/ фото SounderBruce CC
Цена слишком высока
Цель GDPR — ужесточить контроль за обработкой персональных данных пользователей. Потому новое законодательство накладывает на компании большое количество требований. И хотя это должно принести выгоду IT-сектору в долгосрочной перспективе (так как вопросы, связанные с регулированием этой сферы, станут прозрачнее), сейчас нововведения дорого обходятся некоторым компаниям. И не все смогли решить этот вопрос.
Так, перед введением GDPR, о прекращении работы объявил ряд онлайн-игр. Например, Super Monday Night Combat и Loadout.
Активный период разработки Loadout, запустившейся в 2012 году, давно закончился. Однако чтобы соответствовать новым требованиям GDPR, команде проекта нужно было бы вложить значительные ресурсы в разработку: перебрать клиент, обновить базы данных и серверы. По словам СЕО Loadout Роба Коэна (Rob Cohen), это того не стоило. Большинство игроков Loadout — из ЕС, поэтому рассчитывать на выживание проекта без них тоже не приходилось.
По той же причине закрылась Super Monday Night Combat, также выпущенная в 2012 году. По словам её создателей, бюджет, необходимый для переделки проекта в соответствии с требованиями GDPR, превышает бюджет, выделяемый шестилетней игре.
Помимо компьютерных игр, «под ударом» оказались сервисы, которые предполагают хранение персональных данных в распределенных реестрах. Например, закрылся сервис проверки биографических данных PICOPS. По сути, он «связывал» личность человека с адресом в Ethereum-блокчейне. Согласно заявлению создателей, сервис пользовался огромным успехом, но сохранить все его функции, которые делали его полезным, и одновременно выполнить все требования GDPR, оказалось невозможным.
И это не единственный продукт, работающий с блокчейном и закрывшийся из-за введения нового закона. Также прекратил работу сервис CoinTouch, который позволял искать друзей друзей для обмена криптой.
Временные (?) меры
У полного прекращения деятельности сервиса или игры всё же есть альтернатива — можно отключить европейские серверы или закрыть доступ для жителей Европейского Союза, продолжая работать для остального мира.
И хотя для ряда проектов это не было выходом (тот же Loadout), были и те, кто пошел на такой шаг. Например, геймеры из Европы потеряли возможность играть в Ragnarok Online: компания закрыла европейские серверы и ограничила доступ по IP.
/ фото Tony Webster CC
К блокировкам по IP прибегли и некоторые американские СМИ, получающие трафик из Европы. Заблокировали доступ к своим сайтам с европейских IP Los Angeles Times и Chicago Tribune. Однако такие методы подвергаются критике сообщества.
Это решение имеет очевидные репутационные риски и означает потерю части аудитории. Более того, по мнению некоторых пользователей, такое решение является непроизвольным признанием вины в неправомерной обработке ПД пользователей.
Падение рекламных объемов
Но есть и менее очевидные последствия. Так, от введения GDPR пострадали европейские рекламные биржи, размещающие онлайн-рекламу по технологии программатик. 25 мая (дата вступления GDPR в силу) рекламные объемы обвалились: падение составило от 25 до 40% между разными компаниями.
Проблема в том, что организации, продающие рекламу, не могли гарантировать соответствие партнеров-дистрибьюторов новым требованиям. Google тоже посоветовал рекламодателям пока не покупать размещения у сторонних ресурсов через свои сервисы и ограничиться инвентарем Google.
USA Today сохранили доступ для европейских пользователей на сайт, но убрали оттуда всю рекламу. The New York Times временно не отображала объявления через программатик в Европе.
Спустя месяц, объемы рекламы начали постепенно восстанавливаться, однако по разным отраслевым оценкам многие рекламодатели всё еще тратят на 30% меньше денег, чем до 25 мая.
У этого могут быть долгосрочные последствия для рекламного рынка. Так, у некоторых паблишеров просто не оказалось технологических возможностей для получения от пользователей согласия на показ таргетированных объявлений. Это потенциально приведет к падению прибылей паблишеров и сокращению количества площадок, на которых рекламодатели могут покупать рекламу.
На сайте, где ведут учёт «жертв» GDPR, сейчас около 20 наименований. Какие-то сервисы закрылись полностью, какие-то — заблокировали доступ с европейских IP.
Интересно, что даже крупнейшие IT-компании были вынуждены пойти на сокращения: так, Twitter закрыл свои приложения для Roku, Android TV и Xbox.
Однако кейс с биржами рекламы показывает, что влияние GDPR оказалось даже шире, чем можно было думать: речь идёт не только о закрытии или ограничении работы каких-то сервисов, но о глобальных изменениях в практиках распространения и потребления информации в интернете.
P.S. Несколько материалов из Первого блога о корпоративном IaaS:
- ПД в облаке: зоны ответственности заказчика и облачного провайдера
- Как обрабатывать ПД в облаке
- Что считать ПД с точки зрения российского регулятора
Основное направление нашей деятельности — предоставление облачных сервисов:
Виртуальная инфраструктура (IaaS) | PCI DSS хостинг | Облако ФЗ-152 | Аренда 1С в облаке
Комментарии (74)
dlneo
28.07.2018 22:31Кстати, интересная статья с той стороны, что GDPR это приведение к соответствию всех бизнес процессов и технических принципов (например Проектируемая приватность). Потом покрытие этого анализа документами. Сейчас много мошенников особенно в СНГ, которые предлагают за 3 копейки документы по типу 152-ФЗ. Нужно быть осторожным.
lotse8
29.07.2018 11:11Зато юристы ЕС обеспечены работой и зарплатой на пару лет вперед. Плюс на крупных фирмах создадут новые рабочие места — ответственный за ПД (или в этом роде). Плюс у кого есть деньги инвестируют их в доработку своих программ и сервисов — опять же программистам работа и зарплата. В общем, довольны все у кого есть чем платить.
Goodkat
29.07.2018 14:53Жаль, Loadout — это единственная игра из нескольких сотен в библиотеке Стима, в которую я периодически играл.
А нет какого-то простого способа обойти требования этого нового закона? Например, не собирать и не хранить никакие персональные данные вообще? Нельзя работать с полностью анонимными пользователями? Или микротранзакции, за счёт которых жила игра Loadout, нельзя получать полностью анонимно?sumanai
29.07.2018 16:36Нельзя работать с полностью анонимными пользователями?
Уверен, это нарушит пачку других законов.
ACE46
29.07.2018 18:17А потом то-же самое сделают остальные страны и будет вам не интернет, а винегрет :)
vibrant
29.07.2018 18:17Тупее закона еще не было. Все сайты теперь засраны на пол экрана сообщениями, что сайт использует куки. Ну надо же. Куки.
Было честнее, если бы в этой плашке выводилось: мы продаем ваши персональные данные вот тем и тем, в таких-то объемах.sumanai
29.07.2018 18:32-1О куках это немного другой закон, а GDPR может требовать не нажать на «Согласен», а кучу галочек отметить.
NecroHill
30.07.2018 04:40по кукам пару лет назад был закон, GDPR включает информирование о куках тем не менее
vibrant
30.07.2018 14:50+1тот закон был еще тупее, а здесь это способ выкрутиться — вот мы исполняем закон, вот предупреждаем пользователя о куках. ну не писать же в самом деле, что мы трекаем вас везде и всюду, и продаем данные направо и налево.
это было бы смешно, если бы не было правдой
Murimonai
29.07.2018 21:19Какой-то скромный список жертв. В нем явно отсутствуют сотни и тысячи брендовых сайтов, вынужденных редиректить пользователей из EU на что-то другое. Например logotv.com, гоняющий европейцев на свой блог в твиттере от запроса в CDN.
В одном Viacom'е таких брендов — внушительный список, а каждый тикет в духе «почему наш сайт редиректят на <заглушкаName>?» приходится мариновать неделями, пока специальная команда будет изучать и готовить ответ на этот вопрос.
ebragim
То есть куча компаний, которые когда-то давно положили болт на персональные данные, а сейчас решили что заработали достаточно денег, решили закрыться. Отлично, вот так и должно было быть изначально.
creker
Такое ощущение, что GDPR это прям интуитивные требования, которые все знали, но никто не выполнял. Скорее речь о том, что GDPR требует лишних денег для реализации, которые есть не у всех. Нет, так быть не должно.
imanushin
Аналогично: для продажи свежей рыбы нужны холодильники, которые стоят денег. Они есть не у всех. Поэтому, если небогатый продавец торгует тухлой рыбой, поливая её амиаком, то не надо его штрафовать.
creker
Еще раз, GDPR это не очевидные и не интуитивные требования. Это совершенно новые правила, выдуманные законодателями, с которым все в первый раз познакомились. Не надо выдумывать глупые и неуместные аналогии. Все эти компании могли осуществлять все возможные предосторожности, которые и так соблюдались большинством сознательных компаний, но это все равно не решило бы всех их проблем после появления GDPR.
scorp13
Это не совершенно новые правила — GDPR был принят в 2016 году и участникам рынка давался двухлетний переходной период.
bashkos
2 года говорите? :)
scorp13
Ну я лишь уточнил, что GDPR это не гром среди ясного неба.
Morkhe
Бюджет, выделяемый шестилетней игре, не равен шестилетнему бюджету игры :)
creker
Речь не об этом. Речь о самом факте, что этот законопроект был придуман. Это не какой-то моральный кодекс, который с библейских времен известен. На его реализацию всем без исключения понадобилось время и деньги, которые надо откуда-то взять. И эти деньги никто им не возместит.
scorp13
Знаете, я сам с большой теплотой отношусь к тем временам, когда практически всё в Сети регулировалось самими её участниками. Но времена меняются…
Schmidt
Даже сейчас неизвестно, какие конкретно организационно-технические меры необходимы и в каком случае они достаточны, так же непонятно, в каком случае пользователь информирован достаточно, а в каком нет, и еще далеко непонятно, когда оправданный интерес выше интереса на защиту персональных данных, а когда — нет.
Все ждут судебной практики, которая должна ответить на эти вопросы. Она сформируется в следующие годы или может быть десятилетия.
agarus
Какие именно требования GDPR неинтуитивны? И так ли уж трудоёмко их внедрение? Кругом вываливаются окошки согласия «Я согласен что за мной шпионят все кому не лень» и пользователи их кликают даже не читая. В статье вроде серьёзные проекты упомянуты, но всё равно трудно избавится от впечатления, что валят на «хромую корову».
rg_software
Ну вот мне интуиция даже не может подсказать, на каком языке показать диалог согласия, не говоря уже о дальнейших шагах.
creker
Достаточно почитать документы или хотя бы выжимки на других сайтах. Все это деление на контроллеров и процессоров уже не является интуитивным. Оно может быть логично и правильно, но всем и каждому такая идея вряд ли бы пришла. Ее долго разрабатывали. Вообще сложно представить какой-то либо интуитивный закон в его полной формулировке. Основной тезис — защитим данные пользователей — да, интуитивно. Как оно реально написано — совсем нет и не случайно расплодились тучи сайтов, которые разжевывают, что же людям конкретно надо делать. Потому что по прочтению мне лично не совсем ясно даже, что конкретно надо изменить у себя, чтобы соответствовать новым правилам. Кругом размытые формулировки и рекомендации.
mayorovp
Так в том-то и дело, что требования GDPR выходят далеко за рамки показа очередного такого окошка.
evgen
Не согласен. GDPR основывается на директиве, кажется аж 1986 года. И главное их отличие — обязательность исполнения.
То есть большинство требований действуют с 80-х годов, только они носили рекомендательный характер.
CAJAX
А законом закрепленное "право на забвение" в некоторых странах есть даже с семидесятых годов.
mk2
Не совсем. Представьте, что по новым требованиям для продажи свежей рыбы нужны холодильники, которые имеют по отдельной секции для каждого вида рыбы, имеют в каждой секции термометр с выводимыми пользователю показателями, и дают покупателям возможность просматривать историю температуры.
Конечно, это позволяет покупателям убедиться в великолепном качестве рыбы. Но что делать тем, у кого просто хороший холодильник без наворотов — покупать новый?
vsb
У них на это было более чем достаточно времени.
maxzhurkin
Время само по себе не превращается в деньги, так что, это аргумент, но не всем подходящий
nevzorofff
Ну и кто-то снял сливки, пока можно было пользоваться старым холодильником. Утилизировал его и поехал на пенсию. Их право, в общем-то.
Zoolander
а еще они предоставляют ту же информацию самой рыбе
imanushin
Отличный, кстати, пример. Сейчас некоторые сетевые магазины выключают холодильники на ночь (например Перекресток, вот из последнего, а вот из 2015 года, хотя я слышал от работника эту историю еще в 2008), что приводит к порче продуктов, к плесени и так далее.
Пока эта проблема не носит массовый характер (то есть не все магазины экономят), её не решают. Однако я не удивлюсь, что через несколько лет в магазины придется закупать холодильник с аналогом тахографов, чтобы контролировать коммерсантов (обманщики будут очень сильно негодовать).
И да, всем магазинам придется тратиться, так как иначе сложно контролировать качество продукции.
GDPR был принят два года назад, а до этого обсуждался еще несколько лет. Я правильно понимаю, что вы защищаете разработчиков софта, которые за несколько лет так и не научились корректно хранить и обрабатывать пользовательские данные (например, Бургер Кинг, Промсвязьбанк или Facebook)?
Berkof
Так ведь и обучение хирурга требует лишних денег, которые не у всех есть… А аппендицит вам и бывший медбрат удалить сможет… наверное… если никаких осложнений не будет.
Вопрос в том, что это области, ошибка в которых может очень дорого обойтись для человека (как кривое удаление аппендицита может сделать человека инвалидом или заставить долго и нудно лечить желудок, так и раскрытие персональных данных может серьёзно навредить карьере или дать повод для травли в родном городке/школе), поэтому правительство, имхо, правильно поступает, что заставляет компании нести ответственность за ошибку (нанимать грамотных сертифицированных хирургов в операционные и строить надёжные информационные системы в серверных)
VolCh
Ошибки ещё нет, а деньги платить нужно уже сейчас.
qw1
Даже соблюдая правила GDPR, есть шанс быть оштрафованным, т.к. законодатели их понимают по-своему.
Лишний повод Евросоюзу штрафовать иностранные ИТ-компании. Раньше был только антимонопольный комитет, теперь ещё и это.
dlneo
Вы не правы. То количество разъяснений которое уже есть по GDPR, переплюнет всю работу РКН за 10 лет по разъяснениям 152-ФЗ. Глава же европейского надзорного органа избирается Парламентом ЕС и работает публично. Сейчас это Джовани Бутарелли.
rg_software
Я вот, кстати, не могу найти ответа на банальный вопрос: если при запуске программы показывать gdpr consent, на каком языке это делать? И что делать, если у меня есть штук пять локализаций и всё — как юзер может подписываться под длинным текстом, которого не понимает толком?
dlneo
На том языке или языках, на котором основной контент сайта.
rg_software
На эту тему действительно есть разъяснение?
Сайт (допустим) на пяти языках. Значит, беру рандомный из пяти и показываю людям, и это типа окей?
Nubus
А брать язык из настроек браузера\системы и вверху показывать значки стран для выбора подходящего? А если язык из новой локали, выводить дефолтно на английском?
rg_software
Да откуда же мне знать? Мы же обсуждаем не технический вопрос «как повысить вероятность понимания юзером показанного ему текста», а юридический: как соблюсти букву закона. Вот я об этом и спрашиваю.
Предположим, вы живёте в Польше, приходите в контору, а вам говорят: вот, подпишитесь здесь — и текст на английском, а если не нравится — пожалуйста, немецкий и французский тоже есть. Вполне можете возмутиться, верно? С чего это контора предоставляет услуги в стране, а на язык страны документы не удосужилась перевести. В России нельзя товара продать без инструкции на русском.
Так и здесь: мне теперь сайт для поляков в принципе прикрывать или как? Интересует не технический вопрос, а именно что на эту тему говорит закон и его «многочисленные разъяснения».
Ded_Banzai
Все зависит от того, где именно ваш сайт расположен и зарегистрирован. Если сайт зарегистрирован в Германии, а расположен в Лондоне, то какой смысл делать соглашение на польском, пусть даже у вас польская локализация стоит? Берите пример с иных соглашений. На крупных зарубежных сайтах крайне редко встречается руководство на русском, хотя русская локализация интерфейса сайта присутствует.
rg_software
Ну вот вы тоже сводите вопрос к «смыслу». В законах нет смысла — в них есть только буква, требования и штрафы за неисполнение. Если мне штраф прилетит, меня мало успокоит то, что соседу тоже прилетит штраф.
Да и вообще я немного о другом: выше пишут, что тема расписана и откомментированна подробнейшим образом. А я не могу найти чёткий официальный ответ на, казалось бы, простейший вопрос.
А так-то да, мы все имеем соображения на эту тему, но это же всё разговоры о нашем представлении о прекрасном.
Ded_Banzai
К сожалению, я не могу посоветовать вам ничего конкретного, кроме как присмотреться к крупным игрокам. Копируйте их поведение.
rg_software
Мы так и делаем. Но согласитесь, что эту ситуацию нельзя назвать нормальной. Закон содержит огромное количество недоговорок, которые словно специально сделаны для того, чтобы дать потом по голове. Чего стоят объяснения типа «IP адреса могут быть признаны персональными данными». А могут и не быть, да.
Так что, может, оно для людей принималось, но реализация крайне сырая, а отдуваться будут непричастные. Впрочем, всё как всегда, не первый день живём на свете.
Ded_Banzai
Абсолютно согласен. Но, к сожалению, ничем вам помочь не могу.
Ringtail
Ответ очень простой: вас заведомо не будут штрафовать сходу, тем более за такой нюанс, тем более в любом случае явно не касающийся духа закона. Если лично к вам будут какие-то вопросы, регулятор с вами свяжется и попросит устранить. Чтобы дошло до штрафа, нужно прямо очень постараться.
GDPR намеренно не пытается расписывать все в деталях, какие должны быть языки и где кнопки показывать — чем больше таких деталей в законе, тем больше возможностей найти лазейку по чисто формальным требованиям. Кроме того, мир продолжает меняться быстро, и любая попытка привязка к каким-либо конкретным деталям реализации — официальный язык страны по IP-адресу, язык браузера и прочее — может за несколько лет банально устареть.
MagisterAlexandr
Вот как раз дух новых законов (копирастия и т.п.) и беспокоит: в любой непонятной ситуации удаляй инфу.
rg_software
Вот в законе где-нибудь написано, что меня заведомо не будут штрафовать, или это тоже на усмотрение благонамеренного регулятора?
Кроме того, мне в общем-то и без того есть чем заняться, чем делать и переделывать продукт по желанию левой пятки инспектора. Мне не нравится эта идея: примем рамочный закон, а будем трактовать как нам удобно ежегодно, а вы каждый раз подстраивайтесь. Я понимаю вашу логику, но она бьёт исключительно по производителю софта. По сути нас ставят вот в такие условия: мы будем когда хотим менять своё представление о прекрасном, и вы будете каждый раз переделывать так, как мы скажем. Это достаточно гнусный подход, я считаю.
Ringtail
Ст. 58 п. 2 перечисляет меры, которые вправе предпринимать регулятор, из которых наложение штрафа — лишь одна, а ст. 83 п. 1 говорит, что даже в случае наложения штрафа он должен быть пропорционален тяжести нарушения. Разумеется, закон не может утверждать, что вас заведомо не будут штрафовать, на то он и нужен, чтобы предусмотреть какие-то меры наказания.
Конечно, соответствовать регуляциям в целом не очень-то приятно, но как бы вы иначе сформулировали закон достаточной силы, чтобы при необходимости прижать кого-то масштабов Фейсбука и Гугла? Учитывая, что персональные данные — в принципе понятие не вполне четко определяемое. Это не данные кредитных карт, где можно более-менее сформулировать четкие формальные требования к их обработке.
В любом случае, GDPR уже два месяца как действует и я пока не видел новостей, чтоб хоть кого-то реально оштрафовали. Компании в ЕС к нему адаптировались без особой паники. Например, наша по большому счету расширила ряд внутренних регламентов, добавила детальные чекбоксы для согласия на сбор информации и отправку разного рода маркетинговых рассылок, возможность снять эти чекбоксы в любой момент, выработала процедуры предоставления пользователям и удаления их данных (с такими требованиями действительно стали обращаться), и завела привычку при обсуждении каждой фичи обращать внимание на то, как она согласуется с GDPR. Ну а то, что какие-то отдельные личности и сайты за океаном паникуют, не разобравшись, невелика беда. Хотя мне отдельно понравилось, как вышла из положения USA Today: https://eu.usatoday.com — оказалось, что если сделать спецсайт для Европы, где вообще не будет рекламы и скриптов аналитики и прочего, то ВНЕЗАПНО он будет просто летать.
rg_software
Посмотрите на ситуацию с позиции честной маленькой фирмы. У Гугла и Фейсбука как раз проблем не будет, их хватит денег, чтобы реализовать любые приколы регуляторов. А мы должны сначала с помощью магического шара догадаться, что они имеют в виду, а потом в любой момент быть готовы бросить всё и беспрекословно реагировать на любые их замечания. А если окажется, что мы протрактовали закон так, а они иначе, и вот эта трактовка стоит нам всего бизнеса? Мне нет дела до Фейсбука, он не разорится. В этом смысле GDPR как раз на руку большим фирмам, потому что для мелкой фирмы задача соблюдения дополнительного размытого закона может поставить на грань выживания.
А по поводу «штрафов нет» — ну прекрасно, значит, я поставлю GDPR consent на латышском, как мне ниже предлагали, и замечательно. Полезный закон, получается, юзерам пригодится.
Я вполне понимаю вашу линию рассуждения, но сам я принципиально против подхода размытых формулировок. Не умеете формулировать — не беритесь. Собственно, я и не берусь. Штука в том, что люди, которые вот такие формулировочки изобретают, ничем абсолютно не рискуют. Им всё равно.
mayorovp
Насколько я знаю, GDPR привязан не к расположению и регистрации сайта (иначе бы никто не возмущался, а просто бы убрали свои сервера из Европы), а к расположению пользователя. Так что для тех кто не умеет читать юридические тексты сюрпризы тут могут быть на каждом шагу, и логика вида «если сайт зарегистрирован в Германии, а расположен в Лондоне, то какой смысл делать соглашение на польском» — не помошник.
qw1
Ну хорошо, а какие средства исполнения этого закона?
Вот например, сайт на английском, хостится в Малайзии, а ходят туда немцы и жалуются, что их права не соблюдают. С какой стати их надо соблюдать?
mayorovp
Очевидно, что те, кто возмущается из-за GDPR, имеют причины возмущаться. А вот как именно Европа может на них надавить — вопрос не ко мне, мне это самому интересно.
equand
Любой из языков ЕС. Вообще языковой спецификацией легальных документов для софта должна заниматься ваша EULA и GTC и на локализованном языке это надо разъяснить (например на Для продолжения прочтите и примите EULA. EULA доступна только на английском языке).
qw1
rg_software
Я не понимаю, что такое «локализованный язык». Язык страны, откуда IP адрес пользователя (их, кстати, тоже может быть несколько)? А если у меня нет такого языка в системе — это ОК или нельзя?
Ну и правильно снизу спрашивают, это точно, или это мнение?
expeon
Что-то я не понимаю проблемы. У вас ведь контент на каком-то из языков, показывайте gdpr consent на том же языке. Если пользователь может выбрать язык — показывайте consent на выбранном. Вы же уже решили проблему «Как мне пользоваться приложением на непонятном языке?» — почему же не решить проблему соглашения точно так же? Путь пользователь подписывается, также как и пользуется приложением — на понятном ему языке.
rg_software
Проблема в том, что мы решили вопрос технически, а не юридически. Технически я могу просто сказать: ага, не понимаете язык X, ваши проблемы, не пользуйтесь моим сайтом. А юридически мне могут в принципе запретить работать в стране, если я не показываю сайт на нужном законодателю языке. Я уже приводил пример: вы технически можете, но юридически не имеете права продавать в России товары без инструкции на русском языке.
В том вся закавыка и есть: наше решение мотивировано нашими бизнес-интересами, а законодатель имеет какую-то свою картину в голове, но нам она недоступна.
lotse8
Один пример:
Я обратился в несколько юридических фирм, специализирующихся на внедрении GDPR, с простым вопросом:
Открыто публикуемые в справочниках контактные данные фрилансеров, врачей, нотариусов и прочих самозанятых являются персональными данными согласно GDPR, или не попадают под категорию персональных?
До сих пор не получил ни от кого вразумительного ответа, только отписки «мы этот вопрос прорабатываем»
equand
Если Вы сами публиковали их, то они публичные данные, но только на том сайте где Вы это опубликовали. Отчудить право на приватность Ваших данных Вы можете только став политиком.
Многие вещи исключаются из GDPR согласно местным законам. Например ассоциации BAR и подобные для других официальных мест.
Юристы, врачи, нотариусы и другие имеют вообще особую легальную форму в большинстве стран ЕС (вроде И.П. только со спец налоговым режимом).
BoyanBr
Не понимаю, что здесь сложного. Являются персональными данными согласно Директиве.
Текст на английском (также доступен на всех официальных языках ЕС, хотя в некоторых переводах были замечены ошибки)
В вашем случае данные имя и, например, номер телефона, и они позволяют прямое идентифицирование человека.
Происход данных не меняет их сущность.
lotse8
Сложности с обработкой. Справочник производителей товаров и поставщиков услуг. Фирма: Название, адрес (не персональные данные). Самозанятый типа ИП: Имя, Фамилия, адрес — и попадаем на персональные данные со всеми вытекающими танцами с бубном. Либо всем им отправлять письма с просьбой изъявить согласие по новому закону — 0,8 евро за письмо (марка + конверт), умноженное на 100.000 = 80.000 евро. Либо выкинуть их всех из справочника.
dlneo
Значит обращались к некомпетентным, много кто хочет заниматься GDPR, но не все могут, многие даже не читали официальные гайдлайны, готовят по шаблонам доки. Это все имеет признаки обмана, осторожней.
0xd34df00d
У меня есть опенсорс-проект и багтрекер к нему на Redmine. Что я должен поменять, чтобы быть GDPR-compliant?
dlneo
Нужно строить data map flow, с условиями если необходимо, затем смотреть.
0xd34df00d
А чего там строить. Человек регистрируется, оставляет багрепорты, всякое такое.
Я не юрист и делаю это всё как хобби. Предлагается осваивать legalese и строить все эти data map flow с условиями, либо нанимать специально обученных людей?
equand
Просто GDPR в каждых странах по своему обработан. Например у нас в Венгрии нам пришлось минимально менять данные, т.к. закон о приватных данных был почти таким же, что и GDPR уже до этого. Только теперь с GDPR некоторые вещи нужно разъяснять еще жестче (запрос consent на всех формах (местное регулирование решило так)). Необходимо расписать privacy policy (нельзя просто ссылаться на местный закон, нужно дотошно расписать каждую мелочь).
По сути все это было до этого, но только для тех кто в «теме». Теперь это explicit. Поэтому многим европейским компаниям много менять не пришлось.
dlneo
Есть ссылка на ваш лакальный акт под GDPR?
equand
Принят он вот таким:
eur-lex.europa.eu/legal-content/HU/TXT/?uri=CELEX%3A32016R0679
Можно надбавить на нац. уровне, но пока надбавок еще не было.
Старый вот:
njt.hu/cgi_bin/njt_doc.cgi?docid=139257.322945
К сожалению перевода нет :/, но гугл справляется