Comments 33
Это замаскированная борба с p2p. Я вот здесь попытался человеческим языком суть передать.
Есть какой-нибудь чеклист внятный, который соблюдает и не попадаешь на штраф?
Скорее всего список драконовских мер, исключающий хранение персональных данных где бы то ни было кроме ЦОДов, типа: дорогие сейфовые двери, наличие сертифицированных антивирусов (это чтобы бэкдоры гарантированно стояли), использование сертифицированного ПО СУБД, использование сертифицированной криптозащиты, требования к пожаробезопасности, наличие сертифицированных брандмауэров. И самое главное: наличие какого-нибудь "Сертификата Комитета Неполживой Супернадёжной Безопасности".
Вот и получится, что по закону персональные данные можно хранить только в ЦОДах уважаемых пацанов с мохнатой лапой и золотыми часами. По сути это тотальная узурпация всех персональных данных населения в одних руках.
Пока телезритель следит за fire-шоу в Сирии и Донбассе и online-перебранкой п.резидентов, компетентные люди ходят по квартирам и вырезают неугодных.
Требований к физическому хранению данных нет, как таковых. Требование в описании всех и всяких использований этих данных. Следовательно нельзя просто сохранять все подряд, чтобы «потом разобраться». Тем более нельзя скрипты аналитики без описания у себя как они будут собирать данные. В общем всякое такое и тому подобное.
Privacy policy обязана быть. С полным и точечным описанием использования данных. При этом она должна быть написана общеоборотным языком без legalese. Что значит нельзя делать сто разных референсов и мелкий текст внизу страницы, использовать юридические термины и тому подобному.
Грубо говоря privacy policy сводится к «Мы получаем ваше имя, почту, телефон через форму для обработки заказа, ваши ip адрес для безопасности, email для проведения коммуникаций и данные вашего браузера для аналитики. Данные аналитики передаются третье-сторонней компании Кукл. Также мы делаем куки ибо это ключевая система создания сессии».
Как связано? А очень просто. Теперь хранение "персональных данных" на домашних компьютерах становится незаконным, так как ни один домашний компьютер не соответствует куче требований, введённых законами ЕС, РФ и США. И не надо мне говорить, что хранение персональных в облаках — это "супернадёжно, суперудобно, супербезопасно" и так далее. Своему соседу Васе я доверяю больше, чем серверам Facebook, Microsoft или Vkontakte вместе взятым. А меня сейчас этой возможности лишают, и делают Васю, хранящего мой профиль и фото у себя на компе, штрафником и уголовником.
Впрочем, мне распределенные социальные сети никогда не казались хорошей идеей: вместо того, чтобы доверить информацию о себе одной компании, ты доверяешь ее неопределенному кругу нододержателей. При том и той самой злодейской корпорации эти данные тоже не составляет особого труда получить. Возможно, имела бы смысл социальная сеть, в которой данные пользователя хранятся только на его собственной машине, но чем больше я об этом думаю, тем больше мне кажется, что такая социальная сеть уже существует и называется World Wide Web.
Всё я передал. Цитирую:
Процессоры данных (обработчики, хранители) – это организации, которые осуществляют ХРАНЕНИЕ ПД непосредственно на своих компьютерах. Они обязаны ограничить физический доступ к оборудованию, реализовать сценарии резервного копирования, настроить брандмауэры и соблюсти другие строгие требования.
В регламент внесено много новых требований, которые в большинстве случаев усложняют жизнь компаниям. Одним из таких изменений является, например, обязанность уведомлять специальные органы «Data Protection Authorities» (DPA) об утечке персональных данных в течение 72 часов.
.
И там даже ссылки указаны, откуда взяты эти сведения.
Это замаскированная борба с p2p. Я вот здесь попытался человеческим языком суть передать.Зеркало: Wall | VK — P2P программа Pandora и GDPR.
Вообще всегда за любые фантазии чиновников/менеджеров платят одни и те же люди
Для проведения какой-либо деятельности с целью получения выгоды в онлайн даже мелким компаниям надо удостовериться хотя бы в одном прямом контакте с пользователем. Адрес, IP адрес, телефон — что-либо. Так что маленькие компании обязаны GDPRиться и не могут свалить это на cloud вообще.
Если собираете больше, то пожалуйте под GDPR. Но 99.99% мелких контор не должны ничего по GDPR, кроме уведомления в случае обнаруженного взлома и проблем и удаления данных после периода аккаунтинга.
serverastra.com/billing/knowledgebase/15/ServerAstra-Privacy-Policy.html
Касательно Azure персональными данными является также данные сервера клиента, его впс и т.п. и т.д. Так что Azure должны иметь гарантии GDPR, т.к. по сути они будут хранить персональные данные, например в случае, если Вы являетесь стартапом пользующимся Azure.
Мы тоже работаем над добавлением записи о Storage Data, которое тоже может включать персональные данные, а соответственно подпадает под GDPR. Но опять же, нас это особо не касается. Мало что изменилось, только добавились подробности i.e. сколько храните данные, какие конкретно данные собираете, куда передаете, как обрабатываете, а также удаление данных (очень хитрый вопрос, ибо надо удалять и из бекапов!) и выкачка всех персональных данных (решается софтом).
В ЕС вступает в силу новый регламент защиты ПД