С учетом GDPR это касается только пользователей, находящихся в ЕС, верно?
1 лайк
GDPR регулирует сервисы/сайты, у которых есть пользователи из ЕС, независимо от их местоположения. По крайней мере, в теории.
Но, конечно, администратор может создать систему, где для граждан ЕС действуют иные правила, чем для остальных. Но… зачем? GDPR — на самом деле довольно хорошая система, и её следует принять во всём мире.
4 лайка
Я не очень хорошо знаю GDPR, но полезно узнать, что они регулируют даже сайты, у которых есть всего один или несколько членов из ЕС.
Насколько я понимаю, основная цель этого — защита частной жизни отдельных лиц, поэтому я поддерживаю возможность для пользователей удалять свои собственные аккаунты или утверждение таких запросов от пользователей. Мне известен один форум на Discourse, который не предоставляет эту услугу пользователям, хотя среди них есть жители ЕС. Похоже, что GDPR не требует, чтобы люди всегда могли удалять свои аккаунты.
Главная причина, по которой не всегда целесообразно позволять людям удалять аккаунты, заключается в том, что если форум служит какой-то цели, помимо простого места для пустой болтовни, должна существовать ответственность за то, что люди публикуют.
В частности, если форум открыт для публики и любой, кто имеет право на получение библиотекарской карточки, может создать аккаунт, возможно, кто-то опубликует что-то, что, вероятно, должно быть рассмотрено и отреагировано правоохранительными органами в их юрисдикции.
1 лайк
Является. Но это не означает, что пользователи могут делать это самостоятельно. Если кто-то не соблюдает правила, это совершенно другая история.
Но, как я уже сказал — в теории. ЕС охотится не за мелкой рыбёшкой, а за крупными игроками. Так что, допустим, американский или азиатский сайт никогда не столкнётся с юридическими действиями со стороны ЕС, даже если не соблюдает регламенты. Но опять же… зачем кому-то быть как Facebook или X только потому, что им нравится рассылать спам?
2 лайка
Это решение вам нужно будет принять с юристом. Мы не можем давать такие консультации и просим быть осторожными с необоснованными утверждениями.
Что мы можем сказать: запрос пользователя на удаление его личных данных не обязательно означает необходимость удаления его сообщений. В Discourse есть отличная функция анонимизации, которая во многих случаях позволяет выполнить требования GDPR, не снижая при этом качество контента в вашем сообществе.
12 лайков
О, интересно.
Вот что я прочитал, что заставило меня так подумать, но, кажется, это соответствует анонимизации, которая, по вашему утверждению, соответствует требованиям GDPR:
Аккаунты нельзя удалить. Вы можете в любой момент перестать использовать свой аккаунт. Если вы платный участник, вы можете отменить членство, чтобы в конце вашего биллингового цикла перейти на бесплатный тариф. Однако, чтобы защитить целостность сайта и сообщества, журналы доступа сохраняются для наших записей, а комментарии НЕ удаляются по запросу. Вы, однако, можете свободно обновлять информацию в своём профиле (изменять или удалять био, отображаемое имя и т. д.).
(Это с сайта, с которым у меня нет никакой связи; на моём собственном форуме пока нет участников.)
Я не обязательно согласен с этим утверждением о том, что GDPR следует принять во всём мире, хотя, опять же, я не очень хорошо разбираюсь в этом вопросе.
Я выступаю за то, чтобы люди могли удалять или анонимизировать свои аккаунты на форумах по запросу, но анонимизация аккаунта с большим количеством сообщений может оказаться неэффективной для сокрытия личности человека.
Один из подходов — ввести политику запрета на размещение личной информации в сообщениях форума.
Моя компания базируется в США, но я использую почтовые серверы в Швейцарии и Германии, поэтому не уверен, имеет ли это значение для GDPR.
Немецкая почтовая компания разместила следующее юридическое уведомление:
Швейцария:
Иногда Proton может быть юридически обязана раскрыть определённую информацию о пользователях швейцарским властям, как подробно описано в нашей политике конфиденциальности. Это может произойти в случае нарушения швейцарского законодательства. Как указано в нашей политике конфиденциальности, все электронные письма, файлы и приглашения зашифрованы, и у нас нет возможности их расшифровать.
В соответствии со статьёй 271 Уголовного кодекса Швейцарии, Proton не может напрямую передавать какие-либо данные иностранным властям, и поэтому мы отклоняем все запросы от иностранных властей. Швейцарские власти время от времени могут оказывать помощь иностранным властям в рассмотрении запросов, при условии, что они действительны в рамках процедур международной правовой помощи и соответствуют швейцарскому законодательству. В таких случаях стандарт законности снова основывается на швейцарском законодательстве. В целом, швейцарские власти не оказывают помощи иностранным властям из стран с историей нарушений прав человека.
Я заметил, что в Discourse возможность удаления или редактирования большинства сообщений кажется постоянной, по крайней мере, при настройках по умолчанию. Не знаю, можно ли это изменить? На другом форуме, который я видел, настройки были изменены так, что сообщения можно редактировать только в течение часа, после чего они блокируются.
Кажется, могут возникнуть споры, если кто-то запросит удаление некоторых сообщений, а администратор сайта откажет. Такие случаи, вероятно, придётся рассматривать индивидуально в зависимости от вовлечённых стран.
Вот впечатляющая статистика от ЦЕРН: более 1000 судебных приказов было оспорено как в 2022, так и в 2021 году!
1 лайк
Теперь происходит как минимум четыре (и более) разных вещи.
Да, если у вас есть пользователи из ЕС, вы как администратор/владелец обязаны соблюдать GDPR.
Если у вас нет пользователей из ЕС, но вы используете европейские компании для рассылки или хостинга, вам не нужно соблюдать GDPR, однако эти компании обязаны его соблюдать, даже если вы не находитесь в ЕС.
Нет, GDPR не требует удаления постов и комментариев. Достаточно анонимизации. И нет, вам не нужно редактировать резервные копии, но хранить их можно только столько, сколько абсолютно необходимо. Поэтому не храните свои резервные копии возрастом в один или пять лет и не пытайтесь утверждать, что это нормально 
GDPR регулирует персональные данные: что и как вы можете или не можете запрашивать, хранить и использовать, для каких целей и как долго. CDCK может хранить мой IP-адрес (это всё ещё не чувствительные персональные данные, позволяющие меня идентифицировать), и они даже могут запрашивать моё имя и страну. Однако адрес проживания — это регулируемая информация, а запрос копии паспорта или водительских прав в большинстве случаев является серьёзным нарушением.
И мне немного неловко говорить это вслух, но американские сервисы, а под сервисами я имею в виду администраторов, с европейской точки зрения представляют собой действительно крупную и жадную проблему. Спам в маркетинговых и продажных целях с использованием решений, отслеживающих каждое действие человека, — это очень по-американски. И то, насколько сильно американцы выступают за независимость и принцип «мой дом — моя крепость», мне всегда было интересно наблюдать.
Да, сейчас я снова полностью ушёл от темы. И нет, по своей конструкции Discourse не создан для вторжения в личное виртуальное пространство людей. Discourse во многом похож, например, на Mastodon и спроектирован для работы в ответственной манере. Анонимизация — одна из её составляющих (а также автоматическое удаление после определённого периода бездействия, что, кстати, заслуживает похвалы, так как клиентам CDCK из B2B-сегмента это необходимо).
GDPR касается персональных данных, которые могут быть использованы для идентификации физических лиц. Он не имеет прямого отношения к темам и комментариям как таковым.
3 лайка
Спасибо за письмо, это действительно полезная информация.
Конечно, некоторые американские компании велики и алчны, но большинство из них изначально были созданы европейцами.
Голландская Ост-Индская торговая компания — самая худшая.
Мой сайт в основном предназначен для людей, у которых нет почтовых адресов, однако они обязательны для получения разрешений на строительство как в США, так и в Канаде.
За исключением производства домов, которые можно перевозить на грузовиках или кораблях, мой план заключается в том, чтобы строить их, а затем продавать. После продажи люди могут зарегистрировать их по постоянному адресу, но это необязательно.
В любом случае, возвращаясь к GDPR: похоже, что это уведомление, которое я процитировал с другого сайта с форумом, технически может быть нарушением. Однако это вопрос для юриста, за консультацию которого нужно будет заплатить.
И последнее, что я отмечу: речь идет конкретно о вопросах, которые написаны для того, чтобы их зачитывали вслух и на них отвечали. В некоторых законах могут быть различия между устными и письменными словами.
В США действует Федеральная торговая комиссия (FTC) — это наиболее близкий к GDPR орган, о котором мне известно в Америке. Их цель схожа с целью GDPR: «Защита американских потребителей», тогда как GDPR направлен на защиту людей в Европе. Однако я не верю, что они окажут помощь лицам, не являющимся гражданами ЕС.
Пытаюсь найти, где опубликована их политика в отношении форумов, но не уверен, где именно это размещено. Полагаю, существуют требования, запрещающие размещение личной информации в сообщениях на форумах, особенно если администраторы сайта отказываются удалять такие сообщения по запросу.
Департамент ФБР, который занимается исполнением этих норм, — это:
- GDPR применяется к лицам, находящимся в ЕС. Если вы физически не находитесь в ЕС, то GDPR на вас не распространяется.
- К слову, Швейцария не является страной ЕС.
2 лайка
Спасибо за ваш ответ, я не знал, что Швейцария не является членом ЕС.
И Великобритания, как я полагаю, больше не является членом?
Референдум по Brexit состоялся, когда я учился в Амстердамском университете; у них есть партнёрство с UW, поэтому у меня есть голландская студенческая карта, однако она истекла.
Последний вопрос: нужно ли быть гражданином страны ЕС, чтобы соответствовать требованиям?
Нет. Но пользователь должен проживать в ЕС и иметь там адрес.
Так что, если ваш пользователь из страны, не входящей в ЕС, отложил на всю жизнь отпускные дни, чтобы отправиться в двухнедельную поездку в Париж, вам не нужно соблюдать GDPR.
Это означает, что вы можете собирать и хранить любые личные данные, использовать спам-подписки с опцией отказа и вам не нужно получать согласие ни на что. И всё это в духе: «ЕСу нет до этого дела».
На самом деле… чего вы боитесь в GDPR? Если вы будете обрабатывать данные так, как положено, уважая базовую приватность пользователей, сообщая, какие данные вы храните и как долго, сохраняя прозрачность и открытость, вы автоматически будете соответствовать GDPR. И тогда вам не придётся гадать, кто, где и зачем.
В Великобритании всё ещё действуют правила, аналогичные GDPR. Поэтому рекламные администраторы и компании не могут произвольно выбирать, использовать ли опцию «подписаться» или следовать правилам. Насколько мне известно, Швейцария также следует регламенту GDPR, а Норвегия — точно, хотя обе страны не входят в ЕС.
1 лайк
В то время на вас распространялась защита GDPR.
Я не боюсь GDPR, просто не было ясно, какова их политика.
Имейте в виду, что юридические советы на форуме сопряжены с определёнными рисками. Насколько мне известно, ни один из ответивших здесь не является юристом, и никто не предоставляет заверенные юридические консультации.
Я рекомендую вам обратиться к юристу, чтобы прояснить нюансы юрисдикции GDPR.
10 лайков
Ещё шире: пользователь должен находиться в ЕС. Не требуется быть резидентом.
Настоящий Регламент применяется к обработке персональных данных субъектов данных, находящихся в Союзе
Это звучит немного неясно, но к счастью Преамбула 14 проясняет ситуацию:
Защита, предоставляемая настоящим Регламентом, должна распространяться на физических лиц, независимо от их гражданства или места жительства, в отношении обработки их персональных данных.
Однако это всё ещё может быть неоднозначно, поэтому существует дополнительная руководящая инструкция, которая очень конкретна: Руководящие указания 3/2018 о территориальной сфере действия GDPR (Статья 3), раздел 2.a
Формулировка статьи 3(2) ссылается на «персональные данные субъектов данных, находящихся в Союзе». Таким образом, применение критерия таргетинга не ограничивается гражданством, местом жительства или другим правовым статусом субъекта данных, чьи персональные данные обрабатываются.
(…)
Хотя местонахождение субъекта данных на территории Союза является определяющим фактором для применения критерия таргетинга согласно статье 3(2), (…) факт нахождения субъекта данных в Союзе должен оцениваться на момент совершения соответствующего инициирующего действия.
Таким образом, гражданин США, находящийся в отпуске в Париже, подпадает под действие GDPR во время своего пребывания — насколько это касается услуг, инициированных в период его пребывания. Его существующий контракт на мобильную связь в США внезапно не становится предметом действия GDPR.
1 лайк
У американского T-Mobile есть покрытие в Европе, но через два месяца я получил уведомление от них о том, что это ограничение касается только краткосрочного обслуживания — не более 2–3 месяцев в еврозоне.
Мне это не кажется связанным с GDPR.
2 лайка
Ну, возможно, это не так. Я просто реагировал на ваше утверждение о том, что контракт сотового оператора США не подпадает под действие GDPR для человека, путешествующего во Францию или в другую страну Европы.
Это противоречит более ранним заявлениям других участников о том, что любой сервис, предлагаемый в Европе, действительно подпадает под действие GDPR.
Однако ключевым моментом является то, где инициируется услуга: в Европе или нет.
Возможно, у T-Mobile и/или других американских операторов есть специфические контракты, ограниченные GDPR или другими нормативными актами, которые позволяют предоставлять услуги в Европе только в течение ограниченного количества дней.
Полезно иметь местный номер телефона с кодом страны, куда путешествует человек, чтобы избежать международных звонков.
В любом случае, я никого не прошу о юридической консультации, тем более.