Если можно идентифицировать человека по какой-то информации, это уже персональные данные. Данные в сочетании с другими данными позволяют идентифицировать человека, в статье указано «предпочтения в литературе и другие», т.е. информация о купленных книгах, электронная почта и т.п. в совокупности могут быть использованы для идентификации.
Data subject в любом случае, как правило, будет в приоритетном положении. Непонятно, почему вы думаете, что принимающая сторона не захочет принять данные? Это ведь в интересах принимающей стороны заполучить нового пользователя, который уходит от другого сервиса и хочет перенести свои данные. Это косяк принимающей стороны, если в ее terms&conditions такой формат не предусмотрен. Пользователь вряд ли пойдет тогда к такому сервису.
Например, пользователь читал книжки на одном сервисе и решил перейти в другой, хочет при этом захватить свои предпочтения в книжках (персданные). В таком случае старый сервис может быть не заинтересован такие данные передавать, а с data portability он обязан в structured, commonly used and machine-readable format передать данные пользователю, так как это право пользователя, гарантированное GDPR.
В целом да, кардинальных изменений не произошло. ЕС просто давно шел к созданию единого для всех стран-членов закона о персданных, и вот это произошло. По большей части они формализировали то, что выработано судебной практикой, а также удовлетворили потребности общества, дав им бОльший контроль над своими данными. Ведь не секрет, что в ЕС (особенно после Сноудена, дела Шремс), паранойя по поводу персданных.
Думаю, что практический эффект отразится на больших компаниях или компаниях, которые имеют дело с большими объемами перс данных. Мне кажется, что на них и рассчитан закон, в первую очередь: ФБ, гугл, убер, airbnb, booking итд
Если не закон, то судебная практика. В ЕС есть CJEU (Court of Justice of EU), он устанавливает судебные прецеденты, которые потом применяются национальными судами.
Распространяется ли GDPR на какой-либо онлайн сервис будет определено в каждом отдельном случае.
Настоящая доктрина, выработанная судебной практикой, гласит, что если ваш веб-сайт целенаправленно предлагает товары/услуги гражданам ЕС, то он должен соблюдать законодательство ЕС, включая законы о защите потребителей и защите персональных данных
Например, вот пример российского сайта, который, на мой взгляд, должен соответствовать требованиям GDPR, поскольку он предлагает товары в евро, а также язык может меняться на немецкий, английский, испанский (Австрия, Германия, Испания, Великобритания являются членами ЕС) export.airsoftstore.ru/de
Экстерриториальное действие GDPR очень спорно, горячо обсуждаемо.
Все же, считаю, что это нормальное вполне реальное положение, потому что интернет не имеет физических границ, но это не должно отменять права человека на защиту его персональных данных в соответствии с законодательством страны, где он постоянно проживает. Все это вопросы международного частного права, подсудности, применимого права итд.
Это относится, главным образом, к публичным личностям, к которым общество проявляет повышенный интерес (работники власти чаще всего). Например, некий политик запросит у новостного сайта удалить информацию о нем, ссылаясь на право на частную жизнь или у гугла удалить какие-то результаты поиска о нем (к примеру, инфу про его собственность на Мальдивах). В ЕС такой сервис прежде, чем удалить, должен оценить не повлияет ли такое удаление на фундаментальные права европейцев: свободу слова (для новостного сервиса), право на доступ к информации (для юзеров)
Действительно, многие полагают, что в DPD можно считать, что право доступа (right to access) дает также право на экспорт (переносимость) данных. Все же, это право доступа ограничено форматом, который выберет контроллер данных, субъект данных не решает. Право на переносимость является новым отдельным правом, оно конкретизировано, облегчает способность перемещать, копировать или передавать данные от одного оператора данных к другому в структурированном, широко используемом
и машиночитаемом формате. В целом, весь GDPR направлен на расширение и конкретизацию возможностей субъектов данных в отношении своих личных данных.
Касательно демагогии, уверена, что будут дальнейшие разъяснения Working party 29(а если нет, так судебная практика). Можно следить за гайдлайнами WP 29 ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083, которая подробно объясняет, каким образом отдельные положения Регламента должны работать. Они уже, например, опубликовали гайдлайн по data portability и др.
По сертификации — ст. 42-43 GDPR. Посмотрела, пока что еще нет механизмов сертификации на ЕС уровне.
Сейчас даже по обезличенным данным возможно идентифицировать человека...(https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3022646, www.theguardian.com/technology/2017/aug/01/data-browsing-habits-brokers, law-journal.hse.ru/data/2015/04/20/1095377106/Savelyev.pdf)
Поэтому все компании хотят себя как можно лучше защитить и запрашивают согласие на обработку любой информации… на всякий случай…
Например, пользователь читал книжки на одном сервисе и решил перейти в другой, хочет при этом захватить свои предпочтения в книжках (персданные). В таком случае старый сервис может быть не заинтересован такие данные передавать, а с data portability он обязан в structured, commonly used and machine-readable format передать данные пользователю, так как это право пользователя, гарантированное GDPR.
Думаю, что практический эффект отразится на больших компаниях или компаниях, которые имеют дело с большими объемами перс данных. Мне кажется, что на них и рассчитан закон, в первую очередь: ФБ, гугл, убер, airbnb, booking итд
Настоящая доктрина, выработанная судебной практикой, гласит, что если ваш веб-сайт целенаправленно предлагает товары/услуги гражданам ЕС, то он должен соблюдать законодательство ЕС, включая законы о защите потребителей и защите персональных данных
Например, вот пример российского сайта, который, на мой взгляд, должен соответствовать требованиям GDPR, поскольку он предлагает товары в евро, а также язык может меняться на немецкий, английский, испанский (Австрия, Германия, Испания, Великобритания являются членами ЕС) export.airsoftstore.ru/de
Экстерриториальное действие GDPR очень спорно, горячо обсуждаемо.
Все же, считаю, что это нормальное вполне реальное положение, потому что интернет не имеет физических границ, но это не должно отменять права человека на защиту его персональных данных в соответствии с законодательством страны, где он постоянно проживает. Все это вопросы международного частного права, подсудности, применимого права итд.
и машиночитаемом формате. В целом, весь GDPR направлен на расширение и конкретизацию возможностей субъектов данных в отношении своих личных данных.
Касательно демагогии, уверена, что будут дальнейшие разъяснения Working party 29(а если нет, так судебная практика). Можно следить за гайдлайнами WP 29 ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083, которая подробно объясняет, каким образом отдельные положения Регламента должны работать. Они уже, например, опубликовали гайдлайн по data portability и др.
По сертификации — ст. 42-43 GDPR. Посмотрела, пока что еще нет механизмов сертификации на ЕС уровне.
Относительно supervising authority, так же есть гайдлайн. Там описаны критерии определения (с примерами наглядными) lead supervising authority. ec.europa.eu/information_society/newsroom/image/document/2016-51/wp244_en_40857.pdf