление согласия не может быть условием заключения соглашения с пользователем)
  • Быть информированным (вся информация должна быть представлена пользователю до того, как он согласился)**
  • Касаться конкретных целей, для которых данные собираются
  • Все причины для обработки данных должны быть ясно изложены
  • Быть явным и выражено в действии пользователя (например, самостоятельным проставление галочки у нужном месте, заранее проставленные галочки – не считается явным согласием выраженным в действии)
  • Быть на понятном и четком языке и читабельно
  • Содержать разъяснение, что такое согласие всегда может быть отозвано (отзыв согласия не должен вызывать негативных последствий для пользователя)

** Для того, чтобы согласие пользователя считалось информированным, ему должна быть предоставлена информация о:


  • Организации, которая обрабатывает данные
  • Цели обработки данных
  • Тип данных, которые будут обрабатываться
  • Возможность отозвать согласие на обработку данных
  • Использовании данных для исключительно автоматического (машинного) принятия решения, включая профилирование
  • При передаче данных в другие страны – рисках передачи данных в третьи страны, в отношении которых нет решения Комиссии ЕС о их безопасности с точки зрения защиты персональных данных и когда нет соответствующих мер по обеспечению безопасности данных
  • Сроке, в течение которого данные будут храниться

Данные можно обрабатывать только для тех целей, на которые пользователь дал согласие.

Нужно ли получать новое согласие после 25 мая 2018?


Нет, если согласие пользователя было получено с соблюдением описанных выше требований.

Можно получать и передавать данные пользователей другой организации?


Да, если есть их на это согласие, полученное по правилам, описанным выше.

О чём ещё нужно подумать?


  • Вести записи об операциях с данными пользователей
  • Указать как пользователь может (i) получить информацию о том, какими его данными владеет компания, (ii) отозвать согласие на обработку его данных, (iii) внести изменения или (iv) удалить данные
  • Быть готовым отвечать на обращения пользователей
  • Не забыть узнать, сколько лет пользователю и попросить согласие его родителей, если ему меньше 16 лет

Комментарии (23)


  1. saag
    25.05.2018 13:39
    #11372082

    Он-лайн идентификаторы

    IP-адреса, а если они пользователю выдаются динамически?


  1. Alert123
    25.05.2018 13:42
    #11372084
    +1

    Как же это GDPR достатало, каждый сервис, даже те где 20 лет назад регистрировался и больше не пользуюсь, прислал свою новость об этом GDPR.
    Хотьбы смотрели что я из России а не из европы, и меня их GDPR не касаются.


    1. Virusmater
      25.05.2018 14:01
      #11372132
      +1

      А вас не беспокоит, что у каких-то левых сервисов есть данные о вас? Рассматривайте это как возможность выпилиться из всех сайтов, которыми не пользуетесь, но которые хранят данные о вас.
      Ваша жалоба звучит как «Ох уж этот Навальный/Телеграм, везде достал уже»


      1. AndreySu
        25.05.2018 14:11
        #11372150

        Как из них гарантированно выпилиться, подскажите?


        1. Virusmater
          25.05.2018 14:14
          #11372152

          Статья 17 из GDPR (Right to erasure):
          gdpr-info.eu/art-17-gdpr


      1. Endeavour
        25.05.2018 21:47
        #11372726
        +1

        Нет, меня не беспокоит доступность моего емейла сайту, на котором я когда-то давно регистрировался. А вас?


    1. Sub_Dia
      25.05.2018 14:29
      #11372174

      Я думаю, они Вам (точнее, нам, потому что я, как и многие здесь, тоже получил уйму уведомлений) эти уведомления прислали, потому что GDPR касается в первую очередь их самих. =)


    1. RicoScrewdriver
      25.05.2018 14:42
      #11372198

      А как по Вашему должно было быть? Типа это данные какого-то Васи из России, не будим их защищать, да и вообще выложим в сеть.
      Странно было бы если бы компании разделяли персональные данные по географическому признаку. Я бы на Вашем места радовался, что Ваши данные защищаются, так же как и данные граждан ЕС.
      + В GDPR есть такой принцип, как «Accountability» — звучит как: «Comply with the principles and be able to demonstrate that processing is performed in accordance with them. (Articles 5 and 24)» То есть, этот принцип предусматривает обязательство соблюдать принципы и демонстрировать, что обработка выполняется в соответствии с ними. Вот и выходит такая себе демонстрация в виде писем и уведомлений, что обновлена Privacy Policy.


      1. Alert123
        25.05.2018 15:36
        #11372290

        Если они касаются Васи из России то пусть защищают по российским законам. И уведомления об этом присылают на понятном русском языке.


        1. tvr
          25.05.2018 16:54
          #11372392

          Если они касаются Васи из России то пусть защищают по российским законам. И уведомления об этом присылают на понятном русском языке.

          Ну зрасьте, г-н Жаров, давно вас не было тут видно.
          Вашим гипотетическим сервисом пользуется условный Волька Ибн Хоттабыч из Южного Бантустана, в котором говорят на редком диалекте мёртвого языка. И в котором местные законы гласят, что персональные данные должны хранится только и исключительно на территории Южного Бантустана, а так же, что поставщик услуг должен предоставить полный доступ компетентных органов к данным, логам и контенту пользователей…
          Какие ваши действия?


          1. Alert123
            25.05.2018 18:02
            #11372458
            -2

            Вы неверный пример привели. Мне как пользователю из России какая разница какая там у Бантустана GDPR? Все радостные письма от сервисов об этом событии я считаю попавшими не по назначению, могли бы озаботиться фильтрацией по стране.


            1. tvr
              25.05.2018 18:08
              #11372466
              +2

              Кажется, вы не умеете читать и/или не хотите/не можете понять прочтённое. Засим дальнейшую дискуссию считаю бессмысленной.


  1. Virusmater
    25.05.2018 13:59
    #11372124

    del


  1. RicoScrewdriver
    25.05.2018 14:21
    #11372160

    Очень важно, чего не указано в статье, что персональные данные (ПД) делятся по GDPR на Personal Data и Sensitive Personal Data. И процессить Sensitive Personal Data нельзя. Цитата из GDPR:
    «Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation is prohibited.»
    То есть если вы собираете данную информацию, то профилировать пользователя по ней нельзя.
    + Родительский консент требуется не всегда до 16, иногда до 13 в зависимости от страны. Цитата:
    «Member States may provide by law for a lower age for those purposes provided that such lower age is not below 13 years.»
    И еще одно — Если у Вашей компании нет представителя в ЕС, но Вы процессите персональные данные граждан ЕС, то такого представителя в скором времени необходимо завести.


  1. T13Nemo
    25.05.2018 14:22
    #11372164

    "Нужно подумать"?
    Вообще это всё функции, которые система обязана иметь.


    Ещё нужно не забыть что в законе есть требования к защите данных и обязательном информировании в случае обнаружения утечки.


    Необходимость сбора данных должна быть обоснована. Основания приведены в статье. Полезно понимать что основания ранжированы contractual obligations, legitiment interest, etc, оправдывать сбор данных в privacy policy — последние что вы будете хотеть делать


  1. zhengxi
    25.05.2018 18:08
    #11372464
    +1

    Согласие пользователя на обработку его данных должно:
    Быть свободным (никто и ничто не заставляло его соглашаться, отказ не должен вызывать негативных последствий для пользователя.


    О как.
    «Чешские Авиалинии» написали в email, что если не соглашусь — обнулят счёт с накопленными милями.
    Надеюсь, банки и сотовые операторы не последуют их примеру.


    1. Endeavour
      25.05.2018 21:49
      #11372730

      Думаю, без вашего согласия им придется удалить ваши персональные данные вместе с вашим аккаунтам и привязанными милями. Так что все ожидаемо. Очередное уведомление «я согласен с куками.»


  1. savostin
    26.05.2018 09:44
    #11372932

    Подождите, я правильно понимаю?
    1. Посетитель из ЕС хочет что-то купить. Допустим электронную книгу.
    2. Я у него должен спросить e-mail, чтобы книгу отослать.
    3. Он может отказаться предоставлять эту информацию, но это не должно быть поводом для отказа в услуге.
    4. WTF?


    1. mayorovp
      26.05.2018 11:57
      #11373010
      +2

      Когда можно обрабатывать персональные данные?
      • Если есть договорное обязательство с пользователем: Contractual obligation


    1. Taciturn
      26.05.2018 13:13
      #11373052

      Вместо отправки даём скачать брузером, никаких проблем.


      1. aikixd
        27.05.2018 17:08
        #11968995

        Только если у вас есть лицензия на продажу цифровых копий.


        1. Taciturn
          27.05.2018 17:12
          #12015075
          +1

          Если её нет, то отправка на e-mail ничего не изменит.


  1. bodqhrohro
    26.05.2018 14:06
    #11373084

    На физлиц-то это распространяется? Если Базалка из Чехии спалил своё мыло Педро из Испании, а Педро не хочет его удалять — Базалка может оштрафовать Педро на €10M?