Pull to refresh

Comments 33

Есть какой-нибудь чеклист внятный, который соблюдает и не попадаешь на штраф?

Скорее всего список драконовских мер, исключающий хранение персональных данных где бы то ни было кроме ЦОДов, типа: дорогие сейфовые двери, наличие сертифицированных антивирусов (это чтобы бэкдоры гарантированно стояли), использование сертифицированного ПО СУБД, использование сертифицированной криптозащиты, требования к пожаробезопасности, наличие сертифицированных брандмауэров. И самое главное: наличие какого-нибудь "Сертификата Комитета Неполживой Супернадёжной Безопасности".


Вот и получится, что по закону персональные данные можно хранить только в ЦОДах уважаемых пацанов с мохнатой лапой и золотыми часами. По сути это тотальная узурпация всех персональных данных населения в одних руках.


Пока телезритель следит за fire-шоу в Сирии и Донбассе и online-перебранкой п.резидентов, компетентные люди ходят по квартирам и вырезают неугодных.

Хрень какую-то написали. Наоборот теперь личные данные защищены от узурпаторов. Согласно этому закону Facebook должен все данные по первому запросу удалить забесплатно и при этом не имеет права сохранить shadow копии. Если они это сделают, они попадут на нереальный штраф и суд от Вас лично.

Требований к физическому хранению данных нет, как таковых. Требование в описании всех и всяких использований этих данных. Следовательно нельзя просто сохранять все подряд, чтобы «потом разобраться». Тем более нельзя скрипты аналитики без описания у себя как они будут собирать данные. В общем всякое такое и тому подобное.

Privacy policy обязана быть. С полным и точечным описанием использования данных. При этом она должна быть написана общеоборотным языком без legalese. Что значит нельзя делать сто разных референсов и мелкий текст внизу страницы, использовать юридические термины и тому подобному.

Грубо говоря privacy policy сводится к «Мы получаем ваше имя, почту, телефон через форму для обработки заказа, ваши ip адрес для безопасности, email для проведения коммуникаций и данные вашего браузера для аналитики. Данные аналитики передаются третье-сторонней компании Кукл. Также мы делаем куки ибо это ключевая система создания сессии».

Как связано? А очень просто. Теперь хранение "персональных данных" на домашних компьютерах становится незаконным, так как ни один домашний компьютер не соответствует куче требований, введённых законами ЕС, РФ и США. И не надо мне говорить, что хранение персональных в облаках — это "супернадёжно, суперудобно, супербезопасно" и так далее. Своему соседу Васе я доверяю больше, чем серверам Facebook, Microsoft или Vkontakte вместе взятым. А меня сейчас этой возможности лишают, и делают Васю, хранящего мой профиль и фото у себя на компе, штрафником и уголовником.

Странное заявление. Тогда СМС и записные книжки пойдут по тем же статьям.
Хрень какую-то несете. Хранение своих данных вполне законно. Также GDPR не затрагивает мелкий бизнес чуть менее чем полностью.
UFO just landed and posted this here
Я думаю, robux имел в виду не файлообменники, a p2p-социальные сети типа Diaspora.
Diaspora — федеративная сеть, а я имел в виду именно p2p-сеть, например, мою Пандору.
Хотя частные федеративные сети (Диаспора, Mastodon и т.п.) тоже попадают «под раздачу» из-за этих законов.
В GDPR прямо сказано, что он не применяется к физическим лицам.
Впрочем, мне распределенные социальные сети никогда не казались хорошей идеей: вместо того, чтобы доверить информацию о себе одной компании, ты доверяешь ее неопределенному кругу нододержателей. При том и той самой злодейской корпорации эти данные тоже не составляет особого труда получить. Возможно, имела бы смысл социальная сеть, в которой данные пользователя хранятся только на его собственной машине, но чем больше я об этом думаю, тем больше мне кажется, что такая социальная сеть уже существует и называется World Wide Web.
Ничего вы не передали. Только картинки с намёками на конспирологию.

Всё я передал. Цитирую:


Процессоры данных (обработчики, хранители) – это организации, которые осуществляют ХРАНЕНИЕ ПД непосредственно на своих компьютерах. Они обязаны ограничить физический доступ к оборудованию, реализовать сценарии резервного копирования, настроить брандмауэры и соблюсти другие строгие требования.

В регламент внесено много новых требований, которые в большинстве случаев усложняют жизнь компаниям. Одним из таких изменений является, например, обязанность уведомлять специальные органы «Data Protection Authorities» (DPA) об утечке персональных данных в течение 72 часов.

.
И там даже ссылки указаны, откуда взяты эти сведения.

Да-да, а еще проиллюстрировали это картинкой, изображающей влияние ZOG. IT-аналитика высокого полёта, однако.
А кто заплатит за фантазии чиновников?
В статье написано, кто. Сначала компании-агрегаторы, потом рекламодатели а потом — потребители продуктов рекламодателей.
Вообще всегда за любые фантазии чиновников/менеджеров платят одни и те же люди
А я всерьез надеюсь, что этот закон уменьшит аппетиты всех мелких и не очень контор до моих персональных данных. Если их сбор и хранение станет невыгодным занятием, то я только за. Понятно что оно может повернуться как угодно, но положительный аспект я такой вижу.
Мелкие конторы просто возложат ответственность за хранение ПД на компании, которые прошли сертификацию. Уйдут в какое-нить облако и все.
А я оптимист. (дальше мечты и надежда на человечество) Просто чтобы оперировать ПД в принципе придется проходить сертификацию. Соответственно сервисы должны переработать стратегию общения с пользователями, чтобы ПД у них не было (и досупа к ним тоже). Для платежей они уже не сильно нужны (ПД останутся в банках и третьим лицам не будут переданы), с почтой и доставкой что-нибудь придумают. Для всего остального они тоже часто принципиально не нужны. А то расплодилось тех же приложений, подавай им все права на смартфоне на каждый чих (до них тоже пусть доберутся и ручки поукоротят)
Вообще не надо «проходить сертификацию». Откуда эта инфа пошла?
Сертификация только для mid бизнеса и выше, а это 100+ работников и много миллионные обороты.
UFO just landed and posted this here
Ну так Гугл и не small бизнес. Им и надо сертифицироваться.
UFO just landed and posted this here
Мелкие конторы не могут этого делать в принципе.

Для проведения какой-либо деятельности с целью получения выгоды в онлайн даже мелким компаниям надо удостовериться хотя бы в одном прямом контакте с пользователем. Адрес, IP адрес, телефон — что-либо. Так что маленькие компании обязаны GDPRиться и не могут свалить это на cloud вообще.
Они могут свалить на них часть задач потенциально. Судя по определениям, большинство компаний так или иначе попадает под определение контроллеров, если они просят у пользователей их личные данные. Видится как наиболее ответственная сторона в этой всей затее. Но так или иначе часть задач можно переложить на облако, которое станет процессором. Может хранить, обрабатывать, передавать третьей стороне, делать всякое непотребство, но по четким указаниям контроллера.
Нет не надо. Мелкие конторы могут собирать и хранить данные необходимые для заказа по закону, без даже особого описания в privacy policy. Знаю, ибо владею конторой в ЕС.

Если собираете больше, то пожалуйте под GDPR. Но 99.99% мелких контор не должны ничего по GDPR, кроме уведомления в случае обнаруженного взлома и проблем и удаления данных после периода аккаунтинга.
Т.е. вы хотите сказать, что информация из заказа такая как email адрес, адрес доставки, имя фамилия, телефон — это GDPR не покрывает? Что-то у вас противоречие получается и нивелирует всю GDPR затею, да еще и не соответствует тому, что пишут в интернете о GDPR. Онлайн магазин для заказа собирает личные данные, которые идентифицируют человека, т.е. попадает под определение контроллера, но ничего кроме обнаружения взлома не должна? По GDPR она там много чего должна, будучи контроллером. Как минимум, обеспечивать должную защиту информации. И в случае, если произойдет утечка, а должная защита отсутствовала, то придется платить за ущерб материальный или нет. Это я так бегло по GDPR вычитал. Кто его знает, сколько всего на самом деле предписывает этот акт. Поэтому логично как можно больше снять с себя — не заниматься защитой информационной, а отдать это на откуп другим. Тем же облакам. Azure вот уже в контракт добавил гарантии для GDPR.
Вот в том то и дело, что передавать куда-либо данные создает тучу проблем. Вот например наша полиси теперь.

serverastra.com/billing/knowledgebase/15/ServerAstra-Privacy-Policy.html

Касательно Azure персональными данными является также данные сервера клиента, его впс и т.п. и т.д. Так что Azure должны иметь гарантии GDPR, т.к. по сути они будут хранить персональные данные, например в случае, если Вы являетесь стартапом пользующимся Azure.

Мы тоже работаем над добавлением записи о Storage Data, которое тоже может включать персональные данные, а соответственно подпадает под GDPR. Но опять же, нас это особо не касается. Мало что изменилось, только добавились подробности i.e. сколько храните данные, какие конкретно данные собираете, куда передаете, как обрабатываете, а также удаление данных (очень хитрый вопрос, ибо надо удалять и из бекапов!) и выкачка всех персональных данных (решается софтом).
Подскажите пожалуйста, если в РФ есть закон о хранении данных и в ЕС такой же, в US тоже думаю что есть. Все страны хотят хранить данные у себя в стране, то как хранить эти ПД? Спрашивать у юезров из какой они страны и иметь как минимум 3 базы данных — в РФ, в ЕС и US для хранения этих ПД?
152-ФЗ предписывает первичное хранение и обработку на территории РФ. При этом трансграничная передача разрешена. GDPR тоже разрешает трансграничную передачу данных граждан EU при соблюдении определенных условий. В принципе, облака все эти вопросы как раз и помогают решить. GDPR — это не только про место хранения. Вопрос намного шире — каковы мои права как субъекта перс. данных? GDPR как раз мне эти права и дает — право на осзнакомление, забвение, оповещение в случае утечки мои х данных и т.п.
Sign up to leave a comment.