Comments 27
GDPR подтолкнул компании отнестись серьёзнее к обрабатываемым персональным данным
Слишком мягко. Больше подходит: заставил (или заставит), несмотря на ярко выраженное и упрямое их нежелание этим заниматься и наоборот извлекать выгоду из целенаправленного аморальной их обработки.
Самое «страшное» — размытость понятия «персональные данные», под которое попадает фактически любая информация о субъекте. Так что компаниям придётся поработать.
Можете привести формальное определение понятия?
(выделено мной) Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); идентифицируемое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица.
Я как-то приводил про пример с жёлтой курткой. Сама по себе куртка не является персональными данными, но если с помощью неё можно идентифицировать человека, то куртка уже считается персональными данными. Например, подойдите к мужчине в жёлтой куртке, который пьёт кофе в промежутке между 10 и 11 часами в кофейне «Ветерок».
Я как-то приводил про пример с жёлтой курткой. Сама по себе куртка не является персональными данными, но если с помощью неё можно идентифицировать человека, то куртка уже считается персональными данными. Например, подойдите к мужчине в жёлтой куртке, который пьёт кофе в промежутке между 10 и 11 часами в кофейне «Ветерок».
По одной куртке нельзя идентифицировать конкретного человека. Группу людей можно. Одного — нет. То же самое и с неполным IP. Кусок данных не является в этом случае информацией — только её недостаточной частью. Трактование и применение этого закона в таком ключе, чтобы можно было зацепиться за любой кусок данных и «притянуть за уши» его к статье и наказанию — это прямое мошенничество (которое вполне может быть и узаконено — по недосмотру или специально). Потому что конечная цель — штраф (обман с целью отъёма денежных средств) и не более того. Понятно, что никто открыто этот момент обсуждать не возьмётся, но понимать и знать это стоит. Опять же, факт наличия и действия «кривого закона» ещё не говорит, что «там наверху дураки сидят». Возможно, такой закон просто является временным прикрытием чего-то большего, что афишировать и открыто обсуждать не положено.
Закон не подразумевает формального определения, его могут подогнать комиссия под удобные ситуации. Выкрутиться неправильной трактовкой не получится.
Из типового: логин в виде емейла, IP адрес являются персональными данными.
Из типового: логин в виде емейла, IP адрес являются персональными данными.
Кстати, в России IP адрес является персональными данными, если можно однозначно меня идентифицировать. И жёлтая куртка вкупе с временем встречи, и номер телефона, и связка отчество+адрес+возраст.
В GDPR это необязательно: данными может являться даже 123.43.23.* — затёртый IP адрес.
В GDPR это необязательно: данными может являться даже 123.43.23.* — затёртый IP адрес.
Дополню мной вышесказанное: именно связка в этом случае является персональной информацией. По отдельности это просто характеризующие данные (просто жёлтая куртка, которую носят ещё какие-то 100.000 человек). Я специально не стал называть их «не персональной информацией», чтобы отчётливо была видна разница. И терминологически, при классификации чего-либо, так называть корректнее (частица «не» в данном случае даже не моветон, а вполне «запрещённый приём»).
Здесь нужна практика. Модель браузера и его версия являются персональными данными?
А что конкретно GDPR говорит о защите персональных данных?
Состав нарушения закона в чем состоит?
А что конкретно GDPR говорит о защите персональных данных?
Состав нарушения закона в чем состоит?
Хороший вопрос. С одной стороны по User-Agent'у нельзя идентифицировать человека, с другой стороны, если у него кастомный User-Agent, то уже можно
Практики нет. Планируется к 19-му году. Сейчас принято ориентироваться не на конкретную информацию, а на её совокупность. Если храним и обрабатываем ФИО, телефон и модель браузера, то всё это персональные данные. А если в течение месяца, например, специалист по контекстной рекламе собирал инфу о браузерах от конкретных пользователей, которые побывали на сайте клиента (здесь инфа. еще персональные данные), потом выгрузил их в таблицу без указания на конкретных лиц, то это уже статистические данные, которые не попадают под понятие персональные. Тонкостей много.
Я про практику европейских судов (или кто там эти дела рассматривает) по данному закону. Он вообще применяется? А то Фэйсбук регулярно громко персональные данные пользователей теряет, а что-то не слышно о его миллионных штрафах.
Фейсбук оштрафован на 500 000 фунтов — это максимальный штраф по британским законам. На момент совершения нарушения GDPR ещё не вступил в силу. В противном случае штраф мог быть 20 млн. евро.
tjournal.ru/73467-velikobritaniya-oshtrafovala-facebook-na-polmilliona-funtov-sterlingov-iz-za-skandala-s-cambridge-analytica
tjournal.ru/73467-velikobritaniya-oshtrafovala-facebook-na-polmilliona-funtov-sterlingov-iz-za-skandala-s-cambridge-analytica
Если это сингл на Стиме, то персональных данных ведь не будет?
Имеется в виду, если я в качестве Инди выпущу на Стиме игру для одиночной игры, то ко мне GDPR не относится?
Нужно ответить на вопросы:
1) Получаю ли я какие-либо данные от людей, играющих в игру?
2) Могу ли я идентифицировать лицо, данные от которого получены (не обязательно знать имя и фамилию, достаточно каким-либо образом иметь возможность обратиться к нему, имея полученные данные)?
3) Являются ли данные от жителей ЕС?
Если ответы да, то попадаете. Отвечаю конечно приблизительно. Потому что с разработчиками игр мы садимся за стол и начинаем выяснять что, откуда, с какой целью получено, нет ли лишних данных, как идентифицировать, нет ли обезличенных данных и т.д.
1) Получаю ли я какие-либо данные от людей, играющих в игру?
2) Могу ли я идентифицировать лицо, данные от которого получены (не обязательно знать имя и фамилию, достаточно каким-либо образом иметь возможность обратиться к нему, имея полученные данные)?
3) Являются ли данные от жителей ЕС?
Если ответы да, то попадаете. Отвечаю конечно приблизительно. Потому что с разработчиками игр мы садимся за стол и начинаем выяснять что, откуда, с какой целью получено, нет ли лишних данных, как идентифицировать, нет ли обезличенных данных и т.д.
Спасибо за ответ!
2) Получается всё, что позволяет осуществить обратную связь с конкретным человеком, к вам обратившимся, попадает под понятие «персональные данные». В таком случае, придётся всегда чётко понимать, кого вы, например, решаете добавить в копию емейла, т.к. вероятна утечка, которая грозит вам нарушением GDPR. Весело, ничего не скажешь…
Отличная статья! Такие вещи полезно, во всех смыслах, знать и использовать. Илья, вы действительно уверены, что к 19му году мы получим достаточно практики для получения разъяснений в «размытых» моментах этого регламента? Мне кажется, что срока в 7-8 месяцев будет маловато.
GDPR принят в 2016, но вступил в силу в 2018. За эти 2 года собиралась практическая информация, решались вопросы, так сказать собирали возражения от стран ЕС. Комиссия ЕС, если не ошибаюсь, то она, объявила, что сделает обзор практики применения в 19-м году. Статьи на эту тему ещё будут. Потому что многие российские компании возмущены тем, что это не российский закон и не применяется на российские компании в России. Но как быть, если в Европе вынесут решение в отношение российской компании? Как исполнять решение? Сможет ли нарушитель продолжать работать в Европе? Сейчас уже видно, что компании всё равно подгоняют стандарты по обработке данных и по законам РФ и ЕС. Хотя противоречия тоже есть.
У меня возник странный вопрос.
Вот у нас есть некий злоумышленник. Тролль на форуме, читер в онлайновой игрушке; горе-хакер, перебором словаря пытающийся подобрать пару admin:admin на вашем сервере — в общем, представитель той категории персонажей, которую любят «лишать свободы слова» посредством бана.
Верно ли я понимаю, что теперь такому злоумышленнику достаточно потребовать удаления персональных данных согласно GDPR, и можно начинать резвиться заново? И существуют ли какие-то механизмы, предотвращающие такое использование закона?
Вот у нас есть некий злоумышленник. Тролль на форуме, читер в онлайновой игрушке; горе-хакер, перебором словаря пытающийся подобрать пару admin:admin на вашем сервере — в общем, представитель той категории персонажей, которую любят «лишать свободы слова» посредством бана.
Верно ли я понимаю, что теперь такому злоумышленнику достаточно потребовать удаления персональных данных согласно GDPR, и можно начинать резвиться заново? И существуют ли какие-то механизмы, предотвращающие такое использование закона?
Данные о клиенте вы можете хранить, и банить его. Главное, не передавать их третьим лицам и не терять.
А потребовать троль ничего не может по GDPR. С чего?
А потребовать троль ничего не может по GDPR. С чего?
Если я верно понимаю, то
Дальше: если я тролль, и меня забанили, я могу отправить запрос на удаление моих ПД в том числе из бан-листа. Profit?
Или я все же где-то ошибаюсь? Ошибаться я могу, это запросто.
В GDPR также предусмотрено право на забвение (right to erasure, right to be forgotten), которое дает европейцам возможность удалять свои личные данные по запросуОтсюда
Дальше: если я тролль, и меня забанили, я могу отправить запрос на удаление моих ПД в том числе из бан-листа. Profit?
Или я все же где-то ошибаюсь? Ошибаться я могу, это запросто.
Да, есть такое. Но мне кажется тут тролль не сможет юридически доказать, что конкретный IP в бан-листе — его персональная информация
Необязательно же именно и только IP. ПД участника с ником «зеленое трололо», мейл, IP, привязанный номер телефона, -100500 кармы…
В общем, понятно, что все сложно. Благодарю за ответы.
В общем, понятно, что все сложно. Благодарю за ответы.
Да, это интересный момент.
Article 17 of the GDPR, The Right To Erasure, states:
Data Subjects have the right to obtain erasure from the data controller, without undue delay, if one of the following applies:
The controller doesn’t need the data anymore
The subject withdraws consent for the processing with which they previously agreed to (and the controller doesn’t need to legally keep it [N.B. Many will, e.g. banks, for 7 years.])
The subject uses their right to object (Article 21) to the data processing
The controller and/or its processor is processing the data unlawfully
There is a legal requirement for the data to be erased
The data subject was a child at the time of collection (See Article 8 for more details on a child’s ability to consent)
или поступить вот так:
Утренняя новость…
Возвращение к сборкам для конкретных стран
Утренняя новость…
Возвращение к сборкам для конкретных стран
Sign up to leave a comment.
GDPR: Data mapping или как клиенты находят давно забытые ноутбуки