Евгений Денисов

Коля, видимо, для кук это общепринятый метод. А для регистрации согласие по-умолчанию уже не прокатит, нужно активное действие.
Все, кто собрал ранее данные с установленной по-дефолту галочкой "согласен" -- с 25 мая должны будут перезапросить согласие.

ну и на английском, конечно, у них есть -- можно брать и использовать https://yandex.com/support/metrica/general/notification.html

Михаил,
лучше всех ответит на ваш вопрос сама Метрика =)
Вот здесь Яндекс все четко расписал и даже пример кода предоставил. https://yandex.ru/support/metrika/general/gdpr.html

Вот здесь: https://vc.ru/38784-est-li-zhizn-posle-gdpr-dlya-paba-v-saranske-i-vseh-ostalnyh

Никита, это отличный вопрос!
Давайте подумаем чем, открытые ПДн отличаются от закрытых. Кажется, только тем, что их проще получить.
GDPR говорит что вы должны иметь законное основание для обработки данных. Какое у вас основание? Похоже, что основания у вас нет. Есть только цель рассылки КП с предложением товаров или услуг. На это нужно согласие лица.
Если он в ФБ написал "валяйте, шлите мне коммерческие предложения, то, возможно, это ОК", но не отменяет соблюдения регламента (в т.ч от информирования этого лица о том как вы его ПДн обрабатываете). А согласие он вправе отозвать в любой момент.

1, 2) Европейские - это те, на которых преимущественно говорят жители ЕС. Вы свой сайт перевели на один из них. Зачем? Чтобы им было проще воспользоваться вашими услугами, верно? Значит, таргетировали на ЕС. Еще и оплату в евро принимаете на сайте и домен eu выбрали. Примерно так будут рассуждать надзорники.

3). Главная фишка GDPR заключается в том что не надзорники должны что-то доказывать, вы должны доказать что действовали в соответствии. Поэтому можно хитрить как угодно пока вы в состоянии доказать что не нарушаете.

4) Учитывая общее кол-во сайтов врядли к вам придут без жалобы со стороны пользователя.

Спасибо, поправлю. GDPR такой GDPR :)

Артем, вы собираете данные для определенных целей. Эти цели вы популярно объяснили пользователям в privacy policy. Дальше, если цель рассылки соответствует заявленной цели сбора - можете рассылать. Если цель изменилась - надо снова запросить. Пока ваши «доп. услуги» непосредственно связаны с основными услугами - все ОК.
Проверочный вопрос: «Пользователь не будет удивлён если получит от меня письмо?».

Да, и старые данные из гуглотаблиц лучше удалить, если не уверены что собрали их по правилам (уведомили пользователя что именно собираете, зачем, сколько храните и т. д). Меньше храните - меньше ответственность.

Олег, вы в Польше собираете имейлы. Пока Польша в составе ЕС, GDPR написан для вас.

У GDPR даже с 152-ФЗ есть проблемы. Посмотрите отчет PwC, если интересно https://www.pwc.ru/ru/events/assets/gdpr-review.pdf (стр. 10-12 и 15).

Олег, правовые основы лучше разъяснят юристы. Как мне видится, логика простая. Хочешь вести бизнес в ЕС (а продажа товаров европейцам это бизнес в ЕС) – подчиняйся европейским законам. Нарушаешь и не платишь штраф – всегда найдутся санкции. Например, у мелких компаний есть владельцы, которым может понадобится шенгенская виза и они ее не получат. У крупных компаний может быть недвижимость в ЕС и на неё судебным решением наложат арест. Европейским партнерам могут запретить работать с этой компанией. Рычагов много можно придумать.

Это примерно как "зачем платить штраф за превышение скорости в Финляндии, если я уже вернулся домой". Заплатите или нет?

Неа, мы разобрали приезд туриста на примере паба в Саранске.

Иначе, в ЕС бы быстро организовалась фабрика тролей, которые бы заходили на российские сайты и приезжали в российские пабы. Потом жалобы надзорникам, штрафы по 40М и всё, полный коллапс, РФ в международной изоляции. Схема покруче кремлевской, да?

Сергей, пока у вас нет намерения работать с европейскими пользователями, GDPR вас не касается. Вы спокойно работаете по законодательству РФ.

А вот если вы сформулируете что это новости про Россию для бывших сограждан, ныне проживающих в ЕС, то это начинает выглядеть как оказание вами информационных услуг лицам находящимся в ЕС. И тогда вы подпадаете под регламент (если юристы докажут что это именно услуги, а вы действительно собираете ПДн ваших пользователей).

Иван, не подпадаете. Ниже всё правильно ответили.

И, кстати, спасибо за "саратовский язык". Заметил, что в этом примере я все-таки перепутал Саранск с Саратовым. Но ради саратовского языка ничего менять не будем, он прекрасен =)