Comments 41
В принципе, аналогичные законы есть и в РФ.
А если он переведён на, например, немецкий, то, тем самым подразумевается ваш таргетинг на Германию
А если он ориентирован на немцев, живущих в России и притом граждан России (такие есть, и их довольно много)?
Ну вот немцы в таких случаях и говорят что-то типа…
Одно дело это das Recht haben (иметь право) другое дело das Recht bekommen (добиться его выполенния).
Если у вас какой-то сайт и на нем тусюйтуся немцы, то можно особо не партися… Они самыи знают на что идут… И санкционировать вас просто некому.
Интереснее если ваши клиенты корпоративные и сами подлежат GDPR и в процессе работы с вами должны вам сообщить личные данные пусть даже собственных сотрудников.
- Хлопс и вы уже data (sub-)processor и перед тем как с вами начнут работать потребуют много бумаг (как минимум) ;)
- услуги/товары адаптированы на местные языки жителей ЕС;
- услуги/товары оплачиваются в местных валютах ЕС;
- услуги/товары предоставляются на национальных доменах верхнего уровня стран ЕС.
Например в этом источнике
В принципе, аналогичные законы есть и в РФ.
История была.
Закончился вклад в банке, забрал деньги, отозвал свои персональные данные, потребовал уведомить письменно об уничтожении моих ПД. Через некоторое время пришло уведомление. Через пол года пришел в другой банк, при оформлении договора мне сообщили, что я был клиентом такого то банка, который они купили…
- a name and surname;
- a home address;
- an email address such as name.surname@company.com;
- an identification card number;
- location data (for example the location data function on a mobile phone)*;
- an Internet Protocol (IP) address;
- a cookie ID*;
- the advertising identifier of your phone;
- data held by a hospital or doctor, which could be a symbol that uniquely identifies a person.
Email в общем случае, не попадает. Но не понятно, что будет, если пользователь сам введет почту с именем и фамилией, хотя его просили просто указать почту.
Проблема с Cookie ID. Если id сессии, что хранится в куках сюда может и не будет относиться, то даже по куке для автоматической авторизации уже вопрос.
www.itgovernance.eu/blog/en/how-the-gdpr-affects-cookie-policies
www.cookiebot.com/en/gdpr-cookies
Получается, что даже куки для неавторизованного пользователя ( то есть про него вы ничего не знаете), который шарится по вашему сайту — уже перс данные, так как для в куке уникальный ключ, на основании которого аналитика трекает поведение.
Главное что я понял, что точно все куки аналитики и рекламы попадают под GDPR (ну потому что даже если там не хранятся перс данные(в общем понимании) — но там есть уникальные ключи, за счет которых трекинг происходит). А вот куки, которые для работоспособности «в зависимости от» могут попадать.
Во второй статье (хотя ее можно расценивать как рекламу сервиса) но дельно в начале расписано как провести аудит куков. Хоть вместе с Google переводчиком советую почитать.
Да не придется, блин, чтобы там ни принимали в ЕС (, Саудовской Аравии, Китае, РФ, или КНДР).
А если в TOS написать большими английскими буквами, что этот сайт вне юрисдикции европы, не соответствует GD#!@ и не хочет работать с клиентами из европы? Клиенты-то не сильно снизятся, никто ж не читает. А вот проверки лесом посылать можно будет?
Можно ровно до тех пор, пока не совпадут два факта:
- Как-то придется пересечься с юрисдикцией ЕС (хотя бы просто выехать в страну ЕС, или даже в страну, готовую вас выдать в ЕС).
- Вы заинтересуете кого-то в ЕС настолько, чтобы заморочиться вашими нарушениями (заинтересуете не обязательно по линии нарушений, но повод докопаться будет).
хотя бы просто выехать в страну ЕС, или даже в страну, готовую вас выдать в ЕС
Вы путаете с уголовным кодексом. Штрафы за несоблюдение GDPR налагаются на компанию, это не уголовное преступление, чтобы кого-то преследовать/выдавать.
На вопрос выше: если фирма не имеет отделения/счетов/каких-либо активов в EC, то можно GDPR просто игнорировать. Хотя лучше не надо — там прописаны вполне разумные вещи, которые хорошо бы реализовать каждой компании независимо от каких-либо внешних директив.
А разве за систематическую неуплату штрафов принадлежащей вам или управляемой вами конторой нельзя получить на свою голову вполне уголовное преследование?
Типа за осознанное препятствование правосудию или неисполнение решения суда.
А если при регистрации не запрашивается страна? То есть в если мы не в курсе что клиент из ЕС или нет, должны ли все равно соответствовать
Если контроллер или процессор не зарегистрированы в зоне EU, то должен быть назначен официальный и документально подтвержденный представитель в EU Art. 27 GDPR: предоставляет кто-либо подобные услуги?
GDPR. Практические советы