Рассказываем в чем тут дело.
Фото — Daan Mooij — Unsplash
В чем проблема
Согласно GDPR, граждане ЕС имеют право запросить копию своих персональных данных, которые хранятся на серверах той или ной компании. Недавно стало известно, что этот механизм можно использовать для сбора ПД другого человека. Один из участников конференции Black Hat провел эксперимент, в ходе которого получил архивы с персональными данными своей невесты от различных компаний. Он отправил соответствующие запросы от её имени в 150 организаций. Что интересно, 24% компаниям было достаточно адреса электронной почты и телефонного номера в качестве удостоверения личности — после их получения они возвращали архив с файлами. Еще около 16% организаций дополнительно запросили фотографии паспорта (или другого документа).
В результате Джеймсу удалось заполучить номер социального страхования и кредитной карты, дату рождения, девичью фамилию и адрес проживания своей «жертвы». Один сервис, который позволяет проверить, «засветился» ли адрес электронной почты в каких-либо утечках (примером сервиса может быть Have i been pwned?), даже прислал список ранее использованных аутентификационных данных. Эта информация может стать причиной взлома, если пользователь так и не сменил пароли или использовал их где-то еще.
Есть и другие примеры, когда данные оказывались в чужих руках после «ошибочной» отправки. Так, три месяца назад один из пользователей Reddit запросил персональную информацию о себе у компании Epic Games. Однако она по ошибке отправила его ПД другому игроку. Похожая история произошла и в прошлом году. Клиент Amazon случайно получил 100-мегабайтный архив с интернет-запросами к Alexa и тысячами WAF-файлов другого пользователя.
Фото — Tom Sodoge — Unsplash
Одной из главных причин возникновения подобных ситуаций эксперты называют неполноту Общего регламента по защите данных. В частности, GDPR называет сроки, в течение которых компания должна ответить на запросы пользователей (в течение месяца), и указывает штрафы — до 20 млн евро или 4% от годовой выручки — за невыполнение этого требования. Однако сами процедуры, которые должны помочь компаниям соответствовать закону (например, удостовериться в отправке данных их владельцу), в нем не конкретизированы. Поэтому организациям приходится самостоятельно (порой, методом проб и ошибок) выстраивать свои рабочие процессы.
Как можно исправить положение
Одно из самых радикальных предложений — отказаться от GDPR или кардинально его переделать. Есть мнение, что в текущем виде закон не работает, так как очень сложный и излишне строгий, а на соответствие всем его требованиям приходится тратить большое количество средств.
Например, в прошлом году разработчики игры Super Monday Night Combat были вынуждены свернуть свой проект. По словам её создателей, бюджет, необходимый для переделки систем под GDPR, превышал бюджет, выделяемый семилетней игре.
«У маленьких и средних бизнесов действительно часто нет технологических и кадровых ресурсов, чтобы разобраться в требованиях регуляторов и сделать необходимые приготовления, — комментирует Сергей Белкин, начальник отдела развития IaaS-провайдера 1cloud.ru. — Здесь на помощь могут прийти крупные вендоры и IaaS-провайдеры, предоставляющие в аренду защищенную ИТ-инфраструктуру. Например, мы в 1cloud.ru размещаем свое оборудование в ЦОД, сертифицированных по стандарту Tier III и помогаем клиентам соответствовать требованиям российского ФЗ-152 «О персональных данных».
Фото — Chromatograph — Unsplash
Есть и противоположная точка зрения, что проблема здесь не в самом законе, а в стремлении компаний выполнить его требования лишь формально. Один из резидентов Hacker News отметил: причина утечек персональных данных кроется в том, что организации не внедряют простейшие механизмы верификации, которые продиктованы здравым смыслом.
Так или иначе, в ближайшее время Евросоюз не собирается отказываться от GDPR, поэтому ситуация, на которую пролили свет во время конференции Black Hat, должна послужить стимулом для компаний уделить больше внимания безопасности ПД.
О чем мы пишем в наших блогах и социальных сетях:
766 км — новый рекорд дальности для LoRaWAN
Big Data: большие возможности или большой обман
Подборка книг для тех, кто уже занимается системным администрированием или планирует начать
Инфраструктура 1cloud в Москве располагается в Dataspace. Это — первый российский ЦОД, прошедший сертификацию Tier lll от Uptime Institute.
Комментарии (56)
numitus2
01.09.2019 19:57По факту исполнить GDPR невозможно. За год никто так и не сказал как совместить его с KYC и AML
HellKaim
01.09.2019 20:06+4По факту вполне возможно: у вас есть требования KYC, есть требования по AML. GDPR требует от вас а) не собирать лишней информации и б) не хранить лишнюю информацию. Т.е. если для целей KYC вам нужно иметь номер и фото ID клиента — имейте, но не делитесь этой информацией без ведома клиента и сообщите ему заранее а)зачем вам этот ID, б) кому вы его передадите и в) для какой цели вы его передадите.
Если вам нужно по законодательству хранить этот ID 20 лет, а клиент от вас ушел и требует "удалить его данные из вашей системы", вы ему а)заранее должны были сообщить что, сколько и почему вы будете хранить м б) какие данные в связи с законодательством вы не сможете удалить. И в законе это прописано в явном виде.
Просто понимать нужно суть закона, которая, как это не странно — крайне проста. Она не запрещает собирать данные, но ограничивает какие и зачем вы собираете и сколько их храните, а так же регулирует отношения с вашими клиентами именно в области персональных данных.
numitus2
01.09.2019 20:25-1Думаю что в рамках борьбы с терорризмом ко мне в любое время могут придти органы, и попросить IP и переписку пользователя. И думаю они не очень будут довольны если я их удалил. Сомневаюсь что по моему запросу facebook удалит мою переписку и список IP с которых я заходил
HellKaim
01.09.2019 20:28Все зависит от законодательства страны. Вы не поверите, но 4% оборота веская причина сказать "а мы все потерли согласно GDPR и бекапы уже затранклейтились — сорри". Вы зря сомневаетесь в фейсбук — там достаточно хорошо считают $$.
Kanut
01.09.2019 20:35Если законодательство вашей страны конфликтует с GDPR, то вы должны придерживаться вашего законодательства. И никаких проблем с GDPR в связи с этим у вас не будет.
Конкретный параграф GDPR посвящённый этому я сейчас не вспомню, но он там есть.numitus2
01.09.2019 20:37-1Т.е. я могу разместить сервера в России и согласно закону Яровой просто хранить вообще все и никогда не удалять?
Kanut
01.09.2019 20:44По идее да. Но по моему вам тогда ещё надо предупреждать об этом всех пользователей из ЕС.
П.С. Но действительно ли надо предупреждать, и если да то когда и как это я уже не уверен. У нас ликбез был перед введением закона и детали уже из головы вылетели.
ZaEzzz
01.09.2019 21:46+1Есть мнение, что ярое полное исполнение закона всеми игроками рынка приведет к ситуации а-ля "далее-далее-ок, привет амиго".
Вы лицензионное соглашение когда в последний раз читали полностью?HellKaim
01.09.2019 21:50Есть такое ;)
Но это не противоречит идее. Подайте в суд, докажите не легитимность требований и вуаля! В теории...
По сути, закон не исключает такой вариант, но обязывает раскрывать клиенту кто и зачем будет его данными пользоваться.
ZaEzzz
01.09.2019 22:46В теории. А на практике не хватает образования — если ты не платишь деньги за сервис, то ты сам товар. Сервисов-альтруистов доли процента.
Пример с потолка. Есть чат, которым все пользуются и он запрашивает твой номер телефона, но ты не хочешь быть товаром и не сообщаешь его. Не пользуется чатом и вылетаешь из круга общения. У чата такая модель монетизации. Нет данных — не на что содержать чат. Круговорот бабла в природе.
P.S. я не принимаю ни ту, ни другую сторону вопроса — они обе всех под одну гребенку несут. Беззаконие ведет к откровенной краже данных, полное исполнение оставляет на рынке только крупных игроков и монополистов. Хотя каждая ситуация индивидуальна.Kanut
01.09.2019 22:59если ты не платишь деньги за сервис, то ты сам товар
Я бы сказал что ситуация ещё хуже. И ты часто товар даже если ты платишь за сервис.
Беззаконие ведет к откровенной краже данных, полное исполнение оставляет на рынке только крупных игроков и монополистов.
Есть такое дело. Но с другой стороны нам гораздо проще работать с GDPR чем с кучей различных законов от разных стран ЕС. И я думаю что ещё более мелким фирмам это тоже проще.
Другое дело что раньше многие фирмы просто игнорировали национальные европейские законы о защите персональных данных. Но это опять же ставило в неудачную позицию те фирмы, которым приходилось следовать законам…ZaEzzz
01.09.2019 23:16Быть товаром за свои деньги — это да, печальный момент, который GDPR не исправляет.
Насчет единого закона для Европы это хорошо, но емнип он действует и за пределами ес, даже если ес не является рынком сервиса.
Опять же для мелких компаний не все так однозначно. Есть компания, которая предоставляет услуги только в одном городе европейской страны. Если раньше ей требовалось соблюдать законы только одной страны, то теперь еще и союза стран.
Все слишком неоднозначно. И без него плохо, и с ним не лучше. Избирательное исполнение? Какой же это тогда закон.
Ну и как мне кажется, логично исполнять законодательство на рынке присутствия. Хотя это тоже как посмотреть — при большом охвате проще иметь единые правила. В общем меня никак не покидают ощущения что во всем этом забыли про мелких игроков. Или забили на них. Или специально топят...
gecube
01.09.2019 23:37Насчет единого закона для Европы это хорошо, но емнип он действует и за пределами ес, даже если ес не является рынком сервиса.
Поддержу. Типикал сценарий — есть российский сайт в российской зоне, там регистрируется европейский гражданин со своими перс. данными. Вопрос — этот сайт начинает подпадать под GDPR?
numitus2
01.09.2019 23:38Да
georgevp
02.09.2019 01:31Извините за уточнение, а когда законодательные нормы ЕС стали действовать на территории России?
numitus2
02.09.2019 01:38С тех пор, как вы стали оказывать услуги пользвателям ЕС и собирать их персональные данные. На гугл и фейсбук в США это же распространяется, хотя они не в ЕС.
gecube
02.09.2019 03:18- Интернет глобален и не имеет границ.
- Вы же правда не будете на входе у пользователя спрашивать — является ли он гражданином страны, отличной от РФ?
- Не рассматривается случай бипатрид (тут вообще днище днищенское в законе)
- Можно ограничить вход на сайт с территории РФ по GeoIP или еще каким-то способом, но никто в здравом уме так не сделает — это автоматически ограничить свою клиентскую базу (я очень расстроюсь, например, если из зарубежа не смогу зайти на, скажем, Озон.ру).
Lissov
02.09.2019 17:29Вопрос в том, хотите ли Вы иметь бизнес в ЕС. Например, Фейсбук и Гугл хочет продавать рекламу в ЕС, потому имеет локальное представительство. А значен должен придумать, как проверять страну пользователя.
Вообще многое начинает работать, когда появляются финансовые потоки. Никого же не удивляет, что Гугл внимательно отслеживает локацию девелоперов в PlayMarket, чтобы соответствовать налоговым нормам разных стран.
Kanut
02.09.2019 08:06Нет.
Это уже обсуждалось в посте про куки. Одного того факта, что у вас регистрируются жители ЕС, недостаточно чтобы вы попадали под GDPR.
Нужно чтобы вы «предлагали товары и услуги на территории ЕС».
ViTTyler
02.09.2019 23:33Почти, но не совсем. Не на территории ЕС, а для граждан ЕС. Например, если у гостиницы есть версия сайта на немецком, то она попадает под требования GDPR, т.к. ее услуги явно направлены на граждан страны ЕС, хоть и предоставляются исключительно на территории РФ.
Kanut
03.09.2019 07:41Ну да я упростил формулировку. И на самом деле там всё ещё гораздо сложнее. Но это уже другой вопрос и я просто имел ввиду что наличие жителей ЕС, которые пользуются вашим сервисом, само по себе не заставляет вас попадать под GDPR.
И кстати наличие страницы на немецком тоже не обязательно это означает. Но это уже детали в которых скорее всего лучше разбираться с юристом :)ZaEzzz
04.09.2019 08:49Эм… А наличие английского языка?
Kanut
04.09.2019 09:18Просто на немецком, а уж тем более английском, языкe разговаривают не только жители ЕС. Поэтому это само по себе не обязательно означает что ЕС является рынком.
Но даже если мы предположим что на немецком говорят исключительно в странах ЕС, то даже тогда ещё не всё однозначно.
Простейший пример, который мне сразу приходит в голову, это например курсы по обучению немецкому языку для жителей России. Вполне себе логично сделать версию сайта и на немецком, но при этом любому ясно что целевая аудитория это россияне.ZaEzzz
04.09.2019 20:52Вот меня и беспокоит тот факт, что логично что ЦА не ЕС, но цепануть можно так некисло. Я в этом всем вижу больше не «додумайте сами что логично», а рычаги влияния при каких либо вопросах.
Kanut
04.09.2019 20:57+1"Цепануть" всегда где-то что-то можно. Лично я пока никаких "рычагов" или других причин для паники не вижу. Ни для резидентов ЕС, ни для иностранных фирм.
Возможно я и ошибаюсь, всё может быть. Но волков бояться…
Kanut
02.09.2019 08:30Ясное дело что GDPR не панацея. Но когда чиатешь посты и комментарии на хабре, то создаётся впечатление что до GDPR не было ни националъных законов о защите персональных данных, ни штрафов по этим законам для иностранных фирм.
Всё это было, просто мелкие и средние фирмы обычно вообще не трогали если вдруг не всплывали какие-то огромные косяки. Но грубо говоря если у вас мелкая фирма, нет осoбых косяков и вы и раньше игнорировали законы стран ЕС, то вы можете и GDPR игнорировать примерно с таким же риском.
Насчет единого закона для Европы это хорошо, но емнип он действует и за пределами ес, даже если ес не является рынком сервиса.
Как раз таки нет. В GDPR специально прописано что если ЕС не является вашим целевым рынком, то и следовать GDPR вы не должны. Даже если у вас регистрируются отдельные жители ЕС.
Есть компания, которая предоставляет услуги только в одном городе европейской страны. Если раньше ей требовалось соблюдать законы только одной страны, то теперь еще и союза стран.
Так теперь страны ЕС должны привести свои локальные законы в соответствие с GDPR. И вроде бы большинство это уже сделало.
П.С. И если вы посмотрите как выглядели эти самые локальные законы до GDPR… Один тот факт, что некоторые страны пытались блокировать GDPR на основани что он слишком «слабый», уже о многом говорит :)
Lissov
02.09.2019 17:23Я добавлю, что в законе прямо прописано, что Вы можете собирать персональные данные, прямо необходимые для выполнения предусмотренных договором услуг. Например, если Вы фотоателье, то даже не нужно клиента предупреждать, что Вы будете его фотографировать, хранить и видеть его фото. Но надо предупредить, если копия будет храниться у Вас после выполнения работы, или если покажете кому-то ещё.
Выполнение предписаний законов подпадает под «прямо необходимые» данные, но тут лучше в явном виде дать клиенту подписать, что «согласно закону, будем хранить».numitus2
02.09.2019 17:38-1Выполнение предписаний законов подпадает под «прямо необходимые» данные, но тут лучше в явном виде дать клиенту подписать, что «согласно закону, будем хранить».
Вы не можете отказать клиенту в услуге если он не даст согласие:
Четыре базовых условия правильно оформленного согласия: согласие дается свободно, является конкретным, информированным и выражено недвусмысленно. Дополнительное, пятое условие: согласие должно быть явно выраженным при особых обстоятельствах.
Согласие не является свободным, если согласие представляет собой часть договора, которая не подлежит обсуждению или изменению по инициативе владельца данных. Обрабатываемые данные не являются необходимыми для оказания услуги или заключения (выполнения) договора. Без дачи согласия человек не может получить основную услугу, заключить или исполнить договор. Или же услуга будет оказана в усеченном виде, на более худших условиях (например, ограниченный функционал).
Lissov
02.09.2019 17:52+1Спасибо за цитату, там прямо и написано:
Обрабатываемые данные не являются необходимыми для оказания услуги или заключения (выполнения) договора.
«Требуется законом» — это самое простое обоснование необходимости. Но для того чтобы было «информированным и выражено недвусмысленно» — надо дать документ на подпись. А вот фотоателье не просят ничего подписать, потому что клиент недвусмысленно согласен, чтобы его фотографировали, ну и это очевидно необходимо.gecube
03.09.2019 10:37-1А вот фотоателье не просят ничего подписать, потому что клиент недвусмысленно согласен, чтобы его фотографировали, ну и это очевидно необходимо.
Но клиент не дает согласия (любого) на хранения его фотографии после момента оказания услуги (т.е. в теории после распечатки фотографии, т.е. факта оказания услуги, электронная копия фотографии должна быть удалена, а то пес его знает как она там хранится, кто имеет доступ и т.п.)
Lissov
03.09.2019 12:26+1Конечно. И если фотоателье хочет оставить себе фото потом, должны получить явное разрешение клиента. И вот тут уже работает указанная выше норма GDPR — если клиент не разрешил, ателье обязано напечатать его фото и удалить копию, не имеет права отказать в обслуживании.
Как пример из реальной жизни, полиция проводит «тренинг» в детском саду про безопасность в транспорте. Родителей попросили разрешить фотографировать детей (чтобы потом полиция могла иллюстрировать отчёт об обучении детей) Некоторые разрешили, в благодарность за отличный тренинг. Большинство запретили, и все дети абсолютно одинаково участвовали в тренинге.
mayorovp
03.09.2019 12:26+1Вы принципиально не читаете прошлые комментарии в ветке?
Но надо предупредить, если копия будет храниться у Вас после выполнения работы, или если покажете кому-то ещё.
aPiks
02.09.2019 12:15По факту, выполнить GDPR довольно просто. Достаточно нанять толкового юриста, который по пунктам объяснит что и в каком случае надо запрашивать у пользователя. Потому что закон не запрещает хранить данные пользователя в принципе, но обязует говорить пользователю о том, что и как будет использоваться, а там дальше сам клиент выбирает, хочет ли он пользоваться вашим сервисом на таких условиях или нет.
Lissov
02.09.2019 17:31Да уже есть сервисы, которые помоают составить типовый документ. Там ничего сложного — просто явно перечислить список всего, что используется, и пара типовых абзацев.
HellKaim
01.09.2019 20:13+1Что же касается самой статьи — закон наступил на горло многим игрокам и серьезно осложняет жизнь торговцам данными. Понятно, что лобби не спит. Тот же фейсбук явно ему не рад.
Утверждения что "закон плохой, потому что не полный"… Есть отличный сайт от британского регулятора где за 1,5 года ДО была масса материалов по теме. То, что компании слабо внедряют проверки и т.п. проблема не закона, как мы все хорошо понимаем.
gecube
01.09.2019 23:36Я думаю, что проблема не в хранении данных, а в том, как они будут обработаны и для каких целей использованы.
Условно — предположим, я Вася Пупкин и клиент компании А. Потом я решил, что не буду в дальнейшем пользоваться услуга А и отзываю свое согласие на использование-обработку-хранение своих ПД. Компания А удаляет все мои данные, но все равно должна где-то в архиве оставить то, что я, Вася Пупкин, идентифицированный по документу ХХХХ, отозвал свое согласие. Т.е. попадание в информационную систему — это процесс необратимый в принципе. Вопрос только лишь в том, что компания должна каким-то образом пометить мои данные, как не участвующие в обработке — перс. предложениях и т.п.
Что еще хуже. ОК. Положим, меня идентифицировали по e-mail и, скажем, адресу доставки. Перс. Данные? Несомненно. А потом я теряю доступ к e-mail. Как я докажу, что я это я? Паспорта, очевидно, будет недостаточно.
В общем — в текущем виде, такое ощущение, что закон нужен только лишь, чтобы обеспечить еврочиновником кошмарить бизнес, наполняя казну гос-в штрафами. Ну, и давить мелкий и средний бизнес, для которого такой штраф эквивалентен закрытию бизнеса.
Lissov
02.09.2019 17:43А удаляет все мои данные, но все равно должна где-то в архиве оставить то, что я, Вася Пупкин, идентифицированный по документу ХХХХ, отозвал свое согласие.
1. А зачем оставлять? Удалили полностью и всё.
2. Если хочется, то осталось только имя и один документ. Об этом надо заранее предупредить пользователя, что они не удалятся. Всё остальное — будет удалено.
3. Зачастую, если есть финансовые операции, вообще можно заранее предупредить пользователя, что данные не могут быть удалены.
А потом я теряю доступ к e-mail. Как я докажу, что я это я?
Точно так же, как работает обычное восстановление доступа. Если других вариантов в компании не предусмотрено, Вам остаётся только доказать через суд, что это Вы. Докажете — удалят, причём компания ничем не рискует.
ExplosiveZ
02.09.2019 01:05Ох уж этот GDPR — заставляет собирать и хранить информацию о человеке, верно? /irony
pda0
02.09.2019 03:45Что интересно, 24% компаниям было достаточно адреса электронной почты и телефонного номера в качестве удостоверения личности
Ну, правильно. Ведь GDPR определяет email и номер телефона, как личную информацию, однозначно идентифицирующую человека.gecube
02.09.2019 07:12И что? Я теперь могу представляться другим человеком, только лишь потому что знаю его e-mail и телефон? Раньше мода (в древние времена) была настоящее имя человека скрывать, чтобы на него нельзя было порчу навести ;) а теперь, получается, нужно скрывать e-mail и телефон от всех?
pda0
02.09.2019 13:52+2Я теперь могу представляться другим человеком, только лишь потому что знаю его e-mail и телефон?
Судя по результатам исследований — да. :)
а теперь, получается, нужно скрывать e-mail и телефон от всех?
А вот сейчас серьёзно: Не представляю, как в 2k19 можно было уже не придти к такому выводу.
michael_vostrikov
02.09.2019 07:39Это разные идентификации, при запросе во взаимодействии участвует еще один человек. "Вот этот email принадлежит вот этому человеку" и "Вот этот человек является тем человеком, которому принадлежит email".
Ununtrium
02.09.2019 14:40Готов поспорить что к большинству комментаторов GDPR никак не относится вообще. Особенно те, кто возмущается что их имя и телефон собрались защищать. Не волнуйтесь вы так, это закон для граждан ЕС, к коим вы скорее всего не относитесь.
gecube
03.09.2019 10:38+1Отвечайте за себя :-)
Ну, и в РФ есть аналог GPDR — великий и ужасный ФЗ-152.
b0rg
03.09.2019 16:52-110 баксовый быдлохостинг у рузоне выдвигает свои предложения по изменению европейского законодательства… Взоржал…
Kanut
Да вроде бы фирмы которые изначально не занимались всякой ерундой и более-менее бережно относились к персональным данным к GDPR подготовились относительно быстро и безболезнено.
khim
Это вы о ком сейчас? Я, навскидку, ни одной компании, которой бы не пришлось потратить кучу времени, сил и денег на то, чтобы как-то более-менее соблюсти требования GDPR назвать не могу…
Kanut
Дефинируйте «кучу». У нас в связи с GDPR был ликбез для сотрудников, аудит на предмет соответствия и поправки в объёме работы одной команды в течении 6-9 недель. И это одноразовое событие.
Вы просто не забывайте что до GDPR каждая страна ЕС имела свои собственные законы, которые местами от GDPR не особо сильно отличались по объёму требований. И до GDPR нам приходилось постоянно мониторить законы большинства стран ЕС и каждый раз вносить изменения если вдруг менялось законодательство в стране, где у нашего материнского концерна находились филиалы или клиенты. И это стоило гораздо больше нервов и денег.
elobachev
Почему вы так думаете? Субъект данные запросил? запросил. Право имел? имел.
Компания не предоставила? да. Нарушение налицо… Другое дело что и так, как они сделали — тоже нарушение, ст.32. Суть претензии в том, что непонятно как не нарушить.
К примеру, шикарный способ вручить данные только их владельцу — предложить ему лично явиться за ними в центральный офис компании, предъявив ID. Ну или что там у них вместо паспорта %). Вроде бы даже в духе ст. 12 пункт 6. Но не будет ли это нарушением ст.15 пункт 3?
Я вот по этому тексту ориентируюсь, ogdpr.eu/ru/gdpr-2016-679 Надеюсь его можно считать официальным переводом =)
Kanut
Всё не так просто. Если вы купили месячный проездной, то вы имеете право на проезд. Но если вы забыли его дома, то контролёр имеет полное право высадить вас и даже выписать вам штраф.
В случае с GDPR (как впрочем и в случае с другими законами Германии/ЕС) нам на ликбезе посоветовали в спорных вопросах ориентироваться на прецеденты, а если таковых нет, то на обычный здравый смысл. И даже если у медиатора/судьи будет другое понимание здравого смысла, то скорее всего всё обойдётся предупреждением. По крайней мере пока закон обкатывается.
И вообще здесь судьи обычно больше смотрят не на букву, а на дух закона. Но если вдруг с GDPR это будет не так, то тогда уже и я поменяю своё мнение и буду думать как на это реагировать. Но честно говоря не думаю что это произойдёт.
elobachev
Думаю, что для резидента ЕС ваша оценка совершенно адекватна. В то же время, мы видим, что некоторых нерезидентов ЕС оштрафовали уже на куда более крупные суммы, чем, к примеру, суммарный объем всех штрафов по 152-ФЗ в РФ. Хотя его требования во многом более жесткие. По моему мнению это связано с тем, что GDPR в значительной мере является протекционистской мерой по отношению к рынку ЕС, примерно как наш закон Яровой.
В связи с этим стратегия «давайте мы сделаем по здравому смыслу» для конкурентов европейского ИТ выглядит очень рискованой, для прочих нерезедентов — просто рискованой =)
Kanut, вы там ниже пишете про то, что в случае противоречия локальной нормативной базы и GDPR следует применять локальную. Не могли бы вы все же указать параграф? Я не нашел :(
Lissov
Надо смотреть, за что их оштрафовали. Наверное, не за отказ предоставить копию данных.
Вообще в законе написано только «запрашивать-предоставить». В каком виде запрашивать, и как идентифицировать запрашивающего, тут уже вопрос к местному законодательству и прецендентам, которых и до GDPR немало. Как минимум, можно посмотреть процедуры идентификации при запросах в полицию, этого точно будет достаточно.
Kanut
Их оштрафовали по спорным вопросам? Или по каким-то параграфам где всё ясно? Честно признаюсь я такое не особо мониторю и может что и пропустил.
Это раскидано по отдельным параграфам и местами сформулировано юридически-бюрократическим языком. Например если мы обсуждаем право на стирание всех данных о персоне(Art 17. «Right to erasure»), то там в пункте 3 описаны исключения. В том числе и "(е) for the establishment, exercise or defence of legal claims."
П.С. И повторюсь наверное уже в десятый раз: GDPR не идеален, но какие-то законы о защите персональных данных нужны. И я лично рад что мы имеем GDPR, а не 28 разных и местами совсем абсурдных законов.