В GDPR также предусмотрено право на забвение (right to erasure, right to be forgotten), которое дает европейцам возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам.

Вот и подвезли пушку для стрельбы по воробьям. Пожалуй это единственный метод заставить пару ЕСовских интернет-магазинов перестать присылать мне физические бумажные каталоги...


Вот интересно будет ли это работать для третьих лиц, потому-что каталоги приходят и на имя прежних жильцов.

Это подпадает под точность информации.

Почтовый адрес — это тоже персональная информация, и в данный момент это ваша персональная информация, поскольку она косвенно указывает на вас. На этом основании вы имеете право требовать ее удалить либо поправить.
право на забвение из прецедента превратилось в закон и теперь распространяется, по-сути, не только на поисковики, но и на любых операторов ПДн.
И да и нет. Право за забвение может быть инициировано исключительно самим пользователям. А тут за пользователя решают третьи лица — кому и как хранить его данные и передавать / не передавать еще кому-либо.
Было бы ментально близко к праву быть забытым, если бы, например, я сам мог определять — хочу ли я локализовывать какие-либо свои данные в РФ или я готов доверить их иностранной компании, чтобы они хранились за границей.
Не обольщайтесь. Если только вы не гражданин ЕС
GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС
данные резидентов и граждан ЕС

Как-то так.

Ждем введения аналога в России и криков европецев о том, что аналогичный закон нарушает права человека.
О чем вы? У нас такой уже есть, причем, местами, даже послабее европейского. У нас не заставляют удалять и обеспечивать переносимость.
Я как раз об этом. Думаете в Думе не доработают?

Ты так переобулся в воздухе?

«причем, местами, даже послабее европейского» — значит надо сравняться или даже лучше перегнать.

А что будет если ржд, внезапно, забьет на этот закон. Они им штраф выпишут? Примерно как на Украине Путину запрещают в Крым ездить?

Если дело дойдет до суда и штрафа, то может быть наложен арест на имущество, находящееся в юрисдикции ЕС. Пройдет поезд границу — и «Поезд дальше не идет, просьба освободить вагоны» )
Предусмотрели ли европейские парламентарии централизованный сервис с API под данный законопроект или каждый ресурс выбирает удобный способ реализации пунктов GDPR?
А под какие конкретно пункты сервис с API нужен? Кроме переносимости вроде бы ни для чего… Да и тут правильнее формат обмена стандартизовать хотя бы, а сервисы потом уже придумывать.

не предусмотрен, как не описано никого способа официальной сертификации.

Общий подход европейцев к обработке персональных данных

Там все веселее. Я лично тормознул первый раз на фразе
Целью обработки персональных данных является служба человечеству

линк

(Disclaimer: Я читал оригинал) Спасибо, на удивление толковая статья. Основные моменты перечисленные верно. Резюмируя, это в целом бесполезный и безсодержательный документ описывающий в общих чертах "как оно должно бы быть, как нам кажется" однако без конкретных требований. Очень многие моменты оставлены без объяснений. В текущем виде документ не защищает ни кого ни от чего. Если компания небольшая (до 250 сотрудников) и не работает с sensitive personal data (например медицинские записи) то для выполнения GDPR нужно грубо говоря только сайт обновить (утрирую).

Я бы не назвал его бессодержательным. Документ солидный и готовился ни один год. Он конечно не содержит жестких императивов. Скорее закон модульный. Но он создает стандарты и новые принципы для Европы по обработки перс.данных и вводит определенные новшества в сфере цифровых прав человека. Например, право на перенос данных, которое до этого не существовало.

Право на экспорт данных есть в EU Data Protection Directive в GDPR лишь слегка изменили формулировку. И формат не описан, указано что он должен быть читаем для компьютера (далее включаем фантазию) Опять же это одно из немногих исключений(почти все есть в статье) все остальное — вода.


Никаких стандартов только демагогия из серии "The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed". А в граммах это сколько? Как и кто сможет это проверить?


Нет процедуры сертификации, грубо говоря любой может утверждать что соответствует GDPR и проверить как и доказать это нельзя. Достаточно лишь "demonstrate compliance of processing activities with GDPR"


Один из ключевых елементов Supervisor Authority (бюрократ из EU через котрого идет вся работа), а теперь внимание если вы компания не из EU и сервера ваши тоже не в EU кто будет вашим supervisor authority? Сюрприз "controllers without any establishment in the EU must deal with local supervisory authorities in every Member State they are active in, through their local representative" хочется спросить "Вы там что курили господа?"

Смотрится как закон-заглушка, взломали и угнали данные — значит не защищал — штраф, не стер личные данные по указанию юзера — тоже штраф.

Да есть похожее впечатление. Безусловно есть положительные моменты но в основном это бюрократия типа обновления соглашения пользователя или того как сейчас за Вами все бегают с предложением согласиться на cookie а будут с согласием на обработку данных. Практической пользы чуть более 0.

Действительно, многие полагают, что в DPD можно считать, что право доступа (right to access) дает также право на экспорт (переносимость) данных. Все же, это право доступа ограничено форматом, который выберет контроллер данных, субъект данных не решает. Право на переносимость является новым отдельным правом, оно конкретизировано, облегчает способность перемещать, копировать или передавать данные от одного оператора данных к другому в структурированном, широко используемом
и машиночитаемом формате. В целом, весь GDPR направлен на расширение и конкретизацию возможностей субъектов данных в отношении своих личных данных.

Касательно демагогии, уверена, что будут дальнейшие разъяснения Working party 29(а если нет, так судебная практика). Можно следить за гайдлайнами WP 29 ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083, которая подробно объясняет, каким образом отдельные положения Регламента должны работать. Они уже, например, опубликовали гайдлайн по data portability и др.

По сертификации — ст. 42-43 GDPR. Посмотрела, пока что еще нет механизмов сертификации на ЕС уровне.

Относительно supervising authority, так же есть гайдлайн. Там описаны критерии определения (с примерами наглядными) lead supervising authority. ec.europa.eu/information_society/newsroom/image/document/2016-51/wp244_en_40857.pdf

Спасибо за комментарий, изучу.

Последнее время все страны взялись делать законы без учета реалий жизни. Конечно, красиво сказать «всем жителям… мы разрешаем по всему миру требовать обращения с ними по закону ...» — но это не менее бред, чем кричать в чужой стране, что «я привык курить в общественном месте, а у вас тут нельзя, а по закону… моей страны — можно».

И, если уж по-честному, страна, где находится пользователь, должна бы его защищать, давая ему жить на территирии страны по законам этом страны!

Вы не упомянули еще одно права субъекта данных. Это право на отказ быть субъектом профилирования и системы автоматического принятия решения. Грубо говоря житель EU может требовать чтобы его заявку на потребительский кредит рассматривал живой человек а не AI система. И так про все что имеет "legal effects"

>>GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании.
Буквально в прошлую пятницу на ms digital platform господа из ernst&young (http://msplatform.ru/, презентация Евгения Кима) утверждали ровно обратное. Что gdrp жёстко ограничивает своё применение территорией ЕС и не применим за его границами. Посему мы тут можем расслабиться, если не ведём бизнеса в ЕС. И кто правду говорит?
Не, вы что-то путаете, я тоже смотрел трансляцию этой секции и данную презентуху. Спикер как раз проговаривал, что GDPR действует не только внутри границ ЕС, в случае если компания не в ЕС что-то делает с персданными гражданина ЕС, то автоматом срабатывают нормы GDPR, в какой бы стране это не происходило.
Ну и там еще много ньюансов.
Вроде видеозапись секции доступна там, можете еще раз пересмотреть.
В России только глава Роскомнадзора ляпнул, что GDPR никак не будет касаться России. Все в отрасли усмехнулись на это.
А я в зале сидел. Евгений Ким четко сказал, что
1. вы попадаете под действие GDPR если производите операции с ПД на территории ЕС
2. если гражданин ЕС передает свои ПД на территории РФ, то это его собственный риск и GDPR на такую ситуацию не распространяется, т.к. РФ не входит ни в ЕС, ни в список стран, считающихся доверенными.
Отдельно Евгений подчеркнул, что из российских компаний оно грозит только тем у кого есть европейские дочки и те кто непосредственно оказывает услуги и продает товары на территории ЕС использую ПД, находящихся на территории ЕС (особое внимание обратили на то, что нигде речь не идет о гражданах ЕС — всегда речь идет о лицах, находящихся на территории ЕС в момент получения и обработки ПД)
Понятно что возникает много вопросов, но принципа экстерриториальности, как у американцев нет.
В общем только я расслабился, а вы меня опять напугали :-(. Надо будет Евгению написать, чтобы еще раз вопрос прояснить.
Понимаете, тут нет «последней инстанции», да, толковаться может расширенно.
К слову, вчера был на Пиринговом форуме, там была отличная сессия «Интернет в эпоху границ и ограничений – возможно ли регулировать технологии?» и там тоже эксперты отвечали на вопрос про GDPR. Внезапно встал вопрос — что «пакет Яровой» напрямую нарушает нормы GDPR. Как понимаю, видеозапись выложат позже, сюда её закину, вполне интересно по сабжевой теме.
Как обещал — видос с секции «Интернет в эпоху границ и ограничений – возможно ли регулировать технологии?» (с 6:03:32):
Ну мне кажется, что все согласились что никакой экс-территориальности в GDRP сейчас нет, а дальше «поживем -увидим»
Ну всё-таки не совсем так, послушайте внимательно спич Михаила Якушева на видео по сабжу.
Тогда цитата из презентации Кима
О применимости GDPR к российским компаниям (2/3)
Комментарии:
1. В критериях применимости отсутствует привязка к гражданству субъекта ПДн; под защиту
GDPR попадают ПДн всех субъектов в момент нахождения их внутри ЕС
2. Формулировка «предложение товаров и услуг находящимся на территории ЕС субъектам
персональных данных» главным образом нацелена на организаций, которые не имеют штабквартиры или какого-либо иного присутствия на территории ЕС и используют веб-сайты для
предоставления/продвижения/оплаты своих услуг
3. Согласно критерию №1, если у организации есть дочерние структуры в ЕС, то эти дочерние
структуры попадают под GDPR
4. Согласно критерию №2, в контексте формулировки про «отслеживание» [субъектов ПДн],
российские организации подпадают под действие регламента GDPR в случае, если они будут
отслеживать действия физических лиц для создания профилей, в том числе, в целях принятия
решений для анализа/прогнозирования их личных предпочтений, поведения (например,
скоринг, мониторинг транзакций, аналитика данных для целей таргетированной рекламы)
Ну и еще раз перечитал презентацию Кима. Сохранил на диск для предъявления желающим повесить на меня соответствие GDPR. Пусть аргументированно спорят с E&Y :-).
У меня тут лежит требование одного из клиентов соответствовать законам ФРГ о резервном копировании (я даже не знал существовании такого) с ссылкой на сайт на немецком. Такими темпами скоро заставят учить индонезийский, например (что пора учить китайский и так понятно)
Пора бы законникам понять, что не бывает в отношении онлайн бизнеса такого:
Посему мы тут можем расслабиться, если не ведём бизнеса в ЕС

Сайт (кроме идиотских закрытий доступа к нему) доступен всему миру, в т.ч. и на МКС, в т.ч. и на Эвересте, в т.ч. и на полярной научной станции — и все эти «визиторы» име имеют равные права.

Иначе быстро дойдем до того, что, скажем, людям какого-то вероисповедания (как пример) по закону прикажут показывать другой контент, и как владельцу сайта проверить в реальном времени — непонятно. Сделать же сложную регистрацию и проверку каждого посетителя — означает подорвать бизнес.
Проблема негров-айтишников шерифов-юристов не волнуют. Законы пишут они, в суде решения проталкивают-принимают они, с правоохранителями общаться тоже будут они. После приравнивания лицензий на ПО к произведениям искусства в общем удивляться не чему… :-(
Распространяется ли GDPR на какой-либо онлайн сервис будет определено в каждом отдельном случае.
Настоящая доктрина, выработанная судебной практикой, гласит, что если ваш веб-сайт целенаправленно предлагает товары/услуги гражданам ЕС, то он должен соблюдать законодательство ЕС, включая законы о защите потребителей и защите персональных данных

Например, вот пример российского сайта, который, на мой взгляд, должен соответствовать требованиям GDPR, поскольку он предлагает товары в евро, а также язык может меняться на немецкий, английский, испанский (Австрия, Германия, Испания, Великобритания являются членами ЕС) export.airsoftstore.ru/de

Экстерриториальное действие GDPR очень спорно, горячо обсуждаемо.

Все же, считаю, что это нормальное вполне реальное положение, потому что интернет не имеет физических границ, но это не должно отменять права человека на защиту его персональных данных в соответствии с законодательством страны, где он постоянно проживает. Все это вопросы международного частного права, подсудности, применимого права итд.

на ms digital platform не был, однако в GDPR абсолютно четко написано что GDPR распространяется на все компании которые продают услуги или товары жителям EU или обрабатывают их личные данные (в документе "мониторят") в том числе это распространяется на компании которые в EU не представлены и данные в EU не хранят.


В некоторых толкованиях приводятся такие признаки как наличие сайта на языке страны члена EU или указанные цены на товар в валюте EU и так далее.


Вопросы "я как они дотянутся" оставляю за скобками.

Прочитал статью и, к счастью или сожалению, не увидел ничего нового, все понятия, ключевые требования, принципы обработки и так далее уже существуют в тех или иных политиках_ которые учитывают многие компании, ориентированные на внешний рынок. Если я не прав, то просьба пояснить. Кратко — хотелось бы видеть конкретные сравнения.
В целом да, кардинальных изменений не произошло. ЕС просто давно шел к созданию единого для всех стран-членов закона о персданных, и вот это произошло. По большей части они формализировали то, что выработано судебной практикой, а также удовлетворили потребности общества, дав им бОльший контроль над своими данными. Ведь не секрет, что в ЕС (особенно после Сноудена, дела Шремс), паранойя по поводу персданных.

Думаю, что практический эффект отразится на больших компаниях или компаниях, которые имеют дело с большими объемами перс данных. Мне кажется, что на них и рассчитан закон, в первую очередь: ФБ, гугл, убер, airbnb, booking итд
Любая компания, обрабатывающая данные, должна удалять чьи-либо персональные данные по запросу, если это не противоречит интересам общества или иным фундаментальным правам европейцев


А вот тут конкретизируйте пожалуйста, потому что я такое впервые вижу, хотя работал в Европе когда бывшая команда начала адаптацию наших проектов под GDPR. Как мои персональные данные относятся к фундаментальным правам других людей или общества?
Это относится, главным образом, к публичным личностям, к которым общество проявляет повышенный интерес (работники власти чаще всего). Например, некий политик запросит у новостного сайта удалить информацию о нем, ссылаясь на право на частную жизнь или у гугла удалить какие-то результаты поиска о нем (к примеру, инфу про его собственность на Мальдивах). В ЕС такой сервис прежде, чем удалить, должен оценить не повлияет ли такое удаление на фундаментальные права европейцев: свободу слова (для новостного сервиса), право на доступ к информации (для юзеров)
Спасибо, резонно, но вызывает больше вопросов чем ответов. Какая нормативно-правовая база будет регулировать и определять что является такой информацией а что нет. Дом дому рознь, даже на Мальдивах.
Если не закон, то судебная практика. В ЕС есть CJEU (Court of Justice of EU), он устанавливает судебные прецеденты, которые потом применяются национальными судами.
Занимаюсь реализацией, когда читаешь эти правила — глаза на лоб лезут, как к примеру обеспечивать Right To Be Forgotten из бэкапов (не только цифровых, но и бумажных бэкапов отправленных на хранение в индию?)
Но всякие крутые аудиторские конторы которые приходят, консултируют — приходят к выводу, что ни чего особенно менять в не нужно, организовать пару процессов и назначить ответственных. Так что возможно оно только выглядит так плохо.
Понятно, что это несколько усложняет жизнь бизнесу и конечно придется какое-то время привыкать. Надо будет перепроверить модели угроз и несколько переделать свои политики.
Гайдлайны, практика и LegalTech позволят создать со временем удобную для всех реализацию. Но важно то, что в центре GDPR все же находится человек, права и свободы которого имеют высшую ценность.

Если я правильно понимаю к бэкапам это не очень относиться, т.к. это не публично доступная информация. Если есть четкая политика по хранению и жизненному циклу данных (data retention) и вы реализуете мероприятия по их защите (шифрование) то в принципе все хорошо. Потенциальное плохое место это передача данных 3-ей стороне, я не очень изучал конкретно этот вопрос, но он упоминается в документе.


Disclaimer: я не юрист, я инженер просто мне по служебной необходимости пришлось изучать этот вопрос.

Этот закон получается аналог российского закона, обязывающий хранить данные пользователей РФ на территории страны?
Только полноправные пользователи могут оставлять комментарии.
Войдите, пожалуйста.