Комментарии 103
А что сейчас? Изредка удаление аккаунта реализовано легко и просто. Гораздо чаще нужная ссылка «удалить» запрятана на дне запертого шкафа с бумагами, который стоит в неработающем туалете, на двери которого табличка «Осторожно, леопард!». А ещё чаще — «извините, возможности нет, просто не пользуйтесь» (иногда, к счастью, можно поменять имя/почту и таким образом «выпилиться»).
Так не пользуйтесь такими сервисами — они сами и отомрут! Пользуйтесь тем, где все сделано, как вам кажется "по уму".
У всех пользователей сети всегда была возможности не сливать свои реальные личные данные кому попало в т.ч. куки, а если постараться, то даже реальный IP всегда можно было скрыть.
Но с такой заботой о народе, которому, как раз в силу такой заботы — очень часто плевать на здравый смысл, скоро следует ожидать принятия законов, обязывающих например всех изготовителей и продавцов топоров обеспечить возможность автоматического пришивания отрубленных пальцев и других конечностей, а возможно и воскрешения убиенных — типа не ведал пользователь топора, что он творит!
Как я понимаю — такие законы поощряют людей жить с выключенным мозгом, примерно так же, как инструкция, что нельзя котов сушить в микроволновке и ей подобные.
Извините, но у меня возник один простой вопрос, а вот вы, как человек с «включённым мозгом», можете мне сказать какие конкретно данные обо мне собирают различные сервисы и что они с ними дальше делают?Ок, объясню — данные в браузерах вы вводите через формы, в формах есть поля, в полях описание того, что хотят чтобы вы в это поле ввели. Т.е. если вы заполнили к примеру поля «телефон», «фамилия», «имя» вашими реальными данными и нажали кнопку «отправить», то (о чудо!) — именно эти данные будут переданы браузером на сервер и никакие другие. Т.е. если вы собственноручно не вводили серию паспорта — браузер не сможет телепатически ее у вас считать. Если у вас не отключены куки (такие кусочки информации, которые браузер умеет сохранять и читать) то скорее всего они тоже будут отправлены. Еще браузер заполнит несколько заголовков HTTP запроса данными например о своем названии, версии и ОС и еще какую-то техническую информацию имеющую очень мало отношения к реальным персональным данным. Т.е. браузер не способен отличить вас от вашей жены (если она сядет за комп вместо вас) и всегда будет передавать одну и туже техническую информацию (которую вы кстати можете контролировать с помощью настроек).
Насчет того, что с этой информацией будут делать дальше — все зависит от бизнеспроцесса.
Например если в незнакомой компании вас просят представится, то скорее всего это делают для того, чтобы иметь возможность обращаться именно к вам, упоминать вас в других беседах, ссылаться на ваши высказывания в дальнейшем и т.д. и т.п. И заметьте — если вы представитесь, то у вас нет никакой возможности стереть эти данные из памяти других людей, а также всех остальных — кому они о вас расскажут и т.д.! Кошмар — не правда ли?
Что можно сделать:
1. Не представляться и ходить в маске.
2. Представляться вымышленным именем, использовать грим и одноразовую одежду.
3. Другие варианты.
В интернете можно делать все тоже самое.
А как быть с моим онлайн-банком, оператором мобильной связи, муниципальными службами и т.д. и т.п.? Ну чтобы я знал кому из них можно доверять, а кому нет?А это уже риторический вопрос, тут каждый сам должен решать кому в этой жизни можно доверять, а кому нет и оценивать свои риски. И никакими законами этого решить вместо вас никто не может. К примеру вас ведь не смущает тот факт, что если сумма вашего вклада превышает максимальный гарантированный лимит возврата, то в случае банкротства банка — вы все выше этого лимита скорее всего потеряете? А вероятность того, что может «рухнуть» любой, даже очень надежный банк — далеко не нулевая!
А как нaпример насчёт моего айпишника? Моего браузера? Моих геокоординат? Других данных, которые я никуда не ввожу, но которые теоретически можно собрать? Как быть если я зашёл со смартфона? Как мне узнать связан ли этот сервис с другими и собирают ли они информацию обо мне «совместно»?Я уже писал, что есть техническая информация, которая имеет очень мало отношения именно к ПЕРСОНАЛЬНЫМ данным и этой технической информацией можно управлять. Все что упомянули вы — можно при желании либо отключить, либо подменить. Все зависит от вашего желания «зашифроваться».
Меня же сейчас интересует что этот самый банк делает с моими личными данными. Даёт он например кому-либо ещё эту информацию или нет. И если даёт, то какую и зачем.Так причем тут интернет вообще? Это регулируется совсем другими законами, соглашениями и договорами. Вам знакома например такая древняя концепция как «врачебная тайна»? Она существовала задолго до интернета и в том или ином виде узаконена во всех государствах. Просто берете и читаете соотв. закон — там будет четко расписано, что можно делать с вашими мед. данными, кому их передавать и что будет за несоблюдение этого закона. Т.е. никакой GDPR не нужен для этого, как впрочем и для остальных видов деятельности (в т.ч. банковской), работающих с персональными данными. Там уже давным давно все зарегулировано другими законами. Ну а если что-то и не было покрыто законом, то всегда можно составить доп. договор регулирующий этот конкретный случай использования персональных данных, и уже за нарушение этого договора — подавать в суд.
Как мне быть если я считаю что отдельные сервисы вполне могут получать какие-то конкретные данные, а другие нет?Использовать разные настройки/профили браузера для работы с разными сайтами.
И почему я не имею права знать кто какие данные обо мне собираетА кто у вас это право забирает — изучите как работает и что отправляет браузер — будете знать. И кстати — большинство этих данных на самом деле не о вас, а о ваших устройствах/программах.
и что с ними делает?Как только вы будете понимать что вы отправляете — вы будете понимать как и для чего это используется и что с этим можно делать.
Ну так вот GDPR это закон, который регулируют что теперь можно и нельзя делать с моими персональными данными. И не только с медицинскими или банковскими. Просто раньше эти законы были локальными и их иностранные фирмы игнорировали. А теперь это общий закон ЕС и игнорировать его сложнее.Так я уже писал, что уже есть куча законов в т.ч. общих по ЕС о ПД. GDPR — это просто еще один, который еще больше все запутывает и усложняет. И его кстати очень легко игнорировать за пределами юрисдикции ЕС, разве что ЕС пойдет по маразматическому пути возведения «золотых огненных стен» и не будет пускать своих жителей на сервера за пределами EC.
Вы же прекрасно понимаете, что 99+% людей ничего не знают и не обязаны знать об устройстве браузера, скриптах аналитики, куках и прочем, но тем не менее не очень бы хотели, чтобы всякие Фейсбуки без их ведома собирали о них самую разнообразную информацию. Или вы придерживаетесь точки зрения "если тебя обманули, то сам лох"?
Вы занимаетесь передергиванием. Знать, что кота лучше не засовывать в микроволновку != знать о том, как работает браузер и что, например, гуглы-фейсбуки могут быть в курсе о всех ваших действиях на сторонних сайтах, если на этих сайтах стоят их скрипты. У меня есть нужны знания, чтобы открыть dev tools и узнать, что тот же Хабр грузит сторонние скрипты с Гугла, Яндекса, Criteo, DigitalTarget и IO Techologies, а у 99+% людей — нет. Хабр притом это делает без моего ведома (не считая того, что это написано где-то посреди скучной длинной простыни на странице "Конфиденциальность", и то там, по-моему, неактуальный список) и не дает мне никакого выбора на этот счет, а ставит перед фактом.
Говорить "не нравится — не пользуйся — выключи JS, не ходи на эти сайты" тоже глупо. Это говно сейчас примерно на каждом первом сайте стоит. Это все равно что предлагать уехать в тайгу и заниматься натуральным хозяйством. Людям может быть необходимо пользоваться теми или иными ресурсами для жизни и для работы, у них не всегда и в принципе-то есть выбор.
Вы занимаетесь передергиванием. Знать, что кота лучше не засовывать в микроволновку != знать о том, как работает браузер и что, например, гуглы-фейсбуки могут быть в курсе о всех ваших действиях на сторонних сайтах, если на этих сайтах стоят их скрипты.Я передергиваю не больше чем вы. Основную часть трэкеров и рекламы на том же хабре и еще 99+% сайтов могут обрезать пара-тройка расширений для браузера, например ABP+Ghostery. Для их установки и настройки никаких особых знаний не нужно и спрашивать разрешения у хабра тоже. Но вот почему-то у 99+% людей они не установлены.
Ну так выглядит вполне логично, что закон и должен защищать интересы 99+% людей, а не корпораций, пользующихся их незнанием.
Предложите проверять исходники всех установленных расширений и плагинов после каждого их обновления?
Извините, но у вас очень наивный взгляд на эти вещи. Онлайн-сервисы давно уже научились кооперировать между собой и обмениваться данными пользователей.Если вы про персональные данные, то и без GDPR они не имли права на их разглашение без согласия пользователей. Если такой факт доказуем, то и без GDPR раньше можно было судиться с таким сервисом.
И как это позволяет лично вам определить использует сервис данные только у себя, обменивается ими с кем-то или даже продаёт их?Ну ок. А как лично вы сможете это определить используя GDPR? Я скажу — никак. Как и до GDPR так и после, например факт продажи ваших персональных данных может быть установлен только на основании расследования или обнародования информации по конкретному случаю утечки или использования таких данных третьей стороной. И если такой факт был установлен — вам ничего не мешало и раньше судиться с таким сервисом безо всяких GDPR.
Если же у вас масштабы гугла, то вероятность утечки того, что вы храните, а что нет ~ 100%.
Зачем захватывать каких то жуликоватых ноунэймов если и так полно первокласных специалистов по всему миру?
Там просто список уголовников и ICO аферистов, которые нанесли ущерб гражданам США и были экстрадированы в США, т.к. нашему правительству плевать на них. Там ни слова о работе, просто выдача преступников. кодеров с радостью уезжают без какого бы то не было принуждения?
«Американцы придумали криптовалютный мир как замену доллару»— это даже звучит смешно.
а бумажек-то можно напечатать (нарисовать в компьютерах) — сколько нужно.— еще одна смешная вещь.
то есть способов дешево забирать у нас математических и программистских гениев и специалистов, есть и один особо эффективный.— легче купить. Т.к. если ты(США) посадил человека в тюрьму, а потом заставляешь его работать на себя, то очень высокий риск что этот человек «подложит тебе подлянку».
Почему российских хакеров судят в Америке, а не в России? Вот пример — кардер Селезнев. У которого папа известный чиновник. Как думаете, что бы с ним было в России?
И довольно большая часть мира послушно исполняет: американцев боятся.— интересно, почему их боятся больше, чем нас? У нас же какое то новое супер вооружение, какие то новые супер крутые технологии! Может наоборот, их не боятся, а хотят с ними дружить?
P.S. Некоторые аргументы взял из комментов одного крупного вк-паблика.
Вероятно, автор не знает о многочисленных задержаниях российских хакеров во время отдыха за границей
А вот этот коммент переводчиков меня просто порадовал… Какое отношение они имели к GDPR?
Если же имеется в виду, задержание вообще, то в Европе ещё задерживали кучу различных «воров в законе», «наркоторговцев» и прочих персонажей (в том числе по запросам из России), но как-то они видимо в образ «русских хакеров» не укладываются.
Какое отношение они имели к GDPR?Вы правы, никакого отношения к теме статьи это не имеет. Это офтопик. Но автор сам говорит об аресте Дэвида Карратерса (betonsports.com), который тоже не имеет отношения к GDPR. То есть он сам начал этот офтопик, а я просто дополнил его, устранив информационный пробел.
Я как переводчик решил добавить этот комментарий, потому что мне показалась общеизвестной информация об арестах российских/украинских владельцев сайтов за границей во время отпуска (форумы кардеров и другие сайты). Мне показалось, что автор явно не знает об этих фактах. И наоборот, опасение «ареста во время отпуска в Европе» исходит именно от тех людей, которые знают об этих фактах. Так что я просто устранил пробел между знанием тех, кто спрашивает, и незнанием того, кто отвечает (автора статьи). Может быть, я ошибся.
Конечно, просто так никого не задерживали, и почти все задержанные действительно занимались нечистыми делами, с этим я не спорю.
Так кардерство — это уже уголовщина, а GDPR уголовной ответственности не предусматривает.
Не юрист, но о личных фото статья 2, параграф 2, пункт c) говорит: "This Regulation does not apply to the processing of personal data… by a natural person in the course of a purely personal or household activity". То есть для своего фотоальбома в любом случае что угодно фотографируйте.
О профессиональной фотографии статья 85, параграф 2 GDPR говорит: "For processing carried out for journalistic purposes or the purpose of academic artistic or literary expression, Member States shall provide for exemptions or derogations from Chapter II (principles)… [перечень других частей — по сути почти весь GDPR] if they are necessary to reconcile the right to the protection of personal data with the freedom of expression and information." То есть странам ЕС предписано составить список разумных исключений для стрит-фотографии и прочего. (Германия, наверное, традиционно будет строга в этом плане, например — у них и без GDPR с этим всегда строго было.)
Германия, наверное, традиционно будет строга в этом плане, например — у них и без GDPR с этим всегда строго было
Блиин, учитывая, что я сейчас в Германии — это совсем не радует.
Тут ведь проблема в том, что, как говорят, формально даже открытый на фейсбуке альбом — это уже не personal / household. В общем, будем ждать новых разъяснений.
Ну неспроста же у вас запрещены видеорегистраторы и гуглопанорамы :)
А регистраторы в соответствии с последним решением верховного суда могут (или даже обязаны) быть использованы в суде, если доказывают невиновность владельца. Другой вопрос, что их нельзя использовать для обвинения посторонних, плюс они обязаны стирать записанное по умолчанию через 15-60 минут.
А вот в Австрии они вроде действительно совсем запрещены.
Однако ж на панорамах отсняты только крупные города и с 2011 года ничего не обновляется. Да и с регистраторами это все же довольно драконовские правила все равно.
Нет, конечно. Ну не говоря уж о том, что у ЕС вообще нет цели извлекать из кого-то штраф, есть цель — чтоб с пользовательскими данными обходились повнимательнее.
Ну в результате и вы, и конкурент будете выполнять GDPR — задача закона выполнена :) Сходу к тому же никого штрафовать не будут. Попросят объясниться, разберутся, если там совсем уж кромешного ада не было — для начала предупреждение сделают.
Скажите, из какой вы страны, что у вас сохранилось такое чувство?
Я живу в Финляндии. Вот прямо сейчас занимаюсь последними допиливаниями для GDPR в нашей конторе. Персональных данных в силу профиля деятельности собираем довольно много. Тем не менее всех дел — как на любую обычную фичу средних размеров, разве что писанины побольше обычного. Все абсолютно спокойно относятся и никто не паникует "все, сейчас нас сразу оштрафуют на 20 млн. и придется закрыть лавочку и всем разойтись по домам".
Вообще, по обсуждениям GDPR (на Hacker News они под тыщу комментов собирают) очень ярко видна разница в менталитете — россияне и американцы действительно не верят в хорошее государство, вот и нервничают. Европейцы государству доверяют, и в основном практически не парятся.
— есть сайт (хостинг веб-сайта где удобнее, хостинг бэкэнда — вообще непонятно где) правительственной организации (она себя таковой считает и в ее стране власти это мнение — поддерживают, ЕС может иметь другое мнение)
— на сайте пишутся обычные логи с полными IP + есть ряд анкет (с достаточно чувствительными данными) и граждане ЕС вполне могут захотеть их заполнить, благо есть вариант на английском языке.
— на любое официальное требование будет ответ — мы законы соблюдаем. Местные (аналога GDPR там нет). А анкеты — у нас есть законное право предлагать их заполнять и затем обрабатывать. Стирать ничего не будем в принципе — система так устроена что ну не умеет.
— на не официальные вежливые просьбы например выдать что хранится по конкретному субъекту — данные выдаются если получается идентифицировать что о себе субъект спрашивает.
Что интересно ЕС в таком случае делать будет? А должна ли по смыслу GPDR?
Следовательно, любой потенциальный конкурент может потребовать у вас компенсацию за нарушение GDPR и в случае судебных разбирательств суд встанет на его сторону, т.е. вам придется заплатить не только компенсацию, но и перенять судебные издержки.
Это очень популярная тема, в Германии есть даже такое евление как Abmahnwelle т.е. волна требований компенсаций (десятки тысяч писем) от ушлых адвокатских фирм с целью защиты интересов зачастую фиктивных клиентов.
Два три таких письма с легкостью разоряют небольшой бизнес, что делать, когда их будут десятки?
Если вы нарушаете GDPR то вы автоматически нарушаете и UWG, посмотрите §3a, а следовательно ваши конкуренты имеют право на компенсацию понесенных убытков, кроме того, вы обязаны перенять издержки на адвокатов.
Если вы не можете доказать, что у вас есть обоснованная необходимость собирать и хранить данные (например вы устовили внешний скрипт на сайт), то вы нарушаете UWG. Я шлю вам Unterlassungserklärung и следом счет от моего адвоката на 8000 евро.
И вы будете вынуждены его оплатить.
За нарушение TMG, т.е. за то, что иходные данные на сайте были указаны не в полном обьеме, некоторые адвокатские конторы рассылаюю тысячи подобных писем в год.
Это не паника, а абсолютно адекватные ожидания.
Еще раз, если вы нарушаете GDPR, то я, как ваш конкурент, имею права: а) потребовать чтобы вы это делать прекратили б) потребовать от вас компенсации издержек на реализацию этого права в) потребовать от вас компенсации ущерба, нанесенных вашими действиями.
После вступления GDPR в силу вы будете обязаны доказывать, что у вас есть правовые основания для сбора и передачи данных. Т.е. если вы получаете письма на сервера mail.ru в России, то вы в суде должны доказать, что у вас была объективная необходимость передачи дынных в третьи страны, которая согласно §49 GDPR есть только в исключительных случаях, и что эта необходимость была выше защиты прав пользователя.
Я как ваш конкурент считаю, что такой объективной необходимости у вас не было, и что вы нарушили GDPR и создали себе необоснованные преимущества.
Поэтому я предлагаю вам подписать вам Unterlassungserklärung и оплатить 8000 евро издержек на моего адвоката.
Вы можете отказаться, но тогда будет суд, который примет мою сторону и в дополнение к 8000 евро, вы заплатите еще 10 000.
Поэтому права что-то потребовать у вас нет.
Т.е. что у вас на сайте размещен адрес е-мейла по которому письма отправляются на российский сервер — уже является нарушением GDPR. Т.е. объективно и беспристрастно. И это вы как провайдер должны будете мне — вашему конкуренту доказывать, что по-другому вы совсем никак не могли войти в контакт с клиентом. А еще вам надо будет показать не договор на «Datenverarbeitung im Auftrag» с вашим хостером почты в России. Нет такого договора? Ну что, милости прошу к нашему шалашу.
Поэтому я предлагаю не доводить дела до суда, а просто заплатить адвокату 8000 евро. На первый раз.
Я, как ваш конкурент, не могу вас штрафовать, я лишь требую от вас исправить нарушения закона и оплатить издержки на моего адвоката. Все.
И это мое законное право в соответствии с UWG и любой суд встанет на мою сторону, т.к. вы объективно нарушаете GDPR, передавая дынные в третьи страны без предварительного письменного согласия пользоваля.
«Владелец какого-нибудь интерент-сервиса из США или тем более Китая „
Я не работаю ни в Китае ни в США.
"Только сначала докажите обоснованность своих требований в суде:)"
Зайти в немецких суд обходится в 2400 — 3000 евро минимум. Выйти ещё как минимум столько же. На это и расчёт.
С иностранцами не живущими и не работающими в ЕС — не сработает. Они как неуловимый Джо.
Насиловать будут тех, кто в ЕС работает на постоянной основе и насиловать буду жестко.
А проиграешь ты гарантированно и никакая страховка не поможет.
Значит хреновый был троль — Abzocker скорее всего.
Если вы совершили нарушение как предприниматель, то вы обязаны его устранить по первому требованию конкурентов и оплатить их издержки на адвокатов. Тут нет предмета для дискуссии. Единственный способ отмазаться — доказать, что нарушения не было. Что будет весьма нетривиальной задачей. не
Поэтому адвокаты сейчас регистрируют фирмы однодневки пачками.
Ещё раз для тех кто в танке. В области защиты данных действует презумпция виновности оператора данеых.Оператор данных должен по первому требованию заинтересованной стороны ДОКАЗАТЬ, что он принял все "необходимые технические и организационные меры". Таков закон, тут уже ничего не попишешь.
И?
GDPR говорит, что ты должен доказывать, что у ты ВСЕ делаешь правильно, а UWG, что ты должен оплачивать гонорар адвоката, если этого доказать не сможешь.
Все ещё связь неочевидна?
Открываем 3а UWG и убеждаемся, что означает. Если это 1 000 000 раз сработало с TMG, почему не будет работать с DSGVO?
Я не специалист по французскому праву и не имею привычки говорить о вещах, о которых я понятия не имею.
В UWG написано: "любой кто нарушает требрвания закона, чувствительно нарушая интересы участников рынка, действует нечестно."
А следом: "Нечестные действия запрещены".
Я не вижу смысла обсуждать здесь ваши фантазии.
— на официальный запрос — будет официальный ответ с содержанием вида 'решения не наших властей/суда — мы не выполняем' (и иначе просто сделать не могут — локальные особенности)
— существование прямого конкурента (тем более еще и немецкого) — просто невозможно
«Для продолжения работы с сайтом требуется подтвердить, что вы не из ЕС: Да, Нет(закрыть страницу)».
Не понятны риски в случае конфликтов таких трансграничных законов. Например GDPR и закона Яровой.
Для пользователей должна быть предусмотрена возможность отказаться от соблюдения закона, чтобы я мог его игнорировать
Не понял. Так можно или нельзя взять у пользователя согласие на то что он отказывается от соблюдения gdpr?
В частности имеется ряд онлайн-сервисов услуги которых нужны пользователям. Но сервисы не хотят «заморачиваться» этими новыми правилами вплоть до того что готовы отказывать в регистрации пользователям которые настаивают на соблюдении gdpr.
Как правильно в таком случае оформить процедуру что пользователь отказывается от gdpr либо не регистрируется?
Как будто всё остальное уже автоматизировали и больше делать нечего.
Все эти инициативы бьют, в первую очередь, по малому бизнесу и просто любителям. У больших контор есть ресурсы и на адвокатов и на автоматизацию.
Если же ты пытаешься сделать что-то полезное малыми силами, то сразу сталкиваешься с огромным количеством несущественной для конечной цели работы, которую тебе навязывают под угрозой анальной кары. Тут и GDPR-ы и НДС-ы, и требования к локации хранения данных, и гугловская обязаловка по HTTPS и новые критерии попадания в поисковую выдачу, etc…
Это просто могила какая-то. Чем дальше, тем сложнее становится сделать элементарный бложик с комментариями.
>И это так сложно прикрутить кнопку «показать персональные данные», которая будет показывать эти самые логин и email?
Если вы опытный веб-разработчик, то сделаете быстро. К несчастью, население планеты не состоит только из веб-разработчиков.
Касательно, GDPR, то в бложике ещё может быть аналитка, аватарки для комментариев, интеграции с социальными сетями, рекламными сетями, логи веб-сервера (и опционально кучи другого софта), в разбираться в котором может может быть малость сложновато.
В итоге, чтобы только знать как выполнить требования GDPR, необходимо неплохой такой экспертизой обладать.
А вот чтобы chrome не начал показывать сайт как небезопасный, уже надо к криптографии приобщаться и, на выбор, либо к автоматизации либо платить баблос за сертификат.
Ещё раз, проблема не в самом GDPR, а в том что это далеко не единичный случай
Истерия вокруг GDPR