Самое главное, что нужно знать о GDPR

    Что такое GDPR?


    Это новое регулирование в ЕС, которое вступает в силу 25 мая 2018 и содержит новые правила, касающиеся персональных данных лиц, находящихся в ЕС.

    GDPR касается персональных данных всех лиц, находящихся на территории ЕС.

    Что относится к персональным данным?


    • Имя
    • Адрес
    • Место нахождения
    • Он-лайн идентификаторы
    • Информация о здоровье
    • Информация о доходах
    • Информация об интересах в области культуры
    • Другая информация, которая помогает определить конкретного человека

    Кого касается GDPR и его требования?


    (1) Компаний в любой стране мира, которые:

    • Предлагают товары/услуги лицам в ЕС или
    • Мониторят их поведение

    (2) Компаний, которые имеют представительство / филиал в ЕС и обрабатывают персональные данные

    Когда можно обрабатывать персональные данные?


    • Если есть согласие пользователя*: Consent
    • Если есть договорное обязательство с пользователем: Contractual obligation
    • Если есть обязательство по закону (законодательство ЕС или национальное): Legitimate obligation
    • Если требуется в общественных интересах (по законодательству ЕС или национальному): Public interest
    • Если требуется для обеспечения жизненно важных интересов человека: Vital interests of individual
    • Для законных интересов компании, но только после проверки того, что нет серьезного нарушения основных прав и свобод лица, чьи данные обрабатываются. Выводы в каждом отдельном случае могут быть обоснованы на конкретных фактах конкретной ситуации: Legitimate interest

    При сборе данных пользователей их нужно уведомлять, что данные будут обрабатываться.

    * Согласие пользователя на обработку его данных должно:


    • Быть свободным (никто и ничто не заставляло его соглашаться, отказ не должен вызывать негативных последствий для пользователя. Предоставление согласия не может быть условием заключения соглашения с пользователем)
    • Быть информированным (вся информация должна быть представлена пользователю до того, как он согласился)**
    • Касаться конкретных целей, для которых данные собираются
    • Все причины для обработки данных должны быть ясно изложены
    • Быть явным и выражено в действии пользователя (например, самостоятельным проставление галочки у нужном месте, заранее проставленные галочки – не считается явным согласием выраженным в действии)
    • Быть на понятном и четком языке и читабельно
    • Содержать разъяснение, что такое согласие всегда может быть отозвано (отзыв согласия не должен вызывать негативных последствий для пользователя)

    ** Для того, чтобы согласие пользователя считалось информированным, ему должна быть предоставлена информация о:


    • Организации, которая обрабатывает данные
    • Цели обработки данных
    • Тип данных, которые будут обрабатываться
    • Возможность отозвать согласие на обработку данных
    • Использовании данных для исключительно автоматического (машинного) принятия решения, включая профилирование
    • При передаче данных в другие страны – рисках передачи данных в третьи страны, в отношении которых нет решения Комиссии ЕС о их безопасности с точки зрения защиты персональных данных и когда нет соответствующих мер по обеспечению безопасности данных
    • Сроке, в течение которого данные будут храниться

    Данные можно обрабатывать только для тех целей, на которые пользователь дал согласие.

    Нужно ли получать новое согласие после 25 мая 2018?


    Нет, если согласие пользователя было получено с соблюдением описанных выше требований.

    Можно получать и передавать данные пользователей другой организации?


    Да, если есть их на это согласие, полученное по правилам, описанным выше.

    О чём ещё нужно подумать?


    • Вести записи об операциях с данными пользователей
    • Указать как пользователь может (i) получить информацию о том, какими его данными владеет компания, (ii) отозвать согласие на обработку его данных, (iii) внести изменения или (iv) удалить данные
    • Быть готовым отвечать на обращения пользователей
    • Не забыть узнать, сколько лет пользователю и попросить согласие его родителей, если ему меньше 16 лет
    Поделиться публикацией
    Комментарии 27
      0
      Он-лайн идентификаторы

      IP-адреса, а если они пользователю выдаются динамически?
        0
        Как же это GDPR достатало, каждый сервис, даже те где 20 лет назад регистрировался и больше не пользуюсь, прислал свою новость об этом GDPR.
        Хотьбы смотрели что я из России а не из европы, и меня их GDPR не касаются.
          +5
          А вас не беспокоит, что у каких-то левых сервисов есть данные о вас? Рассматривайте это как возможность выпилиться из всех сайтов, которыми не пользуетесь, но которые хранят данные о вас.
          Ваша жалоба звучит как «Ох уж этот Навальный/Телеграм, везде достал уже»
            0
            Как из них гарантированно выпилиться, подскажите?
            +1
            Нет, меня не беспокоит доступность моего емейла сайту, на котором я когда-то давно регистрировался. А вас?
            0
            Я думаю, они Вам (точнее, нам, потому что я, как и многие здесь, тоже получил уйму уведомлений) эти уведомления прислали, потому что GDPR касается в первую очередь их самих. =)
              +3
              А как по Вашему должно было быть? Типа это данные какого-то Васи из России, не будим их защищать, да и вообще выложим в сеть.
              Странно было бы если бы компании разделяли персональные данные по географическому признаку. Я бы на Вашем места радовался, что Ваши данные защищаются, так же как и данные граждан ЕС.
              + В GDPR есть такой принцип, как «Accountability» — звучит как: «Comply with the principles and be able to demonstrate that processing is performed in accordance with them. (Articles 5 and 24)» То есть, этот принцип предусматривает обязательство соблюдать принципы и демонстрировать, что обработка выполняется в соответствии с ними. Вот и выходит такая себе демонстрация в виде писем и уведомлений, что обновлена Privacy Policy.
                –6
                Если они касаются Васи из России то пусть защищают по российским законам. И уведомления об этом присылают на понятном русском языке.
                  +1
                  Если они касаются Васи из России то пусть защищают по российским законам. И уведомления об этом присылают на понятном русском языке.

                  Ну зрасьте, г-н Жаров, давно вас не было тут видно.
                  Вашим гипотетическим сервисом пользуется условный Волька Ибн Хоттабыч из Южного Бантустана, в котором говорят на редком диалекте мёртвого языка. И в котором местные законы гласят, что персональные данные должны хранится только и исключительно на территории Южного Бантустана, а так же, что поставщик услуг должен предоставить полный доступ компетентных органов к данным, логам и контенту пользователей…
                  Какие ваши действия?
                    –2
                    Вы неверный пример привели. Мне как пользователю из России какая разница какая там у Бантустана GDPR? Все радостные письма от сервисов об этом событии я считаю попавшими не по назначению, могли бы озаботиться фильтрацией по стране.
                      +2
                      Кажется, вы не умеете читать и/или не хотите/не можете понять прочтённое. Засим дальнейшую дискуссию считаю бессмысленной.
              0
              del
                0
                Очень важно, чего не указано в статье, что персональные данные (ПД) делятся по GDPR на Personal Data и Sensitive Personal Data. И процессить Sensitive Personal Data нельзя. Цитата из GDPR:
                «Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation is prohibited.»
                То есть если вы собираете данную информацию, то профилировать пользователя по ней нельзя.
                + Родительский консент требуется не всегда до 16, иногда до 13 в зависимости от страны. Цитата:
                «Member States may provide by law for a lower age for those purposes provided that such lower age is not below 13 years.»
                И еще одно — Если у Вашей компании нет представителя в ЕС, но Вы процессите персональные данные граждан ЕС, то такого представителя в скором времени необходимо завести.
                  +1
                  Довольно много однотипных статей появилось в интернете и на Хабре за последнее время.
                  Но что интересно. Ни одна из статей не раскрывает, что делать маленькой компании или ИП, которые торгуют через свой сайт по всему миру.

                  Если посмотреть, есть довольно много сайтов, где продаются программки, расширения для CMS, хендмейд и тд. Обороты там небольшие, Европа составляет 20-30%. Но! Эти 20-30% им терять не хочется.

                  Конечно, при таких доходах ни о каком представителе в ЕС и речи быть не может. По сути, все что они обрабатывают — Имя, Email, Адрес доставки. Я какой день задаюсь вопросом, что им делать (и мне в том числе). Какой текст в Privacy Policy разметить? Как сделать все правильно?

                  И вот еще что интересно. Я взял одно из своих хобби и провел сравнительный анализ сайтов мелких фирм предлагающих аксессуары и оборудование. Фирмы из США, Австралии, Японии и тд даже и не подумали адаптировать свои сайты под GDPR. Да, в явной форме у них не заявлена продажа в Европу, но по факту у них такая же отгрузка в 20-30%. Более того, мелкие фирмочки в самой Европе на сайтах не имеют Privacy Policy вообще или имеют устаревший текст. Нет предупреждений о Cookies. Какова их судьба? Их будут массово отлавливать? Или все же этот закон в больше степени касается крупных игроков, а на мелочь закроют глаза?
                  0

                  "Нужно подумать"?
                  Вообще это всё функции, которые система обязана иметь.


                  Ещё нужно не забыть что в законе есть требования к защите данных и обязательном информировании в случае обнаружения утечки.


                  Необходимость сбора данных должна быть обоснована. Основания приведены в статье. Полезно понимать что основания ранжированы contractual obligations, legitiment interest, etc, оправдывать сбор данных в privacy policy — последние что вы будете хотеть делать

                    +1
                    Согласие пользователя на обработку его данных должно:
                    Быть свободным (никто и ничто не заставляло его соглашаться, отказ не должен вызывать негативных последствий для пользователя.


                    О как.
                    «Чешские Авиалинии» написали в email, что если не соглашусь — обнулят счёт с накопленными милями.
                    Надеюсь, банки и сотовые операторы не последуют их примеру.
                      0
                      Думаю, без вашего согласия им придется удалить ваши персональные данные вместе с вашим аккаунтам и привязанными милями. Так что все ожидаемо. Очередное уведомление «я согласен с куками.»
                      0
                      Подождите, я правильно понимаю?
                      1. Посетитель из ЕС хочет что-то купить. Допустим электронную книгу.
                      2. Я у него должен спросить e-mail, чтобы книгу отослать.
                      3. Он может отказаться предоставлять эту информацию, но это не должно быть поводом для отказа в услуге.
                      4. WTF?
                        +2
                        Когда можно обрабатывать персональные данные?
                        • Если есть договорное обязательство с пользователем: Contractual obligation

                          0
                          Вместо отправки даём скачать брузером, никаких проблем.
                            0

                            Только если у вас есть лицензия на продажу цифровых копий.

                              +1
                              Если её нет, то отправка на e-mail ничего не изменит.
                          0
                          На физлиц-то это распространяется? Если Базалка из Чехии спалил своё мыло Педро из Испании, а Педро не хочет его удалять — Базалка может оштрафовать Педро на €10M?
                            0
                            а что есть «Вести записи об операциях с данными пользователей»?
                            Это как журнал действий над данными каким-либо, либо это документ-описание данные-цель (то есть прописывается один раз что и для чего обрабатывается, добавляется в Privacy Policy и все)…
                              0

                              Работаю в большой европейской конторе с годовым оборотом в 3 миллиарда евро. Из-за страха потерять до 4% от оборота в виде штрафов заставили всех программистов и иже с ними, пройти обязательный курс по GDPR со сдачей зачёта. В среднем 3 часа на человека. Умножаем на 800 программеров плюс всяких менеджеров. Наверное дешевле было заплатить штраф :)

                                0

                                Непонятно, считать ли ip за данные, по которым можно вычислить пользователя? Допустим сотрудники интернет-провайдера, получили доступ к каким-то «обезличенным» данным, содержащие ip адреса. Есть шанс, кого-нибудь идентифицировать.

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое