GDPR как оружие массового поражения

    Под угрозой все. Вообще все


    Бытует мнение, что сочинение законов, которые нарушают практически все – это изобретение нашей Родины. Но, как и со слонами, всё не так однозначно: при изучении General Data Protection Regulation (GDPR) я понял, что в этом мы безнадёжно отстали от Европы. Шутка ли – завиноватить одним махом весь мир! Думаете, вашей компании не предстоит прогибаться под GDPR? Я развею это опасное заблуждение.

    В этой статье я не буду описывать все закорючки GDPR, знакомство с которыми первым делом порождает вопрос «А нельзя ли просто забанить всех европейцев?» (и это не шутка, так и спрашивают), но сосредоточусь на запугивании тех, кто до сих пор не исследовал вопрос влияния GDPR на свою работу, априори полагая, что находятся вне зоны поражения.


    Я технарь (program manager), поэтому пересказываю положения GDPR в применении к техническим аспектам, а не бумажному оформлению. И хотя я не юрист со специализацией на европейском праве, но потратил прорву времени на изучение GDPR и вполне разбираюсь в том, что пишу:

    • читал сам закон;
    • участвовал в семинаре по нему;
    • читал официальные разъяснения к нему;
    • читал частные мнения по поводу;
    • читал судебную практику, из которой выросли некоторые новые положения этого закона;
    • обсуждал всё это с нашим юристом-швейцарцем;
    • и т.д.

    В целом на погружение в тему ушло больше двух месяцев.


    И такое «непрофильное» использование технического специалиста в данной ситуации неизбежно – многие опасные места в продуктах или инфраструктуре не обнаружит никакой юрист, только технарь, одновременно хорошо ориентирующийся в технических решениях и понимающий GDPR.


    Итак, почему я утверждаю, что GDPR накрывает практически всех?

    Три аспекта:

    • Расширенная география действия.
    • Расширенное толкование понятия персональных данных.
    • Под ударом и «контроллер», и «процессор». (Кто это?!)

    Рассмотрим подробнее:

    Расширенная география действия


    GDPR применяется к обработке персональных данных, осуществляемой организациями, действующими в ЕС.
    Кто расположен в Европе – те давно в курсе. Но формулировки GDPR распространяют влияние намного шире:
    Это также относится к организациям за пределами ЕС, которые предлагают товары или услуги частным лицам в ЕС / гражданам ЕС (независимо от того, требуется ли оплата).
    У вашего бесплатного сервиса существует английская версия и регистрация пользователей (хотя бы только e-mail)? Поздравляю – вы влипли. Те, кто активно продаёт свои продукты и сервисы на европейском рынке – те уже знают про GDPR, а вот для бесплатных проектов это может быть сюрпризом. Так же сюрприз подстерегает тех, кто на европейском рынке как таковом не действует активно, но по факту часто обслуживает граждан Евросоюза (граждан, где бы они ни находились!). А так же тех, кто может быть обвинён в направленности на европейцев по формальным признакам – достаточно перевести сайт на один из языков Евросоюза (английский, например) и принимать оплату в Евро (например, через какую-нибудь мультивалютную платёжную систему).
    Это также относится к организациям за пределами ЕС, которые отслеживают поведение, происходящее в границах ЕС.
    А это вишенка на торте – её подлость я раскрою чуть позже.


    Расширенное толкование понятия персональных данных


    Но даже если никакой регистрации пользователей нет – знаете ли вы, что именно GDPR теперь определяет как персональные данные?
    Физические лица могут быть связаны с онлайн-идентификаторами, предоставляемыми их устройствами, приложениями, инструментами и протоколами, такими как адреса интернет-протокола, идентификаторы файлов cookie или другие идентификаторы, такие как теги радиочастотной идентификации. Это может оставить следы, которые, в частности, в сочетании с уникальными идентификаторами и другой информацией, полученной серверами, могут использоваться для создания профилей физических лиц и их идентификации.
    Опаньки! Особенно интересно становится, когда понимаешь, что адреса интернет-протокола (internet protocol addresses) в GDPR – это привычные нам IP адреса (IP addresses). Многие толкователи сего священного манускрипта, не мудрствуя лукаво, просто заносят IP адреса в список персональных данных, чем вызывают страшные пожары у технарей – такая трактовка не совсем верна, но довольно часто совпадает с правильным ответом.

    Итак, в GDPR персональными данными объявляется не только информация, прямо идентифицирующая или позволяющая идентифицировать физическое лицо, но и та информация, которая, в совокупности с другой имеющейся или доступной информацией, с разумной вероятностью может быть использована для идентификации физического лица. Не удивлюсь, если в этом месте вы сломались – со мной уже пытались спорить, что в законе не могут использоваться какие-то «вероятности», тем более «разумные»… По сути, в GDPR говорится следующее: «если имеющийся у вас набор данных в совокупности с доступными вам из других источников данными позволяют вам с разумными затратами ресурсов идентифицировать физическое лицо, то это персональные данные». Google имеет достаточно данных, чтобы идентифицировать почти всех – значит он работает с персональными данными.


    Под ударом и «контроллер», и «процессор»


    Переходим к самой сложной комбинации: регистрации нет, да и сайт только на русском, т.е. на оказание услуг гражданам Евросоюза не нацелен. Свободны? А вот и нет!
    GDPR применяется как к «контроллерам», так и к «процессорам» – контроллер указывает, как и почему обрабатываются персональные данные, и процессор действует от имени контроллера.
    Ничего не поняли или вроде бы поняли, но не нашли где засада?

    Объясняю:

    Если «выключатель» какой-то функциональности у вас в руках (в виде явной настройки или просто власти добавить функционал или нет), то вы «контроллер». А «процессор» – тот кто получает персональные данные через вас или мимо вас, но по вашему решению.

    Читаем выше про «персональные данные в совокупности» и про Google, а потом вспоминаем – Google Analytics (или Яндекс.Метрика, или ещё что подобное) на сайте есть? Ну вот, Google «процессор», а вы «контроллер» и вы попали. Недавно Google явно задокументировал это:
    Если ваше соглашение с Google включает эту политику или иным образом использует продукт Google, который включает эту политику, вы обязаны предоставить определенную информацию и получить согласие конечных пользователей в ЕС.
    Теперь делаем следующий шаг – вспоминаем «отслеживают поведение, происходящее в границах ЕС» и задумываемся ещё глубже: «А не бродят ли по моему исключительно посконному сайту русскоязычные туристы с территории Евросоюза?»


    Спасение утопающих — дело рук самих утопающих


    А для тех, кто уже надумался сам на сам и желает переобсудить надуманное в кругу других страдальцев, мы организуем митап. На тему GDPR не продаём никаких продуктов или сервисов, мы такие же пострадавшие, так что будет предельно честный разговор. Анонс о митапе появится в ближайшее время на meetup.com в Plesk-events, в «заблокированном» Telegram в чате NSK IT events, в пока еще работающем Facebook в группе NSK IT events. Для иногородних планируется трансляция.

    P.S.: И не верьте тем, кто обещает «Купите наш Х – и станете соответствовать GDPR!» Равно как и тем, кто предлагает шпаргалки вида «пять простых шагов для соответствия GDPR». Достижение соответствия GDPR – задача комплексная, а решения в каждом случае индивидуальны. И мы это обсудим.

    Plesk

    73,76

    Plesk – панель управления хостингом

    Поделиться публикацией
    Комментарии 159
      0
      Я понял, что мы все умрем. Но что делать *
      * — в конце или точка, так как «ну что поделать то», или восклицательный знак (гори оно все огнем), или вопросительный знак (И что делать?). Никак не могу решить.
        +1
        Простой и универсальный ответ только один — избавлятся от персональных данных полностью.
        Остальные варианты намного сложнее…
          +1
          И не писать логи.
            0
            Писать. Но без айпишников. :)
              0
              Писать с апишниками, но нулевым последним octet'ом ;)
                0
                и перед прочтением зжечь
            0
            По описанию, сессионные куки уже позволяют идентифицировать пользователя. Или все-таки их мало, по этой GDPR?
              0
              Это зависит. Куки с сайта vasyapupkin.net — вряд ли, а вот что какой-нибудь Facebook вешает — однозначно да.
            0
            Идти слушать трансляцию www.meetup.com/plesk-events/events/250168226 :)
              0
              Не планировал, но набросал продолжение — очень короткое и практическое, чтобы брать и исправлять самое важное.
              habr.com/company/plesk/blog/354494
              +7
              Капаюсь в GDPR и всей нормативке уже больше года и чем дальше в лес, тем больше дров. Наработалось несколько кейсов на тему «а черт его знает как соответствовать этим нормам и не схлопотать штраф». Действительно единственный 100% вариант — полностью отказаться от общения с публикой, с клиентом, с контрагентом.
              Через час еду на встречу организованную нашим Garante Privacy и посвященную именно проблемам GDPR. Предварительно как бы обещали ответить на интересующие вопросы, а их только у меня на два листа 11 шрифтом. Посмотрим, что получится, если интересно, потом отпишусь.
                +1
                Разумеется, интересно! Интересно даже кейсы без ответов увидеть — может, получится разгрызть.
                  +2
                  Отчитываюсь — встеча состоялась и на вопросы (некоторые) пответы получили.
                  Прежде всего, самая забавная вещь, что же такое персональные данные. Ответ — все то, что может идентефицировать пользователя — физическое лицо. Тут есть один парадокс.
                  Вася Иванов. Это персональные данные? Как бы да, но не совсем. А потому как не указывает на конкретное лицо, которое мы можем выделить из тысяч Вась Ивановых, но стоит добавить немного инфы, как этот Вася становится конретной фигурой с конкретным местом жительства и всеми остальными атрибутами и правами, прописанными в регламенте.
                  Из обсуждения кого касается все-таки регламент. Всех, кто каким-то образом обрабатывает личные данные граждан ЕС. И тут стоит заметить, что в силу сразу вступают все нормы регламента и все его требования по документации и обработке.
                  На что обращать внимание. Все просто — на то, за что могут дать штраф.
                  Пристально стоит посмотреть на ст.ст. 25, 32, 28
                  Что будет смотреть первым делом Гарант — официальные уведомления клентов об использовании данных. То есть на правило пользования сервисов, уведомления о сборе куков, уведомления о сборе данных с указанием — зачем, как долго и как будут обрабатываться данные клиентов. Внимание уделялось на то, что не стоит брать типовые информативы, но продумывать все исходя из того — что реально берете и как реально используете и кто обрабатывает. То есть в любом случае этот маппинг делается —
                  1. Верификация обработки данных
                  2. Верификация рисков.
                  3. Прописать методы по минимилизации рисков. (причем тут не ограничено ничем, тоесть можно использовать любые доступные инструменты)
                  4. Регистр обработки данных. В общем и целом обязателен для всех.
                  Имея все вот это уже если задницу полную не прикроешь, то фиговый листок точно нацепишь и как-то более уютно себя почувствуешь.
                  Отдельные вопросы по DPIA и DPO… Обещали прислать письмецо с ответами. Но факт в том, что этот самый DPO должет иметь очень широкую автономность и как бы обязателен только для госструктур, для частников обязателен только в случае обработки специфических данных, НО в тоже время если обработка данных продолжительна либо их много (обожаю этот термин «larga scala») и если вы занимаетесь софтом — эта фигура обязательна.
                  Data Breach — в принципе обязанность доносить на самого себя. Потому лучше молчать пока это возможно и не вылазит наружу. Схатили шифровальщика, но есть бэкап и ничего не пострадало? Отметили и себя, собрали все логи и вс. информашки об инциденте, улучшили защиту, восстановили базы и никто ничего не заметил — ура, вытерли пот и работаем дальше. Но, если предотвратить утечку информации об инциденте видим, что не реально — стучим на себя первыми, дешевле будет.

                  Вот так вот сумбурно и вкратце по горячим следам. Сейчас ждем дополнительную информашку, которую должны прислать по емейл со всеми схемами и буду писать статью-схему по применениям. (надеюсь опубликовать и тут если НЛО пропустит). Вчера вечером обдумывал как лучше изложить — псевдокод какой-то получается)))

                  Что касается кейсов — да, есть интересные моменты, с очень нашей местной спецификой, но с фишкой, что затрагивает несовершеннолетних и малолетних, мы с партнером приводим в порядок IT структуру нескольких школ, и тут GDPR рулит во всей своей яростью + местное законодательство, которое не менее сурово и подводит тебя уже не под штрафы аминистративные, а под уголовную ответственность.
                  Постараюсь адаптировать, перевести и опубликую. Тема будет горячей еще долго, надеюсь, что буду полезным.
                    0
                    Большое спасибо за развернутый ответ.
                    А у вас нет информации относительно назначения представителя в ЕС — ст. 27 GDPR?
                      0
                      у нас всегда есть какая-нибудь информация! (шучу, не всегда)
                      Если честно, то по представителям знаю, что
                      1. Если юр лицо не резидент ЕС осуществляет деятельность на територии ЕС и взаимодействует с персональными данными граждан ЕС, то такому нерезиденту необходимо иметь своего представителя на територии союза. C(80) GDPR. Как правило такими представителями назначаются филлиалы и представительства юридических лиц, которых просто дополнительным документом уполномпчивают ведение необходимых переговоров и всех дел с Гарантом. Если читать регламент буквально, то основываясь на пар. 3 ст 27 представитель должен быть в той стране где находятся клиенты или по крайней мере их подавляющее большинство. Что делать в том случае, когда клиенты разбросаны по всему ЕС? Тут ситуация — сам задал вопрос и сам встал в тупик, если честно совсем. После длинных выходных буду звонить интересоваться. Что делать если нт представительства или филлиала? Искать юридическое или физическое лицо, резидента ЕС, занимающееся хозяйственной деятельностью и имеющее компетенцию для представления прав и осуществления обязанностей по соблюдению Регламента. Находим данное лицо, заключаем договор, вместе с ним исписываем кучу бумаги и… живем спокойно.
                      0
                      Про «несовершеннолетних и малолетних» прям сочувствую весь — страшное дело.
                        0
                        Не такое страшное, если все разбить на маленькие заачи (как обычно), но очень много неприятных моментов, которые требуется учитывать. Работать со школами в этом плане дает опыт такой, что после любые проблемы в области GDPR всяких частных фирм просто семечки)))
                  +2
                  S0krat, спасибо за вашу статью, я уже почти решил, что стоит почитать и сам GDPR.
                  Но все же, не могли бы вы еще немного подогреть мой интерес… Какое все-таки отношение имеет европейский закон к резидентам РФ? Чего мне бояться, в случае его нарушения, как физическому лицу, или как владельцу ( или ген. директору ) юридического лица, зарегистрированного на территории РФ и не ориентированному на зарубежный рынок?
                    0
                    Штрафа от 20 млн Евро, например. Который можно не платить, наверное — если запереться в России.
                      +4
                      Штраф на кого? Если я директор компании, которая игнорирует GDPR, меня будут на кипре вылавливать, когда я туда пузо погреть поеду, и этот штраф с меня вымогать? Если да, тол только ли директора это касается?
                      Если нет, и проблемы только у юрика, то что это за проблемы? Они касаются только активов компании, находящихся в ЕС, или их контрагентов тоже?
                        0
                        Я по технической стороне дела, не по юридической, нюансов наказания провинившихся не знаю. Поскольку Plesk — компания международная, то у нас никакой возможности «пересидеть в норе» всё равно нет.
                          0
                          Согласно ст.27 GDPR вы должны в пиьсменной форме назначить представителя в ЕС, если сами не находитесь в ЕС, вероятнее всего его и будут привлекать. Что будет если не назначить представителя — пока не ясно, мне кажется будут привлекать РосКомНадзор для решения вопроса =)))
                            0
                            А вот на это шоу я бы уже посмотрел! Х-D
                              0
                              Привлекать представителя будут только для процедурной части, ответственность женесет юридическое лицо.
                              Можно игнорировать GDPR, не назначать никого представителем и вообще сказать «а нам все равно».
                              НО, тут ведь какое дело, если у вас тут есть партнеры по бизнесу то для них вы являетесь в неком роде ответственным за обработку их данных, а следовательно ваши партнеры (юр лица) могут получить штраф. Или отказаться от сотрудничества с компанией, которая не соответствует GDPR. Для физических лиц достаточно будет черного списка типа «Компании не соответсвующие евронормам и черт знает что делающие с вашими данными». Плюс еврорегулятор ведет сегодня какие-то переговоры с Гуглом и по слухам гугл вполне так сотрудничет с регулятором.
                        +2
                        Главное, чтобы он приводился в исполнение так же как Cookie Law (никак).
                          0
                          Для платных сервисов — добавлять к цене, аналогично с ПДВ, 4% GDPR.
                          Для бесплатных непонятно — к ним будет применяться штраф в 4% от оборота (0 евро) или 20 млн. евро?
                            0
                            «Что больше», т.е. 20 млн.
                            +6

                            Очень правильный закон. Сначала докажите (и сами убедитесь), что вы надежно оберегаете каждый байт с информацией обо мне от третьих лиц, а уже потом собирайте мои данные. Я бы еще добавил право на взлом, чтобы пользователь имел закрепленное законом право убедиться, что поставщик услуг не номинально заботится о безопасности, и еще лучше иметь возможность обратиться в суд с полученными результатами.


                            Сегодня в информационный бизнес не лезет только ленивый, а уровень компетентности в сфере ИБ на уровне не знания. Поэтому строгость закона очень правильная и заботится о пользователе, потому что он в данном случае в зависимом положении. А перегибы со временем устранятся, все-таки ЕС.

                              +6

                              Довольно глупая позиция как по мне. Особенно последнее предложение.

                                +4
                                Довольно неаргументированное возражение.
                                  –2
                                  Ну, какое высказывание, такое и возражение.
                                +1

                                Аха! Предположим, я журналист-любитель, временами от скуки тискаю статейки себе на сайт. Сайт на арендованном виртуальном сервере (хз как он работает и что собирает), на движке вордпресс (хз как он работает....), с плагинами (хз как они....).
                                И вот на мой уютненький заходишь несовершеннолетний ты… Здрасте! Я преступник!
                                Очень правильный закон, ага!

                                  0
                                  В описаной ситуации всё выглядит именно так :( Если по букве закона.
                                    0

                                    Хороший пример. Вы используете потенциально дырявую систему, а оправдывать вас должно незнание и отсутствие злого умысла!? Тогда откуда у вас появится стимул разобраться не наносите ли вы этим вреда?

                                      0
                                      А теперь вопрос: с какого дуба читатель сайта вводит некие персональные данные?
                                      Всё, что собирает счётчик — он собирает без участия пишущего на сайте. Wordpress или другой движок тоже не журналистом сделан, его установил хостинг в нужной хостингу конфигурации.

                                      Мутно там всё, у кого адвокат лучше, то и выкрутится.
                                        +1
                                        А теперь вопрос: с какого дуба читатель сайта вводит некие персональные данные?


                                        Коммент захотел оставить, зарегал аккаунт со своей почтой. IP автоматом записался.
                                  0
                                  А какую судебную практику вы смотрели по не вступившей в силу норме?
                                  0
                                  Интересно, а после выхода Британии из Евросоюза положения о формальных признаках, которые касаются английского языка, останутся в силе?
                                    +1
                                    Британия будет поддерживать GDPR и после выхода — вероятно, в этом плане останется некое «общее юридическое пространство».
                                      0

                                      А что, Британия — единственная англо-говорящая страна в ЕС?

                                        0
                                        Есть ещё Мальта. Но там меньше полумиллиона жителей, так что идёт разговор о том, чтобы исключить английский из списка официальных языков ЕС. Впрочем вряд ли это так скро произойдёт.
                                          0

                                          Ирландия.

                                            0

                                            Вы не смешивайте диванную аналитику и факты, пожалуйста. Разговора такого никогда не было и не будет, как минимум из за 4.5млн населения Ирландии, которая никаким боком не собирается выходит из ЕС.

                                        +4
                                        Я не юрист, и просто мимо проходил, но возник вопрос, например по праву «на забвение».
                                        Пользуюсь я каким нибудь facebook, прошу удалить их мои ПД, по этому праву. Они их удаляют, но оператор связи с октября будет хранить эти данные еще месяц?
                                        Т.е. оператор связи или нарушает закон «Яровой» или влетает на 20кк по GDPR?

                                        Может кто более менее компетентный пояснить?
                                          0
                                          Согласно GDPR контролер может сохранить данные, которые необходимы для судебной защиты. По идее под это про любые данные можно сказать.
                                            +1
                                            В GDPR есть 6 законных оснований для работы с ПД — одно из них «требование закона».
                                              0
                                              Они их удаляют, но оператор связи с октября будет хранить эти данные еще месяц?
                                              Там вроде и дольше можно хранить. Выдавать нельзя (хотя при запросе от правоохранительных органов — можно). Гугл гарантирует что удалённые данные не будут уже никому доступны только через полгода.

                                              Это просто чтобы всех на уши не ставить и не заставлять решать проблему с бекапами и прочим.

                                              Так что нет — в этом месте GDPR и «Закон Яровой» вполне совместимы.
                                              0
                                              кто-нибудь знает, как не трекать аналитиксом тех, кто не дал согласие? и как не трекать вообще пока не дали согласие? как это все разделить?
                                                +2
                                                Справедливости ради, скажу, что никогда не видел в российском интернет-магазине возможность «оформить заказ без регистрации». Всем дай-подай имя, фамилию, почту, и непременно (!) мобильный телефон, все аккуратно собирают «базы клиентов».
                                                В европейских же такая возможность есть, неодократно сталкивался — при оформлении заказа можно нажать кнопку «не хочу создавать учетку, просто перейти к оплате» и максимум, что у вас спросят — это на какой адрес прислать электронное письмо-подтверждение. Ну и адрес доставки, само собой. Это если не самовывоз.

                                                Так что я в чем-то одобряю этот GDPR, особенно в части того, что необходимо реализовать возможность редактирования и удаления любых пользовательских данных.
                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                    0
                                                    Без проблем платил картой без регистрации. Точнее, не чисто картой, а через iDeal — это местная нидерландская платежная система, очень удобная, кстати. Но карта тоже участвует в платеже, так что это не совсем «без карты».
                                                      0
                                                      Местные платёжные системы зачастую могут по номеру карты получить всё, что им нужно, так что адрес вводить не нужно — он у них уже есть.
                                                    0
                                                    В европейских интернет-магазинах практикуется публичная оферта — цены на товары соответствуют реально имеющимся товарам на складе компании. Собственно интернет-магазин без публичной оферты не может приносить прибыль, чисто физически. Клиенты будут уходить туда где есть товар и можно его купить.
                                                    В этом варианте владельцы магазинов заинтересованны в количестве клиентов. Дополнительная персональная информация клиентов им не требуется, разве что спросят имя — чтобы уведомление выглядело более естественным. Впрочем, имя может быть любым, и не проверяется как лож. Сохранение конфиденциальности требуется (точнее именно так и появилось) при покупках интимного характера, ну или очень личного. У них вообще всё не очень гладко с сексуальной темой, точнее — полный бардак.

                                                    В наших интернет-магазинах (99,9% из них — прокладки) товара как такового нет, хотя есть не публичный договор с тем у кого он реально есть. При этом владелец товара по вине собственной жадности и криворукости не может полноценно торговать собственным товаром. Ему обязательно нужно вагонами, баржами, или на худой конец — партией в 100к штук.
                                                    В этом варианте продавец заинтересован содрать 9 шкур с нового покупателя, хотя своим «корешам» дарит товар за половину цены. То-есть на лицо явный обман с публичной офертой (если она и есть). И в этом случае закон сохранения персональных данных работает уже на самого продавца.

                                                    Таким образом GDPR (не в плане штрафов) полезен и там и тут. Но каким-то странным образом у нас он охраняет злодеев, а там покупателей.
                                                      0
                                                      Собственно интернет-магазин без публичной оферты не может приносить прибыль, чисто физически. Клиенты будут уходить туда где есть товар и можно его купить.
                                                      Amazon довольно часто требует положить товар в корзину, иначе цену не увидеть.
                                                        0
                                                        Догадайся где хозяин товара, а где прокладка.
                                                          0
                                                          Не знаю, что вы понимаете под «хозяином товара» и «прокладкой», но если Amazon цену не показывает, то это значит что они ниже, чем «положено» производителем товара… уходить «туда где есть товар и можно его купить» в этом случае банально глупо — вы потеряете деньги.
                                                          0
                                                          Amazon довольно часто требует положить товар в корзину, иначе цену не увидеть.

                                                          Можете показать пример такого товара?
                                                          Никогда не видел такого на Амазоне, закупаюсь там регулярно.
                                                          Разве что некоторые скидочные купоны действуют только "в корзине", но и они явно указываются под ценой товара.

                                                            –1
                                                            Могу, но не хочу. Любая такая ссылка приведёт к неизбежным комментариям вида виивсёврёти. Потому что сегодня цена есть, завтра нет, послезавтра опять есть.

                                                            Вот на страничка с пояснениями, на которую ведёт ссылка «why don't we show the price?», размещающаяся на таких страницах вместо цены. Она привычки исчезать и появляться не имеет.
                                                              0

                                                              Спасибо, не сталкивался — видимо, чисто американская заморочка.
                                                              Не удивлюсь, если в Европе такое поведение запрещено законом.

                                                                0
                                                                Я за два года очень активного использования американского Амазона тоже ни разу не сталкивался, надо сказать.
                                                                  0
                                                                  На страницах с книгами, надо сказать, я тоже не сталкивался. На странице с электроникой — изредка, чаще всего я такое видел на страницах со всякой фототехникой. Там на страничке с пояснениями достаточно наглядно описано — когда такое может быть. Термин «Minimum Advertised Pricing» я оттуда узнал. Походил по ссылкам, почитал… вроде всё легально…
                                                                    0
                                                                    Я на амазоне заказываю практически всё, от книжек и железок до протеина, туалетной бумаги и чернил для перьевой ручки

                                                                    Не, я не спорю с вами, конечно же, что такое может быть, я скорее говорю о том, как часто это встречается.
                                                        0
                                                        У меня интернет-магазин и в нем можно купить без регистрации. Но ФИО, адрес, телефон и email требуются для того, чтобы можно было отправить товар, уведомить об этом и связаться с покупателем в случае каких-то вопросов (например, неверно указан индекс, такое бывает довольно часто).
                                                        Собственно регистрация у меня служит только одной цели — не заполнять при каждом заказе все эти данные.
                                                          0
                                                          (например, неверно указан индекс, такое бывает довольно часто).

                                                          Я на Али пару раз ошибался с индексом (в рамках одного города) — сначала посылка приходила в почтовое отделение по индексу, а потом его на посылке исправляли и отправляли в нужное отделение исходя из адреса.
                                                            0
                                                            Отправка за границу — другое дело, в этом случае не проверяют соответствие индекса адресу. А при отправке у нас по стране оператор в почтовом отделении при приеме посылки вбивает адрес в программу, которая автоматом по индексу выдает населенный пункт :) Зачастую оператор готов сам исправить индекс на правильный если есть уверенность, что остальной адрес верный, но иногда такой уверенности нет.
                                                          0
                                                          Справедливости ради, скажу, что никогда не видел в российском интернет-магазине возможность «оформить заказ без регистрации». Всем дай-подай имя, фамилию, почту, и непременно (!) мобильный телефон, все аккуратно собирают «базы клиентов».

                                                          Тем не менее — такое бывает. Литрес подойдет как российский интернет магазин? На сайте — есть опция сразу купить, спрашивают на какой адрес чек и ссылку книгу прислать и сразу выбор способа оплаты. На мобильных приложениях у них это вообще чуть ли не основной режим. Правда они при этом создают в фоне аккаунт (и можно объединять аккаунты).
                                                            0
                                                            Как насчет всех европейских магазинов не скажу, а в германии с регистрацией или без регистрации — разницы не имеет. Для самого онлайн-шопа это фикция: и так и так данные будут сохранены, и будет создана учетная запись, в том же виде что и для зарегистрированного клиента, потому как этого требует налоговое законодательство (на 10 лет с момента выставления счета).
                                                            Разница только в том, что в одной учетке пароль есть, а в другой(гостевой типа) нет, и гость будь добр в следующий раз при покупке снова заполняй свои данные (адрес, емэйл, телефон и т.д.).
                                                            Так что обольщаться не стоит…
                                                            0
                                                            Кейс из Британии: Несколько месяцев вели консультации с юристами. В итоге всё, что сделали: возможность для админов по запросу пользователя найти все данные, которые мы о нём храним, и экспортнуть их в PDF для последующей отправки пользователю (так называемый Right to Access). Хотели ещё сделать возможность анонимизации всех персональных данных пользователя по запросу (так называемый Right to Be Forgotten), но в итоге при дальнейшем исследовании выяснили, что бизнес-критические данные можно хранить столько, сколько заявляем в T&C (у нас это 7 лет), поэтому задвинули на самое днище бэклога.

                                                            Кроме того, делаем pentest сертифицированной компаний в качестве доказательства, что у нас всё окей с аудитом безопасности.
                                                              0
                                                              Удивительный минимализм. Если бы мы со стороны R&D нашего юриста не вразумляли — вообще бы без каких-либо данных остались, наверное.
                                                                0
                                                                Кроме того, делаем pentest сертифицированной компаний в качестве доказательства, что у нас всё окей с аудитом безопасности.


                                                                Можно про пентест подробнее? Я думал, если уязвимость нашли — значит она есть. Если не нашли — ничего не значит(возможно плохо искали).
                                                                  +2
                                                                  Аудит от сертифицированной конторы дает возможность заявлять «вот эти авторитетные люди нас проверили и не нашли дыр». В ряде случаев это работает. Ради подобных заявлений проводятся и аудиты ценных бумаг, и пожарная инспекция, и многое другое.
                                                                  0

                                                                  Такое ощущение, что GDPR создан для заработка на консультациях. У нас тоже наняли юристов. В итоге, добавили на все формв галку о согласии пользователя на обработку персональных данных в течение длительного периода времени и отредактировали пользовательское соглашение.

                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                    –2
                                                                    А вы только в Чебурнете работаете?..
                                                                    +1
                                                                    Первая мысль от прочитанного — полтики в серьёз решили раздробить интернет.

                                                                    Правильно ли я понимаю, что в скором времени будет проще держать 3 портала «для США», «для ЕС» и «для РФ», что б не нарушить законодательство одной из стран, которые запросто могут противоречить друг друг?
                                                                      +2
                                                                      Мысль правильная — и да, это те чего хотят спецслужбы… а за ними и политики…
                                                                        0
                                                                        Из-за GDPR это уже становится осмысленным — хотя бы из-за того, что по GDPR у европейца придется спрашивать сограсие (consent) на каждый чих отдельно, отчего нормальный человек может просто озвереть и сбежать.
                                                                          0
                                                                          Похоже, что тот GDPR может деструктивно повлиять на развитие веб и ПО.

                                                                          Еще вопрос, может это не совсем в тему, но где-то рядом.
                                                                          Допустим у меня программа чекает апдейты на сервере AWS, надо спрашивать согласие?
                                                                          При отправке бага/краш лога кроме согласия на отправку, нужно теперь еще и согласие на ПД (ибо там конфиг компа)?

                                                                          PS:
                                                                          Как решать вопросы безопасности онлайн ресурса, если нельзя даже IP сохранить?

                                                                            0
                                                                            GDPR регулирует только работу с теми данными, которые идентифицируют физическое лицо. При чеканьи апдэйтов такие данные отправляются куда-то? При отправке бага/краш лога?

                                                                            Сложно. IP какое-то время можно хранить, если обосновать это как ваш (контроллера) законный интерес — например, для работоспособности fail2ban.
                                                                              0
                                                                              При чеканьи апдэйтов такие данные отправляются куда-то?
                                                                              Сложно соотносить.
                                                                              Например если при апдейте идет проверка лиц.ключа. Итого у сервера есть ключ и IP.
                                                                              Ключ может быть аналогом куков? или для этого есть отдельное определение?

                                                                              При отправке бага/краш лога?
                                                                              При отправке багрепортов отправляются параметры компа, версия, перечень файлов при сбое ну и у сервера IP. Для идентификации эти данные не используются, но хранятся какое-то время(исправление ошибки). Теоретически могут использоваться для идентификации, надо доказывать, что это не делается? Как это доказать?
                                                                                0
                                                                                Итого у сервера есть ключ и IP.

                                                                                IP технически всегда есть — а пишется в логи? Ключ может быть связан с физлицом?
                                                                                Если оба «да» -> GDPR.

                                                                                Теоретически могут использоваться для идентификации, надо доказывать, что это не делается?

                                                                                Если действительно могут -> GDPR.
                                                                                  0
                                                                                  Если действительно могут
                                                                                  На самом деле, сейчас разработаны способы идентификации по множеству не очевидных параметров с достаточно высокой точностью. Хорошо, что это законотворцам не рассказали.

                                                                                  Правильно ли понимаю, что если данные не сохранять, то можно не боятся GPDR?
                                                                                  Если так, как доказывать?
                                                                                    0
                                                                                    Если их можно не получать — правильно не получать. Но IP нельзя не получать, так что не сохранять — достаточно.
                                                                                    Если придётся доказывать — то посмотрят в логи и БД, не беспокойтесь. ;)
                                                                        0

                                                                        Есть пару стартапов, страдаю GDPR'ом с начала года.
                                                                        В принципе не так страшен чёрт как его рисуют, просто нужно было нанять пару хороших юристов, составить EULA… дать пользователям возможность отключать сбор данных с потерей соответствующего функционала, и возможность "полностью" удалить аккаунт, объяснить зачем это всё собирается… провести много DevOps манипуляций и внедрить семь кругов ада всяких методов логирования/контроля доступа.


                                                                        Проблема крылась в слове "полностью", ведь записи с бухгалтерии тоже "персональные данные" которые "собираются", и просто так их не удалить без нарушения местного законодательства. В Штатах за это, вроде как, даже уголовная ответственность предусмотрена.


                                                                        В целом, если у вас нет утечек, и даже если и были, но вы наладили оповещение, — особо переживать по поводу GDPR'a не стоит.

                                                                          +1
                                                                          ведь записи с бухгалтерии тоже «персональные данные» которые «собираются», и просто так их не удалить без нарушения местного законодательства

                                                                          Этот момент в GDPR обработан. Одно из шести законных оснований обработки персональных данных: Legal obligation, то есть требование законодательства. Если какой-то другой закон требует от тебя хранения или обработки ПД — то ты можешь их хранить или обрабатывать в том объёме и тот срок, который от тебя требует этот самый другой закон.
                                                                            0
                                                                            Хм… дык надо в Думу РФ такой закон «задвинуть».

                                                                            Ну хотябы чтобы можно(НУЖНО) было куки и мыло сохранять.

                                                                            Пусть поддержат местных интернет-предпринимателей.
                                                                            Глядишь и иностранные конторы или их филиалы под юрисдикцию РФ перейдут.

                                                                            (почти шутка)
                                                                              0

                                                                              Да, там непонятки c определениями есть — Accounting не всегда может подпадать под Legal Obligation в разных странах… именно об этом и речь, что иногда пользователь может корзинить бухгалтерию, и это страшно (мало спал, видимо некорректно выразился).

                                                                            +1

                                                                            Поможет ли сделать при первом входе на сайт баннер типа "посещая этот сайт, вы гарантируете, что вы не из ЕС"?

                                                                              +1
                                                                              Не из ЕС, не из США, не из России, вы подтверждаете, что никогда прямо или косвенно не будете участвовать в судебном преследовании компании-владельца сайта, в том числе, если владелец сменится…
                                                                              0
                                                                              Проживаю в Финляндии, работаю в компании которая без каких либо скидок работает с персональными данными. Еще год назад мы начали получать первую информацию по теме, были (и будут еще) конференции, семинары, консультации с консалтинговыми компаниями… Пару месяцев у нас в компании новый проект стартовал, который мы обозвали не мудрствуя лукаво GDPR…

                                                                              Ну… не могу сказать, что специалист (напрямую вопросом не занимаюсь — только «в части касающейся»), но в целом… не могу сказать, что там так уж все страшно (автор определенно перегимает палку, хотя и во многом прав кончено)… Для истерик точно нет причин

                                                                                +2
                                                                                Согласен, автор слишком сгущает краски, а о самом важном не рассказал: как именно соответствовать и не попасть на штраф. Всё не так уж сложно:
                                                                                1 — определяем относимся ли мы к области действия закона. Продаём в евро услуги или товары с доставкой в ЕС? Имеем адрес, указывающий на географическое положение в Европе (***-FR.com и тд)? Позволяем при регистрации в качестве места постоянного проживания указать Европу? (Важно: постоянного проживания (residency). Вопрос о гражданстве могу попозже прояснить, но пока что даю 75%, что простого паспорта Франции у пользователя, постоянно проживающего в России, не хватит для того, чтобы он мог с вас что-то требовать по GDPR.). Любым способом «нацеливаем» свои услуги на граждан ЕС? Если хоть на один вопрос ответили положительно, то да, попадаем под область действия закона. Но это — не конец света.
                                                                                2 — что делать?
                                                                                Первое — назначить представителя в ЕС. На первый взгляд, требование тупое, но подумайте ещё 5 секунд. Вы собираете ПЕРСОНАЛЬНЫЕ ДАННЫЕ пользователя. Эти данные могут быть использованы ему во вред, не говоря уже о конституционных правах на личную жизнь и всё такое. Если вы хотите делать бизнес с европейцами, то уж извольте приложить некоторые усилия для этого. У нас тоже много законов, которые можно не знать, а потом как попасть со штрафами, что и почкой не расплатитесь. А тут вы собираете с пользователей, живущих в определённом правовом поле (вполне цивилизованном) их личную информацию и я думаю, что такие пользователи заслуживают права жить по своим законам и быть уверенными в своих правах, а не лезть при посещении каждого сайта в интернете в справочники по законодательству конкретной страны (вы же сами не хотели бы так делать?).
                                                                                Второе: создать механизмы, требующиеся по закону:
                                                                                -Right to be forgotten (всё просто и давно нам известно)
                                                                                -Right to access (собираете всю инфу о пользователе, включая собранную автоматически, а затем отправляете ему)
                                                                                -Нотификация при утечке данных или обнаружении уязвимости (вполне себе честно, не находите?).
                                                                                -А также то, что вообще-то и так в любой юрисдикции нужно делать — ТРЕБУЙТЕ СОГЛАСИЯ пользователя на сбор его данных и вообще на пользование вашим сервисом НА ВАШИХ ЗАКОННЫХ УСЛОВИЯХ (это про нюансы хранения информации, сроки и т.д.). Вообще, в любой нормальной стране e-contracts уже давно не являются чем-то удивительным. Обычный контракт. Условия заключения тоже обычные — предложение, явное согласие и желание быть связанными обязательством (про consideration не будем, это в РФ не нужно). От пользователя надо только потребовать активного действия — проставления галочки или пары дополнительных кликов.
                                                                                -Data portability — возможность отдать пользователю в общеизвестном формате (думаю, JSON/XML подойдут) все данные, КОТОРЫЕ ОН САМ ПРЕДОСТАВИЛ (логов не нужно).

                                                                                Изи же? Чего паниковать? Ничего технически нереализуемого я в законе не увидел. Это не сомнительные пакеты, принимаемые нашей ГД в 0.1 чтении. Да, он добавляет разработчикам работы, но он и защиту предоставляет людям. Не какую-то мифическую защиту от террористов, а защиту и некоторые гарантии от вполне себе распространённых преступлений. Ну и права какие-никакие даёт. Решили вы новую жизнь начать и удалить аккаунт с сайта знакомств — пожалуйста. Зачем таким апокалиптичным выставлять этот закон?
                                                                                  0
                                                                                  Дык я что, возражаю? Правда я не в курсе что там в отношении компаний которые находятся за пределами ЕС. Ну… как-то не очень интересно… но наверное автору статьи виднее — он по крайней мере в жтом как-то разбирался.

                                                                                  Вот то что касается того, как этот закон работает (его нормы пока не применяются, но он как-бы работает) на территории ЕС автор конечно сгущает краска, как вы выразились… Сильно скущает… Но в принципе ничено неправильноо он не написал вроде…

                                                                                  >>Да, он добавляет разработчикам работы, но он и защиту предоставляет людям.

                                                                                  что там насчет защиты не знаю — увидим когда оно начнет применяться на практике, а вот то что касается работы — да, данный закон самим фактом своего существования одномоментно создал десятки тысяч новых рабочих мест

                                                                                  и это… Right to be forgotten — все далеко не просто — данный принцип применим не всегда… вот скажем в нашей компании он не может быть применен в принципе
                                                                                    0
                                                                                    Не планировал, но набросал продолжение — очень короткое и практическое, чтобы брать и исправлять самое важное.
                                                                                    habr.com/company/plesk/blog/354494

                                                                                    > ТРЕБУЙТЕ СОГЛАСИЯ пользователя на сбор его данных и вообще на пользование вашим сервисом НА ВАШИХ ЗАКОННЫХ УСЛОВИЯХ

                                                                                    Ой много в это месте нюансов… В частности, по GDPR вы обязаны отделить данные, что необходимы для возможности использования вашим сервисом, и что опциональны на самом деле — и на вторые контракт не распространяется, не имеете права связывать. И т.д.

                                                                                      0
                                                                                      Согласен, но опять же, что в этом страшного? Ведь мяч по-умолчанию на вашей стороне. Кроме того, все нюансы уже давно были опробованы в судах и исходя из этих решений родились «лучшие практики». Пример: как собирать согласие пользователя с точки зрения UX/UI и т.д. Ну а если хочется проявить индивидуальность, тогда лучше спросить у юриста.

                                                                                      За вторую часть спасибо! Она действительно убирает панику и даёт дельные советы. В целом, моя претензия была лишь к этому. Обозначили проблему, но забыли упомянуть, что с ней более-менее легко не столкнуться :)
                                                                                        0
                                                                                        Ничего страшного — просто куча работы (у нас в пару-тройку человеко-лет вылилось, наверное).

                                                                                        Пожалуйста :)
                                                                                        0
                                                                                        вообще GDPR он не запрещает собирать данные. Более того, степень необходимости тез или иных данных вы определяете сами (другое дело, что согласия пользоателя по любому нужно спрашивать, и GDPR тут в общем-то не при чем).

                                                                                        GDPR он про ЗАЩИТУ данных. Кроме того, он еще определяет, права того, кого эти данные описывают (неправильно говорить кому они принадлежат, ибо принадлежность данных вопрос очень щекотливый… это мое личное мнение впрочем).

                                                                                        Я приведу пример (он не всеобъемлющий, просто для иллюстрации): человек, чьи персональные данные находятся в вашем реестре должен иметь возможноть в произвольный момент времени запросить кто когда и зачем просматривал эти данные. Соответственно вы должны фиксировать каждый факт доступа к этим данным, вместе с причиной доступа. Повторбсь это просто пример… один из множества…

                                                                                        Авторы законопроекта серьезно рассчитывают, что на рынке появятся компании, чьей специализацией будет как раз хранение реестра персональных данных и регламентированный доступ к таковым. До этого пока далеко, но зачатки этого бизнеса уже просматриваются. Беда в том, что сам доступ к этим данным по больщому счету никому не нужен, но такой сервис должен отвечать на вопросы типа «является ли человек с идентификационным номером 122314 старше 40 лет?», «какой процент среди моих клиентов составляют лица состоящие в браке?», «Верно ли для клиента XXX утверждение » итп. т.е. идеи такого сервиса уже есть, а вот как его реализовать пока думают…

                                                                                          0
                                                                                          т.е. идеи такого сервиса уже есть, а вот как его реализовать пока думают…
                                                                                          Но то есть закон пока есть, а как это будет работать — никто не знает… странно, тут многие уверяют, что только в России так законы принимают…
                                                                                            0
                                                                                            Нет, просто в России многие понимают закон как сервис
                                                                                            Ну и читать не все умеют
                                                                                            0
                                                                                            «какой процент среди моих клиентов составляют лица состоящие в браке?»,

                                                                                            После такого запроса каждый человек на свой запрос


                                                                                            кто когда и зачем просматривал эти данные

                                                                                            получит ничего не значащий ответ "смотрели, состоите ли вы в браке, причина "(пробел)"" (или "вы клиент компании ХХХ", если те раскроют критерии выборки). Такую причину ещё нужно суметь сформировать для пользователя по каждому запросу статистики к такой объединенной БД, а потом ещё и проверить каким-то образом, верна ли предоставленная причина, причем до того, как отдавать данные на выход. Возникает вопрос — кто это будет делать, и сколько это будет стоить, а ответы на него даже сейчас ИМХО туманны как не знаю что. Вот и нет такого бизнеса, потому что монетизировать хотя и можно, но проверки валидности каждого запроса обойдутся в слишком неясную сумму.

                                                                                              0
                                                                                              То есть тут либо фирмы найдут способ это делать дёшево и безболезненно для себя. Либо будут делать как раньше и получать судебные процессы и штрафы. Либо перестанут хранить и/или раздавать/продавать эту информацию третьим лицам.

                                                                                              И если честно то когда у нас провели брифинг по GDPR, то я там услышал одну на мой взгляд очень важную фразу в качестве совета по best practices. Звучало это примерно так:" Прежде чем пытаться определить является ли хранящаяся у вас инфорамaция той самой «personal data» и попадает ли она под GDPR, определите сначала а нужна ли вам эта информация действительно для ваших бизнесс-процессов".
                                                                                              После чего мы сели, подумали, обсудили дело с нашими клиентами-партнёрами и выяснили что примерно треть информации, которую мы храним, на самом деле никому в общем-то и ненужна…
                                                                                                –2
                                                                                                «какой процент среди моих клиентов составляют лица состоящие в браке?»,
                                                                                                После такого запроса каждый человек на свой запрос

                                                                                                кто когда и зачем просматривал эти данные
                                                                                                получит ничего не значащий ответ «смотрели, состоите ли вы в браке, причина…


                                                                                                только если разработчики информационных систем будут иметь точно такие-же отклоненичя в психике, что и у вас… Остальные прочтут текст законо и реализуют ровно то, что в нем написано — без влажных фантазий
                                                                                        0

                                                                                        Очередной буллшит по типу Cookie law. Политиканы как всегда живут в своём мире.

                                                                                          0
                                                                                          Самый важный вопрос — а что будет тем, кто ничего не будет делать? Если нет юридического лица в ЕС. Думаю, это процентов 80-90 интернета. Не будут же они блокировать…
                                                                                            +1
                                                                                            Пока что ещё нет точного ответа, так как закон вступит в силу только с 25 мая. Но пока что обсуждается такой вариант:
                                                                                            в ЕС есть так называемая DPA (data protection authority). Она(они) следит за исполнением закона. Закон для неевропейских компаний может быть соблюдён путём обычного контракта. Думаю, они предложат заключить вам контракт о том, что вы соблюдаете этот закон. Если вы отказываетесь, тогда есть два механизма. Первый — обычное правило международного частного права — court injunctions. Суд в ЕС просто просит российский суд (по месту регистрации ответчика) выпустить постановление о прекращении безобразия. 99,9%, что это требование будет выполнено. Также есть вариант самостоятельного обращения клиента либо той же DPA в суд прямо по месту регистрации вашего бизнеса (в российский суд, то бишь). Опять же, наш суд легко может согласиться с требованиями GDPR и обязать вас либо их исполнять, либо прекратить оказывать услуги в ЕС. Но если наша страна в очередном патриотическом приступе вдруг встаёт в позицию «хайли лайкли гоу фак ёрсэлф», то есть и второй способ для европейцев — принятие мер по запрету оказания услуги/доставки товаров. Товары можно на границе задерживать, а оказание услуг блокировать можно сами понимаете как.
                                                                                            Далее моё личное мнение (я такого обсуждения не видел, но не могу представить почему бы нет). В теории, можно сделать белый список сайтов. При переходе на сайт, не находящийся в этом списке из ЕС, пользователю 10 раз будут показывать, что-то типа «вы идёте на опасный сайт, они ваши данные не пойми как хранят, потом задолбаетесь по судам иностранным бегать» и т.д. Ну и в список вносить после проверки на соответствие закону (такая проверка в нём прописана). Это просто идеи. Такое не обсуждалось, вроде бы (я не встречал), но я не вижу причин не предположить такой механизм.
                                                                                            0
                                                                                            «процессор». (Кто это?!)

                                                                                            Вероятно по-русски правильно обработчик, речь же об обработке ПД. А controller – ответственный за обработку.
                                                                                              0
                                                                                              :)
                                                                                              У меня всё по теме на английском, в том числе и в голове — так тяжело переводить… Простите великодушно.
                                                                                              +2
                                                                                              На мой взгляд закон скорее полезен чем вреден. Сейчас все пытаются собрать как можно больше персональных данных о пользователе, чаще всего просто исходя из того что «а вдруг пригодится». Но о том чтобы эти данные оставались недоступны каким-либо третьим лицам заботяться не особо. В результате постоянные утечки. Это если данные изначально не собираются чтобы их кому-то продать.
                                                                                              А этот закон заставит фирмы как минимум подумать о том нужны ли им все эти данные на самом деле и что случится если вдруг эти данные утекут куда-то, куда не должны утекать.

                                                                                              И ясное дело что этот закон создаст проблемы для фирм, и что эти проблемы приведут к повышению расходов, и что эти повышения в результате оплатят сами пользователи.

                                                                                              Но во первых лично мне кажется что оно того стоит. А во вторых не факт что бесконтрольные утечки и распространение данных не стоят пользователю гораздо больше, даже если рассматривать чисто экономическую сторону вопроса.
                                                                                                0
                                                                                                А у меня такой вопрос: распространяется ли закон на физических лиц, которые владеют сайтом?

                                                                                                Например, я имею личный блог, в нем стоит счетчик гугл-аналитики и прикручены комментарии от Discourse. Ни о какой коммерции, естественно, речь не идет. Я имею какое-то количество посетителей из Европы, да и сам живу в Европе. Формально, мой блог является контроллером, да еще и двух сервисов, каждый из которых хранит личные данные пользователей. Попадает ли мой блог под действие закона? Если да, то что делать?
                                                                                                  0
                                                                                                  В GDPR формулировка такая:
                                                                                                  This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities. However, this Regulation applies to controllers or processors which provide the means for processing personal data for such personal or household activities.

                                                                                                  Вот и думайте…
                                                                                                    0
                                                                                                    Спасибо, вот думаю. Вроде бы и понятно, но до конца на 100% не ясно. Ох уж эти формулировки…
                                                                                                  0
                                                                                                  Да… Роскомнадзор со совим хайпом вокруг «блокировки» Телеграмма — это просто розовые пушистики!
                                                                                                  Феерическая жжесть!
                                                                                                    0
                                                                                                    GDPR полная противоположность нашему закручиванию гаек. Я всем, чем только можно приветствую необходимость оказываться от хранения личных персональных данных (ФИО, адрес, телефон), и проверяемо надежного хранения остального (логин/пароль и аватарка с котиком). Конец эпохи беспредела соцсетей.
                                                                                                      0

                                                                                                      Давным-давно в одной далекой галактике Римской империи был похожий случай. Законодатели озаботились тем, что молодого римского гражданина можно легко обвести вокруг пальца. Просто в силу его молодости и неопытности. Найдется какой-нибудь проходимец, наплетет доверчивому юнцу с три короба, ну и… сами понимаете. И вот, чтобы проявить заботу о молодом поколении был выпущен закон, который позволял юному римскому гражданину отказаться от любого заключенного договора, объявив, что он был заключен лишь в силу неопытности. Как вы полагаете, какие были последствия?


                                                                                                      Ответ

                                                                                                      Последовали массовые банкроства молодых римлян, которых закон должен был защитить. Так как они моментально и одновременно лишились и кредита, и деловых партнеров.


                                                                                                      Так что вы правы. Это вполне может быть


                                                                                                      Конец эпохи беспредела соцсетей.
                                                                                                        0
                                                                                                        Вы не подскажете как опытные римские граждане люди сейчас могут хотя бы узнать какую информацию о них хранят различные онлайн-порталы, форумы, социальные сети, поисковые системы, мылопровайдер, вебшопы и прочие? Как они должны узнавать что произошла утечка этих данных? Ну без GDPR?

                                                                                                        Или предлагаете ничем из вышеперечисленного не пользоваться?
                                                                                                          0

                                                                                                          С моей точки зрения это должны быть договорные отношения между пользователем и сервисом. Возможно с добровольной сертификацией сервисов на предмет соблюдения стандартов обращения с персональными данными. Иначе имеем шанс оказаться в ситуации, когда значительная часть сервисов просто окажется недоступной (закроется/заблокирует доступ пользователям из Евросоюза).


                                                                                                          Кстати, интересно, а если сервис при регистрации честно, большими буквами пишет каждому новому посетителю: "ВНИМАНИЕ! МЫ НЕ СОБЛЮДАЕМ GDPR. Если Вы не согласны — не пользуйтесь данным сервисом". Или GDPR запрещает пользователям из Евросоюза пользоваться сервисами, не соблюдающими GDPR?

                                                                                                            0
                                                                                                            >С моей точки зрения это должны быть договорные отношения между пользователем и сервисом. Возможно с добровольной сертификацией сервисов на предмет соблюдения стандартов обращения с персональными данными.

                                                                                                            Вы конечно извините, но у нас уже больше 20 лет существовала возможность для онлайн-сервисов прийти к договорным соглашениям с пользователями. Но что-то подавляющее большинство сервисов решило этим не заниматься. И мне как-то не верится что они стали бы это добровольно делать когда-либо в обозримом будущем.

                                                                                                            > Иначе имеем шанс оказаться в ситуации, когда значительная часть сервисов просто окажется недоступной (закроется/заблокирует доступ пользователям из Евросоюза).

                                                                                                            Что-то я очень в этом сомневаюсь. Большинство серъезных «игроков» давно уже подготовились к GDPR. Из остальных те, кому интересен европейский рынок, тоже перейдут достаточно быстро. А кто не хочет… Ну значит исчезнут с европейского рынка. Правда я сильно сомневаюсь что это огорчит такое уж большое количество европейцев.

                                                                                                            >Кстати, интересно, а если сервис при регистрации честно, большими буквами пишет каждому новому посетителю: «ВНИМАНИЕ! МЫ НЕ СОБЛЮДАЕМ GDPR. Если Вы не согласны — не пользуйтесь данным сервисом». Или GDPR запрещает пользователям из Евросоюза пользоваться сервисами, не соблюдающими GDPR?

                                                                                                            Пользователям GDPR ничего не запрещает. А надпись эта никому ничего не даст. Если предоставляете услуги европейцам, то соблюдайте GDPR или платите штрафы.
                                                                                                              0
                                                                                                              Ну значит исчезнут с европейского рынка. Правда я сильно сомневаюсь что это огорчит такое уж большое количество европейцев.

                                                                                                              Беда в том, что есть куча некоммерческих, бесприбыльных сервисов. В той же Германии куча общественных организаций, которые действуют исключительно на средства своих членов. Как вы думаете, они готовы будут вдруг вложиться во все эти мероприятия?
                                                                                                              Есть еще целый пласт очень небольших предприятий, которые предпочтут закрыть сайты или отказаться от всякого интерактива на них, вместо того, чтобы проводит аудит, платить за консалтинг и рисковать 20 млн. штрафом. Т.е. небольшая закусочная, которая принимала заказы в том числе через сайт (форма + отправка на E-Mail), просто закроет этот сервис на сайте. И останутся в интернете только монстры вроде Burger King, Domino's, Smiley's, Liferando, Liferheld и иже с ними.


                                                                                                              Если предоставляете услуги европейцам, то соблюдайте GDPR или платите штрафы.

                                                                                                              Хм… т.е. это примерно так: Приходите вы в кафе, а там табличка "Граждан Евросоюза не обслуживаем".

                                                                                                                0
                                                                                                                >Беда в том, что есть куча некоммерческих, бесприбыльных сервисов. В той же Германии куча общественных организаций, которые действуют исключительно на средства своих членов. Как вы думаете, они готовы будут вдруг вложиться во все эти мероприятия?

                                                                                                                Во первых это не так дорого как вам кажется. Даже если всё делать самим.
                                                                                                                Во вторых такие организации очень редко делают свои странички — сервисы сами. Обычно они их покупают как пакет и те, кто такие пакеты предоставляют, давно уже сделали всё необходимое чтобы пакеты соответствовали законам. А если не сделали, то не такая уж и проблема их сменить.
                                                                                                                Ну и в третьих нужны ли этим организациям все те персональные данные, которые они собирают, на самом деле?

                                                                                                                > Хм… т.е. это примерно так: Приходите вы в кафе, а там табличка «Граждан Евросоюза не обслуживаем».

                                                                                                                Примерно так. Плюс нет возможности выбрать европейскую страну при регистрации, не возможности выбрать её как адрес доставки, нет возможности скачать апп для андроида и айфонов в сторе, и т. д. и т. п.
                                                                                                                  +1
                                                                                                                  Во первых это не так дорого как вам кажется. Даже если всё делать самим.

                                                                                                                  Дело не в деньгах. Дело во времени, в самой возможности иметь проблемы с законом. В Германии ценят комфорт и спокойствие. Я знаю по крайней мере одно небольшое Reisebüro, которое рассматривает вопрос о закрытии сайта. Но проблема шире. Фирмы получают данные клиентов по E-Mail. В автошколе инструктор записывает время занятий учеников в ежедневник. Булочнная точно так же записывает данные клиентов в тетрадку, чтобы потом булочки развозить. Тут куча повседневных вещей держится на малом бизнесе. При этом большинство — это ИП, говоря по нашему. А они отвечают по обязательством всем своим имуществом. Штраф в 20 млн. — это мгновенное банкроство. Потеря жилья, машины, всех сбережений. И 7 лет никакого предпринимательства.


                                                                                                                  Булочная у меня под окном существует на этом месте больше 300 лет. Бизнес передается от отца к старшему сыну. Как думаете, станет нынешний владелец этим рисковать? Значит не будет больше тетрадок и доставки булочек.


                                                                                                                  А еще тут есть "черные адвокаты". Они, например, ходят по сайтам, находят какие-то несоответствия законодательству и потом угрожают подать иск против владельца. Правда пока суммы отступных небольшие — 100-200 тыс. евро. Многие платят, т.к. судиться тут очень дорого. Если речь будет идти 20-млн. штрафе отступные вырастут кратно, думаю меньше 1-2 млн. не будет.


                                                                                                                  Законы должны делать жизнь людей более комфортной. Те, кому не нравится, что за ими "следят", могут не пользоваться подозрительными сервисами уже сегодня. Одна моя знакомая так и поступила. Удалила аккаунты в соцсетях, не пользуется смартфоном… Это ее выбор и она не навязывает его остальным.


                                                                                                                  На самом деле посмотрим. Может быть все действительно не так страшно. "Проблема" Европы в том, что здесь законы работают. Поэтому последствия этой работы проявляются неотвратимо. И негативные тоже. Посмотрим, какие позиции по поводу этого закона будут озвучены на следующих земельных выборах, ждать осталось недолго.


                                                                                                                  Во вторых такие организации очень редко делают свои странички — сервисы сами. Обычно они их покупают как пакет и те, кто такие пакеты предоставляют, давно уже сделали всё необходимое чтобы пакеты соответствовали законам. А если не сделали, то не такая уж и проблема их сменить.

                                                                                                                  Разумеется они не делают их сами. Беда в том, что разработчик не может отвечать за действия заказчика.


                                                                                                                  Ну и в третьих нужны ли этим организациям все те персональные данные, которые они собирают, на самом деле?

                                                                                                                  Если персональными данными считать IP + cookie, то это не нужно практически никому. А если мою фамилию и номер телефона, записанные в блокноте у инструктора, то вряд ли они лишние.

                                                                                                                    0
                                                                                                                    Дело не в деньгах. Дело во времени, в самой возможности иметь проблемы с законом.


                                                                                                                    Так уж получилось что я живу в Германии. И работаю программистом. И кроме всего прочего «админю» странички для парочки Verein'ов, которые избытком денег вроде как бы тоже не страдают.
                                                                                                                    И не сказал бы что этот самый GDPR создал мне, моей фирме или моим страничкам какие-то проблемы. На фирме вопрос подняли почти год назад и вполне себе все сделали за пару месяцев спокойной работы. Да, это стоило денег, но таких же денег «стоили» и другие законы. И это нормально, законы принимаются и их надо исполнять.
                                                                                                                    А со страничками вообще никаких проблем. Две «пропатчили» сами хостеры у которых мы их берём, одну я пропатчил сам за два часа. Всё.

                                                                                                                    В Германии ценят комфорт и спокойствие.


                                                                                                                    И именно поэтому практически все, с кем я на эту тему общался, за GDPR. Так как он даёт обычным людям больше комфорта и спокойствия:)

                                                                                                                    А еще тут есть «черные адвокаты». Они, например, ходят по сайтам, находят какие-то несоответствия законодательству и потом угрожают подать иск против владельца. Правда пока суммы отступных небольшие — 100-200 тыс. евро. Многие платят, т.к. судиться тут очень дорого. Если речь будет идти 20-млн. штрафе отступные вырастут кратно, думаю меньше 1-2 млн. не будет.


                                                                                                                    Извините, но что вы за сказки рассказываете? Адвокат не может подать иск на владельца страницы если страница нарушает федеральный или европейский закон. Этим занимается прокуратура.
                                                                                                                    Адвокат может подать иск на страницу если она нарушает права какого-то конкретного человека или организации. И то что вы тут описываете это проблематика скорее авторского права и к GDPR никоим образом неприменимо.

                                                                                                                    Те, кому не нравится, что за ими «следят», могут не пользоваться подозрительными сервисами уже сегодня.


                                                                                                                    Даже если забыть о таких вещах как амазон, гугл, смартфоны и прочее, то «не пользоваться сервисами» в Германии не получится. Мои данные например есть у государства в связи с тем что я прописывался и ставил машину на учёт. Они есть у тех у кого я беру воду, электричество, интерент, телефон. Данные моих детей есть у школы. И так далее и тому подобное.

                                                                                                                      0
                                                                                                                      И не сказал бы что этот самый GDPR создал мне, моей фирме или моим страничкам какие-то проблемы.

                                                                                                                      Разумеется. Он вступает в силу 25 мая 2018 года.


                                                                                                                      И именно поэтому практически все, с кем я на эту тему общался, за GDPR. Так как он даёт обычным людям больше комфорта и спокойствия:)

                                                                                                                      Угу. Мы просто возвращаемся в доцифровую эпоху. Когда вам нужно каждый раз заполнять анкету с самого начала. Когда вам нельзя пользоваться привычными сервисами. Когда кто-то решает за вас, с каким варением вам есть манную кашу, перед тем, как идти в детский сад. Я выше привел пример, что бывает, когда кто-то пытается неумело защитить чьи-то интересы.


                                                                                                                      Извините, но что вы за сказки рассказываете? Адвокат не может подать иск на владельца страницы если страница нарушает федеральный или европейский закон. Этим занимается прокуратура.

                                                                                                                      Надо понимать, что эти ребята (потому они и называются "черными") занимаются не тем, что следят за соблюдением законов, а тем, что зарабатывают денежки. Они могут просто воспользоваться услугами сервиса, а потом пожаловаться. И тут будет и иск (от них), и штраф (от суда), и еще куча денег на адвоката. А можно просто им заплатить 10% от суммы. Вы думаете по авторским правам много судов? Подавляющее большинство просто платит.


                                                                                                                      Мои данные например есть у государства в связи с тем что я прописывался и ставил машину на учёт. Они есть у тех у кого я беру воду, электричество, интерент, телефон. Данные моих детей есть у школы. И так далее и тому подобное.

                                                                                                                      Это везде так. Но GDPR направлен в первую очередь не на государственные органы. Там и без того, все неплохо. Ну и опять же, я не вполне себе представляю, как можно оштрафовать, например Straßenverkersamt? Деньги кто платить бует? Бюджет? А куда? В бюджет! Это, простите, уже какая-то шзофрения :)

                                                                                                                        0
                                                                                                                        Разумеется. Он вступает в силу 25 мая 2018 года.

                                                                                                                        Ок, подготовка к нему не создала. И что он сам создаст тоже сомневаюсь. Далеко не первый закон, который принимают на моей памяти и даже не первый по персональным данным :)

                                                                                                                        Угу. Мы просто возвращаемся в доцифровую эпоху. Когда вам нужно каждый раз заполнять анкету с самого начала. Когда вам нельзя пользоваться привычными сервисами.

                                                                                                                        Извините, но это просто чушь и паника на пустом месте. 99% пользователей даже нe особо то и заметят этот переход. Ну разве нужно будет галочки поставить что ознакомился с новыми правилами. И в интерфейсе появится пара новых кнопочек.

                                                                                                                        Они могут просто воспользоваться услугами сервиса, а потом пожаловаться. И тут будет и иск (от них), и штраф (от суда), и еще куча денег на адвоката. А можно просто им заплатить 10% от суммы. Вы думаете по авторским правам много судов? Подавляющее большинство просто платит.

                                                                                                                        Если эти адвокаты попросят владельца заплатить им деньги под предлогом «а то мы донесём что у вас сервис не совместим с GDPR», то тут не штрафами пахнет, а уголовными сроками за вымогательство. причём самим этим адвокатам. И ни один адвокат на это не пойдёт. Потому что это минимум потеря адвокатской лицензии.

                                                                                                                        Это везде так. Но GDPR направлен в первую очередь не на государственные органы.

                                                                                                                        В том то и дело что направлен он на всех. В том числе и на государственные органы. И кроме того он направлен на банки, мобильных и интернет-операторов, фирмы продающие билеты/проездные на общественный транспорт, поставщиков воды, газа и электричества, турфирмы, авиакомпании и т.д. и т.п… На всех, кто по каким-то причинам хочет собирать и хранить у себя персональные данные. Которые кстати далеко не всегда им и нужны.

                                                                                                                        Ну и опять же, я не вполне себе представляю, как можно оштрафовать, например Straßenverkersamt? Деньги кто платить бует? Бюджет? А куда? В бюджет! Это, простите, уже какая-то шзофрения :)

                                                                                                                        Вы видимо не совсем хорошо понимаете устройство Германии. Здесь есть например муниципальный бюджет, бюджет земли и федеральный бюджет. И отвечают за них разные люди, принадлежащие к разным политическим партиям. И какая-нибудь CDU очень не захочет на выборах обьяснять почему в тех местах, где за бюджет отвечали они, вдруг столько денег из муниципальных бюджетов уплыло в федеральный или даже в ЕС.
                                                                                                                          0
                                                                                                                          Ок, подготовка к нему не создала. И что он сам создаст тоже сомневаюсь.

                                                                                                                          Угу… Я, вот, собираюсь жить вечно. Пока все идет хорошо...


                                                                                                                          Если эти адвокаты попросят владельца заплатить им деньги под предлогом «а то мы донесём что у вас сервис не совместим с GDPR»

                                                                                                                          Вы еще скажите, что они с битами в тихом месте подкараулят. Это же юристы, а не разбойники с большой дороги.


                                                                                                                          Заголовок спойлера
                                                                                                                          Sehr geehrter Herr Mustermann,

                                                                                                                          мои клиенты воспользовались услугами Вашего сервиса, в результате чего были нарушены их права, гарантированные §§… DSGVO. Предлагаю Вам добровольно возместить причиненный моим клиентам вред в размере €€€€. Счет для оплаты прилагается. Прошу оплатить его в течение 30 дней.
                                                                                                                          Благодарю Вас за понимание и сотрудничество.

                                                                                                                          Mit freundlichen Grüßen,
                                                                                                                          Jurgen Räuber, Rechtsanwalt.

                                                                                                                          В том то и дело что направлен он на всех. В том числе и на государственные органы.

                                                                                                                          Я имел в виду, что для государственных органов это вообще не проблема. Средства будут выделены, подрядчики наняты, работы проведены. И все будет работать. Ни один Amt не закроется. Тем более, что им даже доказывать ничего не надо — они получают право на обработку данных в силу закона. А вот для частных и общественных предприятий и организаций это головная боль. И чем меньше огранизация, тем больше эта боль относительно бюджета. И имейте в виду, это не разовая трата. Суть закона такова, что не достаточно один раз сделать и забыть. С 25 мая это постоянная статья расходов.


                                                                                                                          столько денег из муниципальных бюджетов уплыло в федеральный или даже в ЕС.

                                                                                                                          Я, к сожалению, недостаточно компетентен, чтобы судить о том, в какой именно бюджет будут поступать штрафы за нарушение этого закона, но, например, штрафы за нарушение StVO поступают напрямую в местные бюджеты. Бюджет ЕС тут точно не при чем. Слишком сильный дисбаланс интересов.

                                                                                                                            0
                                                                                                                            Угу… Я, вот, собираюсь жить вечно. Пока все идет хорошо...

                                                                                                                            За последние десять лет в Германии было три или четыре усиления законов о персональных данных. Kоторые тоже предполагали штрафы за неисполнение. И каждый раз фирмам надо было что-то делать.
                                                                                                                            Вы что-нибудь из этого заметили? Ваши булочные-благотворительные организации закрылись? Их разорили «чёрные адвокаты»? Бедные пользователи остались без интернет-сервисов и скатились в камменый век? :)

                                                                                                                            Вы еще скажите, что они с битами в тихом месте подкараулят. Это же юристы, а не разбойники с большой дороги.

                                                                                                                            Вот именно, это юристы. И они понимают что закон об авторском праве позволяет им найти косяк, обратиться к правообладателю, от его имени подать в суд и потом поделить деньги.
                                                                                                                            А вот законы о защите персональных данных этого не позволяют. Ни те что существуют уже сейчас, ни те которые будут в конце мая.

                                                                                                                            Тем более, что им даже доказывать ничего не надо — они получают право на обработку данных в силу закона.

                                                                                                                            Ошибаетесь. Им тоже надо.

                                                                                                                            А вот для частных и общественных предприятий и организаций это головная боль. И чем меньше огранизация, тем больше эта боль относительно бюджета. И имейте в виду, это не разовая трата. Суть закона такова, что не достаточно один раз сделать и забыть. С 25 мая это постоянная статья расходов.

                                                                                                                            И это точно так же применимо к BDSG, который между прочим уже давно действует в Германии и постоянно усиляется. И штрафы по нему тоже положены. И нарушители их даже платят. И все живут, работают, получают деньги и не особо торопятся банкротится из-за этого :)

                                                                                                                            Я, к сожалению, недостаточно компетентен, чтобы судить о том, в какой именно бюджет будут поступать штрафы за нарушение этого закона

                                                                                                                            Это решает каждая страна за себя. В Германии подобные штрафы на данный момент идут в федеральный бюджет.
                                                                                                                              +1
                                                                                                                              За последние десять лет в Германии было три или четыре усиления законов о персональных данных.

                                                                                                                              Могу только повторить: "Пока все идет хорошо..."


                                                                                                                              Ошибаетесь. Им тоже надо.

                                                                                                                              им не нужно доказывать что именно собирать, сколько хранить, куда передавать. Они действуют на основе национальных законов и подзаконных актов. GDPR действует прямо, не требует внесений изменений в национальное законодательство и признает все его требования. Так что для государственных органов он практически "прозрачен". Если они выполняли требования национального законодательства ранее, GDPR не создает для них новых проблем.


                                                                                                                              И это точно так же применимо к BDSG, который между прочим уже давно действует в Германии и постоянно усиляется.

                                                                                                                              Плохо это. Как и любое усиление госрегулирования. Кое-где оно к сожалению необходимо, но везде, где это возможно без него обойтись оно неуместно. Допустимо оно лишь там, где вред от его отсутствия существенно превышает вред от него самого.

                                                                                                                                0
                                                                                                                                Могу только повторить: «Пока все идет хорошо...»

                                                                                                                                Да, именно так. Но конечно можно паниковать при каждом чихе и начинать бегать кругами и кричать «мы все умрём, мы все умрём» :)

                                                                                                                                .им не нужно доказывать что именно собирать, сколько хранить, куда передавать. Они действуют на основе национальных законов и подзаконных актов. GDPR действует прямо, не требует внесений изменений в национальное законодательство и признает все его требования.


                                                                                                                                И именно поэтому BDSG так изменили, чтобы GDPR действовал и для большинства муниципалных-федеральных органов. Там даже конкретно прописано что в случае «конфликта» между BDSG и GDPR действовать и применяться будет именно GDPR.
                                                                                                                                Отдельные исключения делаются только для полиции и BND. Сюрприз-сюрприз :)

                                                                                                                                Плохо это. Как и любое усиление госрегулирования. Кое-где оно к сожалению необходимо, но везде, где это возможно без него обойтись оно неуместно. Допустимо оно лишь там, где вред от его отсутствия существенно превышает вред от него самого.

                                                                                                                                Хм, а как вы определили что в случае с BDSG и GDPR это не так? Ну вот мне интересно стало.

                                                                                                                                  +1
                                                                                                                                  Хм, а как вы определили что в случае с BDSG и GDPR это не так? Ну вот мне интересно стало.

                                                                                                                                  Следует предотвращать реальный вред. А не воображаемый. Сколько человек реально пострадало от того, что нормы, предусмотренные GDPR, не соблюдались до настоящего времени? Каков размер причиненного вреда? Пока сплошные фантазии евробюрократов… Достоверно неизвестно ни о каких негативных последствиях. С тем же успехом можно принимать законы о защите от инопланетян. Разумеется обязательные и с миллионными штрафами.
                                                                                                                                  Самое печальное, что как раз из-за таких вот неуклюжих попыток "позаботиться о гражданах" растет евроскептицизм и набирает голоса AfD.

                                                                                                                                    0
                                                                                                                                    Следует предотвращать реальный вред. А не воображаемый. Сколько человек реально пострадало от того, что нормы, предусмотренные GDPR, не соблюдались до настоящего времени?


                                                                                                                                    Очень интересный вопрос. Во сколько лично вы оцените вред от того что скажем ваши личные фотографии пойдут по сети. Ваши пароли? Ваши банковские данные? Номера ваших кредиток? Ваши переписки? Ваши мэйлы-пароли? Ваши медицинские данные? И всё это регулярно «утекало» в сеть, причём фирмы знали что утечка произошла, но предпочитали «не беспокоить» своих клиентов.

                                                                                                                                    Пока сплошные фантазии евробюрократов… Достоверно неизвестно ни о каких негативных последствиях.

                                                                                                                                    Вы это серьёзно? Первая же ссылка в гугле:

                                                                                                                                    www.pcwelt.de/ratgeber/Sicherheit-Die-groessten-Datenschutz-Skandale-der-IT-Geschichte-4976380.html

                                                                                                                                    Плюс вот такое: www.perspektive-mittelstand.de/Datenverlust-ein-unterschaetztes-Unternehmensrisiko-/management-wissen/5095.html

                                                                                                                                      +1
                                                                                                                                      Очень интересный вопрос. Во сколько лично вы оцените вред от того что скажем ваши личные фотографии пойдут по сети. Ваши пароли? Ваши банковские данные? Номера ваших кредиток? Ваши переписки? Ваши мэйлы-пароли? Ваши медицинские данные?

                                                                                                                                      Я оценю. Оценю вред от утечки моих данных. Может быть это будет 42 цента. А может 42 триллиона евро. Это будут мои данные и моя оценка. Как вы отнесетесь к тому, что я оценю вред от утечки ваших данных? И скажу: знаете, я тут поковырялся в зубах, глyнул на потолок и решил, что цена вашим данным — ...


                                                                                                                                      Вы это серьёзно? Первая же ссылка в гугле

                                                                                                                                      Я не про то, что что-то утекло. Я про то, какие были реальные последствия от этих утечек. В материале PC-Welt о том, в частности, что у пользователей Hotmail увели пароли через фишинговый сайт. Ок, как GDPR спасает от фишинга? Как Microsoft может помешать пользователям вводить пароли где попало? Это все походит на истерику в жанре "Что вы стоите? Делайте же что-нибудь!!" по поводу статей типа "Ученый изнасиловал журналиста".


                                                                                                                                      Вот еще один превосходный пример подобной "заботы":


                                                                                                                                      С 2019 года в России вводится обязательная маркировка одежды, обуви, духов, постельного белья, автомобильных шин и фотоаппаратов специальными кодами.

                                                                                                                                      Утверждается, что это делается "для защиты от контрафакта" и "позволит отслеживать изделия в течение всего жизненного цикла".


                                                                                                                                      Как вам спится на потенциально контрафактных немаркированых простынях простынях? Кошмары не мучают?

                                                                                                                                        0
                                                                                                                                        Оценю вред от утечки моих данных. Может быть это будет 42 цента. А может 42 триллиона евро. Это будут мои данные и моя оценка.

                                                                                                                                        Вот именно. Очень сложно оценить ущерб от таких утечек. Особенно если учитывать что ущерб бывает не только материальный. Или вы считаете что если ущерб не материальный, то и предотвращать его не надо? :)

                                                                                                                                        Я про то, какие были реальные последствия от этих утечек. В материале PC-Welt о том, в частности, что у пользователей Hotmail увели пароли через фишинговый сайт. Ок, как GDPR спасает от фишинга?

                                                                                                                                        А другие примеры вы просто проигнорировали? И вторую ссылку тоже? :)

                                                                                                                                        Вот еще один превосходный пример подобной «заботы»:

                                                                                                                                        Извините, но для меня это не особо сравнимые вещи.
                                                                                                                                          +1
                                                                                                                                          Очень сложно оценить ущерб от таких утечек.

                                                                                                                                          Это вам сложно. Мне сложно. А вот бюрократы взяли и оценили. Легко. Разом и за всех.


                                                                                                                                          А другие примеры вы просто проигнорировали? И вторую ссылку тоже? :)

                                                                                                                                          Нет, но они еще менее релевантные. Вторая ссылка вообще не о том.


                                                                                                                                          "Datenverlust — ein unterschätztes Unternehmensrisiko." = Потери данных — недооцененный предпринимательский риск.


                                                                                                                                          Насчет утечки персональных данных вообще великолепно: "Da werden Unterlagen unbedacht im Papierkorb oder Müllkontainer entsorgt". Ждем единых европейских требований к мусорным ведрам и контейнерам? Вообще это милый и наивный 2013 год… Кто тогда думал о 20-миллионных штрафах? А оно вон как вышло.


                                                                                                                                          Извините, но для меня это не особо сравнимые вещи.

                                                                                                                                          Отчего же? Это одни и те же симптомы. Чиновники пытаются влезть со своим регулированием где только можно. Одни — в ваше постельное белье, другие — в ваши отношения с интернет-сервисами.


                                                                                                                                          "Да вы вообще представляете, какие могут быть последствия у тех, кто спит на контрафактных простынях? Тут речь о здоровье нации! Это вам не утечка интимных фоток ваших котиков."

                                                                                                                                            0
                                                                                                                                            Это вам сложно. Мне сложно. А вот бюрократы взяли и оценили. Легко. Разом и за всех.

                                                                                                                                            Извините, но вы опять пишите чушь. Никакого ущерба бюрократы не оценили. Они назначили рамки штрафов, которые должны будут оплатить фирмы, нарушающие закон. Всё. И рамки эти вполне в рамках, уж простите мне тавтологию.
                                                                                                                                            А ущерб при необходимости будет определять суд.
                                                                                                                                            И вас например не смущает что «чёртовы бюрократы» заставляют машины проходить техосмотр и требуют платить штрафы если ездить без него?
                                                                                                                                            Или заставляют телекоммуникационные фирмы проходить сертификации? Зачем всё это? ;)

                                                                                                                                            «Datenverlust — ein unterschätztes Unternehmensrisiko.» = Потери данных — недооцененный предпринимательский риск.

                                                                                                                                            Вы целиком прочитайте, а не только выборочно:)

                                                                                                                                            Отчего же? Это одни и те же симптомы. Чиновники пытаются влезть со своим регулированием где только можно. Одни — в ваше постельное белье, другие — в ваши отношения с интернет-сервисами.

                                                                                                                                            Вот только насколько там контрафактное моё постельное бельё мне наплевать, а что происходит с моими данными нет. Поэтому лично для меня я это абсолютно разные вещи. И судя по общественному резонансу как минимум для жителей Германии тоже.
                                                                                                                                            И зная какие сертификации должны проходить фирмы, работающие с муниципальными-федеральными службами и корпоративными клиентами, и какие штрафы платятся там, я не понимаю почему при работе с частными лицами фирмы не должгы придерживаться хотя бы GDPR.

                                                                                                                                              0
                                                                                                                                              Они назначили рамки штрафов, которые должны будут оплатить фирмы, нарушающие закон.

                                                                                                                                              Не забывайте только, что штрафы эти они оплачивают из наших карманов.


                                                                                                                                              И вас например не смущает что «чёртовы бюрократы» заставляют машины проходить техосмотр и требуют платить штрафы если ездить без него?

                                                                                                                                              Не смущают. Статистика автокатастроф известна и опубликована. Известно сколько погибло людей, сколько получили травмы, сколько стали инвалидами. Сколько потрачено на лечение и реабилитацию пострадавших. Более того, известно какие неисправности наиболее часто приводят к авариям и что именно нужно проверять, чтобы их выявить.
                                                                                                                                              Так же известно что влияет на уровень выбросов, и какие именно вредные вещества надо искать.
                                                                                                                                              Более того, наличие статистики позволяет оценить результаты тех или иных изменений в правилах техосмотра. Можно ввести, например проверку толщины лакокрасочного покрытия и через год-два-пять оченить, насколько это послияло на аварийность. Как уважаемые авторы этого закона собираются оценивать его эффективность? Какие вообще цели ставятся этим законом?
                                                                                                                                              Я бы понял, если бы было сказано: "В результате принятия закона количество случаев неправомерного использования персональных данных снизится на 20%, нанесенный вред на 25%, количество пострадавших на 10%". Но ведь нет же этого. Вот вы говорите, что законы о защите персональных данных действуют в Европе уже десять лет. Каков реальный эффект этих законов? Кто его измерил?


                                                                                                                                              какие штрафы платятся там

                                                                                                                                              Я понял, вы верите в чиновников и штрафы, как в средство сделать мир лучше. А я верю в способность людей договариваться между собой и делать осознанный выбор.

                                                                                                                                                0
                                                                                                                                                Не забывайте только, что штрафы эти они оплачивают из наших карманов.

                                                                                                                                                И опять вы пишите дичь. Как «они» должны оплачивать это из наших карманов? Подняв цены? А что мешает им поднять цены сейчас и просто заработать на несколько миллионов больше? Религиозные убеждения?:)

                                                                                                                                                Не смущают. Статистика автокатастроф известна и опубликована. Известно сколько погибло людей, сколько получили травмы, сколько стали инвалидами. Сколько потрачено на лечение и реабилитацию пострадавших.

                                                                                                                                                Это всё здорово. Но это по вашему весь ущерб? И всё? И во сколко вы оцениваете смерть ваших близких в автокатастрофе? Ну по статистике?

                                                                                                                                                Вот вы говорите, что законы о защите персональных данных действуют в Европе уже десять лет. Каков реальный эффект этих законов? Кто его измерил?

                                                                                                                                                А кто и когда измерил реальный эффект от права на свободу слова? От других Grundrechte? Можете мне привести эти цифры? Нет, ну тогда и от меня ответа не ждите.

                                                                                                                                                Я понял, вы верите в чиновников и штрафы, как в средство сделать мир лучше.

                                                                                                                                                Я верю в то, что каждый человек имеет право на защиту свои личных данных. И я знаю что на данный момент на это право наплевать большинству корпораций и фирм.

                                                                                                                                                А я верю в способность людей договариваться между собой и делать осознанный выбор.

                                                                                                                                                Как я уже не раз писал у фирм и корпораций было больше двадцати лет чтобы сделать осознанный выбор и договориться с пользователями о том как обходиться с их личными данными. Но несмотря ни на что они этого не сделали, а заставить их люди по одиночке не смогли. Поэтому получите закон и штрафы.
                                                                                                                                                  0
                                                                                                                                                  А что мешает им поднять цены сейчас и просто заработать на несколько миллионов больше?

                                                                                                                                                  Конкуренция. Если "Компания А" решает реализовать дополнительные меры по защите данных и повышает цены, пользователи уходят к ее конкурентам, которые этого не делают. Если все компании вынуждены это делать, цены поднимаются у всех и пользователям некуда деваться.


                                                                                                                                                  Любые ограничивающие предложение законы снижают уровень конуцренции и ухудшают положение пользователей.


                                                                                                                                                  А кто и когда измерил реальный эффект от права на свободу слова? От других Grundrechte? Можете мне привести эти цифры? Нет, ну тогда и от меня ответа не ждите.

                                                                                                                                                  Легко. Постройте два списка стран: ВВП на душу населения и уровень гражданских свобод. А потом посчитайте корреляцию.


                                                                                                                                                  Это всё здорово. Но это по вашему весь ущерб? И всё? И во сколко вы оцениваете смерть ваших близких в автокатастрофе? Ну по статистике?

                                                                                                                                                  Мы ведь кажется о законах говорили, верно? Во всех цивилизованных странах есть устоявшаяся юридическия практика по определению размеров справедливого возмещения морального и материального вреда, в том числе родственникам погибших.


                                                                                                                                                  Я верю в то, что каждый человек имеет право на защиту свои личных данных. И я знаю что на данный момент на это право наплевать большинству корпораций и фирм.

                                                                                                                                                  Нет проблем. Наплюйте на эти фирмы и корпорации. Не пользуйтесь их услугами. На свете есть масса людей, которые ограничивают себя из-за своих убеждений. Этические вегетарианцы не едят продукты живодноводства, т.к. считают, что животные в условиях ферм испытывают страдания. Последователи некоторых религиозных течений оне покупают продукты со штрих-кодами. Это их выбор. Согласитесь, будет несколько странно, если они потребуют принять закон об обязательном окроплении всех маркируемых товаров сертифицированной святой водой.


                                                                                                                                                  Как я уже не раз писал у фирм и корпораций было больше двадцати лет чтобы сделать осознанный выбор и договориться с пользователями о том как обходиться с их личными данными.

                                                                                                                                                  Да ладно! У всякой немецкой компании есть AGB. Прочитайте и решите, пользоваться или нет.

                                                                                                                                                    0
                                                                                                                                                    Конкуренция.

                                                                                                                                                    А что, если компания заплатит штраф, то внезапно конкурренция куда-то исчезнет?
                                                                                                                                                    А то что пользователям придётся «оплачивать» само внедрение GDPR, так с этим никто не спорит. Tочно так же как и с тем что пользователям приходится «оплачивать» все законы, в том числе и техосмотры и например требования о том чтобы у врачей было медицинское образование.

                                                                                                                                                    Легко. Постройте два списка стран: ВВП на душу населения и уровень гражданских свобод. А потом посчитайте корреляцию.

                                                                                                                                                    Ну тогда вообще просто. Постройте два списка стран: с сильными закона по защите личных данных и со слабыми. И сравните их ВВП :)
                                                                                                                                                    Это даже если забыть что корреляция это не причинно-следственная связь :)

                                                                                                                                                    Мы ведь кажется о законах говорили, верно?

                                                                                                                                                    Не, мы о ущербе говорили и о том, что его не всегда можно выразить в деньгах. Во всяком случае я об этом всё время твержу.

                                                                                                                                                    Во всех цивилизованных странах есть устоявшаяся юридическия практика по определению размеров справедливого возмещения морального и материального вреда, в том числе родственникам погибших.

                                                                                                                                                    Ну так во сколько по этой «устоявшейся практике» вы оценивает гибель близкого вам человека в автокатастрофе? Или скажем потерю вами лично руки или ноги?

                                                                                                                                                    Нет проблем. Наплюйте на эти фирмы и корпорации. Не пользуйтесь их услугами.


                                                                                                                                                    А я вам напишу ещё раз: рад бы, да не могу. То есть на фэйсбук то я наплевал без проблем, а вот данные он обо мне всё равно собирает. Даже несмотря на то, что я не являюсь его пользователем.
                                                                                                                                                    Дальше: болшинство фирм в Германии не выплачивают зарплату наличными деньгами. То есть мне нужен банковский счёт. Вот только все банки в Германии абсолютно не интересуются защитой моих личных данных. Мне теперь не брать счёт в банке и не работать? Аналогично мне нужно электричество в квартиру, но поставщикам электричества тоже наплевать на защиту моих личных данных. Аналогично с поставщиками воды, интерент-провайдерами и т.д. и т.п. Предлагаете мне жить в лесу и питаться корнями и ягодами?

                                                                                                                                                    Да ладно! У всякой немецкой компании есть AGB. Прочитайте и решите, пользоваться или нет.

                                                                                                                                                    Как я уже писал выше: какой мне толк от вашего предложения если все AGB одинаково плюют на защиту моих личных данных?

                                                                                                                                                      +1
                                                                                                                                                      А то что пользователям придётся «оплачивать» само внедрение GDPR, так с этим никто не спорит.

                                                                                                                                                      Мы движемся в правильном направлении.


                                                                                                                                                      а вот данные он обо мне всё равно собирает. Даже несмотря на то, что я не являюсь его пользователем.

                                                                                                                                                      Не пользуйтесь сайтами/сервисами, которые пользуются сервисами гугл.


                                                                                                                                                      Дальше: болшинство фирм в Германии не выплачивают зарплату наличными деньгами.

                                                                                                                                                      Значит вам придется выбирать из меньшинства.


                                                                                                                                                      Аналогично мне нужно электричество в квартиру.

                                                                                                                                                      Придется вам обойтись без электричества. Ну или солнечную батарею поставьте. Ветряк наконец.


                                                                                                                                                      Аналогично с поставщиками воды, интерент-провайдерами и т.д.

                                                                                                                                                      Колодец во дворе, радио/телевизор, библиотеки.


                                                                                                                                                      какой мне толк от вашего предложения если все AGB одинаково плюют на защиту моих личных данных?

                                                                                                                                                      Как какой толк? Вы сразу видите, что ваши личные занные не защищены, и можете отказаться от использования сервиса.


                                                                                                                                                      Предлагаете мне жить в лесу и питаться корнями и ягодами?

                                                                                                                                                      А разве для сохранения ваших данных вы не готовы чем-то пожертвовать? Все от чего-то отказываются. Беременные — диету соблюдают, верующие постятся, иудеи и мусульмане — свинину не едят, мусульманские женщины в платках ходят, про этических вегетарианцев я уже писал… А вы, вместо того, чтобы ради вашей идеи ограничить себя, решили ограничить других. Большевизм какой-то...

                                                                                                                                                        0
                                                                                                                                                        Не пользуйтесь сайтами/сервисами, которые пользуются сервисами гугл.

                                                                                                                                                        Да я могу вообще ничем не пользоваться. Достаточно например того что другие люди будут меня на фэйсбуке упоминать и отмечать на фотках и мероприятиях.

                                                                                                                                                        Значит вам придется выбирать из меньшинства. Колодец во дворе, радио/телевизор, библиотеки. Все от чего-то отказываются. А вы, вместо того, чтобы ради вашей идеи ограничить себя, решили ограничить других. Большевизм какой-то...

                                                                                                                                                        Ну так если вам так не нравится GDPR, то можете отказаться от проживания в Германии и/или на территории ЕС. В чём проблема-то? Все же должны от чего-то отказываться. Подайте пример.
                                                                                                                                                        А от понимаете ли из-за своего желания пользоваться дешёвыми вещами требуете от меня чтобы я отказался от безопасности моих личных данных. Большевизм какой-то… :)
                                                                                                                                                          0
                                                                                                                                                          Ну так если вам так не нравится GDPR, то можете отказаться от проживания в Германии и/или на территории ЕС.

                                                                                                                                                          Лучше я проложу некоторые усилия, чтобы этот непродуманный и вредный закон был отменен или изменен.


                                                                                                                                                          А от понимаете ли из-за своего желания пользоваться дешёвыми вещами требуете от меня чтобы я отказался от безопасности моих личных данных.

                                                                                                                                                          Да нет же! Я же не возражаю, против того, чтобы вы пользовались безопасными для ваших данных сервисами. Пусть будут и "дорогие, неудобные, но безопасные", и "дешевые, удобные, но небезопасные". Пусть будет выбор, понимаете?


                                                                                                                                                          В конце-концов, если тех, кто разделяет ваши убеждения достаточно много — создайте свои, безопасные, продукты для себя и таких как вы. Кто мешает то? Заодно обогатитесь. Это неплохая бизнес-модель. Люди готовы платить деньги и за более эфеменрные вещи, чем приватность. Так что никакого большевизма.

                                                                                                                                                            0
                                                                                                                                                            Лучше я проложу некоторые усилия, чтобы этот непродуманный и вредный закон был отменен или изменен.

                                                                                                                                                            Вперёд. Как вы там писали? «Мы движемся в правильном направлении»? :)

                                                                                                                                                            Да нет же! Я же не возражаю, против того, чтобы вы пользовались безопасными для ваших данных сервисами. Пусть будут и «дорогие, неудобные, но безопасные», и «дешевые, удобные, но небезопасные». Пусть будет выбор, понимаете?

                                                                                                                                                            Проблема только в том что иногда нельзя быть немного беременным. Не получится. Это тоже самое что говорить пусть будут фирмы, которые придерживаются трудового законодательства, и фирмы, которые не придерживаются. И пусть каждый рабочий сам решает где ему работать. Пусть будут врачи, которые имеют диплом, и такие, котoрые не имеют. И пусть каждый пациент решает к какому врачу ему идти. И так далее и тому подобное.
                                                                                                                                                            И точно так же как трудовое законодательтво и требование к врачам иметь диплом, GDPR возник не просто так, а потому что без него и «по хорошему» не получалось.

                                                                                                                                                            В конце-концов, если тех, кто разделяет ваши убеждения достаточно много — создайте свои, безопасные, продукты для себя и таких как вы. Кто мешает то? Заодно обогатитесь. Это неплохая бизнес-модель.


                                                                                                                                                            Ну так если следовать вашей логике, то почему бы тогда вам и таким как вы не создать такую страну, где не будет GDPR? Или собраться всем вместе в одной существующей и принять там нужные вам законы? Почему я должен делать так как удобнее вам? A уж тем более почему большинство людей должно это делать? :)

                                                                                                                                                              0
                                                                                                                                                              Вперёд. Как вы там писали? «Мы движемся в правильном направлении»? :)

                                                                                                                                                              Хм… Так а чем я тут по-вашему занимаюсь? Очень надеюсь, что мои аргументы прочитают и примут во внимание в том числе и те, кто также заинтересован в отмене GDPR.


                                                                                                                                                              Это тоже самое что говорить пусть будут фирмы, которые придерживаются трудового законодательства, и фирмы, которые не придерживаются. И пусть каждый рабочий сам решает где ему работать. Пусть будут врачи, которые имеют диплом, и такие, котoрые не имеют.

                                                                                                                                                              Я вроде нигде не говорил, что я анархист и выступаю против любого государственного регулирования. Я просто считаю, что оно должно быть минимально возможным. Некоторые требования, например, к врачам я бы тоже устранил. Раз вы в Германии живете, наверно знаете сколько приходится ждать приема у специалеста. Мне как-то раз назначили термин через 8 месяцев. Мне кажется, что это уже показатель несовершенства законодательства. И с запретом торговать по воскресениям как мне кажется тоже перебор. Но тут все движется в правильном направлении ;-)


                                                                                                                                                              Ну так если следовать вашей логике, то почему бы тогда вам и таким как вы не создать такую страну, где не будет GDPR?

                                                                                                                                                              Простите, но я этому не обучен. Если это не слишком сложно — готов поучиться. Не подскажите, где можно найти HOWTO Create a country? А вот вы как раз писали, что вы разработчик. Вам и карты в руки.


                                                                                                                                                              Почему я должен делать так как удобнее вам?

                                                                                                                                                              Да нет же! Я уже который раз повторяю. Это вы хотите, чтобы все поступали как удобнее вам. Я — за разнообразие как раз. Вот сегодня нашел дешевый хостинг, но там оплата только кредиткой. А я предпочитаю PayPal. В результате я решил не пользоваться их услугами, останусь у нынешнего хостера. Но я же не предлагаю обязать всех хостеров принимать PayPal под угрозой многомиллионных штрафов. Это глупо, согласитесь.

                                                                                                                                                                0
                                                                                                                                                                В общем на мой взгляд дискуссия зашла в тупик. Вы считаете GDPR скорее вредным и хотите чтобы было по вашему. Я считаю скорее полезным и рад что пока ситуация проходит скорее по моему. Остальное покажет время.
                                                                                                                                                                  0

                                                                                                                                                                  Я полностью согласен с вашей оценкой.

                                                                                                                                                            +1

                                                                                                                                                            Кстати, со мной вообще возникает юридическая коллизия. Я постоянно проживаю на территории Евросоюза, поэтому на мои персональные данные распространяются требования GDPR. При этом я являюсь гражданином России, а значит на мои персональные данные распространяеются требования российского законодательства. Проблема в том, что эти требования противоречат друг-другу. Из-за глобальных амбиций тех и других законодателей мои данные вообще невозможно обрабатывать законным образом. Так что в лес, на грибы и ягоды возможно придется переселяться как раз мне, а не вам.

                                                                                                                                                              0
                                                                                                                                                              Если я не совсем ошибаюсь, то находясь, а уж тем более проживая, на территории другой страны вы автоматически попадаете под её юрисдикцию.
                                                                                                                                                              И если честно, то не вижу причины почему это правило должно быть неприменимо в плане законов о защите персональных данных.
                                                                                                                                                                0

                                                                                                                                                                Федеральный закон от 27.07.2006 Nr. 152-ФЗ. Пункт 5 ст. 18:


                                                                                                                                                                1. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

                                                                                                                                                                Исключения я посмотрел. Про граждан, постоянно проживающих за границей, там ничего нет.

                                                                                                                                                                  0
                                                                                                                                                                  В других законах тоже вроде бы ничего не написано про граждан, проживающих за рубежом. Но если кто-то вам ущерб нанесет, то считать его будут по немецким законам.
                                                                                                                                                                  То есть тут надо не конкретно российское или немецкое законодательство читать, а искать нормы международного права и смотреть если там исключения для законов о хранении персональных данных.
                                                                                                                                                        +2
                                                                                                                                                        Легко. Постройте два списка стран: ВВП на душу населения и уровень гражданских свобод. А потом посчитайте корреляцию.
                                                                                                                                                        а давайте, я с удовольствием почитаю. Желательно еще с анализом по продолжительным срокам, а не текущий срез, который ничего не скажет по факту, ибо только в динамике можно изучать.

                                                                                                                                                        Прям так и вижу описание, как при каком-нибудь Пак Чон Хи ковалось экономическое чудо и какой этот демократический тиран был. Или про Сингапур и что там будет за политический пикет, угу.
                                                                                                                                                        КНР, арабские нефтедобывающие страны (Катар, Кувейт, Бруней, ОАЭ). Замечательные корреляции будут, просто офигенные.
                                                                                                                    0
                                                                                                                    Но что-то подавляющее большинство сервисов решило этим не заниматься. И мне как-то не верится что они стали бы это добровольно делать когда-либо в обозримом будущем.

                                                                                                                    Рыночек порешал: на это просто нет спроса.

                                                                                                                    Вот если вам действительно хотелось узнать, какую информацию о вас хранят «различные онлайн-порталы, форумы, социальные сети, поисковые системы, мылопровайдер, вебшопы и прочие», то что вы делали, когда вам приходилось взаимодействовать с данной сущностью, а она вам ничего про это не говорила? Вы голосовали рублём или ногами? Вы писали письма администрации? Вы поднимали уровень заинтересованности и озабоченности остальных пользователей ресурса или просто ваших знакомых?

                                                                                                                    Более того, возникает ещё вот такой вопрос. У меня ожидание по умолчанию — что все запоминают про меня всё, что я им даю. Онлайн-портал и форум помнит, что я указал в регистрационной информации и, очевидно, комментарии-посты, что я там оставил, и так далее. Как это изменяет моё поведение? Я чуть меньше рассказываю соцсетям и не пишу некоторых вещей в комментах. Что изменит GDPR? Я/вы начнём больше рассказывать соцсетям? Яростно бросимся заполнять [скрытые] графы в профиле? А, ну да, теперь же GDPR, теперь же обязаны.

                                                                                                                    Подавляющее большинство пользователей, смею предположить, не заморачивается. А те, кто заморачиваются, они, как правило, не думают, что GDPR резко что-то изменит в плане защищённости их данных.
                                                                                                                      0
                                                                                                                      Рыночек порешал: на это просто нет спроса.

                                                                                                                      Ну вот и дорешался. Как оказалось есть. И «рынок» в очередной раз выяснил что он решает не всё.

                                                                                                                      Вы голосовали рублём или ногами?

                                                                                                                      Вы извините, но не всегда есть возможность голосовать таким образом.

                                                                                                                      Вы поднимали уровень заинтересованности и озабоченности остальных пользователей ресурса или просто ваших знакомых?

                                                                                                                      Вы думаете этот закон возник на пустом месте и его просто так придумали чтобы фэйсбук позлить? :)

                                                                                                                      У меня ожидание по умолчанию — что все запоминают про меня всё, что я им даю. Онлайн-портал и форум помнит, что я указал в регистрационной информации и, очевидно, комментарии-посты, что я там оставил, и так далее.

                                                                                                                      А как насчёт того что некоторые порталы собирают информацию о вас через ваших друзей? Через другие онлайн-сервисы? Собирают данные вроде ваших айпи, местоположения, конфигурации компа-смартфона и т. д. и т. п.
                                                                                                                      Вы знаете кто из порталов этим занимается, а кто нет?

                                                                                                                      Что изменит GDPR?

                                                                                                                      Ну лично я смогу узнать какой портал что конкретно обо мне хранит. И таким образом лучше буду знать когда «голосовать ногами». В идеале буду знать когда произойдут утечки данных и при необходимости смогу отреагировать на это.
                                                                                                                        –1
                                                                                                                        Ну лично я смогу узнать какой портал что конкретно обо мне хранит.
                                                                                                                        Может получиться как с калифорницским законом о вредных веществах. Принятие которого привело к тому, что на всех зданиях появились почти одинаковые таблички, обьясняющиее, что часть материалов, использованных в конструкции может быть канцерогеном.

                                                                                                                        Толку от этого — нуль (ну разве что производители табличек заработали).

                                                                                                                        Примерно то же самое произошло с куками: теперь все сайты дружно заставляют пользователя согласится с тем, чтобы он включил-таки куки (тольком не обьясняя зачем).

                                                                                                                        Если окажется, что GDPR покрывает данные, нужные подавляющему большинству сайтов, то GDPR просто добавит ещё одну бессмысленную плашку, скорее всего.
                                                                                                                          0
                                                                                                                          Плашки тут будет недостаточно. Нужна как минимум кнопка, которая позволит скачать все ваши данные, которые хранятся у сервиса-портала. И этого вполне достаточно чтобы узнать какая информация о вас хранится.

                                                                                                                          0
                                                                                                                          В идеале буду знать когда произойдут утечки данных и при необходимости смогу отреагировать на это.
                                                                                                                          Допустим утекает ваши данные: номер мобилы, адрес проживания и фио
                                                                                                                          Как на это можно «реагировать»? Срочно менять всё по списку утечки?
                                                                                                                            0
                                                                                                                            А давайте допустим что из онлайн-банка/магазина ваши логин-пароль и/или данные кредитки? Стоит в такой ситуации что-нибудь делать или можно оставить всё как есть? :)
                                                                                                                            А если из турбюро утекли ваш адрес и даты вашего отпуска?
                                                                                                                            Конечно не всегда нужно/можно как-то реагировать на утечки, но в некоторых случаях это вполне имеет смысл.

                                                                                                                            P.S. Кроме того если какая-то фирма регулярно теряет мои данные, то наверное имеет смысл осмотреться среди конкурентов :)
                                                                                                                      0
                                                                                                                      Формально договорные отношения есть. Те самые 100500 страниц ToS.
                                                                                                                      А сейчас вот читаю рассылку от Facebook — новые Platform Guidelines где:
                                                                                                                      • Запрос приложением вообще любых разрешений кроме самых базовых вида имя/аватарка/e-mail — добро пожаловать на App Review Facebook'ом
                                                                                                                      • Исключения — свои собственные приложения и приложения где все юзеры с правами — прописаны в настройках приложения
                                                                                                                      • Рекламные провайдеры — тоже должны спецдоговоренности иметь
                                                                                                                      • Провайдеры инструментария — спецдоговоренности + в будущем если работают с большим количеством данных — то попросят сообщить о клиентах.
                                                                                                                        0
                                                                                                                        Facebook не из-за GDPR суетится, а из-за скандала с Cambridge Analytica и «российского вмешательства в выборы», скорее. Соответственно, и цель этих изменений совсем другая.
                                                                                                                    +1
                                                                                                                    Именно. Конец соцсетей. И это прекрасно.
                                                                                                                  0
                                                                                                                  Как насчет всех европейских магазинов не скажу, а в германии с регистрацией или без регистрации — разницы не имеет. Для самого онлайн-шопа это фикция: и так и так данные будут сохранены, и будет создана учетная запись, в том же виде что и для зарегистрированного клиента, потому как этого требует налоговое законодательство (на 10 лет с момента выставления счета).
                                                                                                                  Разница только в том, что в одной учетке пароль есть, а в другой(гостевой типа) нет, и гость будь добр в следующий раз при покупке снова заполняй свои данные (адрес, емэйл, телефон и т.д.).
                                                                                                                  Так что обольщаться не стоит…

                                                                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                  Самое читаемое