Comments 41
UFO just landed and posted this here
Если вы работаете только на территории своей страны (не в ЕС) и ваши пользователи тоже только из вашей страны, то разумеется никакой GDPR вы исполнять не обязаны. Но если вы хотите работать на территории ЕС, с пользователями ЕС, то необходимо выполнять законы ЕС.
В принципе, аналогичные законы есть и в РФ.
В принципе, аналогичные законы есть и в РФ.
Тут возникает много вопросов. Что значит «работать на территории ЕС»? Почему вдруг если пользователь из ЕС приходит на мой вебсайт — это я работаю в ЕС? Верно ли, что компании из ЕС должны подчиняться законам, например, Саудовской Аравии и КНДР?
Угу. Интернет глобален, и попытка его зарегулировать локально ни к чему хорошему не приводит.
Если вы целеноправленно оказываете услуги жителям EC, то попадаете под действие GDPR. Не оказываете — не попадаете. Все просто.
А если не оказываешь услуги, но житель ЕС зарегистрировался на моем российском форуме и указал свое имя-фамилию?
UFO just landed and posted this here
А если он переведён на, например, немецкий, то, тем самым подразумевается ваш таргетинг на Германию
А если он ориентирован на немцев, живущих в России и притом граждан России (такие есть, и их довольно много)?
UFO just landed and posted this here
Ну вот немцы в таких случаях и говорят что-то типа…
Одно дело это das Recht haben (иметь право) другое дело das Recht bekommen (добиться его выполенния).
Если у вас какой-то сайт и на нем тусюйтуся немцы, то можно особо не партися… Они самыи знают на что идут… И санкционировать вас просто некому.
Интереснее если ваши клиенты корпоративные и сами подлежат GDPR и в процессе работы с вами должны вам сообщить личные данные пусть даже собственных сотрудников.
- Хлопс и вы уже data (sub-)processor и перед тем как с вами начнут работать потребуют много бумаг (как минимум) ;)
UFO just landed and posted this here
А это уже будет суд решать :) К сожалению, в регламенте столько общих формулировок, что однозначные трактовки зачастую сложно дать.
попадаются признаки оказания услуг гражданам ЕС:
Например в этом источнике
- услуги/товары адаптированы на местные языки жителей ЕС;
- услуги/товары оплачиваются в местных валютах ЕС;
- услуги/товары предоставляются на национальных доменах верхнего уровня стран ЕС.
Например в этом источнике
В принципе, аналогичные законы есть и в РФ.
История была.
Закончился вклад в банке, забрал деньги, отозвал свои персональные данные, потребовал уведомить письменно об уничтожении моих ПД. Через некоторое время пришло уведомление. Через пол года пришел в другой банк, при оформлении договора мне сообщили, что я был клиентом такого то банка, который они купили…
Если это ник и email — это является персональными данными по их мнению?
ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en
Email в общем случае, не попадает. Но не понятно, что будет, если пользователь сам введет почту с именем и фамилией, хотя его просили просто указать почту.
Проблема с Cookie ID. Если id сессии, что хранится в куках сюда может и не будет относиться, то даже по куке для автоматической авторизации уже вопрос.
- a name and surname;
- a home address;
- an email address such as name.surname@company.com;
- an identification card number;
- location data (for example the location data function on a mobile phone)*;
- an Internet Protocol (IP) address;
- a cookie ID*;
- the advertising identifier of your phone;
- data held by a hospital or doctor, which could be a symbol that uniquely identifies a person.
Email в общем случае, не попадает. Но не понятно, что будет, если пользователь сам введет почту с именем и фамилией, хотя его просили просто указать почту.
Проблема с Cookie ID. Если id сессии, что хранится в куках сюда может и не будет относиться, то даже по куке для автоматической авторизации уже вопрос.
С кукисами все плохо. в GDPR есть одно только упоминание про Cookies, но оно довольно сильно аффектит. Вот здесь дельно описано:
www.itgovernance.eu/blog/en/how-the-gdpr-affects-cookie-policies
www.cookiebot.com/en/gdpr-cookies
Получается, что даже куки для неавторизованного пользователя ( то есть про него вы ничего не знаете), который шарится по вашему сайту — уже перс данные, так как для в куке уникальный ключ, на основании которого аналитика трекает поведение.
www.itgovernance.eu/blog/en/how-the-gdpr-affects-cookie-policies
www.cookiebot.com/en/gdpr-cookies
Получается, что даже куки для неавторизованного пользователя ( то есть про него вы ничего не знаете), который шарится по вашему сайту — уже перс данные, так как для в куке уникальный ключ, на основании которого аналитика трекает поведение.
UFO just landed and posted this here
Тут нет точного ответа по таким вводным данным:)
Главное что я понял, что точно все куки аналитики и рекламы попадают под GDPR (ну потому что даже если там не хранятся перс данные(в общем понимании) — но там есть уникальные ключи, за счет которых трекинг происходит). А вот куки, которые для работоспособности «в зависимости от» могут попадать.
Во второй статье (хотя ее можно расценивать как рекламу сервиса) но дельно в начале расписано как провести аудит куков. Хоть вместе с Google переводчиком советую почитать.
Главное что я понял, что точно все куки аналитики и рекламы попадают под GDPR (ну потому что даже если там не хранятся перс данные(в общем понимании) — но там есть уникальные ключи, за счет которых трекинг происходит). А вот куки, которые для работоспособности «в зависимости от» могут попадать.
Во второй статье (хотя ее можно расценивать как рекламу сервиса) но дельно в начале расписано как провести аудит куков. Хоть вместе с Google переводчиком советую почитать.
Мне нравится вот это «штрафы большие и придётся соответствовать».
Да не придется, блин, чтобы там ни принимали в ЕС (, Саудовской Аравии, Китае, РФ, или КНДР).
Да не придется, блин, чтобы там ни принимали в ЕС (, Саудовской Аравии, Китае, РФ, или КНДР).
Ну если в ЕС не собираетесь в течение жизни — то может и не надо.
Если у вас интернет магазинчик, торгующий спинерами и чехольчиками, не придется. А если дочки или контрагенты в EC, то ой как придется.
Мы вот сейчас переводим сервис на поддержку GDPR, ибо много клиентов из ЕС, которые платят нам много денег. Если возникнут проблемы с работой сервиса на территории ЕС нам будет очень плохо.
Хотели как лучше, а получилась бюрократия.
А если в TOS написать большими английскими буквами, что этот сайт вне юрисдикции европы, не соответствует GD#!@ и не хочет работать с клиентами из европы? Клиенты-то не сильно снизятся, никто ж не читает. А вот проверки лесом посылать можно будет?
А если в TOS написать большими английскими буквами, что этот сайт вне юрисдикции европы, не соответствует GD#!@ и не хочет работать с клиентами из европы? Клиенты-то не сильно снизятся, никто ж не читает. А вот проверки лесом посылать можно будет?
Можно ровно до тех пор, пока не совпадут два факта:
- Как-то придется пересечься с юрисдикцией ЕС (хотя бы просто выехать в страну ЕС, или даже в страну, готовую вас выдать в ЕС).
- Вы заинтересуете кого-то в ЕС настолько, чтобы заморочиться вашими нарушениями (заинтересуете не обязательно по линии нарушений, но повод докопаться будет).
хотя бы просто выехать в страну ЕС, или даже в страну, готовую вас выдать в ЕС
Вы путаете с уголовным кодексом. Штрафы за несоблюдение GDPR налагаются на компанию, это не уголовное преступление, чтобы кого-то преследовать/выдавать.
На вопрос выше: если фирма не имеет отделения/счетов/каких-либо активов в EC, то можно GDPR просто игнорировать. Хотя лучше не надо — там прописаны вполне разумные вещи, которые хорошо бы реализовать каждой компании независимо от каких-либо внешних директив.
А если при регистрации не запрашивается страна? То есть в если мы не в курсе что клиент из ЕС или нет, должны ли все равно соответствовать
А вот мне хочется сказать спасибо! Дельные вещи, реализация которых уж точно не сделает магазин хуже.
Поясните пожалуйста «гранулированное согласие»
Пускай у нас есть интернет магазин. Тогда мы можем использовать данные человека для доставки ему товаров, рассылки ему писем о новых акциях и для составления маркетинговых профилей. Это означает, что на каждую такую активность мы должны спрашивать отдельное разрешение. При чем человек может сначала согласится, а потом запретить нам какие-то действия, которые являются необязательными для предоставления ему услуги.
А можно подробнее — Export Personal Data. Это выгрузка именно собранных данных (например, данных по аккаунту юзера) или же всей информации? То есть, если у меня в системе есть чаты и новости от юзеров, то мне надо выгружать все данные ассоциированные с юзером (все его сообения с чатов, все новости написанные им)?
GDPR интересная тема для обсуждения. Но для начала нужно понять что у нас с 152 ФЗ РФ и как мы соответствуем требованиям законам РФ. Здесь мороки не меньше, да штрафы не так пугают но проблем получить можно не меньше в целом…
Большое спасибо за статью. Вы не в курсе, относительно
Если контроллер или процессор не зарегистрированы в зоне EU, то должен быть назначен официальный и документально подтвержденный представитель в EU Art. 27 GDPR: предоставляет кто-либо подобные услуги?
Sign up to leave a comment.
GDPR. Практические советы