Комментарии 39
GDPR - это всего лишь способ законно надавить на неугодных, "враг народа" на западный манер. Там оставлено столько дыр, что виноватым можно сделать любого, было бы желание.
Кому надо - тот получит все те данные,которые ему требуются для бизнеса, нужен только бюджет и административный ресурс. Мы видим это на жуликах, которые знают всё вплоть до суммы на счету, когда звонят "из центробанка" или "из полиции". Мы видим это на рекламе, когда только стоит подумать о кондиционерах - отовсюду начинает лезть реклама этих кондиционеров. Причем даже непримиримые конкуренты обмениваются информацией о клиентах: если я ищу кроссы на озоне, ягодки и ЯМ начинают показывать мне то, что я искал у их конкурента. Когда взял ипотеку - тут же полетел спам от джамшутов на тему "ремонт квартир". Государство тоже все знает, оно обязано знать, иначе накой оно нужно... Все данные продаются и покупаются, рынок давно оформился. В итоге что и от кого защищаем? Совершенно непонятно.
Есть вполне себе существующие грифы ДСП/КТ, и некоторая инфа должна ходить под ними - например, данные медицинских карт, платежные реквизиты или данные о текущих средствах на банковском счету. Их надо особо охранять, их не так много. Остальное, всякие комбинации мыла и имени, - раздутый пузырь, бессмысленная дурь, ИБД, на которое уходят миллиарды денег...
Я запутался: регламенты не нужны, потому что нам и так звонят "из центробанка" или "из полиции" , или нам оттуда как раз и звонят из-за того, что никто не соблюдает регламенты?
Данные стоят ровно столько, сколько ущерба в денежном эквиваленте понесет их владелец при их сливе. Остальное про комбинации мыла и телефона - тут согласен, придуманная ценность.
Регламенты относительно не секретной информации (то есть не пароли, платежные данные, ...) не нужны совсем. Мошенник их соблюдать не будет, коммерсант их обойдет техническими/юридическими средствами, государство для себя пропишет исключения. Хакер всегда найдет дыру, вопрос слива сейчас это только вопрос времени. И только потребитель платит со своего кармана за всю эту дорогостоящую клоунаду. Ну и затрудняется вход новичков на рынок, что архивыгодно корпорациям, лоббирующим все более жесткие нормы...
Спасибо вам за этот комментарий, я три раза вычеркивал аббревиатуру ИБД из текста статьи! ))
Какое отношении Россия имеет к GDPR?
Кому надо - тот получит все те данные,которые ему требуются для бизнеса, нужен только бюджет и административный ресурс.
Во первых, даже если мы говорим о фирмах, которые соблюдают GDPR, то такое вот вообще не исключено. Просто потому что люди продолжают давать согласие на хранение и обработку ПД.
А во вторых фирмы вполне себе научились таргетировать людей без того чтобы действительно их идентифицировать. Например как гугл со своими когортами. Это работает хуже чем "по старинке", но всё равно работает.
Государство тоже все знает, оно обязано знать, иначе накой оно нужно...
Государство знает не всё, но действительно относительно много. Именно потому что под такие вещи прописаны исключения в GDPR. То есть вам пожалуй стоило бы сначала разобраться в том что такое GDPR и как он работает, а потом уже писать гневные комментарии.
П.С. Ну и как вам уже указали выше, не особо понятно какое отношение GDPR имеет к России.
Почему стали активно делать упор на защиту ПДН? Оборотные штрафы. Заплатить ℅ от выручки не идет не в какое сравнение с фиксированным штрафом.
Есть предположение, что тут преследуются 2 цели. 1. Акциз на ПДН, как бы глупо это не звучало - штрафы и выступают этим акцизом. Данные утекать будут всегда - это аксиома. 2. Продажа этих данных на черном рынке. Последнее влечет за собой опять же кредиты в пользу государства, посадки в пользу государства и деанонимизацию опять же в пользу государства. Рычаг влияния и еще какой (дай его Архимеду, он бы перевернул весь мир).
У нас не увеличивают штрафы до оборотных, поэтому пузырь надувается ооооочень медленно
Заплатить ℅ от выручки не идет не в какое сравнение с фиксированным штрафом.
Сумма в один миллион абсолютно неподъёмна для условного самозанятого и является мелочью для условного гугла. Ну если совсем упрощать.
1) cпасибо за АББУ
2) мне кажется, natural person всё же лучше cоответствует аналог "живой человек".
Защита ПД это не столько бизнесовая тема, сколько политическая. Именно с этой позиции её стоит рассматривать. Я ещё не видел ни одного бизнеса, которому бы эти инициативы приносили хоть что-нибудь, кроме расходов.
Информационная составляющая личности гражданина (читай - собственности) страны стала не менее ценной, чем физическая. Вполне логично, что политики решили явным образом заявить о своих правах и установить границы. Вопросы трансграничной передачи ПД стали краеугольным камнем в этой истории. Появились информационные союзы, в рамках которых действуют упрощенные правила, которые практически в точности повторяют союзы между государствами.
Я ещё не видел ни одного бизнеса, которому бы эти инициативы приносили хоть что-нибудь, кроме расходов.
Так инициативы то для защиты потребителя, а не бизнеса, по крайней мере в идеале. Тот же контроль и тестирование лекарств, продуктов со стороны государства тоже бизнесу ничего кроме расходов не несёт. Большинство бизнесов с удовольствием положили бы на тестирование и выдерживание какой-то минимальной планки качества своей продукции, если бы их не заставляли бы это делать потенциальными штрафами.
Так инициативы то для защиты потребителя, а не бизнеса, по крайней мере в идеале.
Риторика, которая используется в законах и с помощью которой инициатива "продаётся" населению, зависит от локальных традиций. В США это защита интересов местного бизнеса и национальной безопасности, в Европе - личности, в РФ - защиты от мошенников. Но цель в общем-то одна https://en.m.wikipedia.org/wiki/Brussels_effect .
Мелкий бизнес сейчас не в состоянии удовлетворить всем этим требованиям для хранения, обработки и передачи ПД: слишком много технических, бюрократических и правовых нюансов - строить и поддерживать собственные решения выходит слишком дорого. Запускать в Интернете глобальные сервисы на весь мир теперь стало вообще безумной идеей. Поэтому они вынуждены делегировать управление ПД крупным игрокам. Их немного и так гораздо проще контролировать потоки данных. В том числе со стороны властей.
Мелкий бизнес сейчас не в состоянии удовлетворить всем этим требованиям для хранения, обработки и передачи ПД
Ерунда полная. То есть я вокруг себя наблюдаю кучу примеров этого самого мелкого бизнеса (самозанятые, ИП, небольшие фирмы, врачебные практики и так далее и тому подобное) которые вполне себе решили для себя эту проблему.
Да, местами за это пришлось дополнительно заплатить. Например купив подходящий софт. Но это не так что там неподъёмные суммы и это абсолютно нерешаемая проблема.
которые вполне себе решили для себя эту проблему.
Какие у них доказательства? Меня устроит хотя бы один пример такого ИП с сертификатом SOC3 или его аналогом.
Например купив подходящий сософт
Что это за софт? Приведите пожалуйста примеры.
Меня устроит хотя бы один пример такого ИП с сертификатом SOC3 или его аналогом.
Вы мне сначала объясните почему ИП обязательно должен иметь сертификат SOC3. В каком месте GDPR этого требует?
Вы сами сказали, что у вас куча примеров. Я хочу увидеть пруфы.
Только у меня куча примеров одного, а вы хотите пруфы для другого.
Более того если уж начинать требовать доказательства, то докажите сначала ваше собственное заявление. А именно:
Мелкий бизнес сейчас не в состоянии удовлетворить всем этим требованиям для хранения, обработки и передачи ПД
Вот, пожалуйста. Для поддержки решения своими силами вам придётся содержать сотрудника, который будет контролировать весь процесс, решая не только технические, но и правовые вопросы. Мониторить изменения в законодательстве, организовывать регкулярные тренинги и ежегодные аудиты, отвлекая остальной персонал от своих дел.
Это $150К и выше в год чистых расходов. Понятно, что большинство предпринимателей отдаёт все вендорам на аутсорс, где предлагают ценник на прорядок дешевле. Что и требовалось.
Вот, пожалуйста.
Вы привели пример взятых с потолка оценок расходов. Причём со стороны фирмы, которая продаёт решения, которые должны уменьшить эти расходы.
То есть они сначала пугают непомерными расходами, а потом предлагают сделать гораздо дешевле. Самому то не смешно приводить такое в качестве аргумента?
Это $150К и выше в год чистых расходов.
А почему не $1500К или даже $15000К? Гулять так гулять...
Мониторить изменения в законодательстве
Вау. А как же с остальными законами? Там тоже все фирмы должны держать отдельного человека чтобы мониторить изменения в законах? Да ещё и для каждого отдельного закона по человеку?
организовывать регкулярные тренинги и ежегодные аудиты, отвлекая остальной персонал от своих дел
С чего вы решили что это необходимо?
А почему не $1500К или даже $15000К? Гулять так гулять
Ну если найдёте кто будет этим на вас заниматься за доширак, вы победили. Просто я таких ещё не встречал. Профильные специалисты в Европе стоят в районе сотки в год.
С чего вы решили что это необходимо?
Потому, что GDPR комплайнс это не только про технологии, но и ваши регламенты обращения с данными, а так же персонал, который должен быть обучен их применять. Это не какие-то базовые вещи и само по себе у вас ни чего не заработает. Сертификат действителен год, потом нужно все повторять.
Ну если найдёте кто будет этим на вас заниматься за доширак, вы победили
Так почему 150к то? С какого потолка вы взяли эту цифру?
Ну вот банально я сдаю недвижимость в аренду. Мне точно так же надо мониторить законы. Это мне обходится в 69€. В год. Да ещё и вместе с юридической страховкой и налоговыми консультациями.
Потому, что GDPR комплайнс это не только про технологии, но и ваши регламенты обращения с данными, а так же персонал, который должен быть обучен их применять.
И с какого потолка вы это взяли? Ну то есть каким образом это результирует в обязанность организовывать регкулярные тренинги и ежегодные аудиты?
Сертификат действителен год, потом нужно все повторять.
И опять же: с чего вы решили что мелкому бизнесу и уж тем более ИП/самозанятым обязательно нужен какой-то сертификат?
с чего вы решили что мелкому бизнесу и уж тем более ИП/самозанятым обязательно нужен какой-то сертификат?
Я думаю это ключевой вопрос во всей дискуссии. Если ваши клиенты привыкли верить джентельмену на слово, а вы готовы принимать сопутствующие риски - это ваше дело. Голосовные заявления в самом деле ничего не стоят, вы на этом хорошо экономите.
Я думаю это ключевой вопрос во всей дискуссии.
Вполне себе допускаю. Так почему этот сертификат является обязательным? Где это написано?
Если ваши клиенты привыкли верить джентельмену на слово, а вы готовы принимать сопутствующие риски - это ваше дело.
Ну мне лично не придёт в голову требовать GDPR сертификат от самозанятого сантехника или там владельца булочной в которой я покупаю хлеб. А вы у всех его спрашиваете? Серьёзно?
Вопрос необходимости таких законов и контроль за их исполнением это немного другая плоскость. Я выше писал, что бизнесу все это не нужно. Инициатива идёт от правительства.
Хотя закон в теории касается всех, на практике применяются разные меры принуждения - в зависимости от размера бизнеса и ситуации. В целом они более жёсткие для более крупных игроков. Но, про остальных тоже помнят.
Например, если вы сдаёте квартиру и обрабатываете данные арендаторов в электронном виде, то они сейчас требуют встать на учёт https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/12/how-data-protection-law-can-prevent-harm-in-the-housing-sector/. Дальше вас и ваши данные будет пасти организация, где ИС сертифицированы.
Я выше писал, что бизнесу все это не нужно. Инициатива идёт от правительства.
Конечно бизнесу это не нужно. Точно так же как и ограничения в применении пестицидов или там необходимость утилизации отходов производства.
Но это не значит что инициатива идёт исключительно от правительства.
Хотя закон в теории касается всех, на практике применяются разные меры принуждения - в зависимости от размера бизнеса и ситуации.
И что в этом такого нового? Это относится к куче законов.
Например, если вы сдаёте квартиру и обрабатываете данные арендаторов в электронном виде, то они сейчас требуют встать на учёт
Кто "они"? И какое отношение эта ссылка имеет ко мне? Или к ЕС с GDPR?
И самое главное вы ушли куда-то совсем в сторону от того что мы обсуждали. С чего вы решили что мелкому бизнесу и уж тем более ИП/самозанятым обязательно нужен какой-то сертификат?Каким конкретно требованиям для хранения, обработки и передачи ПД:не в состоянии удовлетворить мелкий бизнес?
Можно сказать, что персональные данные — это то, что вы с ними делаете. Это не только паспортные данные и IP адрес, это вообще весь цифровой след субъекта персональных данных.
Ну вообще-то не совсем так. Персональные данные это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
То есть во первых это не только цифровой след. А во вторых если вы где-то в сети оставите какуой-то абсолютно аноноимный след, то это не будут ПД.
но рассматривать этот рост нужно не только и не столько в рамках ИБ, сколько в рамках операционных моделей «новой экономики», где все экономическое поведение потребителей формирует его цифровой след
У вас тут слегка попахивает ложной дихотомией. Вы например забываете что и сами люди тоже не обязательно хотят чтобы их данные светили налево и направо.
Да, вы правы, в обоих случаях есть логическая недодержка. Что же касается ложной дихотомии, я надеялся, что выражение "не столько... сколько" подразумевает и другие возможности тоже, но, похоже не сработало. Люди никогда не хотели, чтобы их данные светили направо и налево, но в рекламной модели бизнеса их про это не спрашивали, а теперь хотя бы есть возможность возражать, есть даже прецеденты судебных решений в пользу владельцев ПД. В поведенческой экономике они рассматривают потребителя как активного хозагента, который скорее осознает ценность своих ПД и соглашается на из использование, выгодное для владельца ПД.
В 2000е обсуждалось что нужен сервис выдающий ID. Т.е. есть один сайт, который знает кто вы. Вы регистрируетесь на другом сайте и ему выдается ID(для каждого уникальный) и ТОЛЬКО (!!!) ID. Точно также обсуждалось ID человека в паспорте. Вы сообщаете другим в оффлайне только номер и им и не надо ничего более. Они могут по этому номеру дозвонится или отправить посылку. Никто не получает данных больше чем нужно.
Проблема такого подхода в том что у вас получается одна единственная точке отказа.
То есть если ваш "сервис выдающий ID" по какой-то причине ляжет, то встанет абсолютно всё.
Плюс в такой ситуации у вас получается один единственный ID, к которому привязана вся информация о вас. И если он утечёт, то будет очень весело.
Современные реалии таковы, что ценность представляют данные, связанные с этим (казалось бы ничего не говорящим) ID. Поставил лайк на фоточку - данные, проголосовал на хабре - данные, купил кепочку на озоне - данные. ID в центре этих данных уже не так важен, это может быть уникальный номер, а может быть номер паспорта, а может быть ФИО.
И речь в статье как раз о том, что эти самые "данные вокруг" одновременно являются и предметом торговли и объектом защиты.
Всё куда проще. К 2016-му году стало ясно, что обладая значительными ПД можно не только денег заработать (как гугл и фейсбук), но и влиять на политику дешевле чем раньше. Причём не только во всяких там окраинах (см. арабская весна). Выборы в США это показали особо отчётливо. Примерно с тех времён и развернулся вселенский хайп. Потому что начальству виднее, кому можно влиять на население, а кому не стоит. И смотреть на гос управление в этой области следует исключительно с этой точки зрения. И всякие там "новые экономики" тут совершенно не при чём.
Почему надувается пузырь персональных данных