GDPR — новые правила обработки персональных данных в Европе для международного IT-рынка

    image

    В мае 2018 года Европа переключится на обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Важным нюансом GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому российским компаниям следует внимательно отнестись к ним, если услуги ориентированы на европейский или международный рынок.

    Новый регламент предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными. С мая 2018 года ужесточается ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании. В настоящей статье мы проанализировали новые правила обработки персональных данных в ЕС и сформулировали рекомендации для российских компаний по методам реагирования на GDPR.

    Кто в зоне действия GDPR?


    GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании.

    Разумеется, филиалы, представительства российских организаций на территории ЕС должны будут соответствовать новым требованиям.

    Другую (неочевидную) категорию субъектов рассмотрим на следующем примере:
    Организация базируется в России. Она продает онлайн товары и услуги пользователям, в том числе пользователям из ЕС. Услуги предоставляются пользователям на локальных языках в местных валютах на национальных доменах верхнего уровня стран ЕС (напр., «.de», «.nl» или «.co.uk»). При этом эта организация не производит никаких операций или субподрядчиков непосредственно на территории ЕС.

    Должна ли такая организация соблюдать GDPR?
    Да.


    Ведь услуги и товары очевидно предлагаются жителям ЕС, потому что:

    — услуги/товары адаптированы на местные языки жителей ЕС;
    — услуги/товары оплачиваются в местных валютах ЕС;
    — услуги/товары предоставляются на национальных доменах верхнего уровня стран ЕС.

    Это означает, что организации, обрабатывающие персональные данные европейцев в России при реализации онлайн-продаж (например, РЖД, авиакомпании, гостиницы, хостелы и иные), подпадают под действие GDPR и обязаны соблюдать новые европейские правила обработки персональных данных.

    Важно отметить, что помимо обработки персональных данных в GDPR используется понятие мониторинга поведения субъектов данных, которое загоняет под действие GDPR ещё одну категорию субъектов. GDPR применяется к организациям, созданным за пределами ЕС, если они (в качестве контролера или процессора) контролируют поведение жителей ЕС (в той мере, в которой такое поведение имеет место в ЕС).

    Мониторинг может включать:

    — отслеживание резидента ЕС в интернете;
    — использование методов обработки данных для профилирования отдельных лиц, их поведения или их отношения к чему-либо (например, для анализа или прогнозирования личных предпочтений).

    Европейский законодатель также разделяет понятия контроллер данных (data controller) и процессор данных (data processor). Контроллер, действуя в качестве капитана судна, несет бОльшую юридическую ответственность, чем процессор, который действует в качестве моряка на судне. По сути контроллеры решают, что происходит с персональными данными и несут ответственность за обработку, а процессоры являются некими “исполнителями”.

    Например, облачная система, которой пользуются ваши сотрудники для целей выполнения задач и проектов, где также хранятся персональные данные клиентов, будет являться процессором данных, а вы, соответственно, контроллером.

    Что подразумевается под персональными данным в GDPR?


    Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), по которой прямо или косвенно можно его определить. К такой информации относится в том числе имя, данные о местоположении, онлайн идентификатор или один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п. 1 ст. 4). Определение широкое и достаточно четко дает понять, что даже IP адреса также могут быть персональными данными.

    Важно отметить, что существуют определенные типы персональных данных, относящиеся к категории особых или конфиденциальных персональных данных. Это информация, раскрывающая: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах. Кроме того, к этой группе относятся генетические, биометрические данные, используемые для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации (ст. 9).

    6 принципов обработки данных по GDPR


    Общий подход европейцев к обработке персональных данных сформулирован в виде 6 основных принципов:

    1) Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.
    2) Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
    3) Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки.
    4) Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
    5) Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
    6) Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.

    Ключевые требования


    Уведомление о случаях нарушения GDPR
    Компании обязаны уведомлять регулирующие органы (а в некоторых случаях и субъектов данных) о любых нарушениях, связанных с персональными данными в течение 72 часов после обнаружения такого нарушения.

    Например, недавняя новость о хакерской атаке на Uber — яркий пример нарушения данного правила. Uber сообщил прессе, что хакеры получили доступ к персональным данным 57 миллионов пользователей и водителей спустя целый год. Если бы сейчас действовал GDPR, то избежать высокого штрафа в размере 4% от годового оборота было бы невозможно.

    Список национальных регуляторов в области персональных данных по всем странам ЕС приведён тут. Также есть общеевропейский регулятор — Working party 29 или Рабочая группа по статье 29. Однако после вступления GDPR в силу Рабочую группу по статье 29 заменит новый орган — Европейский совет по защите данных (European Data Protection Board — EDPB).

    Права субъекта данных (физического лица)

    GDPR значительно расширяет права граждан и резидентов ЕС по контролю за их персональными данными. Европейские пользователи имеют право запрашивать подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам персональные данные раскрываются, период, в течение которого данные будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления. Более того, пользователь имеет право требовать прекращения обработки своих данных.

    В GDPR также предусмотрено право на забвение (right to erasure, right to be forgotten), которое дает европейцам возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам.

    Это не новое право, оно также есть в действующей Директиве. Суд справедливости ЕС (CJEU — Court of Justice of the European Union) в решении по делу Google Spain в 2014 году разъяснил, что субъекты данных имеют право на удаление информации о них из результатов поиска, если она не представляет общественного интереса. Однако, право на забвение распространяется не только на поисковые системы. Любая компания, обрабатывающая данные, должна удалять чьи-либо персональные данные по запросу, если это не противоречит интересам общества или иным фундаментальным правам европейцев.

    Например, если вы новостной сервис, то прежде, чем удалять данные, проверьте и убедитесь, что такое удаление не повлияет на свободу слова и на право к доступу информации, гарантированные европейцам статьей 11 Хартии Европейского союза по правам человека.

    Право на переносимость данных

    Право на переносимость данных (right to data portability) является новацией в правилах обработки данных ЕС, введенное GDPR. Данное право заключается в том, что компании обязаны предоставлять бесплатно электронную копию персональных данных другой компании по требованию самого субъекта персональных данных.

    Например, стартап под названием “Солнышко” хочет выйти на рынок с сайтом для обмена социальными медиа, но на рынке уже есть свои гиганты с большой долей рынка. Право на переносимость данных упростит потенциальным клиентам процесс передачи своих данных от одного онлайн-сервиса к другому (без повторного введения одних и тех же данных на разных сайтах).

    Другой пример. Субъект данных пользуется сервисом чтения электронных книг “Электронная книжка”. В один прекрасный момент пользователь решает перейти на сервис “Читай онлайн”. В данном случае право на переносимость данных позволяет получить от “Электронной книжки” персональные данные (например, предпочтения в литературе и другие) и передать их другому сервису.


    Согласие на обработку

    GDPR устанавливает высокие требования в отношении формы получения согласия на обработку данных. Согласие человека на обработку его персональных данных должно быть выражено в форме утверждения или в форме четких активных действий пользователя. Согласие на обработку персональных данных будет недействительно, если у пользователя не было выбора или не было возможности отозвать свое согласие без ущерба для самого себя. Если пользователь дал согласие на обработку своих персональных данных, контроллер должен иметь возможность продемонстрировать это.

    Не рекомендуем использовать по умолчанию поля о согласии с уже поставленной галочкой или другие методы получения согласия по умолчанию. Согласие также не может быть выражено в виде молчания или бездействия пользователя. Информация о порядке отзыва согласия на обработку персональных данных должна быть размещена таким образом, чтобы пользователь мог легко её найти.

    Особая защита детей

    Детские персональные данные заслуживают особой защиты, ведь они менее осведомлены о рисках, последствиях, гарантиях и их правах в отношении обработки персональных данных. Согласие на обработку данных ребенка должно быть авторизовано родителями (или законными представителями ребенка). Возрастной порог для родительской авторизации устанавливается государствами-членами ЕС отдельно (от 13 до 16 лет).

    Назначение ответственного за защиту персональных данных

    Это требование относится к компаниям, которые осуществляют регулярные и систематические крупномасштабные наблюдения, мониторинг лиц (выше о нем упоминалось); или которые осуществляют крупномасштабную обработку специальных персональных данных, например, медицинские записи или сведения об уголовной судимости.

    В любом случае, любая организация может добровольно назначить сотрудника по защите данных для управления процессами обработки данных пользователей и контроля за соблюдением требований GDPR. В таком случае компания должна опубликовать информацию о таком сотруднике, а также направить её национальному регулятору по защите персональных данных соответствующей страны ЕС.

    Что делать?


    Если вы входите в зону действия нового европейского регламента о защите данных или планируете расширяться и предоставлять услуги и товары в страны ЕС, то рекомендуется провести комплексную оценку применяемых в компании методов и средств обработки персональных данных и привести их в соответствие с новыми правилами GDPR. Следует также пересмотреть политику конфиденциальности и положения об обработке персональных данных пользовательских соглашений (Terms of use) своих сайтов и онлайн-сервисов, ориентированных на европейских потребителей и пользователей. Для соответствия требованиям GDPR необходимо разработать внутренние политики защиты данных, обучать персонал, проводить проверки деятельности по обработке данных, вести документацию по процессам обработки, внедрять меры по встроенной системе конфиденциальности, а также назначить сотрудника ответственного за обработку персональных данных (естественно, с учётом характера и объёмов обрабатываемых персональных данных).

    Несмотря на то, что новые требования к обработке персональных данных серьезны, в них есть положительные стороны для внеевропейских игроков: легче придерживаться единого набора правил защиты и обработки данных, чем учитывать национальные нюансы обработки персональных данных каждой отдельной страны ЕС, как это приходилось делать до введения GDPR. Более того, реформа направлена на стимулирование экономического роста путем сокращения расходов и бюрократии для компаний, работающих в ЕС. Соблюдение одного правила вместо 28 (количество стран-членов ЕС) поможет маленьким и развивающимся компаниям выйти на новые рынки. Согласно закону в ряде случаев обязательства изменяются в зависимости от размера бизнеса, природы обрабатываемых данных и иных факторов.

    Также следует заранее продумать механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных (пользователей), которые возможны в рамках GDPR (например, об уточнении данных, их удалении, прекращении обработки или передаче другой компании по праву на переносимость данных).

    Вывод


    GDPR — важнейший законодательный документ, который существенно повышает уровень защиты персональных данных в ЕС и за его пределами. Он требует очень внимательного изучения и соблюдения. Реформа дает ясность и последовательность правил, которые должны применяться в области защиты данных. Она также восстанавливает доверие пользователя-потребителя, что позволяет бизнесу максимально использовать возможности на едином европейском цифровом рынке. Сбор, анализ и перемещение персональных данных по всему миру приобрели огромное экономическое значение. Персональные данные – это, безусловно, “валюта” современной экономики. И если вы осуществляете сбор пользовательских данных в каком-либо виде — за их сохранностью надо внимательно следить, чтобы избежать утечек и возможных манипуляций ими третьими лицами.

    image
    Digital Rights Center 67,07
    Юридическая помощь в цифровом пространстве
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 51
    • 0
      В GDPR также предусмотрено право на забвение (right to erasure, right to be forgotten), которое дает европейцам возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам.

      Вот и подвезли пушку для стрельбы по воробьям. Пожалуй это единственный метод заставить пару ЕСовских интернет-магазинов перестать присылать мне физические бумажные каталоги...


      Вот интересно будет ли это работать для третьих лиц, потому-что каталоги приходят и на имя прежних жильцов.

      • 0

        Это подпадает под точность информации.

        • 0
          Почтовый адрес — это тоже персональная информация, и в данный момент это ваша персональная информация, поскольку она косвенно указывает на вас. На этом основании вы имеете право требовать ее удалить либо поправить.
          • +1
            право на забвение из прецедента превратилось в закон и теперь распространяется, по-сути, не только на поисковики, но и на любых операторов ПДн.
            • 0
              И да и нет. Право за забвение может быть инициировано исключительно самим пользователям. А тут за пользователя решают третьи лица — кому и как хранить его данные и передавать / не передавать еще кому-либо.
              Было бы ментально близко к праву быть забытым, если бы, например, я сам мог определять — хочу ли я локализовывать какие-либо свои данные в РФ или я готов доверить их иностранной компании, чтобы они хранились за границей.
            • 0
              Не обольщайтесь. Если только вы не гражданин ЕС
              GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС
              • 0
                данные резидентов и граждан ЕС

                Как-то так.

            • –3
              Ждем введения аналога в России и криков европецев о том, что аналогичный закон нарушает права человека.
              • 0
                О чем вы? У нас такой уже есть, причем, местами, даже послабее европейского. У нас не заставляют удалять и обеспечивать переносимость.
                • 0
                  Я как раз об этом. Думаете в Думе не доработают?
                  • 0

                    Ты так переобулся в воздухе?

                    • 0
                      «причем, местами, даже послабее европейского» — значит надо сравняться или даже лучше перегнать.
              • 0

                А что будет если ржд, внезапно, забьет на этот закон. Они им штраф выпишут? Примерно как на Украине Путину запрещают в Крым ездить?

                • +1
                  Если дело дойдет до суда и штрафа, то может быть наложен арест на имущество, находящееся в юрисдикции ЕС. Пройдет поезд границу — и «Поезд дальше не идет, просьба освободить вагоны» )
                • 0
                  Предусмотрели ли европейские парламентарии централизованный сервис с API под данный законопроект или каждый ресурс выбирает удобный способ реализации пунктов GDPR?
                  • 0
                    А под какие конкретно пункты сервис с API нужен? Кроме переносимости вроде бы ни для чего… Да и тут правильнее формат обмена стандартизовать хотя бы, а сервисы потом уже придумывать.
                    • 0

                      не предусмотрен, как не описано никого способа официальной сертификации.

                    • 0
                      Общий подход европейцев к обработке персональных данных

                      Там все веселее. Я лично тормознул первый раз на фразе
                      Целью обработки персональных данных является служба человечеству

                      линк
                      • +2

                        (Disclaimer: Я читал оригинал) Спасибо, на удивление толковая статья. Основные моменты перечисленные верно. Резюмируя, это в целом бесполезный и безсодержательный документ описывающий в общих чертах "как оно должно бы быть, как нам кажется" однако без конкретных требований. Очень многие моменты оставлены без объяснений. В текущем виде документ не защищает ни кого ни от чего. Если компания небольшая (до 250 сотрудников) и не работает с sensitive personal data (например медицинские записи) то для выполнения GDPR нужно грубо говоря только сайт обновить (утрирую).

                        • +1
                          Я бы не назвал его бессодержательным. Документ солидный и готовился ни один год. Он конечно не содержит жестких императивов. Скорее закон модульный. Но он создает стандарты и новые принципы для Европы по обработки перс.данных и вводит определенные новшества в сфере цифровых прав человека. Например, право на перенос данных, которое до этого не существовало.
                          • 0

                            Право на экспорт данных есть в EU Data Protection Directive в GDPR лишь слегка изменили формулировку. И формат не описан, указано что он должен быть читаем для компьютера (далее включаем фантазию) Опять же это одно из немногих исключений(почти все есть в статье) все остальное — вода.


                            Никаких стандартов только демагогия из серии "The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed". А в граммах это сколько? Как и кто сможет это проверить?


                            Нет процедуры сертификации, грубо говоря любой может утверждать что соответствует GDPR и проверить как и доказать это нельзя. Достаточно лишь "demonstrate compliance of processing activities with GDPR"


                            Один из ключевых елементов Supervisor Authority (бюрократ из EU через котрого идет вся работа), а теперь внимание если вы компания не из EU и сервера ваши тоже не в EU кто будет вашим supervisor authority? Сюрприз "controllers without any establishment in the EU must deal with local supervisory authorities in every Member State they are active in, through their local representative" хочется спросить "Вы там что курили господа?"

                            • 0

                              Смотрится как закон-заглушка, взломали и угнали данные — значит не защищал — штраф, не стер личные данные по указанию юзера — тоже штраф.

                              • 0

                                Да есть похожее впечатление. Безусловно есть положительные моменты но в основном это бюрократия типа обновления соглашения пользователя или того как сейчас за Вами все бегают с предложением согласиться на cookie а будут с согласием на обработку данных. Практической пользы чуть более 0.

                              • +1
                                Действительно, многие полагают, что в DPD можно считать, что право доступа (right to access) дает также право на экспорт (переносимость) данных. Все же, это право доступа ограничено форматом, который выберет контроллер данных, субъект данных не решает. Право на переносимость является новым отдельным правом, оно конкретизировано, облегчает способность перемещать, копировать или передавать данные от одного оператора данных к другому в структурированном, широко используемом
                                и машиночитаемом формате. В целом, весь GDPR направлен на расширение и конкретизацию возможностей субъектов данных в отношении своих личных данных.

                                Касательно демагогии, уверена, что будут дальнейшие разъяснения Working party 29(а если нет, так судебная практика). Можно следить за гайдлайнами WP 29 ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083, которая подробно объясняет, каким образом отдельные положения Регламента должны работать. Они уже, например, опубликовали гайдлайн по data portability и др.

                                По сертификации — ст. 42-43 GDPR. Посмотрела, пока что еще нет механизмов сертификации на ЕС уровне.

                                Относительно supervising authority, так же есть гайдлайн. Там описаны критерии определения (с примерами наглядными) lead supervising authority. ec.europa.eu/information_society/newsroom/image/document/2016-51/wp244_en_40857.pdf
                                • 0

                                  Спасибо за комментарий, изучу.

                          • 0
                            Последнее время все страны взялись делать законы без учета реалий жизни. Конечно, красиво сказать «всем жителям… мы разрешаем по всему миру требовать обращения с ними по закону ...» — но это не менее бред, чем кричать в чужой стране, что «я привык курить в общественном месте, а у вас тут нельзя, а по закону… моей страны — можно».

                            И, если уж по-честному, страна, где находится пользователь, должна бы его защищать, давая ему жить на территирии страны по законам этом страны!
                            • +2

                              Вы не упомянули еще одно права субъекта данных. Это право на отказ быть субъектом профилирования и системы автоматического принятия решения. Грубо говоря житель EU может требовать чтобы его заявку на потребительский кредит рассматривал живой человек а не AI система. И так про все что имеет "legal effects"

                              • 0
                                >>GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании.
                                Буквально в прошлую пятницу на ms digital platform господа из ernst&young (http://msplatform.ru/, презентация Евгения Кима) утверждали ровно обратное. Что gdrp жёстко ограничивает своё применение территорией ЕС и не применим за его границами. Посему мы тут можем расслабиться, если не ведём бизнеса в ЕС. И кто правду говорит?
                                • 0
                                  Не, вы что-то путаете, я тоже смотрел трансляцию этой секции и данную презентуху. Спикер как раз проговаривал, что GDPR действует не только внутри границ ЕС, в случае если компания не в ЕС что-то делает с персданными гражданина ЕС, то автоматом срабатывают нормы GDPR, в какой бы стране это не происходило.
                                  Ну и там еще много ньюансов.
                                  Вроде видеозапись секции доступна там, можете еще раз пересмотреть.
                                  В России только глава Роскомнадзора ляпнул, что GDPR никак не будет касаться России. Все в отрасли усмехнулись на это.
                                  • 0
                                    А я в зале сидел. Евгений Ким четко сказал, что
                                    1. вы попадаете под действие GDPR если производите операции с ПД на территории ЕС
                                    2. если гражданин ЕС передает свои ПД на территории РФ, то это его собственный риск и GDPR на такую ситуацию не распространяется, т.к. РФ не входит ни в ЕС, ни в список стран, считающихся доверенными.
                                    Отдельно Евгений подчеркнул, что из российских компаний оно грозит только тем у кого есть европейские дочки и те кто непосредственно оказывает услуги и продает товары на территории ЕС использую ПД, находящихся на территории ЕС (особое внимание обратили на то, что нигде речь не идет о гражданах ЕС — всегда речь идет о лицах, находящихся на территории ЕС в момент получения и обработки ПД)
                                    Понятно что возникает много вопросов, но принципа экстерриториальности, как у американцев нет.
                                    В общем только я расслабился, а вы меня опять напугали :-(. Надо будет Евгению написать, чтобы еще раз вопрос прояснить.
                                    • +1
                                      Понимаете, тут нет «последней инстанции», да, толковаться может расширенно.
                                      К слову, вчера был на Пиринговом форуме, там была отличная сессия «Интернет в эпоху границ и ограничений – возможно ли регулировать технологии?» и там тоже эксперты отвечали на вопрос про GDPR. Внезапно встал вопрос — что «пакет Яровой» напрямую нарушает нормы GDPR. Как понимаю, видеозапись выложат позже, сюда её закину, вполне интересно по сабжевой теме.
                                      • 0
                                        Как обещал — видос с секции «Интернет в эпоху границ и ограничений – возможно ли регулировать технологии?» (с 6:03:32):
                                        • 0
                                          Ну мне кажется, что все согласились что никакой экс-территориальности в GDRP сейчас нет, а дальше «поживем -увидим»
                                          • 0
                                            Ну всё-таки не совсем так, послушайте внимательно спич Михаила Якушева на видео по сабжу.
                                            • 0
                                              Тогда цитата из презентации Кима
                                              О применимости GDPR к российским компаниям (2/3)
                                              Комментарии:
                                              1. В критериях применимости отсутствует привязка к гражданству субъекта ПДн; под защиту
                                              GDPR попадают ПДн всех субъектов в момент нахождения их внутри ЕС
                                              2. Формулировка «предложение товаров и услуг находящимся на территории ЕС субъектам
                                              персональных данных» главным образом нацелена на организаций, которые не имеют штабквартиры или какого-либо иного присутствия на территории ЕС и используют веб-сайты для
                                              предоставления/продвижения/оплаты своих услуг
                                              3. Согласно критерию №1, если у организации есть дочерние структуры в ЕС, то эти дочерние
                                              структуры попадают под GDPR
                                              4. Согласно критерию №2, в контексте формулировки про «отслеживание» [субъектов ПДн],
                                              российские организации подпадают под действие регламента GDPR в случае, если они будут
                                              отслеживать действия физических лиц для создания профилей, в том числе, в целях принятия
                                              решений для анализа/прогнозирования их личных предпочтений, поведения (например,
                                              скоринг, мониторинг транзакций, аналитика данных для целей таргетированной рекламы)
                                              • 0
                                                Ну и еще раз перечитал презентацию Кима. Сохранил на диск для предъявления желающим повесить на меня соответствие GDPR. Пусть аргументированно спорят с E&Y :-).
                                                У меня тут лежит требование одного из клиентов соответствовать законам ФРГ о резервном копировании (я даже не знал существовании такого) с ссылкой на сайт на немецком. Такими темпами скоро заставят учить индонезийский, например (что пора учить китайский и так понятно)
                                  • +1
                                    Пора бы законникам понять, что не бывает в отношении онлайн бизнеса такого:
                                    Посему мы тут можем расслабиться, если не ведём бизнеса в ЕС

                                    Сайт (кроме идиотских закрытий доступа к нему) доступен всему миру, в т.ч. и на МКС, в т.ч. и на Эвересте, в т.ч. и на полярной научной станции — и все эти «визиторы» име имеют равные права.

                                    Иначе быстро дойдем до того, что, скажем, людям какого-то вероисповедания (как пример) по закону прикажут показывать другой контент, и как владельцу сайта проверить в реальном времени — непонятно. Сделать же сложную регистрацию и проверку каждого посетителя — означает подорвать бизнес.
                                    • 0
                                      Проблема негров-айтишников шерифов-юристов не волнуют. Законы пишут они, в суде решения проталкивают-принимают они, с правоохранителями общаться тоже будут они. После приравнивания лицензий на ПО к произведениям искусства в общем удивляться не чему… :-(
                                    • +2
                                      Распространяется ли GDPR на какой-либо онлайн сервис будет определено в каждом отдельном случае.
                                      Настоящая доктрина, выработанная судебной практикой, гласит, что если ваш веб-сайт целенаправленно предлагает товары/услуги гражданам ЕС, то он должен соблюдать законодательство ЕС, включая законы о защите потребителей и защите персональных данных

                                      Например, вот пример российского сайта, который, на мой взгляд, должен соответствовать требованиям GDPR, поскольку он предлагает товары в евро, а также язык может меняться на немецкий, английский, испанский (Австрия, Германия, Испания, Великобритания являются членами ЕС) export.airsoftstore.ru/de

                                      Экстерриториальное действие GDPR очень спорно, горячо обсуждаемо.

                                      Все же, считаю, что это нормальное вполне реальное положение, потому что интернет не имеет физических границ, но это не должно отменять права человека на защиту его персональных данных в соответствии с законодательством страны, где он постоянно проживает. Все это вопросы международного частного права, подсудности, применимого права итд.
                                      • 0

                                        на ms digital platform не был, однако в GDPR абсолютно четко написано что GDPR распространяется на все компании которые продают услуги или товары жителям EU или обрабатывают их личные данные (в документе "мониторят") в том числе это распространяется на компании которые в EU не представлены и данные в EU не хранят.


                                        В некоторых толкованиях приводятся такие признаки как наличие сайта на языке страны члена EU или указанные цены на товар в валюте EU и так далее.


                                        Вопросы "я как они дотянутся" оставляю за скобками.

                                      • 0
                                        Прочитал статью и, к счастью или сожалению, не увидел ничего нового, все понятия, ключевые требования, принципы обработки и так далее уже существуют в тех или иных политиках_ которые учитывают многие компании, ориентированные на внешний рынок. Если я не прав, то просьба пояснить. Кратко — хотелось бы видеть конкретные сравнения.
                                        • +2
                                          В целом да, кардинальных изменений не произошло. ЕС просто давно шел к созданию единого для всех стран-членов закона о персданных, и вот это произошло. По большей части они формализировали то, что выработано судебной практикой, а также удовлетворили потребности общества, дав им бОльший контроль над своими данными. Ведь не секрет, что в ЕС (особенно после Сноудена, дела Шремс), паранойя по поводу персданных.

                                          Думаю, что практический эффект отразится на больших компаниях или компаниях, которые имеют дело с большими объемами перс данных. Мне кажется, что на них и рассчитан закон, в первую очередь: ФБ, гугл, убер, airbnb, booking итд
                                        • 0
                                          Любая компания, обрабатывающая данные, должна удалять чьи-либо персональные данные по запросу, если это не противоречит интересам общества или иным фундаментальным правам европейцев


                                          А вот тут конкретизируйте пожалуйста, потому что я такое впервые вижу, хотя работал в Европе когда бывшая команда начала адаптацию наших проектов под GDPR. Как мои персональные данные относятся к фундаментальным правам других людей или общества?
                                          • +2
                                            Это относится, главным образом, к публичным личностям, к которым общество проявляет повышенный интерес (работники власти чаще всего). Например, некий политик запросит у новостного сайта удалить информацию о нем, ссылаясь на право на частную жизнь или у гугла удалить какие-то результаты поиска о нем (к примеру, инфу про его собственность на Мальдивах). В ЕС такой сервис прежде, чем удалить, должен оценить не повлияет ли такое удаление на фундаментальные права европейцев: свободу слова (для новостного сервиса), право на доступ к информации (для юзеров)
                                            • 0
                                              Спасибо, резонно, но вызывает больше вопросов чем ответов. Какая нормативно-правовая база будет регулировать и определять что является такой информацией а что нет. Дом дому рознь, даже на Мальдивах.
                                        • 0
                                          Занимаюсь реализацией, когда читаешь эти правила — глаза на лоб лезут, как к примеру обеспечивать Right To Be Forgotten из бэкапов (не только цифровых, но и бумажных бэкапов отправленных на хранение в индию?)
                                          Но всякие крутые аудиторские конторы которые приходят, консултируют — приходят к выводу, что ни чего особенно менять в не нужно, организовать пару процессов и назначить ответственных. Так что возможно оно только выглядит так плохо.
                                          • +1
                                            Понятно, что это несколько усложняет жизнь бизнесу и конечно придется какое-то время привыкать. Надо будет перепроверить модели угроз и несколько переделать свои политики.
                                            Гайдлайны, практика и LegalTech позволят создать со временем удобную для всех реализацию. Но важно то, что в центре GDPR все же находится человек, права и свободы которого имеют высшую ценность.
                                            • 0

                                              Если я правильно понимаю к бэкапам это не очень относиться, т.к. это не публично доступная информация. Если есть четкая политика по хранению и жизненному циклу данных (data retention) и вы реализуете мероприятия по их защите (шифрование) то в принципе все хорошо. Потенциальное плохое место это передача данных 3-ей стороне, я не очень изучал конкретно этот вопрос, но он упоминается в документе.


                                              Disclaimer: я не юрист, я инженер просто мне по служебной необходимости пришлось изучать этот вопрос.

                                            • 0
                                              Этот закон получается аналог российского закона, обязывающий хранить данные пользователей РФ на территории страны?

                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                              Самое читаемое