Комментарии 35
GDPR? — Неа, не слышал…
А если серьезно:
По данным опросов около 30% предпринимателей еще не слышали или не задумывались на эту тему… Только каждый пятый предпринял или планирует действия в этом направлении.
Я думаю грядетохота на ведьм лавина исков с целью пополнить карманы адвокатов…
А если серьезно:
По данным опросов около 30% предпринимателей еще не слышали или не задумывались на эту тему… Только каждый пятый предпринял или планирует действия в этом направлении.
Я думаю грядет
Незнание законов не освобождает от ответственности
Я с вами полностью согласен. Своим комментарием я только хотел показать реальное положение вещей. Я сам работаю в этой отрасли и мне волей неволей приходится сталкиваться и даже клиентам объяснять что где и как.
Меня просто очень огорчает что в начале будут страдать маленькие предприниматели от юристов, конторы которых заточенына отлов и отстрел под это и иски которых не исходят от реальных лиц.
Меня просто очень огорчает что в начале будут страдать маленькие предприниматели от юристов, конторы которых заточены
Я не знаю или ваша компания работает в странах ЕС, но все кто работают с ЕС были уведомлены уже давно. GDPR обсуждется уже более года всеми кому не попадя до такой степени что на западе это уже мем, так что меня удивляет что кого-то вообще удивляет что он близко.
И потом, до него еще месяц, так что если поднажать то можно успеть.
В добавок сначала будут уведомления, а потом в случае не выполнения обязательств, штраф.
Сегодня в почте обнаружил обновление политики конфиденциальности от Twitter, Trello и GOG (а у них ещё отдельно для cookie).
Совпадение?
Совпадение?
Так можно IP в логах хранить или нельзя?
Это зависит. Что ещё у вас есть, кроме IP? К какой информации, связанной с этими IP, имеете доступ?
Насколько я понимаю/знаю о классических логах (вспомогательный инструмент диагностики/отладки, ограниченное время жизни, и т.д.) можно не беспокоиться. Но если какая-будь «светлая голова» решит что логи можно по-парсить ну скажем для маркетинговых исследований не имея на то согласия пользователей то, скажем так, обосновать законность владения полученными данными будет нечем…
Не совсем. Всё зависит от того, что ещё вам доступно в дополнение к IP — достаточно ли этого для идентификации физлица или нет. Могут и логи веб-сервера сами по себе стать хранилищем персональных данных — у какой-нибудь соцсети запросто вообще.
Опять-же, насколько я понимаю/знаю номинативная информация в промежуточных системах (разные кеши) и во вторичным источниках (логи используемые исключительно для технической отладки — прокси, отдельные сервисы и т.д.) отдельной декларации не требуют. Суть GDPR и его предшественников — в контроле использования персональной информации. Вторичные источники требуют лишь стандартных мер — защиты от утечек и уничтожение/анонимизация в разумные сроки (в Европе min/max зачастую определяется законами и составляет ~ 1 года).
Я не юрист но с проблемой персональных данных мне приходиться сталкиваться регулярно. У нас (франция) GDPR называется RGPD и он заменяет/дополняет CNIL — локальное законодательство существующее уже 40 лет. Оно близкое по духу GDPR только штрафы поменьше но можно загреметь в тюрьму.
Я не юрист но с проблемой персональных данных мне приходиться сталкиваться регулярно. У нас (франция) GDPR называется RGPD и он заменяет/дополняет CNIL — локальное законодательство существующее уже 40 лет. Оно близкое по духу GDPR только штрафы поменьше но можно загреметь в тюрьму.
В сентябре занимался Privacy Shield и GDRP для друзей, написал по итогам небольшую заметку с описанием, что нужно сделать по каждому из основных шагов, мб кому пригодится — medium.com/@rsedykh/gdpr-and-privacy-shield-in-plain-russian-for-saas-9dfa03e72f9b.
Взгляд с другого ракурса :)
Класс! Название наводит на мысль, что есть и английская версия статьи?
Я сразу по-русски писал. :-) Но друзья (из Uploadcare.com, для кого я этим занимался) ее перевели на английский:
— blog.uploadcare.com/gdpr-for-saas-in-plain-spoken-english-d535253efbde
— blog.uploadcare.com/privacy-shield-as-a-shortcut-to-gdpr-c250aa99c0f3
— blog.uploadcare.com/gdpr-for-saas-in-plain-spoken-english-d535253efbde
— blog.uploadcare.com/privacy-shield-as-a-shortcut-to-gdpr-c250aa99c0f3
Предыдущую статью прочитали? habr.com/company/plesk/blog/354386
В каких моментах вы отметили, что это про ваш проект?
В каких моментах вы отметили, что это про ваш проект?
Если сайт только на русском, то проблема довольно теоретическая — по букве закона она есть, но вряд ли кто-то до вас докопается практически. Хотя решать вам, в конце концов.
Почитайте metrika.yandex.ru/about/info/gdpr
Почитайте metrika.yandex.ru/about/info/gdpr
Кстати, а если даже будут пытаться докопаться, то что? Какие у них есть практические возможности воздействовать на русскоязычный сайт, с хостингом в РФ?
Вот здесь вариантов набросали:
habr.com/company/plesk/blog/354386/#comment_1077940
habr.com/company/plesk/blog/354386/#comment_1077940
Упс.
Спасибо за разжёвывание. Не скажу, что ситуация прям ужас-ужас, но поработать над тем, чтобы соответствовать требованиям — явно придётся.
Пожалуйста :)
Учтите — здесь буквально экстренный старт описан, причём только с технической стороны. То есть это шпаргалка «что начать делать ещё до того, как что-то начал понимать в GDPR».
Учтите — здесь буквально экстренный старт описан, причём только с технической стороны. То есть это шпаргалка «что начать делать ещё до того, как что-то начал понимать в GDPR».
Я понимаю. Но паника и спешка — плохие попутчики.
Я знал, что есть GDPR, но только из ваших статей узнал, насколько всё может быть серьёзно, особенно для такого сайта, как мой. И немножко удивился, потому что британцы, для которых я этот сайт строю — ни о чём таком мне не говорили. Обрадую их на следующей неделе, а пока буду загружаться знаниями и писать предполагаемый план действий.
Я знал, что есть GDPR, но только из ваших статей узнал, насколько всё может быть серьёзно, особенно для такого сайта, как мой. И немножко удивился, потому что британцы, для которых я этот сайт строю — ни о чём таком мне не говорили. Обрадую их на следующей неделе, а пока буду загружаться знаниями и писать предполагаемый план действий.
Сайтов физлиц всё-это касается? Начинаю переживать за уютные бложики
В GDPR формулировка такая:
This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities. However, this Regulation applies to controllers or processors which provide the means for processing personal data for such personal or household activities.
Вот и думайте — «purely personal or household activity» у вас в бложике или чуток «professional or commercial activity» тоже есть?
This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities. However, this Regulation applies to controllers or processors which provide the means for processing personal data for such personal or household activities.
Вот и думайте — «purely personal or household activity» у вас в бложике или чуток «professional or commercial activity» тоже есть?
Не могли бы вы прояснить, откуда вы взяли требование гранулярности для consent'а?
В докладе вы еще так же упоминали, что на каждый кусок данных и на каждую цель обработки нужно брать отдельный consent, что выливается в отдельные «галочки» в интерфейсе.
Я подозреваю, что на это может натолкнуть вот этот пункт из Recital 32:
Но разве тут об этом? Да, я должен указать все, что я обрабатываю, и все цели, для которых мне нужны персональные данные (конкретно по каждому куску и цели), но где требование того, чтобы consent брать отдельно по каждому пункту? Можно описать все это и дать пользователю одну галочку. Я прочитал в документе почти все, что касается consent'а и не нашел противоречий этому.
Гранулярные: дают раздельные варианты для отдельного согласования для разных типов обработки, где это необходимо.
В докладе вы еще так же упоминали, что на каждый кусок данных и на каждую цель обработки нужно брать отдельный consent, что выливается в отдельные «галочки» в интерфейсе.
Я подозреваю, что на это может натолкнуть вот этот пункт из Recital 32:
When the processing has multiple purposes, consent should be given for all of them.
Но разве тут об этом? Да, я должен указать все, что я обрабатываю, и все цели, для которых мне нужны персональные данные (конкретно по каждому куску и цели), но где требование того, чтобы consent брать отдельно по каждому пункту? Можно описать все это и дать пользователю одну галочку. Я прочитал в документе почти все, что касается consent'а и не нашел противоречий этому.
Там набор взаимодополняющих пунктов, которые в итоге приводят к такому выводу.
Хорошо эта тема разжёвана в Article 29 Working Party Guidelines on Consent under Regulation 2016/679 в «3.2.Specific».
Ещё можно посмотреть в ICO Consent Guidance — хотя финальная версия у них сильно проигрывает черновой. Собственно, процитированный вами текст — перевод из черновика ICO.
PS: Главным является «отдельный консент на каждую цель» — я добавил «кусок данных» чтобы подчеркнуть, что надо четко указывать какие данные будут сохранятся для каждой конкретной цели.
Хорошо эта тема разжёвана в Article 29 Working Party Guidelines on Consent under Regulation 2016/679 в «3.2.Specific».
Ещё можно посмотреть в ICO Consent Guidance — хотя финальная версия у них сильно проигрывает черновой. Собственно, процитированный вами текст — перевод из черновика ICO.
PS: Главным является «отдельный консент на каждую цель» — я добавил «кусок данных» чтобы подчеркнуть, что надо четко указывать какие данные будут сохранятся для каждой конкретной цели.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
GDPR на носу – прекращаем панику и начинаем спасаться