Борис Д
Насколько знаю, нет никаких упоминаний в законодательстве о куках. Куки есть в комментариях юристов и в некоторых судебных решениях (но в тех, которые я читал, там реально шел сбор чуть ли не паспортных данных).
Трактовать куки как перс.данные - это нелепость. Куки в нектороых случаях могут использоваться как способ обработки ПД, это да, но не могут сами по себе являться ПД. Т.е. на сайте должны собираться настоящие ПД, и только в этом случае можно говорить о куках как способе обработки.
А если смартфон с книгой контактов украдут? Утечка? Многомиллионный штраф?
"""До 10 тысяч пострадавших — 3-5 млн рублей"""
Вообще вот это беспокоит больше всего. Насколько помню, эта санкция применяется за утечку от 1000 единиц перс.данных.
А 1000 зарегистрированных пользователей - это уровень мелкого интернет-магазинчика или небольшого форума, или микросервиса.
А с учетом того, что персональные данные трактоваться могут очень широко и неоднозначно, то... боюсь... утечки только лишь тысячи емейлов формально может может оказаться достаточным для драконовского штрафа. Это почти наверняка будет означать мгновенное закрытие такого микробизнеса. И ладно если этот бизнес приносил прибыль, но ведь это может быть и какой-нибудь любительский форум...
Тогда и использование гугл-шрифтов (а их использует большинство сайтов) тоже считается трансграничной передачей?
А если в записной книжке смартфона физлица указаны контакты начальства, коллег, сантехника, врача, участкового и пр., то это это тоже означает сбор персональных данных? И надо посылать уведомление в РКН? А если на смартфоне стоит андроид или ios с автоматической синхронизацией в иностранном облаке (по умолчанию), то это означает трансграничную передачу, правильно?
И с куками всё же, имхо, перебор в трактовках. Неправильно трактовать сами по себе куки как персональные данные. Например, если сайт сохранил в куку выбранный посетителем размер шрифта, это сбор ПД? Да даже номер если присвоил, это не ПД, это полная аналогия выдачи номерка за одежду в гардеробе театра.
Вот если я свяжу идентификатор с реальными ПД (ФИО, телефон и пр.) и сохраню идентификатор в куку для отслеживания действий, то тогда такую куку можно назвать... способом обработки ПД.
В любом случае первичны настоящие ПД, и если настоящих ПД не собирается, то считать саму по себе куку за ПД - имхо неправильно.
Да и невозможно взять согласие на использование кук, не использую их предварительно, ДО взятия согласия. Когда вы показываете плашку с формой о согласии с куками, вы уже загнали куку в браузер, т.е. уже использовали ее без согласия, что формально является нарушением (при такой натянутой трактовке кук как ПД).
Нейросети при обучении скармливаются не просто картинки, а картинки с описаниями/названиями. В результате образуются устойчивые ассоциативные статистические связи между изображениями и текстами. Проще говоря, всё усредняется. Поэтому ассоциативный ряд (на базе статистики) выглядит примерно так: банка газировки -> вероятно кола -> похоже на рекламу -> красная.
Человеку можно тоже чернобелую фотку с банкой колы показать, и он правильно ответит, что банка колы красная.
Два момента:
1) Сами по себе куки НЕ являются персональными данными, но МОГУТ являться в совокупности с другими данными. Однако в этом случае куки - это уже мелочь на фоне других данных.
2) Оповещение о куках - это не согласие, а по закону нужно именно согласие, как я понимаю. Т.е. уже при открытии первой страницы пользователь получает куку, и таким образом сразу происходит нарушение при такой свободной трактовке.
Таким образом всплывающее предупреждение имхо бессмысленно. На обычных информационных сайтах (без регистраций пользователей) куки вряд ли можно притянуть к персональным данным. А там где реально собираются перс.данные, там имхо достаточно упомянуть куки в соглашениях, которые принимает пользователь.
ЗЫ
Хотите еще страшилок подкину? Пожалуйста:
Использование гугл-шрифтов (а их использует большинство сайтов) приводит к трансграничной передаче данных со всеми последствиями.
Аналогичное использование скриптов, загрузающихся через CDN (а это массовое явление), также приводит к трансграничной передаче данных (ip, куки и пр.).
А уж о массовом использовании движков типа REACT, разработчиком которой является запрещенная в России организация, я уж и не упоминаю...
:)
>> 4. Порядок использования куки-данных (если есть ,то должно быть информирование в виде баннера).---
Какой правовой нормой определяется данное требование баннера?
>> Компании, работающие с ИИ, обязаны обеспечить прозрачность моделей---
Насколько знаю, для нейросетей невозможно обеспечить прозрачность, эти алгоритмы не интерпретируемы. Так что языковые модели, модели генерации изображений и прочие, в основе которых лежат нейронные сети, строго говоря, должны оказаться под запретом по этому критерию (интерпретируемости результата).
В медицине, похоже, нейросети окажутся под запретом в Европе.
А простые распечатки на принтере принимаются? А ведь нет совершенно никакой разницы. И по каким требованиям? Объективное требование может быть только одно - скриншот должно делать третье независимое лицо на своем оборудовании. Например, нотариус. В противном случае скриншот не может выступать доказательством. Это объективная реальность. А в судах вероятно ответчики и не возражали.
Но я не пойму главного. Вот что вам стоит проверить прямо сейчас нелепость таких "доказательств": нажать в хроме на любом абзаце правой кнопкой мышки, выбрать в меню пункт "посмотреть код" и в открывшейся консоли произвольно изменить содержимое. Без каких-либо ограничений.
И как предлагается брать согласие на использование метрики?
Особенно в случае, если сайт НЕ собирает через формы реальные персональные данные.
Куки, ip, метрики и подобное, имхо, можно рассматривать как... нет, не ПД, а средство обработки ПД, только в случае сбора реальных ПД. В противном случае логически будет следовать, что взять предварительное согласие на их использование будет невозможно. Как ни ни крутись.