Комментарии 27
Он-лайн идентификаторы
IP-адреса, а если они пользователю выдаются динамически?
Как же это GDPR достатало, каждый сервис, даже те где 20 лет назад регистрировался и больше не пользуюсь, прислал свою новость об этом GDPR.
Хотьбы смотрели что я из России а не из европы, и меня их GDPR не касаются.
Хотьбы смотрели что я из России а не из европы, и меня их GDPR не касаются.
А вас не беспокоит, что у каких-то левых сервисов есть данные о вас? Рассматривайте это как возможность выпилиться из всех сайтов, которыми не пользуетесь, но которые хранят данные о вас.
Ваша жалоба звучит как «Ох уж этот Навальный/Телеграм, везде достал уже»
Ваша жалоба звучит как «Ох уж этот Навальный/Телеграм, везде достал уже»
Я думаю, они Вам (точнее, нам, потому что я, как и многие здесь, тоже получил уйму уведомлений) эти уведомления прислали, потому что GDPR касается в первую очередь их самих. =)
А как по Вашему должно было быть? Типа это данные какого-то Васи из России, не будим их защищать, да и вообще выложим в сеть.
Странно было бы если бы компании разделяли персональные данные по географическому признаку. Я бы на Вашем места радовался, что Ваши данные защищаются, так же как и данные граждан ЕС.
+ В GDPR есть такой принцип, как «Accountability» — звучит как: «Comply with the principles and be able to demonstrate that processing is performed in accordance with them. (Articles 5 and 24)» То есть, этот принцип предусматривает обязательство соблюдать принципы и демонстрировать, что обработка выполняется в соответствии с ними. Вот и выходит такая себе демонстрация в виде писем и уведомлений, что обновлена Privacy Policy.
Странно было бы если бы компании разделяли персональные данные по географическому признаку. Я бы на Вашем места радовался, что Ваши данные защищаются, так же как и данные граждан ЕС.
+ В GDPR есть такой принцип, как «Accountability» — звучит как: «Comply with the principles and be able to demonstrate that processing is performed in accordance with them. (Articles 5 and 24)» То есть, этот принцип предусматривает обязательство соблюдать принципы и демонстрировать, что обработка выполняется в соответствии с ними. Вот и выходит такая себе демонстрация в виде писем и уведомлений, что обновлена Privacy Policy.
del
Очень важно, чего не указано в статье, что персональные данные (ПД) делятся по GDPR на Personal Data и Sensitive Personal Data. И процессить Sensitive Personal Data нельзя. Цитата из GDPR:
«Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation is prohibited.»
То есть если вы собираете данную информацию, то профилировать пользователя по ней нельзя.
+ Родительский консент требуется не всегда до 16, иногда до 13 в зависимости от страны. Цитата:
«Member States may provide by law for a lower age for those purposes provided that such lower age is not below 13 years.»
И еще одно — Если у Вашей компании нет представителя в ЕС, но Вы процессите персональные данные граждан ЕС, то такого представителя в скором времени необходимо завести.
«Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation is prohibited.»
То есть если вы собираете данную информацию, то профилировать пользователя по ней нельзя.
+ Родительский консент требуется не всегда до 16, иногда до 13 в зависимости от страны. Цитата:
«Member States may provide by law for a lower age for those purposes provided that such lower age is not below 13 years.»
И еще одно — Если у Вашей компании нет представителя в ЕС, но Вы процессите персональные данные граждан ЕС, то такого представителя в скором времени необходимо завести.
Довольно много однотипных статей появилось в интернете и на Хабре за последнее время.
Но что интересно. Ни одна из статей не раскрывает, что делать маленькой компании или ИП, которые торгуют через свой сайт по всему миру.
Если посмотреть, есть довольно много сайтов, где продаются программки, расширения для CMS, хендмейд и тд. Обороты там небольшие, Европа составляет 20-30%. Но! Эти 20-30% им терять не хочется.
Конечно, при таких доходах ни о каком представителе в ЕС и речи быть не может. По сути, все что они обрабатывают — Имя, Email, Адрес доставки. Я какой день задаюсь вопросом, что им делать (и мне в том числе). Какой текст в Privacy Policy разметить? Как сделать все правильно?
И вот еще что интересно. Я взял одно из своих хобби и провел сравнительный анализ сайтов мелких фирм предлагающих аксессуары и оборудование. Фирмы из США, Австралии, Японии и тд даже и не подумали адаптировать свои сайты под GDPR. Да, в явной форме у них не заявлена продажа в Европу, но по факту у них такая же отгрузка в 20-30%. Более того, мелкие фирмочки в самой Европе на сайтах не имеют Privacy Policy вообще или имеют устаревший текст. Нет предупреждений о Cookies. Какова их судьба? Их будут массово отлавливать? Или все же этот закон в больше степени касается крупных игроков, а на мелочь закроют глаза?
Но что интересно. Ни одна из статей не раскрывает, что делать маленькой компании или ИП, которые торгуют через свой сайт по всему миру.
Если посмотреть, есть довольно много сайтов, где продаются программки, расширения для CMS, хендмейд и тд. Обороты там небольшие, Европа составляет 20-30%. Но! Эти 20-30% им терять не хочется.
Конечно, при таких доходах ни о каком представителе в ЕС и речи быть не может. По сути, все что они обрабатывают — Имя, Email, Адрес доставки. Я какой день задаюсь вопросом, что им делать (и мне в том числе). Какой текст в Privacy Policy разметить? Как сделать все правильно?
И вот еще что интересно. Я взял одно из своих хобби и провел сравнительный анализ сайтов мелких фирм предлагающих аксессуары и оборудование. Фирмы из США, Австралии, Японии и тд даже и не подумали адаптировать свои сайты под GDPR. Да, в явной форме у них не заявлена продажа в Европу, но по факту у них такая же отгрузка в 20-30%. Более того, мелкие фирмочки в самой Европе на сайтах не имеют Privacy Policy вообще или имеют устаревший текст. Нет предупреждений о Cookies. Какова их судьба? Их будут массово отлавливать? Или все же этот закон в больше степени касается крупных игроков, а на мелочь закроют глаза?
"Нужно подумать"?
Вообще это всё функции, которые система обязана иметь.
Ещё нужно не забыть что в законе есть требования к защите данных и обязательном информировании в случае обнаружения утечки.
Необходимость сбора данных должна быть обоснована. Основания приведены в статье. Полезно понимать что основания ранжированы contractual obligations, legitiment interest, etc, оправдывать сбор данных в privacy policy — последние что вы будете хотеть делать
Согласие пользователя на обработку его данных должно:
Быть свободным (никто и ничто не заставляло его соглашаться, отказ не должен вызывать негативных последствий для пользователя.
О как.
«Чешские Авиалинии» написали в email, что если не соглашусь — обнулят счёт с накопленными милями.
Надеюсь, банки и сотовые операторы не последуют их примеру.
Подождите, я правильно понимаю?
1. Посетитель из ЕС хочет что-то купить. Допустим электронную книгу.
2. Я у него должен спросить e-mail, чтобы книгу отослать.
3. Он может отказаться предоставлять эту информацию, но это не должно быть поводом для отказа в услуге.
4. WTF?
1. Посетитель из ЕС хочет что-то купить. Допустим электронную книгу.
2. Я у него должен спросить e-mail, чтобы книгу отослать.
3. Он может отказаться предоставлять эту информацию, но это не должно быть поводом для отказа в услуге.
4. WTF?
На физлиц-то это распространяется? Если Базалка из Чехии спалил своё мыло Педро из Испании, а Педро не хочет его удалять — Базалка может оштрафовать Педро на €10M?
а что есть «Вести записи об операциях с данными пользователей»?
Это как журнал действий над данными каким-либо, либо это документ-описание данные-цель (то есть прописывается один раз что и для чего обрабатывается, добавляется в Privacy Policy и все)…
Это как журнал действий над данными каким-либо, либо это документ-описание данные-цель (то есть прописывается один раз что и для чего обрабатывается, добавляется в Privacy Policy и все)…
НЛО прилетело и опубликовало эту надпись здесь
Непонятно, считать ли ip за данные, по которым можно вычислить пользователя? Допустим сотрудники интернет-провайдера, получили доступ к каким-то «обезличенным» данным, содержащие ip адреса. Есть шанс, кого-нибудь идентифицировать.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Самое главное, что нужно знать о GDPR