Сообщение Re: GDPR от 12.04.2018 10:30
Изменено 22.04.2019 9:11 deleted2
Re: GDPR
Здравствуйте, SabaiSabai, Вы писали:
SS>Опасно ли для шароварщика это новое нововведение из Европы?
Я уже собираю сведения, что нужно сделать с сайтами.
Насколько я понял, нужно сделать следующие вещи:
1. Во всех формах, где есть ввод персональных данных, нужно указать о том, что пользователю грозит, если он что-то введет, включая свое имя.
В куче мест сообщается, что должен быть выбор, можно ли ему присылать рассылку и т.п. или нет. Юристы пишут, что по-умолчанию никакие галочки не должны быть выбраны.
В куче мест рекомендуют обязательную галочку что юзер согласен с Privacy.
В некоторых местах рекомендуют огромную кучу галочек с чем он должне согласиться, отсылая свой емейл.
В этом месте сброд и шатание по интернету. Внятно я так и не понял что делать с формами, как быть с рассылкой и вообще стоит ли забить на рассылки, чтобы все обеспечить.
2. Нужно юридически правильно написать Privacy Policy.
Насколько понял, там обязательно должны присутствовать тексты:
— Какая персональная информация собирается (включая IP адрес и email). Все перечислять до мелочей.
— Что произойдет с этой информацией. Типа как работает передача email, что где пишется в базу и т.п. маразм.
— Для чего собирается (внятно написать банальности, чтобы даже ребенок понял).
— Если персональная информация собирается, то нужно указать всю какая собирается, и ничего не пропустить.
— Нужно написать о правах пользователя снести или изменить свою персональную информацию по запросу. Предусмотрено 6 прав.
— Соответственно нужно указать контакты лица к кому можно обратиться по персональной информации (емейл, почтовные адреса, ФИО и прочее). Есть страшные и непонятные слова, какие похожи на должности человека.Что быть физику, не ясно. Upd: ясно. Физическое лицо является контроллером.
— Если используются сторонние сервисы типа Google Analytics или Mailgun, то надо указать что используется, какие сервисы и как они соответствуют закону GDPR.
— В некоторых местах видел что надо писать про свой хостинг и насколько хостер крут, как там организовано видеонаблюдение в серверной и т.п. идиотизм. Upd: да, чтобы обезопасить себя в случае чего от последствий.
— Надо что-то писать про регистратора и передачу информации к себе любимому. Пока совершенно не ясно как это делать.
— В законе есть упоминание про детей 13 лет. Про них тоже что-то надо писать.Что, пока не ясно. Upd: ясно описать, что сайт не для детей, а если посещает ребенок, то должен спросить разрешение у взрослого.
— Если персональная информация перемещается за пределы EU, надо указать куда и что с ней будет. Актуально для нас, не живущих в EU и имеющим хостинги в америке.Но что писать и как, пока не ясно. Upd: если GDPR соблюдается при такой передаче, то все ок.
— Еще по мелочи там много страшилок что лучше написать. Насколько все это важно, не знаю, потому что про эти страшилки на юридических сайтах.
— Должен быть указан срок хранения персональной информации. Как быть для нас, когда мы лицензируем что-то, понятия не имею. Это же нужно нам для работы техподдержки и юридического обеспечения лицензирования.
Какие-то пункты могут быть необязательными и ненужными. Ничего не понятно что надо конкретно писать.
3. Требования по хранению персональной информации.
— Базы данных надо переписывать так, чтобы персональная информация не использовалась как ID. Нужно это чтобы юзер мог снести свои данные. Так что email не подходит под логином, который будет ID и т.п. маразм.
— Если есть личный аккаунт юзера, то он должен легко и просто сносить свою информацию и редактировать ее. Про это надо трубить в Privacy Policy и т.п.
Возможно, многое из этого лишь страшилки юристов и не нужно. Но что нашел, то и написал.
В-общем, очередной бюрократический бред, за неисполнение которого грозятся миллионными штрафами.
Если у кого-то есть более внятная информация, что и как надо делать, пишите.
Читать юридические тексты на английском задалбливает, а закон там очень длинный, а я не юрист и не евроюрист, и уж тем более не спец по иностранным языкам.
А уж как это совмещать с РФ законом о персональных данных, пока не ясно.
Самое плохое, что дедлайн 25 мая 2018. Т.е. уже на носу.
SS>Опасно ли для шароварщика это новое нововведение из Европы?
Я уже собираю сведения, что нужно сделать с сайтами.
Насколько я понял, нужно сделать следующие вещи:
1. Во всех формах, где есть ввод персональных данных, нужно указать о том, что пользователю грозит, если он что-то введет, включая свое имя.
В куче мест сообщается, что должен быть выбор, можно ли ему присылать рассылку и т.п. или нет. Юристы пишут, что по-умолчанию никакие галочки не должны быть выбраны.
В куче мест рекомендуют обязательную галочку что юзер согласен с Privacy.
В некоторых местах рекомендуют огромную кучу галочек с чем он должне согласиться, отсылая свой емейл.
В этом месте сброд и шатание по интернету. Внятно я так и не понял что делать с формами, как быть с рассылкой и вообще стоит ли забить на рассылки, чтобы все обеспечить.
2. Нужно юридически правильно написать Privacy Policy.
Насколько понял, там обязательно должны присутствовать тексты:
— Какая персональная информация собирается (включая IP адрес и email). Все перечислять до мелочей.
— Что произойдет с этой информацией. Типа как работает передача email, что где пишется в базу и т.п. маразм.
— Для чего собирается (внятно написать банальности, чтобы даже ребенок понял).
— Если персональная информация собирается, то нужно указать всю какая собирается, и ничего не пропустить.
— Нужно написать о правах пользователя снести или изменить свою персональную информацию по запросу. Предусмотрено 6 прав.
— Соответственно нужно указать контакты лица к кому можно обратиться по персональной информации (емейл, почтовные адреса, ФИО и прочее). Есть страшные и непонятные слова, какие похожи на должности человека.
— Если используются сторонние сервисы типа Google Analytics или Mailgun, то надо указать что используется, какие сервисы и как они соответствуют закону GDPR.
— В некоторых местах видел что надо писать про свой хостинг и насколько хостер крут, как там организовано видеонаблюдение в серверной и т.п. идиотизм. Upd: да, чтобы обезопасить себя в случае чего от последствий.
— Надо что-то писать про регистратора и передачу информации к себе любимому. Пока совершенно не ясно как это делать.
— В законе есть упоминание про детей 13 лет. Про них тоже что-то надо писать.
— Если персональная информация перемещается за пределы EU, надо указать куда и что с ней будет. Актуально для нас, не живущих в EU и имеющим хостинги в америке.
— Еще по мелочи там много страшилок что лучше написать. Насколько все это важно, не знаю, потому что про эти страшилки на юридических сайтах.
— Должен быть указан срок хранения персональной информации. Как быть для нас, когда мы лицензируем что-то, понятия не имею. Это же нужно нам для работы техподдержки и юридического обеспечения лицензирования.
Какие-то пункты могут быть необязательными и ненужными. Ничего не понятно что надо конкретно писать.
3. Требования по хранению персональной информации.
— Базы данных надо переписывать так, чтобы персональная информация не использовалась как ID. Нужно это чтобы юзер мог снести свои данные. Так что email не подходит под логином, который будет ID и т.п. маразм.
— Если есть личный аккаунт юзера, то он должен легко и просто сносить свою информацию и редактировать ее. Про это надо трубить в Privacy Policy и т.п.
Возможно, многое из этого лишь страшилки юристов и не нужно. Но что нашел, то и написал.
В-общем, очередной бюрократический бред, за неисполнение которого грозятся миллионными штрафами.
Если у кого-то есть более внятная информация, что и как надо делать, пишите.
Читать юридические тексты на английском задалбливает, а закон там очень длинный, а я не юрист и не евроюрист, и уж тем более не спец по иностранным языкам.
А уж как это совмещать с РФ законом о персональных данных, пока не ясно.
Самое плохое, что дедлайн 25 мая 2018. Т.е. уже на носу.
Re: GDPR
deleted