Comments 39
UFO just landed and posted this here
А где-то установлены формат и качество предоставляемых данных?
В статье 20 GDPR говорится:
Текстовые файлы, формально, это вполне широко используемый и (иногда) машинно-читаемый формат, но они должны быть структурированы.
Я не видел как выглядят файлы VK, но если их сложно парсить из-за отсутствия структуры — то машинно-читаемость ставится под сомнение. В случае разногласий у меня есть глубокие сомнения что суд встанет на сторону контроллера (если дойдёт до суда).
...in a structured, commonly used and machine-readable format...
Текстовые файлы, формально, это вполне широко используемый и (иногда) машинно-читаемый формат, но они должны быть структурированы.
Я не видел как выглядят файлы VK, но если их сложно парсить из-за отсутствия структуры — то машинно-читаемость ставится под сомнение. В случае разногласий у меня есть глубокие сомнения что суд встанет на сторону контроллера (если дойдёт до суда).
Слишком размытая формулировка, чтобы этим оперировать. По факту любой текст с элементарным соблюдением машинописи — это структурированный и машинно-читаемый формат. Ну и вряд ли ВК сделал это настолько плохо, насколько подразумевал nagayev
Когда там уже штраф для ВК будет? Они ж не удаляют данные, а по закону — должны.
Я тут закрывал счёт в Альфа-Банке, зашёл к ним в офис. Попросил специалиста удалить все мои персональные данные и не присылать рекламу никогда больше.
Ответ: «Нет, если вы были в Альфе, вы навсегда наш клиент. У нас даже возможности нет такой — удалить ваши данные. Звоните на горячую линию, они вам подтвердят. Ни про какие федеральные законы ничего на эту тему не знаем.»
Москва, конец 2018-го года. Занавес.
Ответ: «Нет, если вы были в Альфе, вы навсегда наш клиент. У нас даже возможности нет такой — удалить ваши данные. Звоните на горячую линию, они вам подтвердят. Ни про какие федеральные законы ничего на эту тему не знаем.»
Москва, конец 2018-го года. Занавес.
А причем тут Альфабанк в Москве?
При состоянии дел в России с ФЗ-152 (наш аналог GDPR) на сегодня, в крупной компании в столице.
Как думаете, будет ли разница в подаче заявления в суд в Евросоюзе и аналогично в России ( по якобы аналогу?)
Не знаю, надо проверять, если время, опыт и желание есть. Пусть займётся кто-то с релевантным опытом.
publication.pravo.gov.ru/Document/View/0001201810100001
Есть такой интересный документ.
Формально мы пока не подписали GDPR, но бодро движемся в эту сторону.
Есть такой интересный документ.
Формально мы пока не подписали GDPR, но бодро движемся в эту сторону.
С альфой всё грустно, да. Лет 5 назад перестал быть их клиентом, но они продолжали наяривать звонками и рекламой. Сходил в офис, написал заявление, чтобы не хранили мои данные (его даже приняли тогда!). Звонки прекратились и я успокоился…
Сейчас у нового работодателя зарплатный проект с альфой и пришлось снова стать их клиентом. Получил карту, активировал, зашёл в альфа клик и с ужасом обнаружил все свои данные и платежи 5-тилетней давности.
Сейчас у нового работодателя зарплатный проект с альфой и пришлось снова стать их клиентом. Получил карту, активировал, зашёл в альфа клик и с ужасом обнаружил все свои данные и платежи 5-тилетней давности.
У меня с Открытием такой прикол. Звонял уже 4ый месяц, один раз трубку взял, но болтать было некогда, послал лесом. Теперь звонят я трубку не беру, звонит не робот. Насколько их хватит или уже пора бежать просить удалить меня из рассылки? Клиентом Открытия не являюсь уже года 3.
Вы немного путаете частную конторку и банки, которые под колпаком ЦБ и кучки законов. Если очень коротко, то банки обязаны все транзакции хранить всё время(иначе как ты сведешь дебет с кредитом, или докажешь что платил за что-то кому-то, если ваши транзакции просто будут удалятьсся). Персональные данные клиентов хранятся минимум от 5 лет. Поэтому претензии не к альфе, а вообще к банковской системе. Точнее даже к законам ЦБ. Если вас смущает такое положение дел, то вам явно не стоит пользоваться банками)
Поэтому претензии не к альфе, а вообще к банковской системе. Точнее даже к законам ЦБ
В странах ЕС тоже самое, GDPR специально оговаривает такой случай.
Не совсем тоже самое. Дойч-банк к примеру, не показывает ничего дальше последних 6 месяцев. Хочешь получить сведения об операциях десятилетней давности? Нет проблем — топаешь ножками в банк, заказываешь распечатку, получаешь.
Мне это кажется наиболее разумным компромиссом между требованиями законов, подобных GDPR, и требований банковской системы.
Мне это кажется наиболее разумным компромиссом между требованиями законов, подобных GDPR, и требований банковской системы.
Вопрос о хранении данных, не о показе их клиенту. У меня есть подозрение, что то что показывает Дойч банк только за 6 месяцев связано не с GDPR'ом, а банальными техническими ограничениями (очевидно, намного проще работать с базой за полгода, чем за 10 лет). Тот же скайн тоже, если правильно помню, не хранит глобальную историю чатов более полугода, хотя тут уж никакого GDPR'а нет. Многие российские банки ограничивали историю в онлайн банкинге 3-6 месяцами еще когда о защите персональных данных никто даже не думал.
Скажем, N26 легко и мгновенно выдает мне все выписки онлайн с момента регистрации почти 2 года назад, что намного удобнее.
Скажем, N26 легко и мгновенно выдает мне все выписки онлайн с момента регистрации почти 2 года назад, что намного удобнее.
Скажем, N26 легко и мгновенно выдает мне все выписки онлайн с момента регистрации почти 2 года назад, что намного удобнее.Удобнее не только вам, но и злоумышеленникам, увы.
Но это вечный вопрос про сочетание удобства и безопасности…
Удобнее не только вам, но и злоумышеленникам, увы.
А чем поможет злоумышленикам знания о том какие транзакции я переводил 2 года назад? Точнее если они уже проберутся в мой онлайн банкинг, вряд ли для меня что-то сильно поменяется от того что они увидят транзакции за полгода или за два года.
При том что далеко не факт, что обычные сотрудники Долче банка не могут увидеть транзакции больше чем за полгода (как-то они же получают выписки за 10 лет?)
Ниже тоже написал — хотелось бы (а вдруг?), чтобы была разница между пассивным хранением «на всякий случай» и активным использованием.
Ответ: «Нет, если вы были в Альфе, вы навсегда наш клиент. У нас даже возможности нет такой — удалить ваши данные. Звоните на горячую линию, они вам подтвердят. Ни про какие федеральные законы ничего на эту тему не знаем.»
Москва, конец 2018-го года. Занавес.
Вы не поверите, но в Европе скорее всего вы получили бы тот же ответ. Дело в том, что GDPR специально оговаривает, что если по законам страны (налоговым, финансовым и т.п.) требуется хранить данные сколько-то лет, огранизация имеет полное право отказаться их удалять. Так как банковская сфера зарегулирована почти во всех странах, почти в любой стране ЕС банк должен хранить данные о клиентах и транзакциях N лет.
Интересно, а в Европе есть разница между «хранить (для возможных следственных действий)» и «использовать (для рекламных нужд банка и его друзей)»?
о клиентах и транзакциях N летТочнее: о клиентах N лет после закрытия счета(ибо что если счет не закрыт, и на нём уже 10 лет лежат ваши деньги?), а о транзациях — всё время(сводить дебет с кредитом, чтобы понимать, как у компании оказалось на счете 1 млрд, полученный за 10 лет транзакций).
Они действительно не могут удалить ваши данные.
Есть такое понятие, как «законный интерес»
Есть такое понятие, как «законный интерес»
А куда вообще уходят вот эти штрафы? Вот например ситуация в ФБ. Ну определят что из 50млн пользователей, допустим 100к были из ЕС. Назначат штраф в, условно, 1 миллиард. И куда уйдут эти деньги? Определят кто из какой страны, разобьют штраф в просцентном соотношении и в соответствии с этим штраф уйдет в ту или иную страну или выпалата будет именно пострадавшим-пользователям?
Объясните мне, какая разница для человека-пользователя сети Интернет, в какой стране стоит сервер, который хранит его персональные данные? Для правительств и их структур, я ещё как-то могу представить необходимость хранения на своей территории, но не для конкретного человека.
Сервер, находящийся в стране А, подпадает под её юрисдикцию. В частности, под законы о раскрытии данных и всяких там сотрудничествах с правоохранителями. Если Вы — житель страны Б, вам бы хотелось, чтобы Ваши данные подпадали под юрисдикцию вашей же страны. Ну, по крайней мере, правительству страны Б так хочется.
Интересно было бы послушать про случаи нарушений, выявленных аудитом, а не реальной утечкой данных. Пока выглядит так, что аудит крайне неэффективен, а ведь по gdpr должен быть жестким.
Например, как Microsoft поймали на хранении данных не там?
При том, что не все инициативы ЕС вызывают радость, GDPR — лучшее, что случилось за этот год. Я лично слышал товарища (Кипр), который плакался, что ему придётся стирать архив всех паспортов, которые он насканил за эти годы в рамках оказания услуг. Я ему, конечно, покивал сочувственно, но, какая же всё-таки благодать…
На прошлой неделе, сотрудница банка ушла с моим документом, вернувшись, попросила расписаться на копии. Пришлось вежливо рассказать, что делать копии не имеет права в связи с GDPR. Удивилась, но копию отдала. Польша.
З.Ы. Интересно, что в этом году скажут товарищи в прокате лыж, которые в прошлом сезоне (январь 2018) повсеместно сканировали документы.
З.Ы. Интересно, что в этом году скажут товарищи в прокате лыж, которые в прошлом сезоне (январь 2018) повсеместно сканировали документы.
Интересно, кто получит по шапке в оштрафованных компаниях в первую очередь? Младший ИТ-персонал, по старинке?
А мне вот непонятно… Например, у меня есть некий веб-сервис, который хостится на какой-нибудь Azure\AWS. Как я должен технически реализовывать хранение данных пользователей, имея только одну базу данных, если каждая страна требует, чтобы их данные хранились на серверах их страны? (и при этом как я понимаю, они не должны «утекать» за её пределы, т.е. репликация не подходит)
Sign up to leave a comment.
Первые штрафы по GDPR: кого уже наказали