Комментарии 64
Он отправил соответствующие запросы от её имени в 150 организаций. Что интересно, 24% компаниям было достаточно адреса электронной почты и телефонного номера в качестве удостоверения личности — после их получения они возвращали архив с файлами.Но виноват конечно исключительно GDPR, а не фирмы которые собирают данные всеми правдами и неправдами, а потом отдают их кому попало без адекватной проверки. Что мешало просто потребовать аутентификации через обычный логин/пароль?
Есть мнение, что в текущем виде закон не работает, так как очень сложный и излишне строгий, а на соответствие всем его требованиям приходится тратить большое количество средствДа вроде бы фирмы которые изначально не занимались всякой ерундой и более-менее бережно относились к персональным данным к GDPR подготовились относительно быстро и безболезнено.
Что мешало просто потребовать аутентификации через обычный логин/пароль?Наверное заявление «как бы пользователя» о том, что логин/пароль утеряны — а о том, что в этом случае персональные данные можно бы и не выдавать GDPR не говорит?
Да вроде бы фирмы которые изначально не занимались всякой ерундой и более-менее бережно относились к персональным данным к GDPR подготовились относительно быстро и безболезнено.Это вы о ком сейчас? Я, навскидку, ни одной компании, которой бы не пришлось потратить кучу времени, сил и денег на то, чтобы как-то более-менее соблюсти требования GDPR назвать не могу…
Наверное заявление «как бы пользователя» о том, что логин/пароль утеряны — а о том, что в этом случае персональные данные можно бы и не выдавать GDPR не говорит?В GDPR нигде не указано что надо отдавать данные кому угодно по любому запросу. Я уверен что откажи фирма в выдаче персональных данных на основании отсутствия должной идентификации, то никаких проблем бы у неё не было.
Это вы о ком сейчас? Я, навскидку, ни одной компании, которой бы не пришлось потратить кучу времени, сил и денег на то, чтобы как-то более-менее соблюсти требования GDPR назвать не могу…Дефинируйте «кучу». У нас в связи с GDPR был ликбез для сотрудников, аудит на предмет соответствия и поправки в объёме работы одной команды в течении 6-9 недель. И это одноразовое событие.
Вы просто не забывайте что до GDPR каждая страна ЕС имела свои собственные законы, которые местами от GDPR не особо сильно отличались по объёму требований. И до GDPR нам приходилось постоянно мониторить законы большинства стран ЕС и каждый раз вносить изменения если вдруг менялось законодательство в стране, где у нашего материнского концерна находились филиалы или клиенты. И это стоило гораздо больше нервов и денег.
Я уверен что откажи фирма в выдаче персональных данных на основании отсутствия должной идентификации, то никаких проблем бы у неё не было.
Почему вы так думаете? Субъект данные запросил? запросил. Право имел? имел.
Компания не предоставила? да. Нарушение налицо… Другое дело что и так, как они сделали — тоже нарушение, ст.32. Суть претензии в том, что непонятно как не нарушить.
К примеру, шикарный способ вручить данные только их владельцу — предложить ему лично явиться за ними в центральный офис компании, предъявив ID. Ну или что там у них вместо паспорта %). Вроде бы даже в духе ст. 12 пункт 6. Но не будет ли это нарушением ст.15 пункт 3?
Я вот по этому тексту ориентируюсь, ogdpr.eu/ru/gdpr-2016-679 Надеюсь его можно считать официальным переводом =)
Право имел?
Всё не так просто. Если вы купили месячный проездной, то вы имеете право на проезд. Но если вы забыли его дома, то контролёр имеет полное право высадить вас и даже выписать вам штраф.
В случае с GDPR (как впрочем и в случае с другими законами Германии/ЕС) нам на ликбезе посоветовали в спорных вопросах ориентироваться на прецеденты, а если таковых нет, то на обычный здравый смысл. И даже если у медиатора/судьи будет другое понимание здравого смысла, то скорее всего всё обойдётся предупреждением. По крайней мере пока закон обкатывается.
И вообще здесь судьи обычно больше смотрят не на букву, а на дух закона. Но если вдруг с GDPR это будет не так, то тогда уже и я поменяю своё мнение и буду думать как на это реагировать. Но честно говоря не думаю что это произойдёт.
В связи с этим стратегия «давайте мы сделаем по здравому смыслу» для конкурентов европейского ИТ выглядит очень рискованой, для прочих нерезедентов — просто рискованой =)
Kanut, вы там ниже пишете про то, что в случае противоречия локальной нормативной базы и GDPR следует применять локальную. Не могли бы вы все же указать параграф? Я не нашел :(
Вообще в законе написано только «запрашивать-предоставить». В каком виде запрашивать, и как идентифицировать запрашивающего, тут уже вопрос к местному законодательству и прецендентам, которых и до GDPR немало. Как минимум, можно посмотреть процедуры идентификации при запросах в полицию, этого точно будет достаточно.
В то же время, мы видим, что некоторых нерезидентов ЕС оштрафовали уже на куда более крупные суммы, чем, к примеру, суммарный объем всех штрафов по 152-ФЗ в РФ.
Их оштрафовали по спорным вопросам? Или по каким-то параграфам где всё ясно? Честно признаюсь я такое не особо мониторю и может что и пропустил.
Kanut, вы там ниже пишете про то, что в случае противоречия локальной нормативной базы и GDPR следует применять локальную. Не могли бы вы все же указать параграф? Я не нашел :(
Это раскидано по отдельным параграфам и местами сформулировано юридически-бюрократическим языком. Например если мы обсуждаем право на стирание всех данных о персоне(Art 17. «Right to erasure»), то там в пункте 3 описаны исключения. В том числе и "(е) for the establishment, exercise or defence of legal claims."
П.С. И повторюсь наверное уже в десятый раз: GDPR не идеален, но какие-то законы о защите персональных данных нужны. И я лично рад что мы имеем GDPR, а не 28 разных и местами совсем абсурдных законов.
По факту вполне возможно: у вас есть требования KYC, есть требования по AML. GDPR требует от вас а) не собирать лишней информации и б) не хранить лишнюю информацию. Т.е. если для целей KYC вам нужно иметь номер и фото ID клиента — имейте, но не делитесь этой информацией без ведома клиента и сообщите ему заранее а)зачем вам этот ID, б) кому вы его передадите и в) для какой цели вы его передадите.
Если вам нужно по законодательству хранить этот ID 20 лет, а клиент от вас ушел и требует "удалить его данные из вашей системы", вы ему а)заранее должны были сообщить что, сколько и почему вы будете хранить м б) какие данные в связи с законодательством вы не сможете удалить. И в законе это прописано в явном виде.
Просто понимать нужно суть закона, которая, как это не странно — крайне проста. Она не запрещает собирать данные, но ограничивает какие и зачем вы собираете и сколько их храните, а так же регулирует отношения с вашими клиентами именно в области персональных данных.
Все зависит от законодательства страны. Вы не поверите, но 4% оборота веская причина сказать "а мы все потерли согласно GDPR и бекапы уже затранклейтились — сорри". Вы зря сомневаетесь в фейсбук — там достаточно хорошо считают $$.
Конкретный параграф GDPR посвящённый этому я сейчас не вспомню, но он там есть.
Есть мнение, что ярое полное исполнение закона всеми игроками рынка приведет к ситуации а-ля "далее-далее-ок, привет амиго".
Вы лицензионное соглашение когда в последний раз читали полностью?
Есть такое ;)
Но это не противоречит идее. Подайте в суд, докажите не легитимность требований и вуаля! В теории...
По сути, закон не исключает такой вариант, но обязывает раскрывать клиенту кто и зачем будет его данными пользоваться.
В теории. А на практике не хватает образования — если ты не платишь деньги за сервис, то ты сам товар. Сервисов-альтруистов доли процента.
Пример с потолка. Есть чат, которым все пользуются и он запрашивает твой номер телефона, но ты не хочешь быть товаром и не сообщаешь его. Не пользуется чатом и вылетаешь из круга общения. У чата такая модель монетизации. Нет данных — не на что содержать чат. Круговорот бабла в природе.
P.S. я не принимаю ни ту, ни другую сторону вопроса — они обе всех под одну гребенку несут. Беззаконие ведет к откровенной краже данных, полное исполнение оставляет на рынке только крупных игроков и монополистов. Хотя каждая ситуация индивидуальна.
если ты не платишь деньги за сервис, то ты сам товар
Я бы сказал что ситуация ещё хуже. И ты часто товар даже если ты платишь за сервис.
Беззаконие ведет к откровенной краже данных, полное исполнение оставляет на рынке только крупных игроков и монополистов.
Есть такое дело. Но с другой стороны нам гораздо проще работать с GDPR чем с кучей различных законов от разных стран ЕС. И я думаю что ещё более мелким фирмам это тоже проще.
Другое дело что раньше многие фирмы просто игнорировали национальные европейские законы о защите персональных данных. Но это опять же ставило в неудачную позицию те фирмы, которым приходилось следовать законам…
Быть товаром за свои деньги — это да, печальный момент, который GDPR не исправляет.
Насчет единого закона для Европы это хорошо, но емнип он действует и за пределами ес, даже если ес не является рынком сервиса.
Опять же для мелких компаний не все так однозначно. Есть компания, которая предоставляет услуги только в одном городе европейской страны. Если раньше ей требовалось соблюдать законы только одной страны, то теперь еще и союза стран.
Все слишком неоднозначно. И без него плохо, и с ним не лучше. Избирательное исполнение? Какой же это тогда закон.
Ну и как мне кажется, логично исполнять законодательство на рынке присутствия. Хотя это тоже как посмотреть — при большом охвате проще иметь единые правила. В общем меня никак не покидают ощущения что во всем этом забыли про мелких игроков. Или забили на них. Или специально топят...
Насчет единого закона для Европы это хорошо, но емнип он действует и за пределами ес, даже если ес не является рынком сервиса.
Поддержу. Типикал сценарий — есть российский сайт в российской зоне, там регистрируется европейский гражданин со своими перс. данными. Вопрос — этот сайт начинает подпадать под GDPR?
- Интернет глобален и не имеет границ.
- Вы же правда не будете на входе у пользователя спрашивать — является ли он гражданином страны, отличной от РФ?
- Не рассматривается случай бипатрид (тут вообще днище днищенское в законе)
- Можно ограничить вход на сайт с территории РФ по GeoIP или еще каким-то способом, но никто в здравом уме так не сделает — это автоматически ограничить свою клиентскую базу (я очень расстроюсь, например, если из зарубежа не смогу зайти на, скажем, Озон.ру).
Вообще многое начинает работать, когда появляются финансовые потоки. Никого же не удивляет, что Гугл внимательно отслеживает локацию девелоперов в PlayMarket, чтобы соответствовать налоговым нормам разных стран.
Это уже обсуждалось в посте про куки. Одного того факта, что у вас регистрируются жители ЕС, недостаточно чтобы вы попадали под GDPR.
Нужно чтобы вы «предлагали товары и услуги на территории ЕС».
И кстати наличие страницы на немецком тоже не обязательно это означает. Но это уже детали в которых скорее всего лучше разбираться с юристом :)
Но даже если мы предположим что на немецком говорят исключительно в странах ЕС, то даже тогда ещё не всё однозначно.
Простейший пример, который мне сразу приходит в голову, это например курсы по обучению немецкому языку для жителей России. Вполне себе логично сделать версию сайта и на немецком, но при этом любому ясно что целевая аудитория это россияне.
Всё это было, просто мелкие и средние фирмы обычно вообще не трогали если вдруг не всплывали какие-то огромные косяки. Но грубо говоря если у вас мелкая фирма, нет осoбых косяков и вы и раньше игнорировали законы стран ЕС, то вы можете и GDPR игнорировать примерно с таким же риском.
Насчет единого закона для Европы это хорошо, но емнип он действует и за пределами ес, даже если ес не является рынком сервиса.
Как раз таки нет. В GDPR специально прописано что если ЕС не является вашим целевым рынком, то и следовать GDPR вы не должны. Даже если у вас регистрируются отдельные жители ЕС.
Есть компания, которая предоставляет услуги только в одном городе европейской страны. Если раньше ей требовалось соблюдать законы только одной страны, то теперь еще и союза стран.
Так теперь страны ЕС должны привести свои локальные законы в соответствие с GDPR. И вроде бы большинство это уже сделало.
П.С. И если вы посмотрите как выглядели эти самые локальные законы до GDPR… Один тот факт, что некоторые страны пытались блокировать GDPR на основани что он слишком «слабый», уже о многом говорит :)
Выполнение предписаний законов подпадает под «прямо необходимые» данные, но тут лучше в явном виде дать клиенту подписать, что «согласно закону, будем хранить».
Обрабатываемые данные не являются необходимыми для оказания услуги или заключения (выполнения) договора.
«Требуется законом» — это самое простое обоснование необходимости. Но для того чтобы было «информированным и выражено недвусмысленно» — надо дать документ на подпись. А вот фотоателье не просят ничего подписать, потому что клиент недвусмысленно согласен, чтобы его фотографировали, ну и это очевидно необходимо.
А вот фотоателье не просят ничего подписать, потому что клиент недвусмысленно согласен, чтобы его фотографировали, ну и это очевидно необходимо.
Но клиент не дает согласия (любого) на хранения его фотографии после момента оказания услуги (т.е. в теории после распечатки фотографии, т.е. факта оказания услуги, электронная копия фотографии должна быть удалена, а то пес его знает как она там хранится, кто имеет доступ и т.п.)
Как пример из реальной жизни, полиция проводит «тренинг» в детском саду про безопасность в транспорте. Родителей попросили разрешить фотографировать детей (чтобы потом полиция могла иллюстрировать отчёт об обучении детей) Некоторые разрешили, в благодарность за отличный тренинг. Большинство запретили, и все дети абсолютно одинаково участвовали в тренинге.
Вы принципиально не читаете прошлые комментарии в ветке?
Но надо предупредить, если копия будет храниться у Вас после выполнения работы, или если покажете кому-то ещё.
А из каких конкретно соображений вы это хотите?
То есть если вы просто не видите необходимости передавать материал работнику ателье, то боюсь и ателье и регуляторы GDPR тут с вами не согласятся. Можно конечно попробовать на эту тему посудиться, но не думаю что есть реальные шансы выиграть суд.
Аналогично водитель такси может не согласиться везти Вас на Вашей машине, при этом там вообще персональные данные и GDPR не при чём.
и при этом таковое согласие не является необходимым для предоставления услуг (вот ноут, вот Gimp на нём, вот USB-порт, куда картридер втыкать, вот microSD-карточка).
И вот это как раз таки спорный вопрос и скорее всего регуляторы/суд решат что нельзя заставлять профессионала работать на "чужом инструменте". 100% гарантии на это не дам, но предположу что вероятность подобного исхода достаточно высока.
Плюс возможно фотомастер пользуется не гимпом, а чем-то другим и гимп в первый раз в жизни видит. Плюс вы уверены что весь софт на вашем компе имеет лицензии, позволяющие работать на нём посторонним? Плюс…
Но никто не запрещает вам рискнуть и пойти с этим в суд :)
Если из процесса можно выкинуть шаг «обработать на ноуте фотографа» — Вы имеете право его выкинуть — и получить фото без обработки. Но не имеете права требовать работать на Вашем ноуте. Можете попросить, он может отказаться.
Что же касается самой статьи — закон наступил на горло многим игрокам и серьезно осложняет жизнь торговцам данными. Понятно, что лобби не спит. Тот же фейсбук явно ему не рад.
Утверждения что "закон плохой, потому что не полный"… Есть отличный сайт от британского регулятора где за 1,5 года ДО была масса материалов по теме. То, что компании слабо внедряют проверки и т.п. проблема не закона, как мы все хорошо понимаем.
Я думаю, что проблема не в хранении данных, а в том, как они будут обработаны и для каких целей использованы.
Условно — предположим, я Вася Пупкин и клиент компании А. Потом я решил, что не буду в дальнейшем пользоваться услуга А и отзываю свое согласие на использование-обработку-хранение своих ПД. Компания А удаляет все мои данные, но все равно должна где-то в архиве оставить то, что я, Вася Пупкин, идентифицированный по документу ХХХХ, отозвал свое согласие. Т.е. попадание в информационную систему — это процесс необратимый в принципе. Вопрос только лишь в том, что компания должна каким-то образом пометить мои данные, как не участвующие в обработке — перс. предложениях и т.п.
Что еще хуже. ОК. Положим, меня идентифицировали по e-mail и, скажем, адресу доставки. Перс. Данные? Несомненно. А потом я теряю доступ к e-mail. Как я докажу, что я это я? Паспорта, очевидно, будет недостаточно.
В общем — в текущем виде, такое ощущение, что закон нужен только лишь, чтобы обеспечить еврочиновником кошмарить бизнес, наполняя казну гос-в штрафами. Ну, и давить мелкий и средний бизнес, для которого такой штраф эквивалентен закрытию бизнеса.
А удаляет все мои данные, но все равно должна где-то в архиве оставить то, что я, Вася Пупкин, идентифицированный по документу ХХХХ, отозвал свое согласие.
1. А зачем оставлять? Удалили полностью и всё.
2. Если хочется, то осталось только имя и один документ. Об этом надо заранее предупредить пользователя, что они не удалятся. Всё остальное — будет удалено.
3. Зачастую, если есть финансовые операции, вообще можно заранее предупредить пользователя, что данные не могут быть удалены.
А потом я теряю доступ к e-mail. Как я докажу, что я это я?
Точно так же, как работает обычное восстановление доступа. Если других вариантов в компании не предусмотрено, Вам остаётся только доказать через суд, что это Вы. Докажете — удалят, причём компания ничем не рискует.
Что интересно, 24% компаниям было достаточно адреса электронной почты и телефонного номера в качестве удостоверения личности
Ну, правильно. Ведь GDPR определяет email и номер телефона, как личную информацию, однозначно идентифицирующую человека.
И что? Я теперь могу представляться другим человеком, только лишь потому что знаю его e-mail и телефон? Раньше мода (в древние времена) была настоящее имя человека скрывать, чтобы на него нельзя было порчу навести ;) а теперь, получается, нужно скрывать e-mail и телефон от всех?
Это разные идентификации, при запросе во взаимодействии участвует еще один человек. "Вот этот email принадлежит вот этому человеку" и "Вот этот человек является тем человеком, которому принадлежит email".
Как GDPR стал причиной утечек персональных данных