Сообщение Re: GDPR от 15.05.2018 8:15
Изменено 22.04.2019 9:07 deleted2
Re: GDPR
Нашел отличный документ в pdf, где юрист приводит сведения, как обеспечить одновременно и требования N 152-ФЗ и как обезопасить себя от возможных последствий от GDPR на этапе, когда пока ничего не понятно.
Также в нем приведен полный перевод GDPR на русский язык:
https://internetinstitute.ru/wp-content/uploads/2017/10/GDPR.pdf
Ссылка взята здесь:
http://bis-expert.ru/blog/5365/56914
Если кратко и своими словами, и для простых шареварищков: Пока нет практики правоприменения закона, минимально-достаточным пока будет «продемонстрировать» соблюдение требований:
— задокументировать регламенты по обработке персональных данных (туда входит перечень персональных данных, сроки, цели и т.п. описано подробно что нужно).
— опубликовать это можно в политике по обработке персональных данных, какая сейчас нужна для обеспечения требований российского закона о персональных данных.
— и как в российском законе, на контактные формы нужно добавить галочки, чтобы пользователь согласился с этой политикой.
Там есть еще некоторые пункты, что лучше сделать, но это больше применимо к крупным ораганизациям, где есть филиалы в евросоюзе.
После моего изучения перевода закона и пояслений к нему стали прояснены нюансы:
— шареварщику и физическому лицу не избежать GDPR, если сайт на английском, есть упоминание евро и можно купить жителем евросоюза.
— физ-лицо шареварщик является controller.
— галочка на контактных формах должна учитываться и не быть поставленной по-умолчанию. Если целей несколько, на каждую цель по галочке.
— никаких юридических документов, пишем на простом английском языке.
— Надо писать юзеру очень много разной информации, что он может и т.п. Писанины ОООООчень много!
— удалить персональные данные зарегистрированных пользователей не обязательно для своей же юридической защиты от воровства ключей
— не обязаны отдавать данные в машинном виде. Только по технической возможности.
— если шареварщик специально не делает софт для евросоюза, представитель в евросоюзе не нужен.
— взлом сайта с логами сайта — ничего страшного, если там только IP. Грозит последствиями, если масштаб взлома существеннен (на региональном, национальном или наднациональном уровне)
— шереварщика могут пощадить и наложить штраф по-минимуму, если он нищеброд.
— фоткать юзеров и снимать ютуб фильмы с юзерами можно без требований у них бумаги про обработку перс. данных.
Итоговый вывод: галочки и куча писанины для privacy policy. К сожалению, минимум писанины не получится — там в законе столько слов «должен», что я офигел.
Также в нем приведен полный перевод GDPR на русский язык:
https://internetinstitute.ru/wp-content/uploads/2017/10/GDPR.pdf
Ссылка взята здесь:
http://bis-expert.ru/blog/5365/56914
Если кратко и своими словами, и для простых шареварищков: Пока нет практики правоприменения закона, минимально-достаточным пока будет «продемонстрировать» соблюдение требований:
— задокументировать регламенты по обработке персональных данных (туда входит перечень персональных данных, сроки, цели и т.п. описано подробно что нужно).
— опубликовать это можно в политике по обработке персональных данных, какая сейчас нужна для обеспечения требований российского закона о персональных данных.
— и как в российском законе, на контактные формы нужно добавить галочки, чтобы пользователь согласился с этой политикой.
Там есть еще некоторые пункты, что лучше сделать, но это больше применимо к крупным ораганизациям, где есть филиалы в евросоюзе.
После моего изучения перевода закона и пояслений к нему стали прояснены нюансы:
— шареварщику и физическому лицу не избежать GDPR, если сайт на английском, есть упоминание евро и можно купить жителем евросоюза.
— физ-лицо шареварщик является controller.
— галочка на контактных формах должна учитываться и не быть поставленной по-умолчанию. Если целей несколько, на каждую цель по галочке.
— никаких юридических документов, пишем на простом английском языке.
— Надо писать юзеру очень много разной информации, что он может и т.п. Писанины ОООООчень много!
— удалить персональные данные зарегистрированных пользователей не обязательно для своей же юридической защиты от воровства ключей
— не обязаны отдавать данные в машинном виде. Только по технической возможности.
— если шареварщик специально не делает софт для евросоюза, представитель в евросоюзе не нужен.
— взлом сайта с логами сайта — ничего страшного, если там только IP. Грозит последствиями, если масштаб взлома существеннен (на региональном, национальном или наднациональном уровне)
— шереварщика могут пощадить и наложить штраф по-минимуму, если он нищеброд.
— фоткать юзеров и снимать ютуб фильмы с юзерами можно без требований у них бумаги про обработку перс. данных.
Итоговый вывод: галочки и куча писанины для privacy policy. К сожалению, минимум писанины не получится — там в законе столько слов «должен», что я офигел.
Re: GDPR
deleted