Ок. А если у меня сайт паба в Саратове. Ну сайт с меню и доставкой пива ПО ГОРОДУ и только на саратовском языке. И на нем установлена метрика. Теоретически гражданин ЕС может посетить этот сайт. Ну там кто-нибудь запостил ссылку в фб. Но услуги вроде как локальные.
Нет, не попадаете. Отслеживание должно происходить с привязкой к ЕС. Только тогда будете попадать. Для этого нужно, чтобы сайт, например, хостился в ЕС или использовал доменную зону ЕС или одной из стран ЕС (недаром в качестве примера указан сайт в зоне .eu). И т.п.
И, кстати, спасибо за "саратовский язык". Заметил, что в этом примере я все-таки перепутал Саранск с Саратовым. Но ради саратовского языка ничего менять не будем, он прекрасен =)
Нет. Тк сайт не был рассчитан на граждан Евросоюза, и не таргетирован на них. Надзорные органы это учтут. И всё будет ок. Иначе бы все сайты начали блочить ip жителей Европы и это было бы уже ущемление их прав, а не защита данных. Так что все будет ок.
Во второй части включите, пожалуйста, правовые основы и механизм наказания владельца паба в Саранске. На каком основании за Яндекс.Метрику может и, главное, как обрушиться наказание от ЕС? Думаю, что никак. Есть международные договоры по данным вопросам? Насколько понимаю, в противном случае российское законодательство имеет приоритет, либо вообще крутит ЕС на скрепе. Я не говорю уж о куськиной матери Европе. Думаете, заголовок в новостях "Нашу "Победу" ЕС оштрафовал на 20 млн евро" возможен? Иностранный язык присутствует, билеты продаёт не только россиянам, а кнопочек "скачать персональные данные и удалить персональные данные" я не нашёл, да и вместо страницы условий (Регистрируясь у нас, вы принимаете наши условия) я попадаю на чистую страницу.
Олег, правовые основы лучше разъяснят юристы. Как мне видится, логика простая. Хочешь вести бизнес в ЕС (а продажа товаров европейцам это бизнес в ЕС) – подчиняйся европейским законам. Нарушаешь и не платишь штраф – всегда найдутся санкции. Например, у мелких компаний есть владельцы, которым может понадобится шенгенская виза и они ее не получат. У крупных компаний может быть недвижимость в ЕС и на неё судебным решением наложат арест. Европейским партнерам могут запретить работать с этой компанией. Рычагов много можно придумать.
Это примерно как "зачем платить штраф за превышение скорости в Финляндии, если я уже вернулся домой". Заплатите или нет?
Никита, это отличный вопрос! Давайте подумаем чем, открытые ПДн отличаются от закрытых. Кажется, только тем, что их проще получить. GDPR говорит что вы должны иметь законное основание для обработки данных. Какое у вас основание? Похоже, что основания у вас нет. Есть только цель рассылки КП с предложением товаров или услуг. На это нужно согласие лица. Если он в ФБ написал "валяйте, шлите мне коммерческие предложения, то, возможно, это ОК", но не отменяет соблюдения регламента (в т.ч от информирования этого лица о том как вы его ПДн обрабатываете). А согласие он вправе отозвать в любой момент.
9 статья, раздел e) говорит о том, что если человек что-то опубликовал публично - эти данные можно использовать. В том числе цвет кожи, национальность, религию и т.д.
Не заметил чтобы кто-то спрашивал касательно самого популярного метода http://prntscr.com/joex3m Типа, вы у нас на сайте, мы собираем ваши куки, если не согласны, валите отсюда. Скриншот сделан на coinmarketcap.com, т.е. он полюбому подпадает под действие GDPR. Этот метод рабочий? Или все же надо кнопку "accept/decline"?
Коля, видимо, для кук это общепринятый метод. А для регистрации согласие по-умолчанию уже не прокатит, нужно активное действие. Все, кто собрал ранее данные с установленной по-дефолту галочкой "согласен" -- с 25 мая должны будут перезапросить согласие.
Ребята, помогите советом. Нахожусь в Кракове, есть сайт с ЕС хостингом. Сайт по сути визитка для презентаций.
Есть форма, которую прошу заполнить чтобы начать работу (емеил и детали презентации). Данные идут на гугл щитс, кукис отключены, метрики нет. Нужно ли волноваться и что-то менять?
Надо составить грамотную privacy policy и сделать возможность юзеру попросить выдать ему или удалить сохранённые данные (не обязательно автоматизированную. Если пользователей немного, можно и руками такие запросы обрабатывать).
Яндекс признал главенство европейского закона над своими же договорами, регулируемыми ГК РФ, с гражданами России:
6.2.1. В случае, если ресурсы Партнера попадают под действие Общего Регламента ЕС по Защите Данных 2016/679 от 27 апреля 2016 г. (GDPR), то к участию Партнера в Рекламной сети Яндекса в обязательном порядке применяются положения документа Data Processing Agreement, доступного по ссылке https://yandex.com/legal/yan_dpa_ch. Партнер соглашается и признает, что условия Data Processing Agreement имеют приоритет над любыми условиями договора РСЯ между Партнером и Яндексом, а также приоритет над настоящим документом.
Вот по аналитике не ясно, добавляю я Метрику, начинаю собирать данные. Насколько они персонализированы - отдельный вопрос. Где-то читал, что по этому самому GDPR необходимо получать явное согласие, ну или как-то так, от пользователей на сбор и обработку их персональных данных. Ладно-то при заполнении формы можно галку со ссылью на политику. А в случае с системами аналитики как? Предупреждение о том, что сайт юзает куки, вряд ли является очевидным признаком использования ПДн для рядового юзера.
А если у меня, предположим, новостной сайт в зоне .com (хостинг в России). В день его посещает 2000 – 3000 человек из Европы и 20 000 – 30 000 из России. Весь контент только на русском языке. Попадаю ли я под GDPR ?
Сергей, пока у вас нет намерения работать с европейскими пользователями, GDPR вас не касается. Вы спокойно работаете по законодательству РФ.
А вот если вы сформулируете что это новости про Россию для бывших сограждан, ныне проживающих в ЕС, то это начинает выглядеть как оказание вами информационных услуг лицам находящимся в ЕС. И тогда вы подпадаете под регламент (если юристы докажут что это именно услуги, а вы действительно собираете ПДн ваших пользователей).
Большое спасибо за статью. Очень понятно и хорошо написана. У меня европейский микробизнес, не напрямую, но все-таки связанный со сбором персональных данных. Не думаю, что моя деятельность ввиду своих размеров будет интересна регуляторам, но в несезон займёмся наконец-то проработкой вопроса обработки персональных данных и разрешений.
1) что за европейские языки? английский - это европейский? латинский? испанский?
2) что считается - переведённым на этот язык? если у меня на сайте иногда а) попадаются слова на одном из этих языков? б) или даже статьи и абзацы?
3) если, вчера было что-то на этом языке, а сегодня? вчера я собирался email'ы, а на момент жалобы пользовател - уже нет? я вообще, я изменил сайт по неузнаваемости после жалобы так, что он вообще не попадает под действие этого закона.
4) короче говоря, если самим пользователям из EU - пофиг и никто не жалуется - можно не парится? то есть, сами контролирующие органы по своей инициативе туда не прийдут разбираться, если пользователей всё пока устраивает?
1, 2) Европейские - это те, на которых преимущественно говорят жители ЕС. Вы свой сайт перевели на один из них. Зачем? Чтобы им было проще воспользоваться вашими услугами, верно? Значит, таргетировали на ЕС. Еще и оплату в евро принимаете на сайте и домен eu выбрали. Примерно так будут рассуждать надзорники.
3). Главная фишка GDPR заключается в том что не надзорники должны что-то доказывать, вы должны доказать что действовали в соответствии. Поэтому можно хитрить как угодно пока вы в состоянии доказать что не нарушаете.
4) Учитывая общее кол-во сайтов врядли к вам придут без жалобы со стороны пользователя.
1. Можем ли мы собирать открытые данные Европейцев в свой базу. Такие как имя, фамилия, социальный профиль, место работы, email? 2. Можем ли мы использовать эти данные для показа им рекламы, отправки им наших коммерческих предложений? 3. Если на первые два пункта ответ отрицательный, то правильно ли я понимаю, что при работе с Европейцами можно рассчитывать только на входящий поток клиентов? И работа "в холодную" вне закона?
1) Даже если данные открытые (что весьма странно, потому что вы указали данные, которые в любом контексте идентифицируют человека) вы должны получить согласие на их обработку. Так же важен момент того, что пользователь дал вам активное согласие на обработку. То есть если вы написали ему письмо в стиле "Если вы не отказываетесь в течение месяца, мы обрабатываем ваши данные...", то это нарушение. 2) Можете использовать для всего, что разрешит пользователь. Отсюда вывод - расскажите пользователю для чего вы собираете их данные и сколько будете хранить. Один сбор данных - одна цель. Цель реализована - данные удалены. 3) Вопрос сложный. Зависит напрямую от того как вы получили холодных клиентов? Купили базу - штраф. Насобирали свою, не предупреждая о сборе - штраф. Провели акцию и предложили всем участвующим оставить свои данные (заметьте не обязали, а предложили, то есть в акции можно было поучаствовать и не оставляя данных) - все круто, они ваши пока пользователь не уведомил вас об обратном.
Ок. А если у меня сайт паба в Саратове. Ну сайт с меню и доставкой пива ПО ГОРОДУ и только на саратовском языке. И на нем установлена метрика.
Теоретически гражданин ЕС может посетить этот сайт. Ну там кто-нибудь запостил ссылку в фб.
Но услуги вроде как локальные.
Попадаю?
Нет, не попадаете. Отслеживание должно происходить с привязкой к ЕС. Только тогда будете попадать.
Для этого нужно, чтобы сайт, например, хостился в ЕС или использовал доменную зону ЕС или одной из стран ЕС (недаром в качестве примера указан сайт в зоне .eu). И т.п.
Иван, не подпадаете. Ниже всё правильно ответили.
И, кстати, спасибо за "саратовский язык". Заметил, что в этом примере я все-таки перепутал Саранск с Саратовым. Но ради саратовского языка ничего менять не будем, он прекрасен =)
Не уверен, но если европейский турист приедет в Саратов и купит на сайте пивчанский то попадаете под ждпр
Нет. Тк сайт не был рассчитан на граждан Евросоюза, и не таргетирован на них. Надзорные органы это учтут. И всё будет ок. Иначе бы все сайты начали блочить ip жителей Европы и это было бы уже ущемление их прав, а не защита данных. Так что все будет ок.
Ясно, понятно...
Спасибо, поправлю. GDPR такой GDPR :)
Комментарий недоступен
У GDPR даже с 152-ФЗ есть проблемы. Посмотрите отчет PwC, если интересно https://www.pwc.ru/ru/events/assets/gdpr-review.pdf (стр. 10-12 и 15).
Так и есть
Во второй части включите, пожалуйста, правовые основы и механизм наказания владельца паба в Саранске. На каком основании за Яндекс.Метрику может и, главное, как обрушиться наказание от ЕС? Думаю, что никак. Есть международные договоры по данным вопросам? Насколько понимаю, в противном случае российское законодательство имеет приоритет, либо вообще крутит ЕС на скрепе. Я не говорю уж о куськиной матери Европе. Думаете, заголовок в новостях "Нашу "Победу" ЕС оштрафовал на 20 млн евро" возможен? Иностранный язык присутствует, билеты продаёт не только россиянам, а кнопочек "скачать персональные данные и удалить персональные данные" я не нашёл, да и вместо страницы условий (Регистрируясь у нас, вы принимаете наши условия) я попадаю на чистую страницу.
Олег, правовые основы лучше разъяснят юристы. Как мне видится, логика простая. Хочешь вести бизнес в ЕС (а продажа товаров европейцам это бизнес в ЕС) – подчиняйся европейским законам. Нарушаешь и не платишь штраф – всегда найдутся санкции. Например, у мелких компаний есть владельцы, которым может понадобится шенгенская виза и они ее не получат. У крупных компаний может быть недвижимость в ЕС и на неё судебным решением наложат арест. Европейским партнерам могут запретить работать с этой компанией. Рычагов много можно придумать.
Это примерно как "зачем платить штраф за превышение скорости в Финляндии, если я уже вернулся домой". Заплатите или нет?
Один из пунктов GDPR - это обязанность (если компания не в ЕС) иметь законного представителя в одной из стран ЕС. С него и возьмут штраф.
всегда хостил сайты в нидерландах. из-за privacy и свободы.
теперь думаю - нахрен мне теперь такая свобода нужна с такими законами
лучше хостить в др. местах
Никита, это отличный вопрос!
Давайте подумаем чем, открытые ПДн отличаются от закрытых. Кажется, только тем, что их проще получить.
GDPR говорит что вы должны иметь законное основание для обработки данных. Какое у вас основание? Похоже, что основания у вас нет. Есть только цель рассылки КП с предложением товаров или услуг. На это нужно согласие лица.
Если он в ФБ написал "валяйте, шлите мне коммерческие предложения, то, возможно, это ОК", но не отменяет соблюдения регламента (в т.ч от информирования этого лица о том как вы его ПДн обрабатываете). А согласие он вправе отозвать в любой момент.
9 статья, раздел e) говорит о том, что если человек что-то опубликовал публично - эти данные можно использовать. В том числе цвет кожи, национальность, религию и т.д.
Не заметил чтобы кто-то спрашивал касательно самого популярного метода
http://prntscr.com/joex3m
Типа, вы у нас на сайте, мы собираем ваши куки, если не согласны, валите отсюда.
Скриншот сделан на coinmarketcap.com, т.е. он полюбому подпадает под действие GDPR. Этот метод рабочий? Или все же надо кнопку "accept/decline"?
Коля, видимо, для кук это общепринятый метод. А для регистрации согласие по-умолчанию уже не прокатит, нужно активное действие.
Все, кто собрал ранее данные с установленной по-дефолту галочкой "согласен" -- с 25 мая должны будут перезапросить согласие.
Ребята, помогите советом. Нахожусь в Кракове, есть сайт с ЕС хостингом. Сайт по сути визитка для презентаций.
Есть форма, которую прошу заполнить чтобы начать работу (емеил и детали презентации). Данные идут на гугл щитс, кукис отключены, метрики нет.
Нужно ли волноваться и что-то менять?
Спасибо заранее
Надо составить грамотную privacy policy и сделать возможность юзеру попросить выдать ему или удалить сохранённые данные (не обязательно автоматизированную. Если пользователей немного, можно и руками такие запросы обрабатывать).
Олег, вы в Польше собираете имейлы. Пока Польша в составе ЕС, GDPR написан для вас.
Оффтоп: от лица прогрессивной саранской общественности -- спасибо за мемас
Яндекс признал главенство европейского закона над своими же договорами, регулируемыми ГК РФ, с гражданами России:
6.2.1. В случае, если ресурсы Партнера попадают под действие Общего Регламента ЕС по Защите Данных 2016/679 от 27 апреля 2016 г. (GDPR), то к участию Партнера в Рекламной сети Яндекса в обязательном порядке применяются положения документа Data Processing Agreement, доступного по ссылке https://yandex.com/legal/yan_dpa_ch. Партнер соглашается и признает, что условия Data Processing Agreement имеют приоритет над любыми условиями договора РСЯ между Партнером и Яндексом, а также приоритет над настоящим документом.
Вот по аналитике не ясно, добавляю я Метрику, начинаю собирать данные. Насколько они персонализированы - отдельный вопрос. Где-то читал, что по этому самому GDPR необходимо получать явное согласие, ну или как-то так, от пользователей на сбор и обработку их персональных данных. Ладно-то при заполнении формы можно галку со ссылью на политику. А в случае с системами аналитики как? Предупреждение о том, что сайт юзает куки, вряд ли является очевидным признаком использования ПДн для рядового юзера.
Михаил,
лучше всех ответит на ваш вопрос сама Метрика =)
Вот здесь Яндекс все четко расписал и даже пример кода предоставил. https://yandex.ru/support/metrika/general/gdpr.html
А если у меня, предположим, новостной сайт в зоне .com (хостинг в России). В день его посещает 2000 – 3000 человек из Европы и 20 000 – 30 000 из России. Весь контент только на русском языке. Попадаю ли я под GDPR ?
Граждане ЕС и резиденты есть, хоть один в пользователях вашего сайта?
Не подпадаете. Нет таргетинга на ЕС
Сергей, пока у вас нет намерения работать с европейскими пользователями, GDPR вас не касается. Вы спокойно работаете по законодательству РФ.
А вот если вы сформулируете что это новости про Россию для бывших сограждан, ныне проживающих в ЕС, то это начинает выглядеть как оказание вами информационных услуг лицам находящимся в ЕС. И тогда вы подпадаете под регламент (если юристы докажут что это именно услуги, а вы действительно собираете ПДн ваших пользователей).
Люди делятся на 3 группы
Те, кто уже подготовился к GDPR
Те, кому он не нужен
И те, кто задаёт глупые вопросы по нему
Работка нашим ребятам программистам-аутсорсерам прилетела :)
Большое спасибо за статью. Очень понятно и хорошо написана.
У меня европейский микробизнес, не напрямую, но все-таки связанный со сбором персональных данных.
Не думаю, что моя деятельность ввиду своих размеров будет интересна регуляторам, но в несезон займёмся наконец-то проработкой вопроса обработки персональных данных и разрешений.
Не будет интересна, пока не пожалуется какой-нибудь пользователь.
Так а как сделать все по правилам, если я, к примеру, продаю цифровые услуги европейцам, хотя сам нахожусь в России?
1) что за европейские языки? английский - это европейский? латинский? испанский?
2) что считается - переведённым на этот язык? если у меня на сайте иногда а) попадаются слова на одном из этих языков? б) или даже статьи и абзацы?
3) если, вчера было что-то на этом языке, а сегодня? вчера я собирался email'ы, а на момент жалобы пользовател - уже нет? я вообще, я изменил сайт по неузнаваемости после жалобы так, что он вообще не попадает под действие этого закона.
4) короче говоря, если самим пользователям из EU - пофиг и никто не жалуется - можно не парится? то есть, сами контролирующие органы по своей инициативе туда не прийдут разбираться, если пользователей всё пока устраивает?
1, 2) Европейские - это те, на которых преимущественно говорят жители ЕС. Вы свой сайт перевели на один из них. Зачем? Чтобы им было проще воспользоваться вашими услугами, верно? Значит, таргетировали на ЕС. Еще и оплату в евро принимаете на сайте и домен eu выбрали. Примерно так будут рассуждать надзорники.
3). Главная фишка GDPR заключается в том что не надзорники должны что-то доказывать, вы должны доказать что действовали в соответствии. Поэтому можно хитрить как угодно пока вы в состоянии доказать что не нарушаете.
4) Учитывая общее кол-во сайтов врядли к вам придут без жалобы со стороны пользователя.
Кто и как будет меня штрафовать, если я люто нарушаю GDPR, но активы (финансы) моей компании полностью хранятся на территории РФ?
Безусловно оштрафовать ваши активы в РФ никто не сможет, но заблокировать ваш ресурс контрольный орган сможет без всяких проблем.
1. Можем ли мы собирать открытые данные Европейцев в свой базу. Такие как имя, фамилия, социальный профиль, место работы, email?
2. Можем ли мы использовать эти данные для показа им рекламы, отправки им наших коммерческих предложений?
3. Если на первые два пункта ответ отрицательный, то правильно ли я понимаю, что при работе с Европейцами можно рассчитывать только на входящий поток клиентов? И работа "в холодную" вне закона?
1) Даже если данные открытые (что весьма странно, потому что вы указали данные, которые в любом контексте идентифицируют человека) вы должны получить согласие на их обработку. Так же важен момент того, что пользователь дал вам активное согласие на обработку. То есть если вы написали ему письмо в стиле "Если вы не отказываетесь в течение месяца, мы обрабатываем ваши данные...", то это нарушение.
2) Можете использовать для всего, что разрешит пользователь. Отсюда вывод - расскажите пользователю для чего вы собираете их данные и сколько будете хранить. Один сбор данных - одна цель. Цель реализована - данные удалены.
3) Вопрос сложный. Зависит напрямую от того как вы получили холодных клиентов? Купили базу - штраф. Насобирали свою, не предупреждая о сборе - штраф. Провели акцию и предложили всем участвующим оставить свои данные (заметьте не обязали, а предложили, то есть в акции можно было поучаствовать и не оставляя данных) - все круто, они ваши пока пользователь не уведомил вас об обратном.