Жертвы GDPR: кто уже прекратил работу из-за нового регулирования персональных данных

    Европейский общий регламент по защите данных вступил в силу два месяца назад. Пока IT-сектор размышляет о будущем крупных информационных гигантов, перемены уже происходят и на более низком уровне: многие компании закрылись, другие — пытаются адаптироваться.


    / фото SounderBruce CC

    Цена слишком высока


    Цель GDPR — ужесточить контроль за обработкой персональных данных пользователей. Потому новое законодательство накладывает на компании большое количество требований. И хотя это должно принести выгоду IT-сектору в долгосрочной перспективе (так как вопросы, связанные с регулированием этой сферы, станут прозрачнее), сейчас нововведения дорого обходятся некоторым компаниям. И не все смогли решить этот вопрос.

    Так, перед введением GDPR, о прекращении работы объявил ряд онлайн-игр. Например, Super Monday Night Combat и Loadout.

    Активный период разработки Loadout, запустившейся в 2012 году, давно закончился. Однако чтобы соответствовать новым требованиям GDPR, команде проекта нужно было бы вложить значительные ресурсы в разработку: перебрать клиент, обновить базы данных и серверы. По словам СЕО Loadout Роба Коэна (Rob Cohen), это того не стоило. Большинство игроков Loadout — из ЕС, поэтому рассчитывать на выживание проекта без них тоже не приходилось.

    По той же причине закрылась Super Monday Night Combat, также выпущенная в 2012 году. По словам её создателей, бюджет, необходимый для переделки проекта в соответствии с требованиями GDPR, превышает бюджет, выделяемый шестилетней игре.

    Помимо компьютерных игр, «под ударом» оказались сервисы, которые предполагают хранение персональных данных в распределенных реестрах. Например, закрылся сервис проверки биографических данных PICOPS. По сути, он «связывал» личность человека с адресом в Ethereum-блокчейне. Согласно заявлению создателей, сервис пользовался огромным успехом, но сохранить все его функции, которые делали его полезным, и одновременно выполнить все требования GDPR, оказалось невозможным.

    И это не единственный продукт, работающий с блокчейном и закрывшийся из-за введения нового закона. Также прекратил работу сервис CoinTouch, который позволял искать друзей друзей для обмена криптой.

    Временные (?) меры


    У полного прекращения деятельности сервиса или игры всё же есть альтернатива — можно отключить европейские серверы или закрыть доступ для жителей Европейского Союза, продолжая работать для остального мира.

    И хотя для ряда проектов это не было выходом (тот же Loadout), были и те, кто пошел на такой шаг. Например, геймеры из Европы потеряли возможность играть в Ragnarok Online: компания закрыла европейские серверы и ограничила доступ по IP.


    / фото Tony Webster CC

    К блокировкам по IP прибегли и некоторые американские СМИ, получающие трафик из Европы. Заблокировали доступ к своим сайтам с европейских IP Los Angeles Times и Chicago Tribune. Однако такие методы подвергаются критике сообщества.

    Это решение имеет очевидные репутационные риски и означает потерю части аудитории. Более того, по мнению некоторых пользователей, такое решение является непроизвольным признанием вины в неправомерной обработке ПД пользователей.

    Падение рекламных объемов


    Но есть и менее очевидные последствия. Так, от введения GDPR пострадали европейские рекламные биржи, размещающие онлайн-рекламу по технологии программатик. 25 мая (дата вступления GDPR в силу) рекламные объемы обвалились: падение составило от 25 до 40% между разными компаниями.

    Проблема в том, что организации, продающие рекламу, не могли гарантировать соответствие партнеров-дистрибьюторов новым требованиям. Google тоже посоветовал рекламодателям пока не покупать размещения у сторонних ресурсов через свои сервисы и ограничиться инвентарем Google.

    USA Today сохранили доступ для европейских пользователей на сайт, но убрали оттуда всю рекламу. The New York Times временно не отображала объявления через программатик в Европе.

    Спустя месяц, объемы рекламы начали постепенно восстанавливаться, однако по разным отраслевым оценкам многие рекламодатели всё еще тратят на 30% меньше денег, чем до 25 мая.

    У этого могут быть долгосрочные последствия для рекламного рынка. Так, у некоторых паблишеров просто не оказалось технологических возможностей для получения от пользователей согласия на показ таргетированных объявлений. Это потенциально приведет к падению прибылей паблишеров и сокращению количества площадок, на которых рекламодатели могут покупать рекламу.

    На сайте, где ведут учёт «жертв» GDPR, сейчас около 20 наименований. Какие-то сервисы закрылись полностью, какие-то — заблокировали доступ с европейских IP.

    Интересно, что даже крупнейшие IT-компании были вынуждены пойти на сокращения: так, Twitter закрыл свои приложения для Roku, Android TV и Xbox.

    Однако кейс с биржами рекламы показывает, что влияние GDPR оказалось даже шире, чем можно было думать: речь идёт не только о закрытии или ограничении работы каких-то сервисов, но о глобальных изменениях в практиках распространения и потребления информации в интернете.



    P.S. Несколько материалов из Первого блога о корпоративном IaaS:




    Основное направление нашей деятельности — предоставление облачных сервисов:

    Виртуальная инфраструктура (IaaS) | PCI DSS хостинг | Облако ФЗ-152 | Аренда 1С в облаке
    ИТ-ГРАД
    244,00
    vmware iaas provider
    Поделиться публикацией

    Комментарии 118

      +11
      То есть куча компаний, которые когда-то давно положили болт на персональные данные, а сейчас решили что заработали достаточно денег, решили закрыться. Отлично, вот так и должно было быть изначально.
        +21
        Такое ощущение, что GDPR это прям интуитивные требования, которые все знали, но никто не выполнял. Скорее речь о том, что GDPR требует лишних денег для реализации, которые есть не у всех. Нет, так быть не должно.
          +1
          GDPR требует лишних денег для реализации, которые есть не у всех

          Аналогично: для продажи свежей рыбы нужны холодильники, которые стоят денег. Они есть не у всех. Поэтому, если небогатый продавец торгует тухлой рыбой, поливая её амиаком, то не надо его штрафовать.

            +13
            Еще раз, GDPR это не очевидные и не интуитивные требования. Это совершенно новые правила, выдуманные законодателями, с которым все в первый раз познакомились. Не надо выдумывать глупые и неуместные аналогии. Все эти компании могли осуществлять все возможные предосторожности, которые и так соблюдались большинством сознательных компаний, но это все равно не решило бы всех их проблем после появления GDPR.
              +7
              Это не совершенно новые правила — GDPR был принят в 2016 году и участникам рынка давался двухлетний переходной период.
                0
                По словам её (Super Monday Night Combat) создателей, бюджет, необходимый для переделки проекта в соответствии с требованиями GDPR, превышает бюджет, выделяемый шестилетней игре.

                2 года говорите? :)
                  +3
                  Ну я лишь уточнил, что GDPR это не гром среди ясного неба.
                    +1
                    Бюджет, выделяемый шестилетней игре, не равен шестилетнему бюджету игры :)
                    0
                    Речь не об этом. Речь о самом факте, что этот законопроект был придуман. Это не какой-то моральный кодекс, который с библейских времен известен. На его реализацию всем без исключения понадобилось время и деньги, которые надо откуда-то взять. И эти деньги никто им не возместит.
                      0
                      Знаете, я сам с большой теплотой отношусь к тем временам, когда практически всё в Сети регулировалось самими её участниками. Но времена меняются…
                      –1
                      Даже сейчас неизвестно, какие конкретно организационно-технические меры необходимы и в каком случае они достаточны, так же непонятно, в каком случае пользователь информирован достаточно, а в каком нет, и еще далеко непонятно, когда оправданный интерес выше интереса на защиту персональных данных, а когда — нет.

                      Все ждут судебной практики, которая должна ответить на эти вопросы. Она сформируется в следующие годы или может быть десятилетия.
                      +4
                      Какие именно требования GDPR неинтуитивны? И так ли уж трудоёмко их внедрение? Кругом вываливаются окошки согласия «Я согласен что за мной шпионят все кому не лень» и пользователи их кликают даже не читая. В статье вроде серьёзные проекты упомянуты, но всё равно трудно избавится от впечатления, что валят на «хромую корову».
                        +1
                        Ну вот мне интуиция даже не может подсказать, на каком языке показать диалог согласия, не говоря уже о дальнейших шагах.
                          0
                          Достаточно почитать документы или хотя бы выжимки на других сайтах. Все это деление на контроллеров и процессоров уже не является интуитивным. Оно может быть логично и правильно, но всем и каждому такая идея вряд ли бы пришла. Ее долго разрабатывали. Вообще сложно представить какой-то либо интуитивный закон в его полной формулировке. Основной тезис — защитим данные пользователей — да, интуитивно. Как оно реально написано — совсем нет и не случайно расплодились тучи сайтов, которые разжевывают, что же людям конкретно надо делать. Потому что по прочтению мне лично не совсем ясно даже, что конкретно надо изменить у себя, чтобы соответствовать новым правилам. Кругом размытые формулировки и рекомендации.
                            0
                            Так в том-то и дело, что требования GDPR выходят далеко за рамки показа очередного такого окошка.
                            +2

                            Не согласен. GDPR основывается на директиве, кажется аж 1986 года. И главное их отличие — обязательность исполнения.
                            То есть большинство требований действуют с 80-х годов, только они носили рекомендательный характер.

                              0

                              А законом закрепленное "право на забвение" в некоторых странах есть даже с семидесятых годов.

                            +18
                            Не совсем. Представьте, что по новым требованиям для продажи свежей рыбы нужны холодильники, которые имеют по отдельной секции для каждого вида рыбы, имеют в каждой секции термометр с выводимыми пользователю показателями, и дают покупателям возможность просматривать историю температуры.
                            Конечно, это позволяет покупателям убедиться в великолепном качестве рыбы. Но что делать тем, у кого просто хороший холодильник без наворотов — покупать новый?
                              0
                              У них на это было более чем достаточно времени.
                                +4
                                Время само по себе не превращается в деньги, так что, это аргумент, но не всем подходящий
                                  0
                                  Ну и кто-то снял сливки, пока можно было пользоваться старым холодильником. Утилизировал его и поехал на пенсию. Их право, в общем-то.
                                  +5
                                  а еще они предоставляют ту же информацию самой рыбе
                                    +4

                                    Отличный, кстати, пример. Сейчас некоторые сетевые магазины выключают холодильники на ночь (например Перекресток, вот из последнего, а вот из 2015 года, хотя я слышал от работника эту историю еще в 2008), что приводит к порче продуктов, к плесени и так далее.


                                    Пока эта проблема не носит массовый характер (то есть не все магазины экономят), её не решают. Однако я не удивлюсь, что через несколько лет в магазины придется закупать холодильник с аналогом тахографов, чтобы контролировать коммерсантов (обманщики будут очень сильно негодовать).


                                    И да, всем магазинам придется тратиться, так как иначе сложно контролировать качество продукции.


                                    Но что делать тем, у кого просто хороший холодильник без наворотов — покупать новый?

                                    GDPR был принят два года назад, а до этого обсуждался еще несколько лет. Я правильно понимаю, что вы защищаете разработчиков софта, которые за несколько лет так и не научились корректно хранить и обрабатывать пользовательские данные (например, Бургер Кинг, Промсвязьбанк или Facebook)?

                                  –3
                                  Так ведь и обучение хирурга требует лишних денег, которые не у всех есть… А аппендицит вам и бывший медбрат удалить сможет… наверное… если никаких осложнений не будет.
                                  Вопрос в том, что это области, ошибка в которых может очень дорого обойтись для человека (как кривое удаление аппендицита может сделать человека инвалидом или заставить долго и нудно лечить желудок, так и раскрытие персональных данных может серьёзно навредить карьере или дать повод для травли в родном городке/школе), поэтому правительство, имхо, правильно поступает, что заставляет компании нести ответственность за ошибку (нанимать грамотных сертифицированных хирургов в операционные и строить надёжные информационные системы в серверных)
                                    0
                                    Ошибки ещё нет, а деньги платить нужно уже сейчас.
                                  +1
                                  Даже соблюдая правила GDPR, есть шанс быть оштрафованным, т.к. законодатели их понимают по-своему.

                                  Лишний повод Евросоюзу штрафовать иностранные ИТ-компании. Раньше был только антимонопольный комитет, теперь ещё и это.
                                    +4
                                    Вы не правы. То количество разъяснений которое уже есть по GDPR, переплюнет всю работу РКН за 10 лет по разъяснениям 152-ФЗ. Глава же европейского надзорного органа избирается Парламентом ЕС и работает публично. Сейчас это Джовани Бутарелли.
                                      +1

                                      Я вот, кстати, не могу найти ответа на банальный вопрос: если при запуске программы показывать gdpr consent, на каком языке это делать? И что делать, если у меня есть штук пять локализаций и всё — как юзер может подписываться под длинным текстом, которого не понимает толком?

                                        +2
                                        На том языке или языках, на котором основной контент сайта.
                                          0
                                          На эту тему действительно есть разъяснение?
                                          Сайт (допустим) на пяти языках. Значит, беру рандомный из пяти и показываю людям, и это типа окей?
                                            +1
                                            А брать язык из настроек браузера\системы и вверху показывать значки стран для выбора подходящего? А если язык из новой локали, выводить дефолтно на английском?
                                              +4
                                              Да откуда же мне знать? Мы же обсуждаем не технический вопрос «как повысить вероятность понимания юзером показанного ему текста», а юридический: как соблюсти букву закона. Вот я об этом и спрашиваю.

                                              Предположим, вы живёте в Польше, приходите в контору, а вам говорят: вот, подпишитесь здесь — и текст на английском, а если не нравится — пожалуйста, немецкий и французский тоже есть. Вполне можете возмутиться, верно? С чего это контора предоставляет услуги в стране, а на язык страны документы не удосужилась перевести. В России нельзя товара продать без инструкции на русском.

                                              Так и здесь: мне теперь сайт для поляков в принципе прикрывать или как? Интересует не технический вопрос, а именно что на эту тему говорит закон и его «многочисленные разъяснения».
                                                0
                                                Все зависит от того, где именно ваш сайт расположен и зарегистрирован. Если сайт зарегистрирован в Германии, а расположен в Лондоне, то какой смысл делать соглашение на польском, пусть даже у вас польская локализация стоит? Берите пример с иных соглашений. На крупных зарубежных сайтах крайне редко встречается руководство на русском, хотя русская локализация интерфейса сайта присутствует.
                                                  +7
                                                  Ну вот вы тоже сводите вопрос к «смыслу». В законах нет смысла — в них есть только буква, требования и штрафы за неисполнение. Если мне штраф прилетит, меня мало успокоит то, что соседу тоже прилетит штраф.

                                                  Да и вообще я немного о другом: выше пишут, что тема расписана и откомментированна подробнейшим образом. А я не могу найти чёткий официальный ответ на, казалось бы, простейший вопрос.

                                                  А так-то да, мы все имеем соображения на эту тему, но это же всё разговоры о нашем представлении о прекрасном.
                                                    +1
                                                    К сожалению, я не могу посоветовать вам ничего конкретного, кроме как присмотреться к крупным игрокам. Копируйте их поведение.
                                                      +2
                                                      Мы так и делаем. Но согласитесь, что эту ситуацию нельзя назвать нормальной. Закон содержит огромное количество недоговорок, которые словно специально сделаны для того, чтобы дать потом по голове. Чего стоят объяснения типа «IP адреса могут быть признаны персональными данными». А могут и не быть, да.

                                                      Так что, может, оно для людей принималось, но реализация крайне сырая, а отдуваться будут непричастные. Впрочем, всё как всегда, не первый день живём на свете.
                                                        +1
                                                        Абсолютно согласен. Но, к сожалению, ничем вам помочь не могу.
                                                          0
                                                          Чего стоят объяснения типа «IP адреса могут быть признаны персональными данными». А могут и не быть, да.

                                                          Всё дело в том, что вы очень странно читаете директиву, либо читаете ещё странный перевод. Я заглянул по поводу IP, и нашёл следующее:
                                                          (30) Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.

                                                          Что в переводе означает, что айпи сам по себе не причисляется к персональным данным, но в купе с другими данными может быть использован для идентификации персоны.
                                                          По поводу «на каком языке отображать consent» напрямую не говорится, но языковая практика ЕС состоит в том, что все 24 официальных языка признаются равноправными, а граждане вправе запрашивать услуги и получать ответ на свои запросы на любом из официальных языков. Следовательно, вы должны взять из браузера предпочитаемый язык и отобразить сайт, включая consent, на этом языке, предоставив так же посетителю выбор другого языка для отображения. Если у вас нет поддержки языка из браузера посетителя, то отображайте на английском. Если вы осилите такой объём работы, то никто к вам не придерётся :)
                                                            +1
                                                            но в купе с другими данными может быть использован для идентификации персоны.

                                                            Ну да. Может быть, а может и не быть. May be used or may be not. Понятно, что любой сайт помимо IP имеет, например, логин пользователя, вот логин+IP — это уже персональные данные? Непонятно.

                                                            По поводу «на каком языке отображать consent» напрямую не говорится,

                                                            Вот, собственно, непонятно, почему не говорится, это же очевидный вопрос.

                                                            а граждане вправе запрашивать услуги и получать ответ на свои запросы на любом из официальных языков. Следовательно, вы должны взять из браузера предпочитаемый язык… Если у вас нет поддержки языка из браузера посетителя, то отображайте на английском.

                                                            Я не понимаю, как начало фразы соотносится с концом. Если граждане имеют право запрашивать данные на любом официальном языке, то по этой логике я все официальные языки обязан поддерживать.

                                                            Я не хочу строить свою уверенность в том, что «ко мне не придерутся» на основе комментариев на Хабре. Регуляторы могли бы и чётко расписать — повторюсь, вопрос совершенно на поверхности лежащий и из пальца не высосанный.
                                                              0
                                                              вот логин+IP — это уже персональные данные?

                                                              Вы знаете, вообще говоря, из-за того что айпи может быть персональными данными, «по дефолту» он таки считается персональными данными, если нет оснований считать иначе.
                                                              ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en#examples-of-personal-data
                                                              Регуляторы могли бы и чётко расписать — повторюсь, вопрос совершенно на поверхности лежащий и из пальца не высосанный.

                                                              Ответ тоже лежит на поверхности: сайт ec.europa.eu/info/language-policy_en
                                                              The European Commission aims to ensure that visitors to this site can access the information that they need in a language that they understand, even if that language is not their mother tongue.

                                                              Если вы будете делать так же — никто к вам не будет иметь претензий.
                                                                0
                                                                Если вы будете делать так же — никто к вам не будет иметь претензий.

                                                                За ссылку спасибо, серьёзно. Но я не понимаю, почему всё равно речь идёт о каких-то косвенных соображениях, а не о прямом разъяснении регулятора. Собственно, можно так и написать: «если вы сделаете GDPR consent и privacy policy на английском, мы не будем к вам придираться». Но не пишут же, собаки, вот в чём претензия.
                                                                  0
                                                                  Это потому, что вы неправильно понимаете суть GDPR.
                                                                  GDPR это не гайдлайн о создании сайтов. Это лишь гайдлайн о работе с персонифицированной информацией.
                                                                  GDPR не говорит вам на каком языке вам делать сайт и на каком языке запрашивать согласие на обработку — GDPR говорит лишь о том, как вы эти данные должны получать и обрабатывать.
                                                                  Если хотите, вы можете сделать GDPR consent на китайском. И никто к вам не будет иметь претензий (кроме посетителей), потому что никто не будет ставить галочку под непонятным им соглашением.
                                                                  Нет соглашения — нет сбора данных, нет обработки персональных данных — нет претензий.
                                                                  Если кто-то поставит галочку несмотря на непонимание GDPR consent — это его проблемы, а не ваши. Вы получили согласие на обработку, и сделали это не в нарушение директивы (если только не добились галочки именно нарушениями, например модальным попапом, не дающим работать с контентом).
                                                                  То есть от вас требуется именно наличие самого GDPR consent, а не оформление его на конкретном языке. Ваша задача состоит в том, чтобы посетитель смог прочесть и понять ваш GDPR consent и дать, соответственно, согласие на обработку.
                                                                  А штрафовать вас, соответственно, будут за сбор и обработку без согласия. Но не за язык сайта.
                                                                    –1
                                                                    Хорошо.
                                                                    никто не будет ставить галочку под непонятным им соглашением.

                                                                    Разумеется, будет ставить. Или вы и в самом деле читаете все EULA и всё такое? Это моя вторая претензия: сам закон в этом смысле тоже для галочки, потому что захочет пользователь открыть сайт — и поставит галочку как миленький, и всем в итоге хорошо: галка есть, данные обрабатываем.
                                                                      0
                                                                      Разумеется, будет ставить.

                                                                      Почему это я буду ставить непонятную мне галочку, объясните?
                                                                      захочет пользователь открыть сайт — и поставит галочку как миленький

                                                                      Если у вас контент недоступен без галочки — юзер просто уйдёт с вашего сайта и правильно сделает: вы не должны запрашивать обработку персональных данных сразу же после посещения, а должны лишь перед тем, как сбор таких данных потребуется, и должны чётко указать какие данные и для чего будут собираться. Зайдите на тот же ec.europa.eu и попробуйте найдите consent. Заставлять юзера поставить галочку любыми средствами прямо запрещено в GDPR.
                                                                      the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

                                                                      Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance.
                                                                        0
                                                                        the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

                                                                        Ну да, и это возвращает нас к вопросу об используемом языке. С одной стороны, must be clear, а с другом, получается, пишите хоть на латышском. Бюрократические формулировки, расплывчатые и противоречивые.

                                                                        Не, опять же, спасибо за наводки, они несколько проясняют ситуацию, но у меня вот эти штуки в общую непротиворечивую картину никак не складываются.
                                                                          0
                                                                          Никуда это нас не возвращает. Если пользователь способен работать с вашим сайтом на используемом вами языке, значит он способен и прочитать GDPR соглашение на этом же языке, и наоборот: если язык соглашения непонятен посетителю — ваш сайт на этом же языке тоже для него бесполезен. Поэтому, GDPR consent выполняется на языке всего остального вашего контента, и уже ваш интерес в конкретных языках, поддерживаемых вашим сайтом. Если вам не интересны исключительно польскоговорящие посетители, вы можете не заморачиваться поддержкой польского, но если они составляют значительную часть вашей целевой аудитории, вы поднимаете вашу задницу и делаете контент на польском, включая consent.
                                                                          Всё предельно просто, и не надо выдумывать какие-то проблемы, которых нет.
                                                        +1

                                                        Ответ очень простой: вас заведомо не будут штрафовать сходу, тем более за такой нюанс, тем более в любом случае явно не касающийся духа закона. Если лично к вам будут какие-то вопросы, регулятор с вами свяжется и попросит устранить. Чтобы дошло до штрафа, нужно прямо очень постараться.


                                                        GDPR намеренно не пытается расписывать все в деталях, какие должны быть языки и где кнопки показывать — чем больше таких деталей в законе, тем больше возможностей найти лазейку по чисто формальным требованиям. Кроме того, мир продолжает меняться быстро, и любая попытка привязка к каким-либо конкретным деталям реализации — официальный язык страны по IP-адресу, язык браузера и прочее — может за несколько лет банально устареть.

                                                          0
                                                          Вот как раз дух новых законов (копирастия и т.п.) и беспокоит: в любой непонятной ситуации удаляй инфу.
                                                            +1
                                                            Вот в законе где-нибудь написано, что меня заведомо не будут штрафовать, или это тоже на усмотрение благонамеренного регулятора?
                                                            Кроме того, мне в общем-то и без того есть чем заняться, чем делать и переделывать продукт по желанию левой пятки инспектора. Мне не нравится эта идея: примем рамочный закон, а будем трактовать как нам удобно ежегодно, а вы каждый раз подстраивайтесь. Я понимаю вашу логику, но она бьёт исключительно по производителю софта. По сути нас ставят вот в такие условия: мы будем когда хотим менять своё представление о прекрасном, и вы будете каждый раз переделывать так, как мы скажем. Это достаточно гнусный подход, я считаю.
                                                              +1

                                                              Ст. 58 п. 2 перечисляет меры, которые вправе предпринимать регулятор, из которых наложение штрафа — лишь одна, а ст. 83 п. 1 говорит, что даже в случае наложения штрафа он должен быть пропорционален тяжести нарушения. Разумеется, закон не может утверждать, что вас заведомо не будут штрафовать, на то он и нужен, чтобы предусмотреть какие-то меры наказания.


                                                              Конечно, соответствовать регуляциям в целом не очень-то приятно, но как бы вы иначе сформулировали закон достаточной силы, чтобы при необходимости прижать кого-то масштабов Фейсбука и Гугла? Учитывая, что персональные данные — в принципе понятие не вполне четко определяемое. Это не данные кредитных карт, где можно более-менее сформулировать четкие формальные требования к их обработке.


                                                              В любом случае, GDPR уже два месяца как действует и я пока не видел новостей, чтоб хоть кого-то реально оштрафовали. Компании в ЕС к нему адаптировались без особой паники. Например, наша по большому счету расширила ряд внутренних регламентов, добавила детальные чекбоксы для согласия на сбор информации и отправку разного рода маркетинговых рассылок, возможность снять эти чекбоксы в любой момент, выработала процедуры предоставления пользователям и удаления их данных (с такими требованиями действительно стали обращаться), и завела привычку при обсуждении каждой фичи обращать внимание на то, как она согласуется с GDPR. Ну а то, что какие-то отдельные личности и сайты за океаном паникуют, не разобравшись, невелика беда. Хотя мне отдельно понравилось, как вышла из положения USA Today: https://eu.usatoday.com — оказалось, что если сделать спецсайт для Европы, где вообще не будет рекламы и скриптов аналитики и прочего, то ВНЕЗАПНО он будет просто летать.

                                                                0
                                                                Посмотрите на ситуацию с позиции честной маленькой фирмы. У Гугла и Фейсбука как раз проблем не будет, их хватит денег, чтобы реализовать любые приколы регуляторов. А мы должны сначала с помощью магического шара догадаться, что они имеют в виду, а потом в любой момент быть готовы бросить всё и беспрекословно реагировать на любые их замечания. А если окажется, что мы протрактовали закон так, а они иначе, и вот эта трактовка стоит нам всего бизнеса? Мне нет дела до Фейсбука, он не разорится. В этом смысле GDPR как раз на руку большим фирмам, потому что для мелкой фирмы задача соблюдения дополнительного размытого закона может поставить на грань выживания.

                                                                А по поводу «штрафов нет» — ну прекрасно, значит, я поставлю GDPR consent на латышском, как мне ниже предлагали, и замечательно. Полезный закон, получается, юзерам пригодится.

                                                                Я вполне понимаю вашу линию рассуждения, но сам я принципиально против подхода размытых формулировок. Не умеете формулировать — не беритесь. Собственно, я и не берусь. Штука в том, что люди, которые вот такие формулировочки изобретают, ничем абсолютно не рискуют. Им всё равно.
                                                          +2
                                                          Насколько я знаю, GDPR привязан не к расположению и регистрации сайта (иначе бы никто не возмущался, а просто бы убрали свои сервера из Европы), а к расположению пользователя. Так что для тех кто не умеет читать юридические тексты сюрпризы тут могут быть на каждом шагу, и логика вида «если сайт зарегистрирован в Германии, а расположен в Лондоне, то какой смысл делать соглашение на польском» — не помошник.
                                                            0
                                                            Ну хорошо, а какие средства исполнения этого закона?
                                                            Вот например, сайт на английском, хостится в Малайзии, а ходят туда немцы и жалуются, что их права не соблюдают. С какой стати их надо соблюдать?
                                                              0
                                                              Очевидно, что те, кто возмущается из-за GDPR, имеют причины возмущаться. А вот как именно Европа может на них надавить — вопрос не ко мне, мне это самому интересно.
                                                  +1
                                                  Любой из языков ЕС. Вообще языковой спецификацией легальных документов для софта должна заниматься ваша EULA и GTC и на локализованном языке это надо разъяснить (например на Для продолжения прочтите и примите EULA. EULA доступна только на английском языке).
                                                    +1
                                                    Любой из языков ЕС
                                                    Вот вы сказали без ссылки на нормативный документ. А кто-то послушает и выложит соглашение на Латышском языке. Если его оштрафуют, сам будет виноват, что решил влезать в GDPR, не проверив все законы.
                                                      0
                                                      Я не понимаю, что такое «локализованный язык». Язык страны, откуда IP адрес пользователя (их, кстати, тоже может быть несколько)? А если у меня нет такого языка в системе — это ОК или нельзя?
                                                      Ну и правильно снизу спрашивают, это точно, или это мнение?
                                                      +2
                                                      Что-то я не понимаю проблемы. У вас ведь контент на каком-то из языков, показывайте gdpr consent на том же языке. Если пользователь может выбрать язык — показывайте consent на выбранном. Вы же уже решили проблему «Как мне пользоваться приложением на непонятном языке?» — почему же не решить проблему соглашения точно так же? Путь пользователь подписывается, также как и пользуется приложением — на понятном ему языке.
                                                        0
                                                        Проблема в том, что мы решили вопрос технически, а не юридически. Технически я могу просто сказать: ага, не понимаете язык X, ваши проблемы, не пользуйтесь моим сайтом. А юридически мне могут в принципе запретить работать в стране, если я не показываю сайт на нужном законодателю языке. Я уже приводил пример: вы технически можете, но юридически не имеете права продавать в России товары без инструкции на русском языке.

                                                        В том вся закавыка и есть: наше решение мотивировано нашими бизнес-интересами, а законодатель имеет какую-то свою картину в голове, но нам она недоступна.
                                                      +3
                                                      Один пример:
                                                      Я обратился в несколько юридических фирм, специализирующихся на внедрении GDPR, с простым вопросом:
                                                      Открыто публикуемые в справочниках контактные данные фрилансеров, врачей, нотариусов и прочих самозанятых являются персональными данными согласно GDPR, или не попадают под категорию персональных?
                                                      До сих пор не получил ни от кого вразумительного ответа, только отписки «мы этот вопрос прорабатываем»
                                                        +1
                                                        Если Вы сами публиковали их, то они публичные данные, но только на том сайте где Вы это опубликовали. Отчудить право на приватность Ваших данных Вы можете только став политиком.
                                                        Многие вещи исключаются из GDPR согласно местным законам. Например ассоциации BAR и подобные для других официальных мест.
                                                        Юристы, врачи, нотариусы и другие имеют вообще особую легальную форму в большинстве стран ЕС (вроде И.П. только со спец налоговым режимом).
                                                          +1
                                                          Не понимаю, что здесь сложного. Являются персональными данными согласно Директиве.
                                                          Текст на английском (также доступен на всех официальных языках ЕС, хотя в некоторых переводах были замечены ошибки)
                                                          Article 4

                                                          Definitions

                                                          For the purposes of this Regulation:

                                                          (1) ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

                                                          В вашем случае данные имя и, например, номер телефона, и они позволяют прямое идентифицирование человека.
                                                          Происход данных не меняет их сущность.
                                                            +3
                                                            Сложности с обработкой. Справочник производителей товаров и поставщиков услуг. Фирма: Название, адрес (не персональные данные). Самозанятый типа ИП: Имя, Фамилия, адрес — и попадаем на персональные данные со всеми вытекающими танцами с бубном. Либо всем им отправлять письма с просьбой изъявить согласие по новому закону — 0,8 евро за письмо (марка + конверт), умноженное на 100.000 = 80.000 евро. Либо выкинуть их всех из справочника.
                                                              0
                                                              ИП уже не будет частным лицом (natural person), и его ФИО: адрес является в данном случае публичными данными, поскольку они (их раскрытие, т.е. публичность) являются обязательными для регистрации как ИП, согласно законодательной базе страны-регистратора. Соответственно, General Data Protection Regulation не касается этих данных.
                                                                0
                                                                Вот, я нашёл место, где об этом говорится прямым текстом:
                                                                This Regulation does not cover the processing of personal data which concerns legal persons and in particular undertakings established as legal persons, including the name and the form of the legal person and the contact details of the legal person.

                                                                Гуглоперевод:
                                                                Настоящее Положение не распространяется на обработку персональных данных, которые касаются юридических лиц и, в частности, предприятий, созданных в качестве юридических лиц, включая имя и форму юридического лица и контактные данные юридического лица.

                                                                Таким образом, большинство «жалоб» на GDPR связано с его незнанием.
                                                              0

                                                              Значит обращались к некомпетентным, много кто хочет заниматься GDPR, но не все могут, многие даже не читали официальные гайдлайны, готовят по шаблонам доки. Это все имеет признаки обмана, осторожней.

                                                              +4
                                                              У меня есть опенсорс-проект и багтрекер к нему на Redmine. Что я должен поменять, чтобы быть GDPR-compliant?
                                                                0

                                                                Нужно строить data map flow, с условиями если необходимо, затем смотреть.

                                                                  0
                                                                  А чего там строить. Человек регистрируется, оставляет багрепорты, всякое такое.

                                                                  Я не юрист и делаю это всё как хобби. Предлагается осваивать legalese и строить все эти data map flow с условиями, либо нанимать специально обученных людей?
                                                                    –1
                                                                    А какие персональные данные вы собираетесь собирать и для каких целей? Именно с этого вы должны начать, так как вы должны будете показать это пользователю в запросе на обработку этих данных. Если вы не собираете и не обрабатываете персональные данные — вам ничего делать не нужно.
                                                                      +1
                                                                      Прочитайте внимательно. Человек специально не собирает ПД и не нужны они ему ни в каком виде.

                                                                      Однако, есть стандартный баг-трекер redmine, для регистрации в котором необходимо заполнить простую анкету: ФИО и e-mail. Как и всегда на веб-серверах, ведутся логи доступа с IP-адресами.

                                                                      И вопрос у человека простой: вот такая система теперь стала вне закона? Нужно ли получать какие-то разрешения? (в самом интерфейсе redmine, естественно, нет никаких consent по GDPR)
                                                                        –1
                                                                        Вы противоречите сами себе. Сначала вы заявляете, что
                                                                        Человек специально не собирает ПД и не нужны они ему ни в каком виде

                                                                        а затем говорите
                                                                        для регистрации в котором необходимо заполнить простую анкету: ФИО и e-mail

                                                                        Это и есть сбор ПД, так как ФИО никак не является обязательным для использования баг-трекера. Нет никаких проблем использовать баг-трекер с деперсонифицированными данными — логин/пароль и ё-мыл. Эти данные не позволяют персонифицировать человека, но в то же время ё-мыл и айпи являются ПД и с ними следует соответственно обращаться, в частности нельзя передавать третьим лицам без разрешения клиента. Если владелец баг-трекера собирается их хранить, обрабатывать и передавать кому-то — на это нужно запросить разрешения.
                                                                          +2
                                                                          ФИО никак не является обязательным для использования баг-трекера. Нет никаких проблем использовать баг-трекер с деперсонифицированными данными — логин/пароль и ё-мыл
                                                                          на это нужно запросить разрешения
                                                                          Предположим, я не web-программист и никак не могу модифицировать redmine. Я могу развернуть на своём сервере готовый дистрибутив, но не могу добавить в приложение какие-либо запросы или информационные страницы. Значит, придётся отказаться от этой системы, чтобы не нарушать закон?
                                                                            +1
                                                                            Я ничего не собираю, я просто разместил объяву редмайн на своём хосте. Просто, как пишет qw1, штатная форма регистрации имеет поля со звёздочкой для имени и фамилии. Естественно, никто не мешает туда вбивать ерунду, это очевидно мне, скорее всего, очевидно вам и любому другому, кто достаточно давно в интернете. Но очевидно ли это европейскому служителю исполнительной власти?

                                                                            На самом деле, там всё ещё хуже. Форма регистрации выглядит примерно так:


                                                                            Во-первых, даже с pseudonymous ФИО нужна почта, а по ней можно много что сказать. И очевидно, что сохранена она будет, как минимум для того, чтобы человеку потом обновления о багах посылать.

                                                                            Во-вторых, там можно зарегистрироваться с openid. Раньше вроде как даже фейсбук имел openid, кстати, так что это потенциально рассказывает о пользователе вообще всё.

                                                                            Итого, что я должен делать, кроме как превентивно забанить по айпи всех пользователей из ЕС?
                                                                              –2
                                                                              Итого, что я должен делать, кроме как превентивно забанить по айпи всех пользователей из ЕС?

                                                                              Использовать другой баг-трекер.
                                                                                +2
                                                                                То есть, я должен потратить время на выбор другого багтрекера (причём, не по критериям, насколько мне удобно с ним работать, а по тому, насколько он соответствует GDPR, что заодно требует от меня разобраться в GDPR), разобраться с историей и миграцией данных, переписать модуль, который в моей софтине общается с багтрекером и позволяет прям из неё баги репортить, и заодно попробовать подумать, как сделать так, чтобы старые версии не сломались.

                                                                                И, типа, считается, что всё ок, так и должно быть?
                                                                                  +1
                                                                                  И, типа, считается, что всё ок, так и должно быть?

                                                                                  А когда персональные данные собирают как попало и передают третьим лицам без ведома их владельца — «всё ок, так и должно быть?»
                                                                                  Да, лес рубят — щепки летят, без жертв никакое ужесточение политики безопасности ПД невозможно.
                                                                                  Но давайте посмотрим на это с другой стороны: допустим, в вашем сайте/софте нашлась дырища, позволяющая тырить данные юзеров. И вы не программист, чтобы её пофиксить. Ваши действия?
                                                                                  а) Забью на дыру, это не мои данные — не мои проблемы
                                                                                  б) Закрою проект, это проще чем латать дыру
                                                                                  в) Найду средства/силы и заткну дыру или сменю движок на менее дырявый.
                                                                                  Ситуация отличается лишь вашим отношением к ней — в случае явной дыры вам нужно что-то делать кровь из носу, в случае непоняток с ПД — вы нервничаете только из-за возможных штрафных санкций, хотя вас прямо сейчас никто не гонит.
                                                                                    +2
                                                                                    Нет, ситуация отличается тем, что… Да, в общем-то, всем. Дыра, из которой могут утекать данные пользователей, и (не)соответствие конкретному закону о ПД при совершенно очевидном для здравомыслящего человека сценарии использования оставленных им ПД — это совсем несравнимые вещи. На мой взгляд, по крайней мере.

                                                                                    А отсылкой к рубке леса и разлёту щепок можно вообще много чего оправдать.
                                                                                      +1
                                                                                      Нет, ситуация отличается тем, что… Да, в общем-то, всем

                                                                                      А мне таки кажется, что ничем.
                                                                                      Взлом == GDPR
                                                                                      Вы не знаете, нет ли в вашем софте уязвимостей == Вы не знаете, нет ли в вашем софте нарушений связанных с ПД
                                                                                      Вы опасаетесь взлома == Вы опасаетесь обнаружения нарушения GDPR
                                                                                      Вы должны проверять безопасность при добавлении нового кода == Вы должны проверять соблюдение GDPR при добавлении нового контента
                                                                                      В случае взлома, вам придётся искать пути устранения дыры, а так же возможно понести финансовые и/или репутационные потери == В случае нарушения GDPR, вам придётся устранять нарушение, а так же возможно понести финансовые и/или репутационные потери.
                                                                                      И так далее. И точно так же, существуют жертвы, закрывшие свой бизнес в результате взлома.
                                                                                        0
                                                                                        То есть, в данном случае, с redmine, проще всего перед регистрацией написать: уважаемые пользователи, все ваши персональные данные никак не охраняются и могут быть доступны любым взломщикам. Если хотите, можете использовать псевдонимы.

                                                                                        Тогда будет GDPR-compliant?

                                                                                        Для юзеров ничего не меняется, они как привыкли нажимать «согласен» под всеми EULA, так и здесь нажмут.
                                                                                      0
                                                                                      допустим, в вашем сайте/софте нашлась дырища, позволяющая тырить данные юзеров
                                                                                      Плохой пример. Закон не запрещает эксплуатацию сайтов с дырами.
                                                                                        0
                                                                                        Это потому что закон вообще не говорит ничего про сайты, как их делать и как они должны функционировать. В точности как GDPR, собственно. Но если в результате взлома ПД утекли, то пострадавший вправе подать на вас в суд, и если суд постановит, что вы виноваты в утечке (например, знали о дыре но не предпринимали ничего по этому поводу) — милости просим оплатить ущерб.
                                                                                        С GDPR всё точно так же: в случае обнаружения неправильного сбора или обработки ПД, будет разбирательство, и в случае наличия вашей вины — штрафные санкции.
                                                                                          0
                                                                                          например, знали о дыре но не предпринимали ничего по этому поводу — милости просим оплатить ущерб
                                                                                          Достаточно в EULA написать — «мы за сохранность данных не отвечаем, не нравится — не регистрируйтесь».
                                                                                        0
                                                                                        Проблема в том, что в случае обнаружения дыры ее можно заткнуть. Так принято во всем мире и считается нормальным. А в случае обнаружения нарушения закона штраф уже выписан.
                                                                                          +1
                                                                                          Проблема в том, что в случае обнаружения дыры ее можно заткнуть.

                                                                                          Расскажите это, например, биржам, которые не смогли после взлома вернуть средства клиентам и обанкротились.
                                                                                          Так принято во всем мире и считается нормальным.

                                                                                          Вообще говоря, любой крупный взлом поднимает шумиху, потому что это серьёзный инцидент. И обходится он в копеечку даже если пользователи не подают в суд на возмещение ущерба — как минимум за счёт необходимости срочно залатать дыру и провести аудит безопасности.
                                                                                          А в случае обнаружения нарушения закона штраф уже выписан.

                                                                                          Кто вам это сказал? Вот откуда вы берёте эту глупость и пишете её тут с умным видом? А ещё и плюсует кто-то это.
                                                                                          Давайте-ка обратимся к первоисточнику — тексту резолюции:
                                                                                          In order to strengthen the enforcement of the rules of this Regulation, penalties including administrative fines should be imposed for any infringement of this Regulation, in addition to, or instead of appropriate measures imposed by the supervisory authority pursuant to this Regulation. In a case of a minor infringement or if the fine likely to be imposed would constitute a disproportionate burden to a natural person, a reprimand may be issued instead of a fine. Due regard should however be given to the nature, gravity and duration of the infringement, the intentional character of the infringement, actions taken to mitigate the damage suffered, degree of responsibility or any relevant previous infringements, the manner in which the infringement became known to the supervisory authority, compliance with measures ordered against the controller or processor, adherence to a code of conduct and any other aggravating or mitigating factor. The imposition of penalties including administrative fines should be subject to appropriate procedural safeguards in accordance with the general principles of Union law and the Charter, including effective judicial protection and due process.

                                                                                          Гуглоперевод вполне вменяемо справляется с минимальной корректировкой, выделяю важные моменты жирным:
                                                                                          В целях усиления соблюдения правил настоящих Правил применяются санкции, в том числе административные штрафы за любое нарушение настоящих Правил, помимо или вместо соответствующих мер, наложенных надзорным органом на основании настоящих Правил. В случае незначительного нарушения или если штраф, который может быть наложен, будет представлять собой непропорциональное бремя для физического лица, вместо штрафа может быть выдан выговор. Однако следует уделять должное внимание характеру, серьезности и продолжительности нарушения, преднамеренному характеру нарушения, действиям, предпринятым для смягчения нанесенного ущерба, степени ответственности или любых соответствующих предыдущих нарушений, способу, которым стало известно о нарушении надзорному органу, соблюдение мер, предписанных контроллеру или процессору, соблюдение кодекса поведения и любого другого отягчающего или смягчающего фактора. Наложение штрафов, включая административные штрафы, должно подлежать надлежащим процессуальным гарантиям в соответствии с общими принципами законодательства Союза и Устава, включая эффективную судебную защиту и надлежащую процедуру.


                                                                                            +1
                                                                                            Расскажите это, например, биржам, которые не смогли после взлома вернуть средства клиентам и обанкротились.

                                                                                            Кажется, мы говорили про полумертвый багтрекер для хобби-проекта, а не про биржу.


                                                                                            Вообще говоря, любой крупный взлом поднимает шумиху, потому что это серьёзный инцидент. И обходится он в копеечку даже если пользователи не подают в суд на возмещение ущерба — как минимум за счёт необходимости срочно залатать дыру и провести аудит безопасности.

                                                                                            В случае готового решения вся шумиха бьет по самому решению а не по его пользователям. В отличии от GDPR.


                                                                                            Кто вам это сказал? Вот откуда вы берёте эту глупость и пишете её тут с умным видом? А ещё и плюсует кто-то это.
                                                                                            Давайте-ка обратимся к первоисточнику — тексту резолюции

                                                                                            Тут проблема в том что не все могут этот источник читать. Лично я сколько не читаю — все одно ничего понять не могу.


                                                                                            Напомню вопрос с которого началась ветка:


                                                                                            У меня есть опенсорс-проект и багтрекер к нему на Redmine. Что я должен поменять, чтобы быть GDPR-compliant?

                                                                                            Пока что я не увидел на него ответа.

                                                                                              0
                                                                                              Да вроде был ответ:
                                                                                              Использовать другой баг-трекер.
                                                                                                +2
                                                                                                Пока что я не увидел на него ответа.

                                                                                                Пока что я не увидел, зачем вам вообще GDPR-compliant — вас лично эта директива не касается.
                                                                                                This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities.

                                                                                                Настоящий Регламент не применяется к обработке персональных данных физическим лицом в ходе чисто личной или бытовой деятельности и, таким образом, без связи с профессиональной или коммерческой деятельностью. Личная или бытовая деятельность может включать переписку и хранение адресов, или социальные сети и онлайн-деятельность, осуществляемую в контексте такой деятельности.

                                                                                                Нет коммерческой деятельности — нет нужды в compliance.
                                                                                                То есть ваши проблемы с GDPR лежат полностью в одной плоскости: незнании GDPR. Поэтому кроме его изучения (при желании, ведь оно вас не касается), вам больше ничего делать не надо. Пока вы не решите хобби переделать в бизнес.
                                                                                                  +1
                                                                                                  Поэтому кроме его изучения (при желании, ведь оно вас не касается), вам больше ничего делать не надо.
                                                                                                  Для начала понадобится изучить, что считать коммерческой деятельностью.

                                                                                                  Добрый такой GDPR, никого не трогает. Только за яйца держит.
                                                                                        0
                                                                                        А если там 10-летняя история, и нет скриптов миграции.

                                                                                        У меня такое ощущения, что GDPR придумали юристы, чтобы обеспечить себе ещё один способ заработка. Если у фирмы есть деньги, юристы там сделают все галочки и странички, как надо, но пользователям от этого никакого толку (только лишняя бюрократия с подтверждением).
                                                                                          0
                                                                                          юристы там сделают все галочки и странички

                                                                                          Не знаю ни одного юриста, который мог бы править софт. Всё нам, программистам приходится делать.
                                                                                    0
                                                                                    в самом интерфейсе redmine, естественно, нет никаких consent по GDPR

                                                                                    Там есть www.redmine.org/projects/redmine/wiki/PrivacyPolicy
                                                                                    When registering, you're asked to provide the following data (later referred to as profile information):

                                                                                    the login name you'd like to use
                                                                                    your name (first name and last name)
                                                                                    your email address (hidden by default)

                                                                                    You may use the site pseudonymously, but please use an active email address in case an administrator needs to contact you.

                                                                                    We do not collect any more information than those given in the above paragraphs.

                                                                                    Таким образом, использование ФИО не является обязательным, можно использовать псевдоним. В принципе, эта privacy policy вполне GDPR compliant: чётко указано, какая персональная информация собирается («Information we gather»), зачем («How do we use this information») и кто к ней имеет доступ («Who can access your profile information?»). Тем не менее, есть вопросы по полноте объёма реализации требований GDPR, поэтому есть случаи, когда от сервиса redmine отказываются именно по этим причинам: www.redmine.org/boards/1/topics/55222
                                                                                      +1
                                                                                      Там есть www.redmine.org/projects/redmine/wiki/PrivacyPolicy
                                                                                      Вы путаете движок (веб-приложение) redmine и сайт организации, которая его разрабатывает. То, что опубликовано на их сайте, относится к персональным данным людей, которые у них регистрируются. И никак не связано с данными людей, которые регистрируются на моём локальном экземпляре redmine, т.к. данные хранятся у меня локально, и я могу решать, что с ними делать, а не организация redmine.

                                                                                      Таким образом, использование ФИО не является обязательным, можно использовать псевдоним.
                                                                                      То есть, в принципе, на фасаде любой соцсети достаточно написать «можете использовать псевдонимы вместо ФИО»? Как-то слишком просто.

                                                                                      поэтому есть случаи, когда от сервиса redmine отказываются именно по этим причинам
                                                                                      А вот это уже по теме статьи — жертвы GDPR, когда юристы запугивают обычных пользователей, а тем проще закрыть свои мелкие сайты совсем, чем рисковать, что что-то не выполнят и попадут на штраф.
                                                                                        0
                                                                                        Вы путаете движок (веб-приложение) redmine и сайт организации, которая его разрабатывает.

                                                                                        Может быть. Мне как-то лень разворачивать redmine чтобы посмотреть, отличается ли оно от сайта разработчиков.
                                                                                        То есть, в принципе, на фасаде любой соцсети достаточно написать «можете использовать псевдонимы вместо ФИО»? Как-то слишком просто.

                                                                                        В соцсетях пишут обратное, со всеми из этого вытекающими.
                                                                                        когда юристы запугивают обычных пользователей

                                                                                        Юристы? Пользователей? Вы ничего не перепутали? Может бизнесменов?
                                                                                        а тем проще закрыть свои мелкие сайты совсем, чем рисковать, что что-то не выполнят и попадут на штраф

                                                                                        Ну, это смотря как смотреть: если бизнес вшивый, то туда ему и дорога. Если бизнес дельный — владелец сделает телодвижения, чтобы продолжать работать.
                                                                                        Все «жертвы GDPR» на текущий момент — те, кто просто отказался от реализации новых требований. Не существует пока ни одного случая, когда кого-то привлекли к какой либо ответственности за их нарушение.
                                                                                          0
                                                                                          А если не бизнес, а хобби-проект? Тоже туда ему и дорога?
                                                                                            0
                                                                                            А зачем хобби проекту персональные данные клиентов?
                                                                                              0
                                                                                              Кажется, мы заходим на второй круг.

                                                                                              Потому что форма регистрации у Redmine выглядит именно так, а не иначе. Потому что отсутствие требования указывать настоящие имя и фамилию имеет непонятно какой статус с точки зрения GDPR. Потому что я знаю C++ и Haskell, а Ruby не знаю и поправить Redmine не могу, хотя, например, пост-регистрационный хук, заменяющий все имена и фамилии — на какую-нибудь ерунду, вообще ничего не изменил бы в моём workflow. Потому что почта, в свою очередь, действительно нужна, чтобы рассылать туда всякие письма об обновлении статуса багов и ссылки для проверки регистрации.
                                                                                                +1
                                                                                                Так почему бы вам не подобрать другой баг-трекер, без этих проблем? Тем более что Redmine официально, вроде как, им не является.
                                                                                                  0
                                                                                                  Уже написал рядом, почему.

                                                                                                  Кроме того, забыл написать там рядом, я не вижу, какую настоящую проблему будет решать соответствие багтрекера хобби-проекта GDPR.
                                                                                            0
                                                                                            Это не бизнес.

                                                                                            Скорее даже наоборот, ибо одни траты на хостинг, на пару билд-машин, и так далее.
                                                                            +1
                                                                            Просто GDPR в каждых странах по своему обработан. Например у нас в Венгрии нам пришлось минимально менять данные, т.к. закон о приватных данных был почти таким же, что и GDPR уже до этого. Только теперь с GDPR некоторые вещи нужно разъяснять еще жестче (запрос consent на всех формах (местное регулирование решило так)). Необходимо расписать privacy policy (нельзя просто ссылаться на местный закон, нужно дотошно расписать каждую мелочь).

                                                                            По сути все это было до этого, но только для тех кто в «теме». Теперь это explicit. Поэтому многим европейским компаниям много менять не пришлось.
                                                                        0
                                                                        Кстати, интересная статья с той стороны, что GDPR это приведение к соответствию всех бизнес процессов и технических принципов (например Проектируемая приватность). Потом покрытие этого анализа документами. Сейчас много мошенников особенно в СНГ, которые предлагают за 3 копейки документы по типу 152-ФЗ. Нужно быть осторожным.
                                                                          +2
                                                                          Зато юристы ЕС обеспечены работой и зарплатой на пару лет вперед. Плюс на крупных фирмах создадут новые рабочие места — ответственный за ПД (или в этом роде). Плюс у кого есть деньги инвестируют их в доработку своих программ и сервисов — опять же программистам работа и зарплата. В общем, довольны все у кого есть чем платить.
                                                                            0
                                                                            А дополнительные расходы оплатят потребители.
                                                                              0
                                                                              Только наш 152-ФЗ почему-то за все эти плюсы только жестко критиковали)
                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                              0
                                                                              Жаль, Loadout — это единственная игра из нескольких сотен в библиотеке Стима, в которую я периодически играл.

                                                                              А нет какого-то простого способа обойти требования этого нового закона? Например, не собирать и не хранить никакие персональные данные вообще? Нельзя работать с полностью анонимными пользователями? Или микротранзакции, за счёт которых жила игра Loadout, нельзя получать полностью анонимно?
                                                                                +2
                                                                                Нельзя работать с полностью анонимными пользователями?

                                                                                Уверен, это нарушит пачку других законов.
                                                                                  0
                                                                                  не собирать и не хранить никакие персональные данные вообще?

                                                                                  Можно.
                                                                                  микротранзакции, за счёт которых жила игра Loadout, нельзя получать полностью анонимно?

                                                                                  Вряд ли, так как транзакции делаются по банковским реквизитам (номер карточки и всё такое), которые ПД по определению.
                                                                                  Я думаю, GDPR стал лишь «последним гвоздём» в умиравшую Loadout, поводом к её окончательному закрытию.
                                                                                  По крайней мере, в стиме я увидел ещё январский отзыв
                                                                                  Хорошая игра, донат нужен только для кастомизаии персонажа поэтому можно обойтись без него, однако игра мертва и мертва давно.

                                                                                  Или вот, почти годичной давности:
                                                                                  На пк игра мертва уже давно.
                                                                                  Удивительно даже почему.

                                                                                  Минусы игры:
                                                                                  -Читеры
                                                                                  -И теперь уже никакого онлайна.

                                                                                  И даже декабрь 2016-го:
                                                                                  Хороший шутер для пары вечеров времяпрепровождения.
                                                                                  Жаль, что игра заброшенна.

                                                                                  Октябрь 2016-го:
                                                                                  Наверно положительные отзывы кончаюся года два назад,, т.е. когда разработчики забили на игру (полностью)

                                                                                  то есть умерла она не по причине ввода новых правил GDPR.
                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                    +2
                                                                                    Тупее закона еще не было. Все сайты теперь засраны на пол экрана сообщениями, что сайт использует куки. Ну надо же. Куки.
                                                                                    Было честнее, если бы в этой плашке выводилось: мы продаем ваши персональные данные вот тем и тем, в таких-то объемах.
                                                                                      –1
                                                                                      О куках это немного другой закон, а GDPR может требовать не нажать на «Согласен», а кучу галочек отметить.
                                                                                        0
                                                                                        по кукам пару лет назад был закон, GDPR включает информирование о куках тем не менее
                                                                                          +1
                                                                                          тот закон был еще тупее, а здесь это способ выкрутиться — вот мы исполняем закон, вот предупреждаем пользователя о куках. ну не писать же в самом деле, что мы трекаем вас везде и всюду, и продаем данные направо и налево.

                                                                                          это было бы смешно, если бы не было правдой
                                                                                          image
                                                                                            +1
                                                                                            Это не связано с GDPR.
                                                                                        0
                                                                                        Какой-то скромный список жертв. В нем явно отсутствуют сотни и тысячи брендовых сайтов, вынужденных редиректить пользователей из EU на что-то другое. Например logotv.com, гоняющий европейцев на свой блог в твиттере от запроса в CDN.
                                                                                        В одном Viacom'е таких брендов — внушительный список, а каждый тикет в духе «почему наш сайт редиректят на <заглушкаName>?» приходится мариновать неделями, пока специальная команда будет изучать и готовить ответ на этот вопрос.

                                                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                        Самое читаемое