GDPR на носу – прекращаем панику и начинаем спасаться

    Судя по нарастающей в сети панике, очень многие либо только узнали о GDPR, либо оттянули удовольствие до предела.


    Уже 25 мая угроза штрафа в 20 млн Евро или 4% от мирового оборота (что из этого больше) станет реальностью – впадать в панику или не впадать? Поскольку я уже ливанул ведро бензина в огонь, чувствую себя обязаным показать дорогу к пожарному выходу, не дожидаясь анонсированного в предыдущей статье события. Зарание прошу прощения за шероховатости – экспромт, очень fast и очень dirty, зато полезность зашкаливает (надеюсь).

    С одной стороны, угроза вполне реальна. С другой, вряд ли 25 мая еврокоммиссары в пыльных шлемах ворвутся в офисы всех без исключения нарушителей – на такую честь могут рассчитывать только самые матёрые негодяи «с репутацией», уровня Facebook. Чего же опасаться и как парировать угрозы, если под вашей ответственностью проект из второго миллиона по популярности – то есть широко известный в узких круах, как группа Fleshgod Apocalypse?

    Ответ подсказали наши немецкие коллеги по опыту вступления в силу закона об Impressum. Оказалось, что у них нашлось изрядное количество безработных юристов, охочих до лёгких денег – они массово находили нарушителей и крупным оптом их тиранили. То есть, я считаю главной угрозой проектам третьего-десятого эшелона не тщательное разбирательство со стороны евробюрократии, а нападение частной инициативы с поверхностным поиском типичных проблем и рассылкой шаблонных претензий.

    Поэтому:

    • Первый приоритет – устранение грубых нарушений основных принципов GDPR.
    • Второй – устранение тех нарушений, которые легко обнаружить, особенно автоматизированным сканированием.

    Устранение нарушений основных принципов GDPR


    Выпишите все персональные данные, которые вы собираете, цели и способы их использования – каждую комбинацию «набор данных + цель + способ использования» отдельно.

    Если какие-то персональные данные собираются «на всякий случай» «вдруг пригодятся» – это серьёзное нарушение, избавьтесь от них.

    Определите законное основание для каждой комбинации – GDPR определяет 6 возможных законных оснований:

    • Согласие (consent)
    • Контракт
    • Требование закона
    • Жизненные интересы физических лиц
    • Общественные интересы
    • Законные интересы контроллера (т.е. ваши)

    Это очень важная тема – выбирайте тщательно.

    Разберём самые полезные для нас:

    Согласие (consent)


    Согласие в терминах GDPR – штука очень и очень непростая:
    Согласие должно быть:

    • Выделенным: запросы на согласие должны быть отделены от других условий. Согласие не должно быть предварительным условием регистрации на услугу, если это не требуется для этой услуги.
    • Активным: предварительно отмеченные флажки ввода недействительны – используйте не отмеченные флажковые поля или аналогичные активные методы выбора (например, выбор двух равнозначных вариантов).
    • Гранулярные: дают раздельные варианты для отдельного согласования для разных типов обработки, где это необходимо.
    • Персонифицировано: назовите свою организацию и любые третьи стороны, которые будут полагаться на согласие. Даже четко определенные категории сторонних организаций не будут приемлемыми в рамках GDPR.
    • Документировано: ведите учет, чтобы продемонстрировать, на что согласился человек, включая то, что им сказали, и когда и как они согласились.
    • Легко отозвать: сообщите людям, что они имеют право отозвать свое согласие в любое время, и как это сделать. Должно быть так же легко отозвать, как и дать согласие. Это означает, что вам понадобятся простые и эффективные механизмы отзыва.
    • Без дисбаланса в отношениях: согласие не будет дано свободно, если есть дисбаланс в отношениях между физическим лицом и контролером – это сделает согласие особенно трудным для государственных органов и для работодателей, которые должны искать альтернативную законную основу.

    В целом тема хорошо раскрывается в ICO's GDPR Consent Guidance (draft) – собственно, это я одну страничку оттуда привёл.

    Контракт


    Довольно очевидно – если у вас деловые отношения (любого вида – продаёте товары, оказываете услуги, нанимаете на работу и т.д.) с физическим лицом, то вы имеете право собирать и обрабатывать те персональные данные, которые необходимы вам для выполнения ваших обязательств. Это законное основание также покрывает ситуацию, когда физическое лицо ещё только предприняло некие шаги (например, прислало запрос) направленные на установление отношений.

    Законные интересы контроллера


    Опять непростая тема:
    Вы можете обрабатывать личные данные без согласия владельца персональных данных, если у вас есть подлинная и законная причина (включая коммерческую выгоду), если только это не перевешивает вред правам и интересам личности.
    То есть вы можете провести оценку баланса ваших интересов против риска для физического лица и решить, что ваши интересы важнее. Разумеется, придётся это задокументировать и, при случае, отстаивать.

    Устранение легко обнаруживаемых нарушений


    Что легко обнаружить (в том числе автоматически), например, в онлайн-проектах:

    • Отслеживание поведения без согласия.
    • Неправильную форму согласия.
    • Согласие по умолчанию.
    • Запрос лишних персональных данных (например, слишком много обязательных полей с персональными данными в формах).

    Стоит всё это исправить – паучки уже могут стоять под парами, ожидая часа Ч…

    Plesk

    72,20

    Plesk – панель управления хостингом

    Поделиться публикацией
    Комментарии 35
      –3
      GDPR? — Неа, не слышал…
      А если серьезно:
      По данным опросов около 30% предпринимателей еще не слышали или не задумывались на эту тему… Только каждый пятый предпринял или планирует действия в этом направлении.
      Я думаю грядет охота на ведьм лавина исков с целью пополнить карманы адвокатов…
        0

        Незнание законов не освобождает от ответственности

          0
          Я с вами полностью согласен. Своим комментарием я только хотел показать реальное положение вещей. Я сам работаю в этой отрасли и мне волей неволей приходится сталкиваться и даже клиентам объяснять что где и как.
          Меня просто очень огорчает что в начале будут страдать маленькие предприниматели от юристов, конторы которых заточены на отлов и отстрел под это и иски которых не исходят от реальных лиц.
            0

            Я не знаю или ваша компания работает в странах ЕС, но все кто работают с ЕС были уведомлены уже давно. GDPR обсуждется уже более года всеми кому не попадя до такой степени что на западе это уже мем, так что меня удивляет что кого-то вообще удивляет что он близко.


            И потом, до него еще месяц, так что если поднажать то можно успеть.


            В добавок сначала будут уведомления, а потом в случае не выполнения обязательств, штраф.

        +1
        Сегодня в почте обнаружил обновление политики конфиденциальности от Twitter, Trello и GOG (а у них ещё отдельно для cookie).
        Совпадение?
          0

          25 мая близко...

          0
          Так можно IP в логах хранить или нельзя?
            0
            Это зависит. Что ещё у вас есть, кроме IP? К какой информации, связанной с этими IP, имеете доступ?
              0
              Насколько я понимаю/знаю о классических логах (вспомогательный инструмент диагностики/отладки, ограниченное время жизни, и т.д.) можно не беспокоиться. Но если какая-будь «светлая голова» решит что логи можно по-парсить ну скажем для маркетинговых исследований не имея на то согласия пользователей то, скажем так, обосновать законность владения полученными данными будет нечем…
                0
                Не совсем. Всё зависит от того, что ещё вам доступно в дополнение к IP — достаточно ли этого для идентификации физлица или нет. Могут и логи веб-сервера сами по себе стать хранилищем персональных данных — у какой-нибудь соцсети запросто вообще.
                  0
                  Опять-же, насколько я понимаю/знаю номинативная информация в промежуточных системах (разные кеши) и во вторичным источниках (логи используемые исключительно для технической отладки — прокси, отдельные сервисы и т.д.) отдельной декларации не требуют. Суть GDPR и его предшественников — в контроле использования персональной информации. Вторичные источники требуют лишь стандартных мер — защиты от утечек и уничтожение/анонимизация в разумные сроки (в Европе min/max зачастую определяется законами и составляет ~ 1 года).
                  Я не юрист но с проблемой персональных данных мне приходиться сталкиваться регулярно. У нас (франция) GDPR называется RGPD и он заменяет/дополняет CNIL — локальное законодательство существующее уже 40 лет. Оно близкое по духу GDPR только штрафы поменьше но можно загреметь в тюрьму.
              0
              В сентябре занимался Privacy Shield и GDRP для друзей, написал по итогам небольшую заметку с описанием, что нужно сделать по каждому из основных шагов, мб кому пригодится — medium.com/@rsedykh/gdpr-and-privacy-shield-in-plain-russian-for-saas-9dfa03e72f9b.
              0
              Есть сайт, работающий в России и заточенный на наш рынок. Но естественно может кто угодно зарегистрироваться. Нужно ли специально отслеживать граждан ЕС и если такие попадутся, то что с ними делать?
                0
                Предыдущую статью прочитали? habr.com/company/plesk/blog/354386
                В каких моментах вы отметили, что это про ваш проект?
                  0
                  Очень интересно, спасибо!)
                  У меня например установлен счетчик Яндекс-метрики. Больше никаких моментов нет. Но судя по статье — это тоже проблема)
                    0
                    Если сайт только на русском, то проблема довольно теоретическая — по букве закона она есть, но вряд ли кто-то до вас докопается практически. Хотя решать вам, в конце концов.
                    Почитайте metrika.yandex.ru/about/info/gdpr
                      0
                      Спасибо!
                      Да сайт только на русском и переводов не планируется
                        0
                        Кстати, а если даже будут пытаться докопаться, то что? Какие у них есть практические возможности воздействовать на русскоязычный сайт, с хостингом в РФ?
                0
                Упс.
                  0
                  Спасибо за разжёвывание. Не скажу, что ситуация прям ужас-ужас, но поработать над тем, чтобы соответствовать требованиям — явно придётся.
                    0
                    Пожалуйста :)

                    Учтите — здесь буквально экстренный старт описан, причём только с технической стороны. То есть это шпаргалка «что начать делать ещё до того, как что-то начал понимать в GDPR».
                      0
                      Я понимаю. Но паника и спешка — плохие попутчики.
                      Я знал, что есть GDPR, но только из ваших статей узнал, насколько всё может быть серьёзно, особенно для такого сайта, как мой. И немножко удивился, потому что британцы, для которых я этот сайт строю — ни о чём таком мне не говорили. Обрадую их на следующей неделе, а пока буду загружаться знаниями и писать предполагаемый план действий.
                        0
                        Если сайт не в продакшене, то можно не торопиться, конечно — можно и трансляцию 15-го подождать.
                        Эту статью я написал в ответ на претензии, что напугал и бросил людей в панике.
                          0
                          Полтора года как в продакшене 8)
                            0
                            Тогда я бы начал паниковатьдействовать прямо сейчас по этой статье.
                            В Великобритании GDPR будет действовать в полный рост.
                              0
                              Так я и действую. Составляю список данных, прикидываю сроки внедрения «правильной» галочки на согласие + возможности её отзыва. Ну и читаю сам regulation.
                    0
                    Сайтов физлиц всё-это касается? Начинаю переживать за уютные бложики
                      0
                      В GDPR формулировка такая:
                      This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities. However, this Regulation applies to controllers or processors which provide the means for processing personal data for such personal or household activities.

                      Вот и думайте — «purely personal or household activity» у вас в бложике или чуток «professional or commercial activity» тоже есть?
                      0
                      Не могли бы вы прояснить, откуда вы взяли требование гранулярности для consent'а?

                      Гранулярные: дают раздельные варианты для отдельного согласования для разных типов обработки, где это необходимо.

                      В докладе вы еще так же упоминали, что на каждый кусок данных и на каждую цель обработки нужно брать отдельный consent, что выливается в отдельные «галочки» в интерфейсе.

                      Я подозреваю, что на это может натолкнуть вот этот пункт из Recital 32:

                      When the processing has multiple purposes, consent should be given for all of them.

                      Но разве тут об этом? Да, я должен указать все, что я обрабатываю, и все цели, для которых мне нужны персональные данные (конкретно по каждому куску и цели), но где требование того, чтобы consent брать отдельно по каждому пункту? Можно описать все это и дать пользователю одну галочку. Я прочитал в документе почти все, что касается consent'а и не нашел противоречий этому.
                        +1
                        Там набор взаимодополняющих пунктов, которые в итоге приводят к такому выводу.

                        Хорошо эта тема разжёвана в Article 29 Working Party Guidelines on Consent under Regulation 2016/679 в «3.2.Specific».

                        Ещё можно посмотреть в ICO Consent Guidance — хотя финальная версия у них сильно проигрывает черновой. Собственно, процитированный вами текст — перевод из черновика ICO.

                        PS: Главным является «отдельный консент на каждую цель» — я добавил «кусок данных» чтобы подчеркнуть, что надо четко указывать какие данные будут сохранятся для каждой конкретной цели.

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое