Как GDPR стал причиной утечек персональных данных

    GDPR создавали, чтобы дать гражданам ЕС больше контроля над персональными данными. И с точки зрения количества жалоб цель была «достигнута»: за прошедший год европейцы стали чаще сообщать о нарушениях со стороны компаний, а сами компании получили множество предписаний и начали оперативнее закрывать уязвимости, чтобы не получить штраф. Но «внезапно» выяснилось, что GDPR наиболее заметен и эффективен, когда речь заходит либо об уклонении от финансовых санкций, либо от самой необходимости соблюдать его. И даже больше — призванное положить конец утечкам персональных данных, обновленное регулирование становится их причиной.

    Рассказываем в чем тут дело.


    Фото — Daan Mooij — Unsplash

    В чем проблема


    Согласно GDPR, граждане ЕС имеют право запросить копию своих персональных данных, которые хранятся на серверах той или ной компании. Недавно стало известно, что этот механизм можно использовать для сбора ПД другого человека. Один из участников конференции Black Hat провел эксперимент, в ходе которого получил архивы с персональными данными своей невесты от различных компаний. Он отправил соответствующие запросы от её имени в 150 организаций. Что интересно, 24% компаниям было достаточно адреса электронной почты и телефонного номера в качестве удостоверения личности — после их получения они возвращали архив с файлами. Еще около 16% организаций дополнительно запросили фотографии паспорта (или другого документа).

    В результате Джеймсу удалось заполучить номер социального страхования и кредитной карты, дату рождения, девичью фамилию и адрес проживания своей «жертвы». Один сервис, который позволяет проверить, «засветился» ли адрес электронной почты в каких-либо утечках (примером сервиса может быть Have i been pwned?), даже прислал список ранее использованных аутентификационных данных. Эта информация может стать причиной взлома, если пользователь так и не сменил пароли или использовал их где-то еще.

    Есть и другие примеры, когда данные оказывались в чужих руках после «ошибочной» отправки. Так, три месяца назад один из пользователей Reddit запросил персональную информацию о себе у компании Epic Games. Однако она по ошибке отправила его ПД другому игроку. Похожая история произошла и в прошлом году. Клиент Amazon случайно получил 100-мегабайтный архив с интернет-запросами к Alexa и тысячами WAF-файлов другого пользователя.


    Фото — Tom Sodoge — Unsplash

    Одной из главных причин возникновения подобных ситуаций эксперты называют неполноту Общего регламента по защите данных. В частности, GDPR называет сроки, в течение которых компания должна ответить на запросы пользователей (в течение месяца), и указывает штрафы — до 20 млн евро или 4% от годовой выручки — за невыполнение этого требования. Однако сами процедуры, которые должны помочь компаниям соответствовать закону (например, удостовериться в отправке данных их владельцу), в нем не конкретизированы. Поэтому организациям приходится самостоятельно (порой, методом проб и ошибок) выстраивать свои рабочие процессы.

    Как можно исправить положение


    Одно из самых радикальных предложений — отказаться от GDPR или кардинально его переделать. Есть мнение, что в текущем виде закон не работает, так как очень сложный и излишне строгий, а на соответствие всем его требованиям приходится тратить большое количество средств.

    Например, в прошлом году разработчики игры Super Monday Night Combat были вынуждены свернуть свой проект. По словам её создателей, бюджет, необходимый для переделки систем под GDPR, превышал бюджет, выделяемый семилетней игре.

    «У маленьких и средних бизнесов действительно часто нет технологических и кадровых ресурсов, чтобы разобраться в требованиях регуляторов и сделать необходимые приготовления, — комментирует Сергей Белкин, начальник отдела развития IaaS-провайдера 1cloud.ru. — Здесь на помощь могут прийти крупные вендоры и IaaS-провайдеры, предоставляющие в аренду защищенную ИТ-инфраструктуру. Например, мы в 1cloud.ru размещаем свое оборудование в ЦОД, сертифицированных по стандарту Tier III и помогаем клиентам соответствовать требованиям российского ФЗ-152 «О персональных данных».


    Фото — Chromatograph — Unsplash

    Есть и противоположная точка зрения, что проблема здесь не в самом законе, а в стремлении компаний выполнить его требования лишь формально. Один из резидентов Hacker News отметил: причина утечек персональных данных кроется в том, что организации не внедряют простейшие механизмы верификации, которые продиктованы здравым смыслом.

    Так или иначе, в ближайшее время Евросоюз не собирается отказываться от GDPR, поэтому ситуация, на которую пролили свет во время конференции Black Hat, должна послужить стимулом для компаний уделить больше внимания безопасности ПД.

    О чем мы пишем в наших блогах и социальных сетях:

    766 км — новый рекорд дальности для LoRaWAN
    Кто использует протокол аутентификации SAML 2.0

    Big Data: большие возможности или большой обман
    Персональные данные: особенности публичного облака

    Подборка книг для тех, кто уже занимается системным администрированием или планирует начать
    Как работает техподдержка 1cloud



    Инфраструктура 1cloud в Москве располагается в Dataspace. Это — первый российский ЦОД, прошедший сертификацию Tier lll от Uptime Institute.


    1cloud.ru
    286,60
    IaaS, VPS, VDS, Частное и публичное облако, SSL
    Поделиться публикацией

    Комментарии 64

      +6
      Он отправил соответствующие запросы от её имени в 150 организаций. Что интересно, 24% компаниям было достаточно адреса электронной почты и телефонного номера в качестве удостоверения личности — после их получения они возвращали архив с файлами.
      Но виноват конечно исключительно GDPR, а не фирмы которые собирают данные всеми правдами и неправдами, а потом отдают их кому попало без адекватной проверки. Что мешало просто потребовать аутентификации через обычный логин/пароль?

      Есть мнение, что в текущем виде закон не работает, так как очень сложный и излишне строгий, а на соответствие всем его требованиям приходится тратить большое количество средств
      Да вроде бы фирмы которые изначально не занимались всякой ерундой и более-менее бережно относились к персональным данным к GDPR подготовились относительно быстро и безболезнено.
        +4
        Что мешало просто потребовать аутентификации через обычный логин/пароль?
        Наверное заявление «как бы пользователя» о том, что логин/пароль утеряны — а о том, что в этом случае персональные данные можно бы и не выдавать GDPR не говорит?

        Да вроде бы фирмы которые изначально не занимались всякой ерундой и более-менее бережно относились к персональным данным к GDPR подготовились относительно быстро и безболезнено.
        Это вы о ком сейчас? Я, навскидку, ни одной компании, которой бы не пришлось потратить кучу времени, сил и денег на то, чтобы как-то более-менее соблюсти требования GDPR назвать не могу…
          +3
          Наверное заявление «как бы пользователя» о том, что логин/пароль утеряны — а о том, что в этом случае персональные данные можно бы и не выдавать GDPR не говорит?
          В GDPR нигде не указано что надо отдавать данные кому угодно по любому запросу. Я уверен что откажи фирма в выдаче персональных данных на основании отсутствия должной идентификации, то никаких проблем бы у неё не было.

          Это вы о ком сейчас? Я, навскидку, ни одной компании, которой бы не пришлось потратить кучу времени, сил и денег на то, чтобы как-то более-менее соблюсти требования GDPR назвать не могу…
          Дефинируйте «кучу». У нас в связи с GDPR был ликбез для сотрудников, аудит на предмет соответствия и поправки в объёме работы одной команды в течении 6-9 недель. И это одноразовое событие.

          Вы просто не забывайте что до GDPR каждая страна ЕС имела свои собственные законы, которые местами от GDPR не особо сильно отличались по объёму требований. И до GDPR нам приходилось постоянно мониторить законы большинства стран ЕС и каждый раз вносить изменения если вдруг менялось законодательство в стране, где у нашего материнского концерна находились филиалы или клиенты. И это стоило гораздо больше нервов и денег.
            +1
            Я уверен что откажи фирма в выдаче персональных данных на основании отсутствия должной идентификации, то никаких проблем бы у неё не было.

            Почему вы так думаете? Субъект данные запросил? запросил. Право имел? имел.
            Компания не предоставила? да. Нарушение налицо… Другое дело что и так, как они сделали — тоже нарушение, ст.32. Суть претензии в том, что непонятно как не нарушить.

            К примеру, шикарный способ вручить данные только их владельцу — предложить ему лично явиться за ними в центральный офис компании, предъявив ID. Ну или что там у них вместо паспорта %). Вроде бы даже в духе ст. 12 пункт 6. Но не будет ли это нарушением ст.15 пункт 3?

            Я вот по этому тексту ориентируюсь, ogdpr.eu/ru/gdpr-2016-679 Надеюсь его можно считать официальным переводом =)
              0
              Право имел?

              Всё не так просто. Если вы купили месячный проездной, то вы имеете право на проезд. Но если вы забыли его дома, то контролёр имеет полное право высадить вас и даже выписать вам штраф.

              В случае с GDPR (как впрочем и в случае с другими законами Германии/ЕС) нам на ликбезе посоветовали в спорных вопросах ориентироваться на прецеденты, а если таковых нет, то на обычный здравый смысл. И даже если у медиатора/судьи будет другое понимание здравого смысла, то скорее всего всё обойдётся предупреждением. По крайней мере пока закон обкатывается.

              И вообще здесь судьи обычно больше смотрят не на букву, а на дух закона. Но если вдруг с GDPR это будет не так, то тогда уже и я поменяю своё мнение и буду думать как на это реагировать. Но честно говоря не думаю что это произойдёт.
                0
                Думаю, что для резидента ЕС ваша оценка совершенно адекватна. В то же время, мы видим, что некоторых нерезидентов ЕС оштрафовали уже на куда более крупные суммы, чем, к примеру, суммарный объем всех штрафов по 152-ФЗ в РФ. Хотя его требования во многом более жесткие. По моему мнению это связано с тем, что GDPR в значительной мере является протекционистской мерой по отношению к рынку ЕС, примерно как наш закон Яровой.

                В связи с этим стратегия «давайте мы сделаем по здравому смыслу» для конкурентов европейского ИТ выглядит очень рискованой, для прочих нерезедентов — просто рискованой =)

                Kanut, вы там ниже пишете про то, что в случае противоречия локальной нормативной базы и GDPR следует применять локальную. Не могли бы вы все же указать параграф? Я не нашел :(
                  0
                  Надо смотреть, за что их оштрафовали. Наверное, не за отказ предоставить копию данных.
                  Вообще в законе написано только «запрашивать-предоставить». В каком виде запрашивать, и как идентифицировать запрашивающего, тут уже вопрос к местному законодательству и прецендентам, которых и до GDPR немало. Как минимум, можно посмотреть процедуры идентификации при запросах в полицию, этого точно будет достаточно.
                    +2
                    В то же время, мы видим, что некоторых нерезидентов ЕС оштрафовали уже на куда более крупные суммы, чем, к примеру, суммарный объем всех штрафов по 152-ФЗ в РФ.

                    Их оштрафовали по спорным вопросам? Или по каким-то параграфам где всё ясно? Честно признаюсь я такое не особо мониторю и может что и пропустил.

                    Kanut, вы там ниже пишете про то, что в случае противоречия локальной нормативной базы и GDPR следует применять локальную. Не могли бы вы все же указать параграф? Я не нашел :(

                    Это раскидано по отдельным параграфам и местами сформулировано юридически-бюрократическим языком. Например если мы обсуждаем право на стирание всех данных о персоне(Art 17. «Right to erasure»), то там в пункте 3 описаны исключения. В том числе и "(е) for the establishment, exercise or defence of legal claims."

                    П.С. И повторюсь наверное уже в десятый раз: GDPR не идеален, но какие-то законы о защите персональных данных нужны. И я лично рад что мы имеем GDPR, а не 28 разных и местами совсем абсурдных законов.
            0
            Есть подозрение что аутентификация через логин/пароль при запросе по email невозможна… а в открытом виде в письме вряд ли кто-то бы стал отправлять…
              0

              А что например мешало сделать под это дело кнопочку или формочку в личном кабинете пользователя?

            –3

            По факту исполнить GDPR невозможно. За год никто так и не сказал как совместить его с KYC и AML

              +14

              По факту вполне возможно: у вас есть требования KYC, есть требования по AML. GDPR требует от вас а) не собирать лишней информации и б) не хранить лишнюю информацию. Т.е. если для целей KYC вам нужно иметь номер и фото ID клиента — имейте, но не делитесь этой информацией без ведома клиента и сообщите ему заранее а)зачем вам этот ID, б) кому вы его передадите и в) для какой цели вы его передадите.
              Если вам нужно по законодательству хранить этот ID 20 лет, а клиент от вас ушел и требует "удалить его данные из вашей системы", вы ему а)заранее должны были сообщить что, сколько и почему вы будете хранить м б) какие данные в связи с законодательством вы не сможете удалить. И в законе это прописано в явном виде.


              Просто понимать нужно суть закона, которая, как это не странно — крайне проста. Она не запрещает собирать данные, но ограничивает какие и зачем вы собираете и сколько их храните, а так же регулирует отношения с вашими клиентами именно в области персональных данных.

                –5
                Думаю что в рамках борьбы с терорризмом ко мне в любое время могут придти органы, и попросить IP и переписку пользователя. И думаю они не очень будут довольны если я их удалил. Сомневаюсь что по моему запросу facebook удалит мою переписку и список IP с которых я заходил
                  +1

                  Все зависит от законодательства страны. Вы не поверите, но 4% оборота веская причина сказать "а мы все потерли согласно GDPR и бекапы уже затранклейтились — сорри". Вы зря сомневаетесь в фейсбук — там достаточно хорошо считают $$.

                    0
                    Если законодательство вашей страны конфликтует с GDPR, то вы должны придерживаться вашего законодательства. И никаких проблем с GDPR в связи с этим у вас не будет.

                    Конкретный параграф GDPR посвящённый этому я сейчас не вспомню, но он там есть.
                      0
                      Т.е. я могу разместить сервера в России и согласно закону Яровой просто хранить вообще все и никогда не удалять?
                        0
                        По идее да. Но по моему вам тогда ещё надо предупреждать об этом всех пользователей из ЕС.

                        П.С. Но действительно ли надо предупреждать, и если да то когда и как это я уже не уверен. У нас ликбез был перед введением закона и детали уже из головы вылетели.
                    0

                    Есть мнение, что ярое полное исполнение закона всеми игроками рынка приведет к ситуации а-ля "далее-далее-ок, привет амиго".
                    Вы лицензионное соглашение когда в последний раз читали полностью?

                      0

                      Есть такое ;)
                      Но это не противоречит идее. Подайте в суд, докажите не легитимность требований и вуаля! В теории...


                      По сути, закон не исключает такой вариант, но обязывает раскрывать клиенту кто и зачем будет его данными пользоваться.

                        +1

                        В теории. А на практике не хватает образования — если ты не платишь деньги за сервис, то ты сам товар. Сервисов-альтруистов доли процента.
                        Пример с потолка. Есть чат, которым все пользуются и он запрашивает твой номер телефона, но ты не хочешь быть товаром и не сообщаешь его. Не пользуется чатом и вылетаешь из круга общения. У чата такая модель монетизации. Нет данных — не на что содержать чат. Круговорот бабла в природе.
                        P.S. я не принимаю ни ту, ни другую сторону вопроса — они обе всех под одну гребенку несут. Беззаконие ведет к откровенной краже данных, полное исполнение оставляет на рынке только крупных игроков и монополистов. Хотя каждая ситуация индивидуальна.

                          +6
                          если ты не платишь деньги за сервис, то ты сам товар

                          Я бы сказал что ситуация ещё хуже. И ты часто товар даже если ты платишь за сервис.

                          Беззаконие ведет к откровенной краже данных, полное исполнение оставляет на рынке только крупных игроков и монополистов.

                          Есть такое дело. Но с другой стороны нам гораздо проще работать с GDPR чем с кучей различных законов от разных стран ЕС. И я думаю что ещё более мелким фирмам это тоже проще.

                          Другое дело что раньше многие фирмы просто игнорировали национальные европейские законы о защите персональных данных. Но это опять же ставило в неудачную позицию те фирмы, которым приходилось следовать законам…
                            0

                            Быть товаром за свои деньги — это да, печальный момент, который GDPR не исправляет.
                            Насчет единого закона для Европы это хорошо, но емнип он действует и за пределами ес, даже если ес не является рынком сервиса.
                            Опять же для мелких компаний не все так однозначно. Есть компания, которая предоставляет услуги только в одном городе европейской страны. Если раньше ей требовалось соблюдать законы только одной страны, то теперь еще и союза стран.
                            Все слишком неоднозначно. И без него плохо, и с ним не лучше. Избирательное исполнение? Какой же это тогда закон.
                            Ну и как мне кажется, логично исполнять законодательство на рынке присутствия. Хотя это тоже как посмотреть — при большом охвате проще иметь единые правила. В общем меня никак не покидают ощущения что во всем этом забыли про мелких игроков. Или забили на них. Или специально топят...

                              +1
                              Насчет единого закона для Европы это хорошо, но емнип он действует и за пределами ес, даже если ес не является рынком сервиса.

                              Поддержу. Типикал сценарий — есть российский сайт в российской зоне, там регистрируется европейский гражданин со своими перс. данными. Вопрос — этот сайт начинает подпадать под GDPR?

                                0
                                Да
                                  0
                                  Извините за уточнение, а когда законодательные нормы ЕС стали действовать на территории России?
                                    0
                                    С тех пор, как вы стали оказывать услуги пользвателям ЕС и собирать их персональные данные. На гугл и фейсбук в США это же распространяется, хотя они не в ЕС.

                                    схема
                                    image
                                      0

                                      Я так понимаю, что мы влетаем в последний ромбик.

                                      +1
                                      1. Интернет глобален и не имеет границ.
                                      2. Вы же правда не будете на входе у пользователя спрашивать — является ли он гражданином страны, отличной от РФ?
                                      3. Не рассматривается случай бипатрид (тут вообще днище днищенское в законе)
                                      4. Можно ограничить вход на сайт с территории РФ по GeoIP или еще каким-то способом, но никто в здравом уме так не сделает — это автоматически ограничить свою клиентскую базу (я очень расстроюсь, например, если из зарубежа не смогу зайти на, скажем, Озон.ру).
                                        +1
                                        Вопрос в том, хотите ли Вы иметь бизнес в ЕС. Например, Фейсбук и Гугл хочет продавать рекламу в ЕС, потому имеет локальное представительство. А значен должен придумать, как проверять страну пользователя.
                                        Вообще многое начинает работать, когда появляются финансовые потоки. Никого же не удивляет, что Гугл внимательно отслеживает локацию девелоперов в PlayMarket, чтобы соответствовать налоговым нормам разных стран.
                                      +1
                                      Нет.

                                      Это уже обсуждалось в посте про куки. Одного того факта, что у вас регистрируются жители ЕС, недостаточно чтобы вы попадали под GDPR.

                                      Нужно чтобы вы «предлагали товары и услуги на территории ЕС».
                                        0
                                        Почти, но не совсем. Не на территории ЕС, а для граждан ЕС. Например, если у гостиницы есть версия сайта на немецком, то она попадает под требования GDPR, т.к. ее услуги явно направлены на граждан страны ЕС, хоть и предоставляются исключительно на территории РФ.
                                          0
                                          Ну да я упростил формулировку. И на самом деле там всё ещё гораздо сложнее. Но это уже другой вопрос и я просто имел ввиду что наличие жителей ЕС, которые пользуются вашим сервисом, само по себе не заставляет вас попадать под GDPR.

                                          И кстати наличие страницы на немецком тоже не обязательно это означает. Но это уже детали в которых скорее всего лучше разбираться с юристом :)
                                            0
                                            Эм… А наличие английского языка?
                                              0
                                              Просто на немецком, а уж тем более английском, языкe разговаривают не только жители ЕС. Поэтому это само по себе не обязательно означает что ЕС является рынком.

                                              Но даже если мы предположим что на немецком говорят исключительно в странах ЕС, то даже тогда ещё не всё однозначно.

                                              Простейший пример, который мне сразу приходит в голову, это например курсы по обучению немецкому языку для жителей России. Вполне себе логично сделать версию сайта и на немецком, но при этом любому ясно что целевая аудитория это россияне.
                                                0
                                                Вот меня и беспокоит тот факт, что логично что ЦА не ЕС, но цепануть можно так некисло. Я в этом всем вижу больше не «додумайте сами что логично», а рычаги влияния при каких либо вопросах.
                                                  +1

                                                  "Цепануть" всегда где-то что-то можно. Лично я пока никаких "рычагов" или других причин для паники не вижу. Ни для резидентов ЕС, ни для иностранных фирм.


                                                  Возможно я и ошибаюсь, всё может быть. Но волков бояться…

                                    0
                                    Ясное дело что GDPR не панацея. Но когда читaешь посты и комментарии на хабре, то создаётся впечатление что до GDPR не было ни националъных законов о защите персональных данных, ни штрафов по этим законам для иностранных фирм.
                                    Всё это было, просто мелкие и средние фирмы обычно вообще не трогали если вдруг не всплывали какие-то огромные косяки. Но грубо говоря если у вас мелкая фирма, нет осoбых косяков и вы и раньше игнорировали законы стран ЕС, то вы можете и GDPR игнорировать примерно с таким же риском.

                                    Насчет единого закона для Европы это хорошо, но емнип он действует и за пределами ес, даже если ес не является рынком сервиса.

                                    Как раз таки нет. В GDPR специально прописано что если ЕС не является вашим целевым рынком, то и следовать GDPR вы не должны. Даже если у вас регистрируются отдельные жители ЕС.

                                    Есть компания, которая предоставляет услуги только в одном городе европейской страны. Если раньше ей требовалось соблюдать законы только одной страны, то теперь еще и союза стран.

                                    Так теперь страны ЕС должны привести свои локальные законы в соответствие с GDPR. И вроде бы большинство это уже сделало.

                                    П.С. И если вы посмотрите как выглядели эти самые локальные законы до GDPR… Один тот факт, что некоторые страны пытались блокировать GDPR на основани что он слишком «слабый», уже о многом говорит :)
                            0
                            Я добавлю, что в законе прямо прописано, что Вы можете собирать персональные данные, прямо необходимые для выполнения предусмотренных договором услуг. Например, если Вы фотоателье, то даже не нужно клиента предупреждать, что Вы будете его фотографировать, хранить и видеть его фото. Но надо предупредить, если копия будет храниться у Вас после выполнения работы, или если покажете кому-то ещё.
                            Выполнение предписаний законов подпадает под «прямо необходимые» данные, но тут лучше в явном виде дать клиенту подписать, что «согласно закону, будем хранить».
                              –1
                              Выполнение предписаний законов подпадает под «прямо необходимые» данные, но тут лучше в явном виде дать клиенту подписать, что «согласно закону, будем хранить».

                              Вы не можете отказать клиенту в услуге если он не даст согласие:
                              Четыре базовых условия правильно оформленного согласия: согласие дается свободно, является конкретным, информированным и выражено недвусмысленно. Дополнительное, пятое условие: согласие должно быть явно выраженным при особых обстоятельствах.

                              Согласие не является свободным, если согласие представляет собой часть договора, которая не подлежит обсуждению или изменению по инициативе владельца данных. Обрабатываемые данные не являются необходимыми для оказания услуги или заключения (выполнения) договора. Без дачи согласия человек не может получить основную услугу, заключить или исполнить договор. Или же услуга будет оказана в усеченном виде, на более худших условиях (например, ограниченный функционал).
                                +1
                                Спасибо за цитату, там прямо и написано:
                                Обрабатываемые данные не являются необходимыми для оказания услуги или заключения (выполнения) договора.

                                «Требуется законом» — это самое простое обоснование необходимости. Но для того чтобы было «информированным и выражено недвусмысленно» — надо дать документ на подпись. А вот фотоателье не просят ничего подписать, потому что клиент недвусмысленно согласен, чтобы его фотографировали, ну и это очевидно необходимо.
                                  0
                                  А вот фотоателье не просят ничего подписать, потому что клиент недвусмысленно согласен, чтобы его фотографировали, ну и это очевидно необходимо.

                                  Но клиент не дает согласия (любого) на хранения его фотографии после момента оказания услуги (т.е. в теории после распечатки фотографии, т.е. факта оказания услуги, электронная копия фотографии должна быть удалена, а то пес его знает как она там хранится, кто имеет доступ и т.п.)

                                    +1
                                    Конечно. И если фотоателье хочет оставить себе фото потом, должны получить явное разрешение клиента. И вот тут уже работает указанная выше норма GDPR — если клиент не разрешил, ателье обязано напечатать его фото и удалить копию, не имеет права отказать в обслуживании.
                                    Как пример из реальной жизни, полиция проводит «тренинг» в детском саду про безопасность в транспорте. Родителей попросили разрешить фотографировать детей (чтобы потом полиция могла иллюстрировать отчёт об обучении детей) Некоторые разрешили, в благодарность за отличный тренинг. Большинство запретили, и все дети абсолютно одинаково участвовали в тренинге.
                                      +1

                                      Вы принципиально не читаете прошлые комментарии в ветке?


                                      Но надо предупредить, если копия будет храниться у Вас после выполнения работы, или если покажете кому-то ещё.
                                      0
                                      ну и это очевидно необходимо

                                      Могу ли я не согласиться с тем, чтобы обработка фото проходила на неподконтрольном мне железе? Вот вам, ателье, ноут с Gentoo Linux, делайте фотки.


                                      Понятно, что это бред, но мне сходу не очевидно, что такой финт не разрешается законом.

                                        0

                                        А из каких конкретно соображений вы это хотите?


                                        То есть если вы просто не видите необходимости передавать материал работнику ателье, то боюсь и ателье и регуляторы GDPR тут с вами не согласятся. Можно конечно попробовать на эту тему посудиться, но не думаю что есть реальные шансы выиграть суд.

                                          +1
                                          Не согласится Вы можете, конечно, это право гарантировано законом. И пойти в другое ателье, которое предоставляет совсем другую услугу «обработка фото на оборудовании клиента», и по другому прайсу.
                                          Аналогично водитель такси может не согласиться везти Вас на Вашей машине, при этом там вообще персональные данные и GDPR не при чём.
                                            0

                                            Почему?


                                            Услуга — чтобы профессиональный фотограф меня сфоткал и профессионально обработал фото. Я отзываю согласие и обработку моих данных на системе исполнителя (что я имею право делать по GDPR), и при этом таковое согласие не является необходимым для предоставления услуг (вот ноут, вот Gimp на нём, вот USB-порт, куда картридер втыкать, вот microSD-карточка).


                                            Разве смысл GDPR не в том, чтобы я мог отказываться от обработки и хранения в том случае, если они не являются необходимыми?

                                              +1
                                              и при этом таковое согласие не является необходимым для предоставления услуг (вот ноут, вот Gimp на нём, вот USB-порт, куда картридер втыкать, вот microSD-карточка).

                                              И вот это как раз таки спорный вопрос и скорее всего регуляторы/суд решат что нельзя заставлять профессионала работать на "чужом инструменте". 100% гарантии на это не дам, но предположу что вероятность подобного исхода достаточно высока.
                                              Плюс возможно фотомастер пользуется не гимпом, а чем-то другим и гимп в первый раз в жизни видит. Плюс вы уверены что весь софт на вашем компе имеет лицензии, позволяющие работать на нём посторонним? Плюс…


                                              Но никто не запрещает вам рискнуть и пойти с этим в суд :)

                                                0
                                                Вы по GDPR имеете право запретить обработку на системе исполнителя. Но при этом там не предусмотрено право заменить на другое действие.
                                                Если из процесса можно выкинуть шаг «обработать на ноуте фотографа» — Вы имеете право его выкинуть — и получить фото без обработки. Но не имеете права требовать работать на Вашем ноуте. Можете попросить, он может отказаться.
                                    0
                                    По факту, выполнить GDPR довольно просто. Достаточно нанять толкового юриста, который по пунктам объяснит что и в каком случае надо запрашивать у пользователя. Потому что закон не запрещает хранить данные пользователя в принципе, но обязует говорить пользователю о том, что и как будет использоваться, а там дальше сам клиент выбирает, хочет ли он пользоваться вашим сервисом на таких условиях или нет.
                                      0
                                      Да уже есть сервисы, которые помоают составить типовый документ. Там ничего сложного — просто явно перечислить список всего, что используется, и пара типовых абзацев.
                                    0

                                    Что же касается самой статьи — закон наступил на горло многим игрокам и серьезно осложняет жизнь торговцам данными. Понятно, что лобби не спит. Тот же фейсбук явно ему не рад.


                                    Утверждения что "закон плохой, потому что не полный"… Есть отличный сайт от британского регулятора где за 1,5 года ДО была масса материалов по теме. То, что компании слабо внедряют проверки и т.п. проблема не закона, как мы все хорошо понимаем.

                                      –1

                                      Я думаю, что проблема не в хранении данных, а в том, как они будут обработаны и для каких целей использованы.
                                      Условно — предположим, я Вася Пупкин и клиент компании А. Потом я решил, что не буду в дальнейшем пользоваться услуга А и отзываю свое согласие на использование-обработку-хранение своих ПД. Компания А удаляет все мои данные, но все равно должна где-то в архиве оставить то, что я, Вася Пупкин, идентифицированный по документу ХХХХ, отозвал свое согласие. Т.е. попадание в информационную систему — это процесс необратимый в принципе. Вопрос только лишь в том, что компания должна каким-то образом пометить мои данные, как не участвующие в обработке — перс. предложениях и т.п.


                                      Что еще хуже. ОК. Положим, меня идентифицировали по e-mail и, скажем, адресу доставки. Перс. Данные? Несомненно. А потом я теряю доступ к e-mail. Как я докажу, что я это я? Паспорта, очевидно, будет недостаточно.


                                      В общем — в текущем виде, такое ощущение, что закон нужен только лишь, чтобы обеспечить еврочиновником кошмарить бизнес, наполняя казну гос-в штрафами. Ну, и давить мелкий и средний бизнес, для которого такой штраф эквивалентен закрытию бизнеса.

                                        0
                                        А удаляет все мои данные, но все равно должна где-то в архиве оставить то, что я, Вася Пупкин, идентифицированный по документу ХХХХ, отозвал свое согласие.

                                        1. А зачем оставлять? Удалили полностью и всё.
                                        2. Если хочется, то осталось только имя и один документ. Об этом надо заранее предупредить пользователя, что они не удалятся. Всё остальное — будет удалено.
                                        3. Зачастую, если есть финансовые операции, вообще можно заранее предупредить пользователя, что данные не могут быть удалены.
                                        А потом я теряю доступ к e-mail. Как я докажу, что я это я?

                                        Точно так же, как работает обычное восстановление доступа. Если других вариантов в компании не предусмотрено, Вам остаётся только доказать через суд, что это Вы. Докажете — удалят, причём компания ничем не рискует.
                                        +1
                                        Ох уж этот GDPR — заставляет собирать и хранить информацию о человеке, верно? /irony
                                          0
                                          Что интересно, 24% компаниям было достаточно адреса электронной почты и телефонного номера в качестве удостоверения личности

                                          Ну, правильно. Ведь GDPR определяет email и номер телефона, как личную информацию, однозначно идентифицирующую человека.
                                            0

                                            И что? Я теперь могу представляться другим человеком, только лишь потому что знаю его e-mail и телефон? Раньше мода (в древние времена) была настоящее имя человека скрывать, чтобы на него нельзя было порчу навести ;) а теперь, получается, нужно скрывать e-mail и телефон от всех?

                                              +3
                                              Я теперь могу представляться другим человеком, только лишь потому что знаю его e-mail и телефон?

                                              Судя по результатам исследований — да. :)

                                              а теперь, получается, нужно скрывать e-mail и телефон от всех?

                                              А вот сейчас серьёзно: Не представляю, как в 2k19 можно было уже не придти к такому выводу.
                                              0

                                              Это разные идентификации, при запросе во взаимодействии участвует еще один человек. "Вот этот email принадлежит вот этому человеку" и "Вот этот человек является тем человеком, которому принадлежит email".

                                                0
                                                Э… Это была шутка. Просто без смайлика.
                                                  +1

                                                  Я понял) Но 24% компаний похоже нет.

                                              0
                                              Готов поспорить что к большинству комментаторов GDPR никак не относится вообще. Особенно те, кто возмущается что их имя и телефон собрались защищать. Не волнуйтесь вы так, это закон для граждан ЕС, к коим вы скорее всего не относитесь.
                                                +1

                                                Отвечайте за себя :-)
                                                Ну, и в РФ есть аналог GPDR — великий и ужасный ФЗ-152.

                                                0
                                                10 баксовый быдлохостинг у рузоне выдвигает свои предложения по изменению европейского законодательства… Взоржал…

                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                Самое читаемое