Обсуждение законодательства в части защиты персональных данных

[SeregaZ]

это после скандала с фейсбуком все подряд компании начали оптом обновлять лицензионные соглашения? за эту неделю наверное от пяти разных крупных сайтов пришло, что дескать мы изменяем там чото бла бла бла...

[Skay]

SeregaZ, нет. всё куда серьезнее. В европках приняли очередной бредовый закон относительное персональных данных (да, не только у нас такое бывает) https://habr.com/company/digitalrightscenter/blog/344064/

[Softer]

В европках приняли очередной бредовый закон относительное персональных данных (да, не только у нас такое бывает)

Ты статью то на которую ссылаешься читал? В каком месте он бредовый? Так что нет, только "у нас" бывает такое, о чём ты подумал.

[Skay]

Softer, ты правда не считаешь это бредом?

мда..  по сути, ничего что может хоть как то идентефицировать пользователя - хранить нельзя. И она такого же уровня как наша про "хранение персональных данный пользователей России только в России", только тут кто хоть как то взаимодействует - с граждданами ЕС, должен это реалиовывать. Причем взаимодействием считается даже просто наличие английской версии сайта.
Когда GDPR вступит в силу, у пользователей будет возможность запросить полную копию их личной информации с серверов компании, абсолютно бесплатно. - это просто прекрасно, ушел когта аккаунт - заходишь на сайт, и получаешь все в готовом виде о пользователе. Или в вацапе так, бывает номер сменят, а его оператор потом другому отдет (там привязка карт сбера раньше оставалась лол)
еще мне нравится пункт

Закон увеличивает штрафы до 20 миллионов евро или 4% от годового оборота компании, в зависимости от того, что больше. Кроме того, доказать факт утечки теперь намного проще.

интересно, каким образом проще? 20 лямов штраф если вдруг кому то покажется что с твоего сайта утекли данные о пользователе - да это для обычного форума смерте подобно.
или

Все контроллеры и процессоры, которые обрабатывают личную информацию жителей ЕС, теперь обязаны иметь официального представителя в Евросоюзе, вне зависимости от того, где они сами находятся.

совсем збс.
НУ и кроме всего, по этому закону нет ничего, он вышел, просто выкинули на пупблику, а что и как делать - каждый сейчас будет изобретать велосипед, неизвестно что из этого будет хорошо а что плохо, нет никаких рекомендаций к закону. Выкинули, "релизуйте как хотите, а мы решим оптом что нас устроит а что нет". Все знакомые кто с этим сейчас столкнулись, понанимали юристов и сидят ковыряют то г...о.
ТАм такие формулировки, что даже логирование айпишников, если кто то их захочет поанализировать - можно приравнять к ПД  и за это нагнуть компанию.

это такая же истерия как их закон заставивший все сайты сообщать что они собираются хранить куки, только это новый виток бреда похлеще.

Всё это полнейший бред, написаный такими же безграмотными чуновниками как наши.

о, вот нагуглил небольшую выжимку того что примерно надо делать https://medium.com/@rsedykh/gdpr-and-privacy-shield-in-plain-russian-for-saas-9dfa03e72f9b
вот еще хорошая ветка https://habr.com/company/plesk/blog/354386/#comment_10777060  человек поделился информацией от Garante Privacy

Отчитываюсь — встеча состоялась и на вопросы (некоторые) пответы получили.
Прежде всего, самая забавная вещь, что же такое персональные данные. Ответ — все то, что может идентефицировать пользователя — физическое лицо. Тут есть один парадокс.
Вася Иванов. Это персональные данные? Как бы да, но не совсем. А потому как не указывает на конкретное лицо, которое мы можем выделить из тысяч Вась Ивановых, но стоит добавить немного инфы, как этот Вася становится конретной фигурой с конкретным местом жительства и всеми остальными атрибутами и правами, прописанными в регламенте.
Из обсуждения кого касается все-таки регламент. Всех, кто каким-то образом обрабатывает личные данные граждан ЕС. И тут стоит заметить, что в силу сразу вступают все нормы регламента и все его требования по документации и обработке.
На что обращать внимание. Все просто — на то, за что могут дать штраф.
Пристально стоит посмотреть на ст.ст. 25, 32, 28
Что будет смотреть первым делом Гарант — официальные уведомления клентов об использовании данных. То есть на правило пользования сервисов, уведомления о сборе куков, уведомления о сборе данных с указанием — зачем, как долго и как будут обрабатываться данные клиентов. Внимание уделялось на то, что не стоит брать типовые информативы, но продумывать все исходя из того — что реально берете и как реально используете и кто обрабатывает. То есть в любом случае этот маппинг делается —
1. Верификация обработки данных
2. Верификация рисков.
3. Прописать методы по минимилизации рисков. (причем тут не ограничено ничем, тоесть можно использовать любые доступные инструменты)
4. Регистр обработки данных. В общем и целом обязателен для всех.
Имея все вот это уже если задницу полную не прикроешь, то фиговый листок точно нацепишь и как-то более уютно себя почувствуешь.
Отдельные вопросы по DPIA и DPO… Обещали прислать письмецо с ответами. Но факт в том, что этот самый DPO должет иметь очень широкую автономность и как бы обязателен только для госструктур, для частников обязателен только в случае обработки специфических данных, НО в тоже время если обработка данных продолжительна либо их много (обожаю этот термин «larga scala») и если вы занимаетесь софтом — эта фигура обязательна.
Data Breach — в принципе обязанность доносить на самого себя. Потому лучше молчать пока это возможно и не вылазит наружу. Схатили шифровальщика, но есть бэкап и ничего не пострадало? Отметили и себя, собрали все логи и вс. информашки об инциденте, улучшили защиту, восстановили базы и никто ничего не заметил — ура, вытерли пот и работаем дальше. Но, если предотвратить утечку информации об инциденте видим, что не реально — стучим на себя первыми, дешевле будет.

Вот так вот сумбурно и вкратце по горячим следам. Сейчас ждем дополнительную информашку, которую должны прислать по емейл со всеми схемами и буду писать статью-схему по применениям. (надеюсь опубликовать и тут если НЛО пропустит). Вчера вечером обдумывал как лучше изложить — псевдокод какой-то получается)))

Что касается кейсов — да, есть интересные моменты, с очень нашей местной спецификой, но с фишкой, что затрагивает несовершеннолетних и малолетних, мы с партнером приводим в порядок IT структуру нескольких школ, и тут GDPR рулит во всей своей яростью + местное законодательство, которое не менее сурово и подводит тебя уже не под штрафы аминистративные, а под уголовную ответственность.
Постараюсь адаптировать, перевести и опубликую. Тема будет горячей еще долго, надеюсь, что буду полезным.

с этой же ссылки самый простой кейс использования

Предположим, я журналист-любитель, временами от скуки тискаю статейки себе на сайт. Сайт на арендованном виртуальном сервере (хз как он работает и что собирает), на движке вордпресс (хз как он работает....), с плагинами (хз как они....).
И вот на мой уютненький заходишь несовершеннолетний ты… Здрасте! Я преступник!
Очень правильный закон, ага!

персональными данными в данном случае окажутся почта при регистрации и ИП пользователя. Всё. Больше ничего и ненадо.
ну это всё "пассивная" (ну только на словах) попытка децентрализации интернета, с такими законами проще для каждой страны свою версию сайта делать %)

[Softer]

Softer, ты правда не считаешь это бредом?

Разумеется. Сырым и не обкатанным - да. С подводными камнями и сложностью понимания для отдельных уникальных случаев - да. Бредом - нет, так как в нем нет ничего бредового. Вот законы противоречащие конституции - я считаю бредовыми. Законы невозможные к выполнению - я считаю бредовыми. Законы принятые с непонятно какой целью - я считаю бредовыми. И так далее. И с сложностями закона по GDPR подобное не идёт ни в какое сравнение.

только тут кто хоть как то взаимодействует - с граждданами ЕС, должен это реалиовывать

И что? Не взаимодействуй с гражданами ЕС и не придётся соблюдать их права, коим GDPR и является.

Причем взаимодействием считается даже просто наличие английской версии сайта.

Это не так. Даже по твоим ссылкам указано, что GDPR применяется к компаниям или организациям предоставляющим товары или услуги через сайты на одном из языков ЕС и с доменным именем одной из стран ЕС, а не просто ко всем подряд англоязычным сайтам.

Когда GDPR вступит в силу, у пользователей будет возможность запросить полную копию их личной информации с серверов компании, абсолютно бесплатно

Ты всегда мог зайти в свой аккаунт на сайтах где зарегистрирован и посмотреть в профиле всю информацию оставленную тобой о себе на данных сайтах. И раньше тебя бесплатность этой возможности не напрягала. От себя добавлю, что если бы наоборот это было бы платным - вот тогда бы это была бы полная дичь.

это просто прекрасно, ушел когта аккаунт - заходишь на сайт, и получаешь все в готовом виде о пользователе.

Это что за поток сознания? Если у тебя увели аккаунт, то ты уже никуда не зайдёшь и ничего не получишь, пока не подтвердишь, что данный аккаунт действительно твой (обычно через предоставление тобой администрации этих самых личных данных, соответствующих оставленным тобой на аккаунте). Если же ты о угнавших аккаунт, то они и сейчас получают все данные указанные тобой в твоём профиле при условии достаточности угнанной ими у тебя авторизационной информации. Возникает вопрос как и по предыдущему тезису - почему до этого тебя подобное не возмущало?

Или в вацапе так, бывает номер сменят, а его оператор потом другому отдет (там привязка карт сбера раньше оставалась лол)

Как это связано с GDPR? И про ватсап я не понял, какое отношение он имеет к привязке всяких банкингов к номеру сим карты телефона?

Кроме того, доказать факт утечки теперь намного проще.

интересно, каким образом проще? 20 лямов штраф если вдруг кому то покажется что с твоего сайта утекли данные о пользователе

Мне сложно сказать о чём идёт речь, так как это некое оценочное суждение третьего лица и что оно (лицо) имело в виду спрашивать надо у него. Напрямую к нормам закона это не имеет никакого отношения.

да это для обычного форума смерте подобно.

Обычные форумы не подпадают под действие закона (подпадающие под действие читай выше).

Все контроллеры и процессоры, которые обрабатывают личную информацию жителей ЕС, теперь обязаны иметь официального представителя в Евросоюзе, вне зависимости от того, где они сами находятся.

совсем збс.

Ну да, это мера по защите своего ранка. Для внешнего бизнеса желающего толкать экспорт в ЕС это придётся сделать. Для совсем уж мелких представителей малого бизнеса это может стать проблемой, но мы же говорим о бредовости. Что тут бредового?

НУ и кроме всего, по этому закону нет ничего, он вышел, просто выкинули на пупблику, а что и как делать - каждый сейчас будет изобретать велосипед, неизвестно что из этого будет хорошо а что плохо, нет никаких рекомендаций к закону. Выкинули, "релизуйте как хотите, а мы решим оптом что нас устроит а что нет". Все знакомые кто с этим сейчас столкнулись, понанимали юристов и сидят ковыряют то г...о.

Закон был принят ДВА ГОДА НАЗАД! Всё это время происходил переходный период. И только наши васяны сейчас схватились за головы будь-то оно вдруг на них с неба без предупреждения свалилось. У всех было два года на то, чтоб почесаться по этому поводу. Если им и в таких условиях тяжело, то может просто уйти с рынков ЕС и не парить никому мозг?

ТАм такие формулировки, что даже логирование айпишников, если кто то их захочет поанализировать - можно приравнять к ПД  и за это нагнуть компанию.

Согласен, некоторая степень сырости и неоднозначности в нём есть. Всё это будет регулироваться дальнейшими судебными решениями и их прецедентами. И что? Если компания не желает ждать прецедентов и ориентироваться на них, ей достаточно указать в пользовательском соглашении то, что айпишники будут использоваться и зачем они будут использоваться, а так же иметь необходимость их анализа в ввиду своей деятельности. Это что так сложно?

это такая же истерия как их закон заставивший все сайты сообщать что они собираются хранить куки, только это новый виток бреда похлеще.

Не знал, но подозревал, что все эти лезущие сообщения на сайтах связаны с принятием каких-то законов. Меня тоже эти всплывающие поля раздражают, но учитывая всю неоднозначность кукисов, обязаловка уведомлять как минимум о их использовании - это вполне здравое решение.

Всё это полнейший бред, написаный такими же безграмотными чуновниками как наши.

Это голословное заявление, как и всё высказанное выше.

о, вот нагуглил небольшую выжимку того что примерно надо делать https://medium.com/@rsedykh/gdpr-and-privacy-shield-in-plain-russian-for-saas-9dfa03e72f9b
вот еще хорошая ветка https://habr.com/company/plesk/blog/354386/#comment_10777060  человек поделился информацией от Garante Privacy

Зачем это всё? Ну не собирай и не обрабатывай персональные данные если так тяжело. Можешь защитить персональные данные лучше, чтоб никому не пришлось ни чему соответствовать? Вопрос риторический. Или если всё недовольство сводится просто к непониманию зачем их вообще защищать, то это другой вопрос и для таких людей бредовым этот закон делает сама идея защиты ПД, а не отдельно взятые нормы закона.

Предположим, я журналист-любитель, временами от скуки тискаю статейки себе на сайт. Сайт на арендованном виртуальном сервере (хз как он работает и что собирает)

Если при аренде сервера он не читал соглашения, то это его проблемы. Если в соглашениях не было указано какие данные будут собираться, то это снимает всю ответственность по использованию этих данных с журналиста-любителя и перекладывает на владельца сервера.

на движке вордпресс (хз как он работает....), с плагинами (хз как они....).

Если он хз как работает вордпресс и плагины, как он вообще ими пользуется? Не суть. Суть в том, что пошла конспирология о том, что вордпресс и его плагины имеют скрытый, но работающий по умолчанию функционал по сбору и/или обработке персональных данных. Я не являюсь гордым владельцем шапочки из фольги, поэтому ответить мне на это не чего.

[Skay]

Как это связано с GDPR? И про ватсап я не понял, какое отношение он имеет к привязке всяких банкингов к номеру сим карты телефона?

в нем теперь можно зайти, и одной кнопкой выгрузить все фотки, историю и все все данные которые к тебе имеют отношение.

Если же ты о угнавших аккаунт, то они и сейчас получают все данные указанные тобой в твоём профиле при условии достаточности угнанной ими у тебя авторизационной информации. Возникает вопрос как и по предыдущему тезису - почему до этого тебя подобное не возмущало?

одно дело получать данные из того что видно на сайте, а другое абсолютно все , почти из базы прямую выгрузку.

Закон был принят ДВА ГОДА НАЗАД! Всё это время происходил переходный период. И только наши васяны сейчас схватились за головы будь-то оно вдруг на них с неба без предупреждения свалилось. У всех было два года на то, чтоб почесаться по этому поводу. Если им и в таких условиях тяжело, то может просто уйти с рынков ЕС и не парить никому мозг?

год юристам платят разбираются, и хз что из этого еще будет.

Не знал, но подозревал, что все эти лезущие сообщения на сайтах связаны с принятием каких-то законов. Меня тоже эти всплывающие поля раздражают, но учитывая всю неоднозначность кукисов, обязаловка как минимум о их использовании уведомлять - это вполне здравое решение.

только это ограничилось уведомлением, что бы ты ни нажал ничего не меняется, но формально выполняется, потом ссылку подкину если не забуду, сейчас на работе лень искать

Если он хз как работает вордпресс и плагины, как он вообще ими пользуется? Не суть. Суть в том, что пошла конспирология о том, что вордпресс и его плагины имеют скрытый, но работающий по умолчанию функционал по сбору и/или обработке персональных данных. Я не являюсь гордым владельцем шапочки из фольги, поэтому ответить мне на это не чего.

ты не понял, плагины и прочее это так, типичная ситуация как обычно поднимают себе сайтик любители. Оставил форму коментирования, и если несоврешеннолетний персонаж зарегистрировался чтоб оставить коментарий (даже не указывая возраст, а просто по мылу) и у тебя сохранилась инфа ип - мыло, этого уже достаточно чтоб тебе предьявить по этому закону. И не важно вешаешь ты плашки "только 18+" или нет, это не работает так как в ирландии на пабах, что если вошел в дверь с надписью 18+, то принял условие и взял на себя ответственность что тебе 18 есть.

Да, закон фигня, преврашаем все форумы сайты в сайты визитки и всё. Так как перепиливать на рельсы под этот закон - долго и дорого. Надо дать всем возомжность удалить всю информацию о себе (право забвения вообще сомнительная штука, я считаю что это низя), а не только просматривать. и еще много подводных камней. Еще интереснее как быть с бухгалтерией , если есть.
Протолкнули закон юристы, чтоб на консультациях всех этих навариться  (сарказм если что).

Согласен, некоторая степень сырости и неоднозначности в нём есть. Всё это будет регулироваться дальнейшими судебными решениями и их прецедентами. И что? Если компания не желает ждать прецедентов и ориентироваться на них, ей достаточно указать в пользовательском соглашении то, что айпишники будут использоваться и зачем они будут использоваться, а так же иметь необходимость их анализа в ввиду своей деятельности. Это что так сложно?

Указать можно только самый минимум, там есть про эти моменты(и все не так однозначно). Надо делать разграничение возможностей, в зависимости от того какие данные разрешил сохранять.

Зачем это всё? Ну не собирай и не обрабатывай персональные данные если так тяжело. Можешь защитить персональные данные лучше, чтоб никому не пришлось ни чему соответствовать? Вопрос риторический. Или если всё недовольство сводится просто к непониманию зачем их вообще защищать, то это другой вопрос и для таких людей бредовым этот закон делает сама идея защиты ПД, а не отдельно взятые нормы закона.

одно дело когда всё с нуля делать и под такое, а другое когда у тебя ресурсу уже овердохера лет. А еще бэкапы и прочее прочее. Ну и защита ПД в той же ес, эта песня та еще. Что у нас паспорт я уже не отношу к персональным данным, так как светится везде где только можно, что у них там тоже есть веселье с внутренним софтом.

Обычные форумы не подпадают под действие закона (подпадающие под действие читай выше).

это формально только, подвести можно.

Это не так. Даже по твоим ссылкам указано, что GDPR применяется к компаниям или организациям предоставляющим товары или услуги через сайты на одном из языков ЕС и с доменным именем одной из стран ЕС, а не просто ко всем подряд англоязычным сайтам.

вот про это я уже говорил, принудительное сегментирование интернета, подгонять интернет под территориальные ограничения. Интернет не про это.

Но куда интереснее в китае, https://knife.media/social-ranking/  https://sohabr.net/gt/post/301025/ это тоже нормально?

ладно мне надоело на ходу писать.

[Softer]

Skay

в нем теперь можно зайти, и одной кнопкой выгрузить все фотки, историю и все все данные которые к тебе имеют отношение.

В ком в нём? В ватсапе? Ну если ты номер просрал, то кто же тебе виноват? Причём тут GDPR? В лучшем случае можно предъявлять претензии к оператору мобильной связи за выдачу твоего старого номера кому попало, но не к ватсп и уж тем более не к GDPR.

одно дело получать данные из того что видно на сайте, а другое абсолютно все , почти из базы прямую выгрузку.

О каких данных ты говоришь? Полагаю о что кроме данных из профиля ты подразумеваешь некую аналитику по пользованию сервисом, так? Ну и что? Боишься что угонщики твоего аккаунта от порнхаба кроме данных из профиля уведут ещё и предпочтения и регулярность просмотра порнушки? 
Вообще это смехотворная претензия из разряда: "я против своего права получать/передавать собранные данные о себе, так как если кто-то сможет эффективно прикинуться мной, то получит эти самые данные обо мне"  . Можно ещё повозмущаться своему праву на свободное перемещение, так как мало ли где и кто захочет тебя ограбить или просто пьяный урод на зебре тебя переедет. Во всём виновато право на свободное перемещение  .

Не знал, но подозревал, что все эти лезущие сообщения на сайтах связаны с принятием каких-то законов. Меня тоже эти всплывающие поля раздражают, но учитывая всю неоднозначность кукисов, обязаловка как минимум о их использовании уведомлять - это вполне здравое решение.

только это ограничилось уведомлением, что бы ты ни нажал ничего не меняется, но формально выполняется, потом ссылку подкину если не забуду, сейчас на работе лень искать

А чем это ещё должно было быть кроме уведомления? Ты же как раз отвечаешь на мою фразу законченную "обязаловкой уведомлять".

ты не понял, плагины и прочее это так, типичная ситуация как обычно поднимают себе сайтик любители. Оставил форму коментирования, и если несоврешеннолетний персонаж зарегистрировался чтоб оставить коментарий (даже не указывая возраст, а просто по мылу) и у тебя сохранилась инфа ип - мыло, этого уже достаточно чтоб тебе предьявить по этому закону. И не важно вешаешь ты плашки "только 18+" или нет, это не работает так как в ирландии на пабах, что если вошел в дверь с надписью 18+, то принял условие и взял на себя ответственность что тебе 18 есть.

Это ещё что за ерунда? Где и в каком законе ты вычитал, что за подделку возраста ответственность несёт лицо в адрес которого подделка была совершена? 

Да, закон фигня, преврашаем все форумы сайты в сайты визитки и всё. Так как перепиливать на рельсы под этот закон - долго и дорого. Надо дать всем возомжность удалить всю информацию о себе (право забвения вообще сомнительная штука, я считаю что это низя), а не только просматривать. и еще много подводных камней. Еще интереснее как быть с бухгалтерией , если есть.

К форумам это какое отношение имеет? На формуах собираются какие-то данные кроме авторизационных и тем более как-то обрабатываются? Я уже на это посыпание головы пеплом ответил, что просто в пользовательское соглашение указываешь, что будет собрано и как будет обрабатываться (если будет) и всё. То есть в случае форумов изменения по поводу GDPR стремятся к нулю. К остальным сайтам это относится точно так же. А ты занимаешься выискиванием исключений которые могут возникать и проецируешь это на всех и каждого. Тот же пример с бухгалтерией, у нас что весь интернет состоит из форумов и прочих сайтов имеющих свою бухгалтерию и проводящих через неё своих пользователей? 

Согласен, некоторая степень сырости и неоднозначности в нём есть. Всё это будет регулироваться дальнейшими судебными решениями и их прецедентами. И что? Если компания не желает ждать прецедентов и ориентироваться на них, ей достаточно указать в пользовательском соглашении то, что айпишники будут использоваться и зачем они будут использоваться, а так же иметь необходимость их анализа в ввиду своей деятельности. Это что так сложно?

Указать можно только самый минимум, там есть про эти моменты(и все не так однозначно). Надо делать разграничение возможностей, в зависимости от того какие данные разрешил сохранять.

Что значит "указать можно только самый минимум"? Закон требующий указывать всё по поводу сбора и использования ПД так же разрешает указывать только некий абстрактный самый минимум? То есть противоречит сам себе? Я что то совсем перестаю тебя понимать. Или ты сейчас о том, какие данные ты сам хочешь давать разрешение собирать? Ну тогда опять не понятно причём тут GDPR? То, что предоставлять, а что нет - это уже твоё собственное право. Это вопросы взаимоотношений тебя и организации с которой ты собрался взаимодействовать. Закон делает эти взаимоотношения максимально прозрачными, а не регулирует права и обязанности сторон отдельно взятого договора.

одно дело когда всё с нуля делать и под такое, а другое когда у тебя ресурсу уже овердохера лет. А еще бэкапы и прочее прочее.

То есть мораль такова, что нафиг защиту ПД, так как нам инвентаризацию лень или дорого проводить. 

Ну и защита ПД в той же ес, эта песня та еще. Что у нас паспорт я уже не отношу к персональным данным, так как светится везде где только можно, что у них там тоже есть веселье с внутренним софтом.

Паспорт - это не персональные данные - это бланк на котором они написаны. То, что он светится не имеет отношения к уровню защиты ПД о котором идёт речь в GDPR. К GDPR имеет отношение попадание этих данных к левым васянам которые в лучшем случае рекламным агентствам их сольют, а в худшем кредит на тебя оформят. Именно к подобному приводит отсутствие GDPR. И именно из за его отсутствия ты можешь видеть примеры подобного в своей стране.
Про "веселье с внутренним софтом у них" я ничего не понял из за нулевого смыслового содержания фразы.

Обычные форумы не подпадают под действие закона (подпадающие под действие читай выше).

это формально только, подвести можно.

Ну если у вас уникальный форум зарегистрированный на юрлицо, то наверное можно  .

вот про это я уже говорил, принудительное сегментирование интернета, подгонять интернет под территориальные ограничения. Интернет не про это.

Да не интерент подгоняют под территориальные ограничения, а юрлиц! Не надо всех в интернете под одну гребёнку мерить. Так как ты сам и говоришь - интернет не про это.

Но куда интереснее в китае, https://knife.media/social-ranking/  https://sohabr.net/gt/post/301025/ это тоже нормально?

Не нормально конечно, но где ЕС с GDPR, а где Китай  .

[Skay]

Softer,

>>про вацап и данные.
Да аналитика хз что там еще может быть, я про то что она сразу в концентрированном виде и вся. Ненадо муд..ться пытаться что то вытянуть, а просто вот бери и пользуйся, чистый набор данных. Прям мечта

>>про форум - раздел барахолки вполне можно под это подвести . Есть IP , есть учетная запись, есть акт о выполнении купли/продаже.

Для бесплтынх ресурсов Если существует английская версия и регистрация пользователей (хотя бы только e-mail)?   Так же если ты не работаешь на территории ЕС, но по факту часто обслуживает граждан Евросоюза (граждан, где бы они ни находились, т.е. даже в другой стране когда они будут, воспользуются вашим сайтом и всё!). А так же тех, кто может быть обвинён в направленности на европейцев по формальным признакам – достаточно перевести сайт на один из языков Евросоюза (английский, например) и принимать оплату в Евро (например, через какую-нибудь мультивалютную платёжную систему).

Там так же крайне размытое определение персональных данных:

Физические лица могут быть связаны с онлайн-идентификаторами, предоставляемыми их устройствами, приложениями, инструментами и протоколами, такими как адреса интернет-протокола, идентификаторы файлов cookie или другие идентификаторы, такие как теги радиочастотной идентификации. Это может оставить следы, которые, в частности, в сочетании с уникальными идентификаторами и другой информацией, полученной серверами, могут использоваться для создания профилей физических лиц и их идентификации.

(перевод не мой честно с тырнета)
в GDPR персональными данными объявляется не только информация, прямо идентифицирующая или позволяющая идентифицировать физическое лицо, но и та информация, которая, в совокупности с другой имеющейся или доступной информацией, с разумной вероятностью может быть использована для идентификации физического лица.

>>Про "указать в правилах ресурса данные с которомы работаете".
В частности, по GDPR вы обязаны отделить данные, что необходимы для возможности использования вашим сервисом, и что опциональны на самом деле — и на вторые контракт не распространяется, не имеете права связывать.

>>на тему для юр лиц.
есть очень неоднозначный абзац

This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities. However, this Regulation applies to controllers or processors which provide the means for processing personal data for such personal or household activities.

Самое забавное, даже надпись "мы не соблюдаем закон вы делаете всё на свой страх и риск", ни на что не влияет. Европейцам пользоваться этим все равно можно, а так как вы работаете с ними - вы должны соблюдать или платить штраф. (ну а если очень не хочется - надо убирать их страны из возможности выбрать страну, а если это приложение - возможность установит ьего из гугл/эпл-сторов и т.д. и т.п. вплоть до блокировки входа по айпишнику. Прелестно не правда ли? (вот оно и принудительное сегментирование интернета)

Авторы законопроекта серьезно рассчитывают, что на рынке появятся компании, чьей специализацией будет как раз хранение реестра персональных данных и регламентированный доступ к таковым. И все это чтоб заткнуть всяких рекламщиков и других кто пытается заработать на ваших данных. (знаю фирму в германии где именно и делают, что торгую ПД для всех и вся, и им закон все равно не мешает это легально делать.

Бредовость в том, что закон есть, а как он будет работать - не знают даже те кто его сочинил. А все эти суды про которые вы сказали которыми будет все решаться - это очень долго  и очень дорого. Так что хз, будет эффективно как с куками (вспомнил про ссылку http://barker.co.uk/cookielaw ), но зато с возможностью хороших штрафов в случае чего. Очередной высер политиков живущих в своем мирке.

НУ а если серьезно, эть возвращение к каменному веку когда каждый бланк надо было заполнять ручками и прочее д..мо. Я вот пользуюсь LastPass для логина на куче малонужных мне форумах. Но с их совокупности меня можно идентефицировать - по идее, моё любимое приложение которым мне так удобно не запоминать все левые учетки, может накрыться. Кто то решил позащищать мои интересы просто потому что захотел - я так то сам взрослый и вполне могу решить где и что писать. (была история про рим, когда решили защищать так же интересы юношей и разрешили расторгать им договора под предлогом "заключено было когда я был незрел и глуп".  Закончилось всё печально, только навредили этим "молодым и неопытным".
При этом закон распространяется на всех кроме самого государства, а то что оно относится крайне наплевательски к ПД - всем плевать. Так как им можно хранить что угодно и как угодно, в GDPR есть даже пункт про "требуются законом".

Хотя в германии есть BDSG, который с каждым годом все сильнее гайки закручивал, а сейчас специально под GDPR в некоторых местах поменяли.

Короче мы совсем заофтопили  пора завязывать. Думаю мы друг друга переубедить не сможем.
Моё мнение такое:  Следует предотвращать реальный вред. А не воображаемый, и не тратить на это ни чужие деньги ни чужое время. Сколько человек реально пострадало от того, что нормы, предусмотренные GDPR, не соблюдались до настоящего времени? Зачем лесть регулировать то, что я сам решу как поступить. Люди могут сами договориться.
 С тем же успехом можно принимать законы о защите от приведений. И конечно же обязательные и с милионные штрафы.  Благодаря таким законам в ЕС всё больше процветает Евроскептицизм.

[Yoti]

Оповещения кукисов отменили же, вроде.

[Kalbaser2008]

Бред вообще и какой от этого смысл, если всё равно всю инфу просматривает ФСБ (если в России к примеру)?

[Skay]

Оповещения кукисов отменили же, вроде.

нет)

Бред вообще и какой от этого смысл, если всё равно всю инфу просматривает ФСБ (если в России к примеру)?

ну да, просматривает. Ага угу 

[Maelstrom]

Закон был принят ДВА ГОДА НАЗАД! Всё это время происходил переходный период. И только наши васяны сейчас схватились за головы будь-то оно вдруг на них с неба без предупреждения свалилось. У всех было два года на то, чтоб почесаться по этому поводу. Если им и в таких условиях тяжело, то может просто уйти с рынков ЕС и не парить никому мозг?

Почему тогда куча ИНОСТРАННЫХ сайтов сейчас рассылает на почту сообщения о смене политики? Наши васяны массово уехали за границу?

[Rikki-tikki-tavi]

Почему тогда куча ИНОСТРАННЫХ сайтов сейчас рассылает на почту сообщения о смене политики? Наши васяны массово уехали за границу?

Потому что в силу он вступил 25 мая 2018 года. Другое дело что у крупных компаний к этому времени всё было готово к запуску, т.к. они (хочется верить) за два года таки почесались по этому поводу

Не, GDPR - вещь необходимая и желательная. В этом можно убедиться, сходив даже по первым трем ссылкам, приведенным Skay. Это не значит, конечно, что с ней нет и не будет проблем - например, владельцам компаний, получившим в подарок дополнительный головняк и источник расходов, однозначно не позавидуешь. Но в долгосрочной перспективе это шаг в правильном направлении. А негативная реакция обычно вызвана непониманием того, чем является GDPR и чем он не является - но тут уже есть такой подробный разбор от Softer, что мне добавить нечего.

[ElkTheSenior]

... законы противоречащие конституции - я считаю бредовыми. Законы невозможные к выполнению - я считаю бредовыми. Законы принятые с непонятно какой целью - я считаю бредовыми.

Какая разница, ведь ты их никогда беспрекословно не исполнял... И не мог исполнить, даже захотев. Как возможно что-либо беспрекословно выполнять, когда существует возможность сё нарушить? Иначе, ты был бы зомби    

"Конституция".

P.S.

Классификация:

 - Писаная.
 - Неписаная.

[Вики]