Комментарии 120
GDPR требует лишних денег для реализации, которые есть не у всех
Аналогично: для продажи свежей рыбы нужны холодильники, которые стоят денег. Они есть не у всех. Поэтому, если небогатый продавец торгует тухлой рыбой, поливая её амиаком, то не надо его штрафовать.
По словам её (Super Monday Night Combat) создателей, бюджет, необходимый для переделки проекта в соответствии с требованиями GDPR, превышает бюджет, выделяемый шестилетней игре.
2 года говорите? :)
Все ждут судебной практики, которая должна ответить на эти вопросы. Она сформируется в следующие годы или может быть десятилетия.
Не согласен. GDPR основывается на директиве, кажется аж 1986 года. И главное их отличие — обязательность исполнения.
То есть большинство требований действуют с 80-х годов, только они носили рекомендательный характер.
Конечно, это позволяет покупателям убедиться в великолепном качестве рыбы. Но что делать тем, у кого просто хороший холодильник без наворотов — покупать новый?
Отличный, кстати, пример. Сейчас некоторые сетевые магазины выключают холодильники на ночь (например Перекресток, вот из последнего, а вот из 2015 года, хотя я слышал от работника эту историю еще в 2008), что приводит к порче продуктов, к плесени и так далее.
Пока эта проблема не носит массовый характер (то есть не все магазины экономят), её не решают. Однако я не удивлюсь, что через несколько лет в магазины придется закупать холодильник с аналогом тахографов, чтобы контролировать коммерсантов (обманщики будут очень сильно негодовать).
И да, всем магазинам придется тратиться, так как иначе сложно контролировать качество продукции.
Но что делать тем, у кого просто хороший холодильник без наворотов — покупать новый?
GDPR был принят два года назад, а до этого обсуждался еще несколько лет. Я правильно понимаю, что вы защищаете разработчиков софта, которые за несколько лет так и не научились корректно хранить и обрабатывать пользовательские данные (например, Бургер Кинг, Промсвязьбанк или Facebook)?
Вопрос в том, что это области, ошибка в которых может очень дорого обойтись для человека (как кривое удаление аппендицита может сделать человека инвалидом или заставить долго и нудно лечить желудок, так и раскрытие персональных данных может серьёзно навредить карьере или дать повод для травли в родном городке/школе), поэтому правительство, имхо, правильно поступает, что заставляет компании нести ответственность за ошибку (нанимать грамотных сертифицированных хирургов в операционные и строить надёжные информационные системы в серверных)
Лишний повод Евросоюзу штрафовать иностранные ИТ-компании. Раньше был только антимонопольный комитет, теперь ещё и это.
Я вот, кстати, не могу найти ответа на банальный вопрос: если при запуске программы показывать gdpr consent, на каком языке это делать? И что делать, если у меня есть штук пять локализаций и всё — как юзер может подписываться под длинным текстом, которого не понимает толком?
Сайт (допустим) на пяти языках. Значит, беру рандомный из пяти и показываю людям, и это типа окей?
Предположим, вы живёте в Польше, приходите в контору, а вам говорят: вот, подпишитесь здесь — и текст на английском, а если не нравится — пожалуйста, немецкий и французский тоже есть. Вполне можете возмутиться, верно? С чего это контора предоставляет услуги в стране, а на язык страны документы не удосужилась перевести. В России нельзя товара продать без инструкции на русском.
Так и здесь: мне теперь сайт для поляков в принципе прикрывать или как? Интересует не технический вопрос, а именно что на эту тему говорит закон и его «многочисленные разъяснения».
Да и вообще я немного о другом: выше пишут, что тема расписана и откомментированна подробнейшим образом. А я не могу найти чёткий официальный ответ на, казалось бы, простейший вопрос.
А так-то да, мы все имеем соображения на эту тему, но это же всё разговоры о нашем представлении о прекрасном.
Так что, может, оно для людей принималось, но реализация крайне сырая, а отдуваться будут непричастные. Впрочем, всё как всегда, не первый день живём на свете.
Чего стоят объяснения типа «IP адреса могут быть признаны персональными данными». А могут и не быть, да.
Всё дело в том, что вы очень странно читаете директиву, либо читаете ещё странный перевод. Я заглянул по поводу IP, и нашёл следующее:
(30) Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.
Что в переводе означает, что айпи сам по себе не причисляется к персональным данным, но в купе с другими данными может быть использован для идентификации персоны.
По поводу «на каком языке отображать consent» напрямую не говорится, но языковая практика ЕС состоит в том, что все 24 официальных языка признаются равноправными, а граждане вправе запрашивать услуги и получать ответ на свои запросы на любом из официальных языков. Следовательно, вы должны взять из браузера предпочитаемый язык и отобразить сайт, включая consent, на этом языке, предоставив так же посетителю выбор другого языка для отображения. Если у вас нет поддержки языка из браузера посетителя, то отображайте на английском. Если вы осилите такой объём работы, то никто к вам не придерётся :)
но в купе с другими данными может быть использован для идентификации персоны.
Ну да. Может быть, а может и не быть. May be used or may be not. Понятно, что любой сайт помимо IP имеет, например, логин пользователя, вот логин+IP — это уже персональные данные? Непонятно.
По поводу «на каком языке отображать consent» напрямую не говорится,
Вот, собственно, непонятно, почему не говорится, это же очевидный вопрос.
а граждане вправе запрашивать услуги и получать ответ на свои запросы на любом из официальных языков. Следовательно, вы должны взять из браузера предпочитаемый язык… Если у вас нет поддержки языка из браузера посетителя, то отображайте на английском.
Я не понимаю, как начало фразы соотносится с концом. Если граждане имеют право запрашивать данные на любом официальном языке, то по этой логике я все официальные языки обязан поддерживать.
Я не хочу строить свою уверенность в том, что «ко мне не придерутся» на основе комментариев на Хабре. Регуляторы могли бы и чётко расписать — повторюсь, вопрос совершенно на поверхности лежащий и из пальца не высосанный.
вот логин+IP — это уже персональные данные?
Вы знаете, вообще говоря, из-за того что айпи может быть персональными данными, «по дефолту» он таки считается персональными данными, если нет оснований считать иначе.
ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en#examples-of-personal-data
Регуляторы могли бы и чётко расписать — повторюсь, вопрос совершенно на поверхности лежащий и из пальца не высосанный.
Ответ тоже лежит на поверхности: сайт ec.europa.eu/info/language-policy_en
The European Commission aims to ensure that visitors to this site can access the information that they need in a language that they understand, even if that language is not their mother tongue.
Если вы будете делать так же — никто к вам не будет иметь претензий.
Если вы будете делать так же — никто к вам не будет иметь претензий.
За ссылку спасибо, серьёзно. Но я не понимаю, почему всё равно речь идёт о каких-то косвенных соображениях, а не о прямом разъяснении регулятора. Собственно, можно так и написать: «если вы сделаете GDPR consent и privacy policy на английском, мы не будем к вам придираться». Но не пишут же, собаки, вот в чём претензия.
GDPR это не гайдлайн о создании сайтов. Это лишь гайдлайн о работе с персонифицированной информацией.
GDPR не говорит вам на каком языке вам делать сайт и на каком языке запрашивать согласие на обработку — GDPR говорит лишь о том, как вы эти данные должны получать и обрабатывать.
Если хотите, вы можете сделать GDPR consent на китайском. И никто к вам не будет иметь претензий (кроме посетителей), потому что никто не будет ставить галочку под непонятным им соглашением.
Нет соглашения — нет сбора данных, нет обработки персональных данных — нет претензий.
Если кто-то поставит галочку несмотря на непонимание GDPR consent — это его проблемы, а не ваши. Вы получили согласие на обработку, и сделали это не в нарушение директивы (если только не добились галочки именно нарушениями, например модальным попапом, не дающим работать с контентом).
То есть от вас требуется именно наличие самого GDPR consent, а не оформление его на конкретном языке. Ваша задача состоит в том, чтобы посетитель смог прочесть и понять ваш GDPR consent и дать, соответственно, согласие на обработку.
А штрафовать вас, соответственно, будут за сбор и обработку без согласия. Но не за язык сайта.
никто не будет ставить галочку под непонятным им соглашением.
Разумеется, будет ставить. Или вы и в самом деле читаете все EULA и всё такое? Это моя вторая претензия: сам закон в этом смысле тоже для галочки, потому что захочет пользователь открыть сайт — и поставит галочку как миленький, и всем в итоге хорошо: галка есть, данные обрабатываем.
Разумеется, будет ставить.
Почему это я буду ставить непонятную мне галочку, объясните?
захочет пользователь открыть сайт — и поставит галочку как миленький
Если у вас контент недоступен без галочки — юзер просто уйдёт с вашего сайта и правильно сделает: вы не должны запрашивать обработку персональных данных сразу же после посещения, а должны лишь перед тем, как сбор таких данных потребуется, и должны чётко указать какие данные и для чего будут собираться. Зайдите на тот же ec.europa.eu и попробуйте найдите consent. Заставлять юзера поставить галочку любыми средствами прямо запрещено в GDPR.
the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.
Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance.
the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.
Ну да, и это возвращает нас к вопросу об используемом языке. С одной стороны, must be clear, а с другом, получается, пишите хоть на латышском. Бюрократические формулировки, расплывчатые и противоречивые.
Не, опять же, спасибо за наводки, они несколько проясняют ситуацию, но у меня вот эти штуки в общую непротиворечивую картину никак не складываются.
Всё предельно просто, и не надо выдумывать какие-то проблемы, которых нет.
Ответ очень простой: вас заведомо не будут штрафовать сходу, тем более за такой нюанс, тем более в любом случае явно не касающийся духа закона. Если лично к вам будут какие-то вопросы, регулятор с вами свяжется и попросит устранить. Чтобы дошло до штрафа, нужно прямо очень постараться.
GDPR намеренно не пытается расписывать все в деталях, какие должны быть языки и где кнопки показывать — чем больше таких деталей в законе, тем больше возможностей найти лазейку по чисто формальным требованиям. Кроме того, мир продолжает меняться быстро, и любая попытка привязка к каким-либо конкретным деталям реализации — официальный язык страны по IP-адресу, язык браузера и прочее — может за несколько лет банально устареть.
Кроме того, мне в общем-то и без того есть чем заняться, чем делать и переделывать продукт по желанию левой пятки инспектора. Мне не нравится эта идея: примем рамочный закон, а будем трактовать как нам удобно ежегодно, а вы каждый раз подстраивайтесь. Я понимаю вашу логику, но она бьёт исключительно по производителю софта. По сути нас ставят вот в такие условия: мы будем когда хотим менять своё представление о прекрасном, и вы будете каждый раз переделывать так, как мы скажем. Это достаточно гнусный подход, я считаю.
Ст. 58 п. 2 перечисляет меры, которые вправе предпринимать регулятор, из которых наложение штрафа — лишь одна, а ст. 83 п. 1 говорит, что даже в случае наложения штрафа он должен быть пропорционален тяжести нарушения. Разумеется, закон не может утверждать, что вас заведомо не будут штрафовать, на то он и нужен, чтобы предусмотреть какие-то меры наказания.
Конечно, соответствовать регуляциям в целом не очень-то приятно, но как бы вы иначе сформулировали закон достаточной силы, чтобы при необходимости прижать кого-то масштабов Фейсбука и Гугла? Учитывая, что персональные данные — в принципе понятие не вполне четко определяемое. Это не данные кредитных карт, где можно более-менее сформулировать четкие формальные требования к их обработке.
В любом случае, GDPR уже два месяца как действует и я пока не видел новостей, чтоб хоть кого-то реально оштрафовали. Компании в ЕС к нему адаптировались без особой паники. Например, наша по большому счету расширила ряд внутренних регламентов, добавила детальные чекбоксы для согласия на сбор информации и отправку разного рода маркетинговых рассылок, возможность снять эти чекбоксы в любой момент, выработала процедуры предоставления пользователям и удаления их данных (с такими требованиями действительно стали обращаться), и завела привычку при обсуждении каждой фичи обращать внимание на то, как она согласуется с GDPR. Ну а то, что какие-то отдельные личности и сайты за океаном паникуют, не разобравшись, невелика беда. Хотя мне отдельно понравилось, как вышла из положения USA Today: https://eu.usatoday.com — оказалось, что если сделать спецсайт для Европы, где вообще не будет рекламы и скриптов аналитики и прочего, то ВНЕЗАПНО он будет просто летать.
А по поводу «штрафов нет» — ну прекрасно, значит, я поставлю GDPR consent на латышском, как мне ниже предлагали, и замечательно. Полезный закон, получается, юзерам пригодится.
Я вполне понимаю вашу линию рассуждения, но сам я принципиально против подхода размытых формулировок. Не умеете формулировать — не беритесь. Собственно, я и не берусь. Штука в том, что люди, которые вот такие формулировочки изобретают, ничем абсолютно не рискуют. Им всё равно.
Вот например, сайт на английском, хостится в Малайзии, а ходят туда немцы и жалуются, что их права не соблюдают. С какой стати их надо соблюдать?
Любой из языков ЕСВот вы сказали без ссылки на нормативный документ. А кто-то послушает и выложит соглашение на Латышском языке. Если его оштрафуют, сам будет виноват, что решил влезать в GDPR, не проверив все законы.
Ну и правильно снизу спрашивают, это точно, или это мнение?
В том вся закавыка и есть: наше решение мотивировано нашими бизнес-интересами, а законодатель имеет какую-то свою картину в голове, но нам она недоступна.
Я обратился в несколько юридических фирм, специализирующихся на внедрении GDPR, с простым вопросом:
Открыто публикуемые в справочниках контактные данные фрилансеров, врачей, нотариусов и прочих самозанятых являются персональными данными согласно GDPR, или не попадают под категорию персональных?
До сих пор не получил ни от кого вразумительного ответа, только отписки «мы этот вопрос прорабатываем»
Многие вещи исключаются из GDPR согласно местным законам. Например ассоциации BAR и подобные для других официальных мест.
Юристы, врачи, нотариусы и другие имеют вообще особую легальную форму в большинстве стран ЕС (вроде И.П. только со спец налоговым режимом).
Текст на английском (также доступен на всех официальных языках ЕС, хотя в некоторых переводах были замечены ошибки)
Article 4
Definitions
For the purposes of this Regulation:
(1) ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
В вашем случае данные имя и, например, номер телефона, и они позволяют прямое идентифицирование человека.
Происход данных не меняет их сущность.
This Regulation does not cover the processing of personal data which concerns legal persons and in particular undertakings established as legal persons, including the name and the form of the legal person and the contact details of the legal person.
Гуглоперевод:
Настоящее Положение не распространяется на обработку персональных данных, которые касаются юридических лиц и, в частности, предприятий, созданных в качестве юридических лиц, включая имя и форму юридического лица и контактные данные юридического лица.
Таким образом, большинство «жалоб» на GDPR связано с его незнанием.
Значит обращались к некомпетентным, много кто хочет заниматься GDPR, но не все могут, многие даже не читали официальные гайдлайны, готовят по шаблонам доки. Это все имеет признаки обмана, осторожней.
Нужно строить data map flow, с условиями если необходимо, затем смотреть.
Однако, есть стандартный баг-трекер redmine, для регистрации в котором необходимо заполнить простую анкету: ФИО и e-mail. Как и всегда на веб-серверах, ведутся логи доступа с IP-адресами.
И вопрос у человека простой: вот такая система теперь стала вне закона? Нужно ли получать какие-то разрешения? (в самом интерфейсе redmine, естественно, нет никаких consent по GDPR)
Человек специально не собирает ПД и не нужны они ему ни в каком виде
а затем говорите
для регистрации в котором необходимо заполнить простую анкету: ФИО и e-mail
Это и есть сбор ПД, так как ФИО никак не является обязательным для использования баг-трекера. Нет никаких проблем использовать баг-трекер с деперсонифицированными данными — логин/пароль и ё-мыл. Эти данные не позволяют персонифицировать человека, но в то же время ё-мыл и айпи являются ПД и с ними следует соответственно обращаться, в частности нельзя передавать третьим лицам без разрешения клиента. Если владелец баг-трекера собирается их хранить, обрабатывать и передавать кому-то — на это нужно запросить разрешения.
ФИО никак не является обязательным для использования баг-трекера. Нет никаких проблем использовать баг-трекер с деперсонифицированными данными — логин/пароль и ё-мыл
на это нужно запросить разрешенияПредположим, я не web-программист и никак не могу модифицировать redmine. Я могу развернуть на своём сервере готовый дистрибутив, но не могу добавить в приложение какие-либо запросы или информационные страницы. Значит, придётся отказаться от этой системы, чтобы не нарушать закон?
Итого, что я должен делать, кроме как превентивно забанить по айпи всех пользователей из ЕС?
Использовать другой баг-трекер.
И, типа, считается, что всё ок, так и должно быть?
А когда персональные данные собирают как попало и передают третьим лицам без ведома их владельца — «всё ок, так и должно быть?»
Да, лес рубят — щепки летят, без жертв никакое ужесточение политики безопасности ПД невозможно.
Но давайте посмотрим на это с другой стороны: допустим, в вашем сайте/софте нашлась дырища, позволяющая тырить данные юзеров. И вы не программист, чтобы её пофиксить. Ваши действия?
а) Забью на дыру, это не мои данные — не мои проблемы
б) Закрою проект, это проще чем латать дыру
в) Найду средства/силы и заткну дыру или сменю движок на менее дырявый.
Ситуация отличается лишь вашим отношением к ней — в случае явной дыры вам нужно что-то делать кровь из носу, в случае непоняток с ПД — вы нервничаете только из-за возможных штрафных санкций, хотя вас прямо сейчас никто не гонит.
Нет, ситуация отличается тем, что… Да, в общем-то, всем
А мне таки кажется, что ничем.
Взлом == GDPR
Вы не знаете, нет ли в вашем софте уязвимостей == Вы не знаете, нет ли в вашем софте нарушений связанных с ПД
Вы опасаетесь взлома == Вы опасаетесь обнаружения нарушения GDPR
Вы должны проверять безопасность при добавлении нового кода == Вы должны проверять соблюдение GDPR при добавлении нового контента
В случае взлома, вам придётся искать пути устранения дыры, а так же возможно понести финансовые и/или репутационные потери == В случае нарушения GDPR, вам придётся устранять нарушение, а так же возможно понести финансовые и/или репутационные потери.
И так далее. И точно так же, существуют жертвы, закрывшие свой бизнес в результате взлома.
Тогда будет GDPR-compliant?
Для юзеров ничего не меняется, они как привыкли нажимать «согласен» под всеми EULA, так и здесь нажмут.
допустим, в вашем сайте/софте нашлась дырища, позволяющая тырить данные юзеровПлохой пример. Закон не запрещает эксплуатацию сайтов с дырами.
С GDPR всё точно так же: в случае обнаружения неправильного сбора или обработки ПД, будет разбирательство, и в случае наличия вашей вины — штрафные санкции.
Проблема в том, что в случае обнаружения дыры ее можно заткнуть.
Расскажите это, например, биржам, которые не смогли после взлома вернуть средства клиентам и обанкротились.
Так принято во всем мире и считается нормальным.
Вообще говоря, любой крупный взлом поднимает шумиху, потому что это серьёзный инцидент. И обходится он в копеечку даже если пользователи не подают в суд на возмещение ущерба — как минимум за счёт необходимости срочно залатать дыру и провести аудит безопасности.
А в случае обнаружения нарушения закона штраф уже выписан.
Кто вам это сказал? Вот откуда вы берёте эту глупость и пишете её тут с умным видом? А ещё и плюсует кто-то это.
Давайте-ка обратимся к первоисточнику — тексту резолюции:
In order to strengthen the enforcement of the rules of this Regulation, penalties including administrative fines should be imposed for any infringement of this Regulation, in addition to, or instead of appropriate measures imposed by the supervisory authority pursuant to this Regulation. In a case of a minor infringement or if the fine likely to be imposed would constitute a disproportionate burden to a natural person, a reprimand may be issued instead of a fine. Due regard should however be given to the nature, gravity and duration of the infringement, the intentional character of the infringement, actions taken to mitigate the damage suffered, degree of responsibility or any relevant previous infringements, the manner in which the infringement became known to the supervisory authority, compliance with measures ordered against the controller or processor, adherence to a code of conduct and any other aggravating or mitigating factor. The imposition of penalties including administrative fines should be subject to appropriate procedural safeguards in accordance with the general principles of Union law and the Charter, including effective judicial protection and due process.
Гуглоперевод вполне вменяемо справляется с минимальной корректировкой, выделяю важные моменты жирным:
В целях усиления соблюдения правил настоящих Правил применяются санкции, в том числе административные штрафы за любое нарушение настоящих Правил, помимо или вместо соответствующих мер, наложенных надзорным органом на основании настоящих Правил. В случае незначительного нарушения или если штраф, который может быть наложен, будет представлять собой непропорциональное бремя для физического лица, вместо штрафа может быть выдан выговор. Однако следует уделять должное внимание характеру, серьезности и продолжительности нарушения, преднамеренному характеру нарушения, действиям, предпринятым для смягчения нанесенного ущерба, степени ответственности или любых соответствующих предыдущих нарушений, способу, которым стало известно о нарушении надзорному органу, соблюдение мер, предписанных контроллеру или процессору, соблюдение кодекса поведения и любого другого отягчающего или смягчающего фактора. Наложение штрафов, включая административные штрафы, должно подлежать надлежащим процессуальным гарантиям в соответствии с общими принципами законодательства Союза и Устава, включая эффективную судебную защиту и надлежащую процедуру.
Расскажите это, например, биржам, которые не смогли после взлома вернуть средства клиентам и обанкротились.
Кажется, мы говорили про полумертвый багтрекер для хобби-проекта, а не про биржу.
Вообще говоря, любой крупный взлом поднимает шумиху, потому что это серьёзный инцидент. И обходится он в копеечку даже если пользователи не подают в суд на возмещение ущерба — как минимум за счёт необходимости срочно залатать дыру и провести аудит безопасности.
В случае готового решения вся шумиха бьет по самому решению а не по его пользователям. В отличии от GDPR.
Кто вам это сказал? Вот откуда вы берёте эту глупость и пишете её тут с умным видом? А ещё и плюсует кто-то это.
Давайте-ка обратимся к первоисточнику — тексту резолюции
Тут проблема в том что не все могут этот источник читать. Лично я сколько не читаю — все одно ничего понять не могу.
Напомню вопрос с которого началась ветка:
У меня есть опенсорс-проект и багтрекер к нему на Redmine. Что я должен поменять, чтобы быть GDPR-compliant?
Пока что я не увидел на него ответа.
Пока что я не увидел на него ответа.
Пока что я не увидел, зачем вам вообще GDPR-compliant — вас лично эта директива не касается.
This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities.
Настоящий Регламент не применяется к обработке персональных данных физическим лицом в ходе чисто личной или бытовой деятельности и, таким образом, без связи с профессиональной или коммерческой деятельностью. Личная или бытовая деятельность может включать переписку и хранение адресов, или социальные сети и онлайн-деятельность, осуществляемую в контексте такой деятельности.
Нет коммерческой деятельности — нет нужды в compliance.
То есть ваши проблемы с GDPR лежат полностью в одной плоскости: незнании GDPR. Поэтому кроме его изучения (при желании, ведь оно вас не касается), вам больше ничего делать не надо. Пока вы не решите хобби переделать в бизнес.
У меня такое ощущения, что GDPR придумали юристы, чтобы обеспечить себе ещё один способ заработка. Если у фирмы есть деньги, юристы там сделают все галочки и странички, как надо, но пользователям от этого никакого толку (только лишняя бюрократия с подтверждением).
в самом интерфейсе redmine, естественно, нет никаких consent по GDPR
Там есть www.redmine.org/projects/redmine/wiki/PrivacyPolicy
When registering, you're asked to provide the following data (later referred to as profile information):
the login name you'd like to use
your name (first name and last name)
your email address (hidden by default)
You may use the site pseudonymously, but please use an active email address in case an administrator needs to contact you.
We do not collect any more information than those given in the above paragraphs.
Таким образом, использование ФИО не является обязательным, можно использовать псевдоним. В принципе, эта privacy policy вполне GDPR compliant: чётко указано, какая персональная информация собирается («Information we gather»), зачем («How do we use this information») и кто к ней имеет доступ («Who can access your profile information?»). Тем не менее, есть вопросы по полноте объёма реализации требований GDPR, поэтому есть случаи, когда от сервиса redmine отказываются именно по этим причинам: www.redmine.org/boards/1/topics/55222
Там есть www.redmine.org/projects/redmine/wiki/PrivacyPolicyВы путаете движок (веб-приложение) redmine и сайт организации, которая его разрабатывает. То, что опубликовано на их сайте, относится к персональным данным людей, которые у них регистрируются. И никак не связано с данными людей, которые регистрируются на моём локальном экземпляре redmine, т.к. данные хранятся у меня локально, и я могу решать, что с ними делать, а не организация redmine.
Таким образом, использование ФИО не является обязательным, можно использовать псевдоним.То есть, в принципе, на фасаде любой соцсети достаточно написать «можете использовать псевдонимы вместо ФИО»? Как-то слишком просто.
поэтому есть случаи, когда от сервиса redmine отказываются именно по этим причинамА вот это уже по теме статьи — жертвы GDPR, когда юристы запугивают обычных пользователей, а тем проще закрыть свои мелкие сайты совсем, чем рисковать, что что-то не выполнят и попадут на штраф.
Вы путаете движок (веб-приложение) redmine и сайт организации, которая его разрабатывает.
Может быть. Мне как-то лень разворачивать redmine чтобы посмотреть, отличается ли оно от сайта разработчиков.
То есть, в принципе, на фасаде любой соцсети достаточно написать «можете использовать псевдонимы вместо ФИО»? Как-то слишком просто.
В соцсетях пишут обратное, со всеми из этого вытекающими.
когда юристы запугивают обычных пользователей
Юристы? Пользователей? Вы ничего не перепутали? Может бизнесменов?
а тем проще закрыть свои мелкие сайты совсем, чем рисковать, что что-то не выполнят и попадут на штраф
Ну, это смотря как смотреть: если бизнес вшивый, то туда ему и дорога. Если бизнес дельный — владелец сделает телодвижения, чтобы продолжать работать.
Все «жертвы GDPR» на текущий момент — те, кто просто отказался от реализации новых требований. Не существует пока ни одного случая, когда кого-то привлекли к какой либо ответственности за их нарушение.
По сути все это было до этого, но только для тех кто в «теме». Теперь это explicit. Поэтому многим европейским компаниям много менять не пришлось.
Есть ссылка на ваш лакальный акт под GDPR?
eur-lex.europa.eu/legal-content/HU/TXT/?uri=CELEX%3A32016R0679
Можно надбавить на нац. уровне, но пока надбавок еще не было.
Старый вот:
njt.hu/cgi_bin/njt_doc.cgi?docid=139257.322945
К сожалению перевода нет :/, но гугл справляется
А нет какого-то простого способа обойти требования этого нового закона? Например, не собирать и не хранить никакие персональные данные вообще? Нельзя работать с полностью анонимными пользователями? Или микротранзакции, за счёт которых жила игра Loadout, нельзя получать полностью анонимно?
не собирать и не хранить никакие персональные данные вообще?
Можно.
микротранзакции, за счёт которых жила игра Loadout, нельзя получать полностью анонимно?
Вряд ли, так как транзакции делаются по банковским реквизитам (номер карточки и всё такое), которые ПД по определению.
Я думаю, GDPR стал лишь «последним гвоздём» в умиравшую Loadout, поводом к её окончательному закрытию.
По крайней мере, в стиме я увидел ещё январский отзыв
Хорошая игра, донат нужен только для кастомизаии персонажа поэтому можно обойтись без него, однако игра мертва и мертва давно.
Или вот, почти годичной давности:
На пк игра мертва уже давно.
Удивительно даже почему.
…
Минусы игры:
-Читеры
-И теперь уже никакого онлайна.
И даже декабрь 2016-го:
Хороший шутер для пары вечеров времяпрепровождения.
Жаль, что игра заброшенна.
Октябрь 2016-го:
Наверно положительные отзывы кончаюся года два назад,, т.е. когда разработчики забили на игру (полностью)
то есть умерла она не по причине ввода новых правил GDPR.
Было честнее, если бы в этой плашке выводилось: мы продаем ваши персональные данные вот тем и тем, в таких-то объемах.
В одном Viacom'е таких брендов — внушительный список, а каждый тикет в духе «почему наш сайт редиректят на <заглушкаName>?» приходится мариновать неделями, пока специальная команда будет изучать и готовить ответ на этот вопрос.
Жертвы GDPR: кто уже прекратил работу из-за нового регулирования персональных данных