Акцент мой, из того же документа, на который я ссылался ранее.

Однако ЕКЗПДП считает, что в отношении деятельности по обработке данных, связанной с предоставлением услуг, данное положение направлено на деятельность, которая намеренно, а не случайно или эпизодически, ориентирована на физических лиц в ЕС. Следовательно, если обработка касается услуги, которая предоставляется только лицам за пределами ЕС, но услуга не прекращается, когда такие лица въезжают в ЕС, то соответствующая обработка не будет подпадать под действие GDPR. В этом случае обработка не связана с намеренной ориентацией на физических лиц в ЕС, а связана с ориентацией на лиц за пределами ЕС, которая продолжается независимо от того, остаются ли они за пределами ЕС или посещают Союз.

Это не так, и спекуляции не помогут в обсуждении.

Они больше не являются членами, однако правительство Великобритании действительно внедрило свои законы на основе GDPR в ходе пересмотра Закона о защите данных 2018 года:

Закон о защите данных

Закон о защите данных 2018 года регулирует использование ваших персональных данных организациями, предприятиями или государством.

Закон о защите данных 2018 года представляет собой реализацию Общего регламента по защите данных (GDPR) в Великобритании.

Все ответственные за использование персональных данных должны соблюдать строгие правила, называемые «принципами защиты данных». Они обязаны убедиться, что информация:

• используется справедливо, законно и прозрачно
• используется для определённых, явных целей
• используется способом, который является адекватным, релевантным и ограничивается только необходимым
• является точной и, при необходимости, актуальной
• хранится не дольше необходимого
• обрабатывается таким образом, чтобы обеспечить соответствующую безопасность, включая защиту от незаконной или несанкционированной обработки, доступа, утери, уничтожения или повреждения

Существует более сильная правовая защита для более чувствительной информации, такой как:

• раса
• этническое происхождение
• политические взгляды
• религиозные убеждения
• членство в профсоюзах
• генетические данные
• биометрические данные (при использовании для идентификации)
• состояние здоровья
• сексуальная жизнь или ориентация

Существуют отдельные гарантии для персональных данных, касающихся судебных приговоров и правонарушений.

Ваши права

В соответствии с Законом о защите данных 2018 года вы имеете право узнать, какую информацию о вас хранят правительство и другие организации. Эти права включают:

• право быть проинформированным о том, как используются ваши данные
• право доступа к персональным данным
• право на исправление неверных данных
• право на удаление данных
• право ограничить или остановить обработку ваших данных
• право на переносимость данных (позволяющее получать и повторно использовать ваши данные для различных сервисов)
• право возражать против обработки ваших данных в определённых случаях

У вас также есть права, когда организация использует ваши персональные данные для:

• автоматизированных процессов принятия решений (без участия человека)
• профилирования, например, для прогнозирования вашего поведения или интересов

Источник

Помните, что когда ЕС принял GDPR, каждая страна-член должна была адаптировать эти правила в свои собственные национальные законы. Выход из ЕС не отменяет эти законы.

Это регулирует компании, базирующиеся в ЕС, в том смысле, что они должны применять одни и те же правила ко всем. Это отличается от ситуации, когда CDCK должен соблюдать GDPR, если пользователь из Индии отправляется в Италию, но не обязан делать это, если тот же пользователь едет в Шотландию.

Вот краткое руководство по Исландии:

Краткое содержание

Законодательство: Закон № 90/2018 о защите частной жизни и обработке персональных данных («Закон») и Общий регламент по защите данных (Регламент (ЕС) 2016/679) («GDPR»)

Регулятор: Исландский орган по защите данных («Persónuvernd»)

Краткое содержание: Исландия является членом Европейской экономической зоны («ЕЭЗ»), но не входит в состав государств-членов ЕС. GDPR применяется в ЕЭЗ на основании Решения Смешанного комитета ЕЭЗ № 154/2018 и был внедрен в Исландии посредством Закона. Переходные положения Закона предусматривают, что все правила и нормативные акты, изданные в рамках старого Закона № 77/2000 о защите частной жизни при обработке персональных данных, остаются действительными, если они не противоречат Закону и GDPR. Persónuvernd является активным регулятором, который выпустил несколько руководств по GDPR и обработке данных в Исландии.

Статья #19

Article 191362×362 34 KB

Это, вероятно, справедливо для таких вещей, как пропуски в музеи и удостоверения личности:

Спасибо за ваш комментарий. Моя цель заключалась не в том, чтобы просить юридическую консультацию, а в том, чтобы узнать, как закон сформулирован на самом деле.

Возможно, стоит проконсультироваться с юристами по поводу условий использования — это, вероятно, разумно. Всё, что я могу сделать сейчас, — это напрямую сообщить условия в соответствующие государственные органы.

Если я правильно понял написанное вами, то здесь, на Meta, юридические консультации прямо не запрещены. Однако это определённо создаёт риск как для задающего вопрос, так и для любого, кто отвечает утверждениями, которые могут быть расценены как юридическая консультация.

То есть, если я скажу судье или присяжным: «Якке из Финляндии сказал мне это», но окажется, что написанное им не совсем верно, Якке могут возникнуть проблемы.

Существуют специальные законы, запрещающие сотрудникам канцелярии суда давать какие-либо юридические консультации кому бы то ни было.

Кстати, основная сеть сообщества моего города, насколько мне известно, управляется администратором из Финляндии, поэтому она должна соответствовать финскому законодательству.

Они используют старую систему рассылки новостей по электронной почте, которая каждое утро отправляет около десяти писем с материалами, которые люди могут публиковать на своём сайте, но ничего не публикуется на сайте для общественности — всё отправляется только по почте.

Возможно, в их системе есть проблемы: в последний раз, когда я пытался создать у них аккаунт, ответа не последовало. Возможно, меня заблокировали, но если это так, мне об этом не сообщили.

Напоследок хочу отметить: причина, по которой я задал этот вопрос, не в том, чтобы хранить какую-либо информацию о людях, которые хотят удалить или обезличить свои аккаунты, при условии, что они не нарушали законы в отношении веб-домена, зарегистрированного на моё имя. У меня нет причин делать это, если только они не занимаются преследованием других людей или не создают иных проблем, из-за которых мне пришлось бы передавать информацию полиции или прокурорам, если бы это стало необходимо. Это лишь наихудший сценарий.

Если вы хотите узнать, что на самом деле говорит GDPR, лучший источник — это официальный сайт: https://gdpr.eu/

Также существует множество сайтов, предлагающих общее резюме смысла закона. Их можно найти с помощью обычного поискового движка.

Мое толкование статуса юридических консультаций от любого случайного человека (на Discourse или в другом месте) — «caveat emptor» (покупатель пусть будет осторожен). Если вы управляете системой, содержащей чувствительные персональные данные граждан ЕС, то только вы (или ваша компания) несете ответственность за соблюдение закона. Если вы последуете плохому совету и он окажется неверным, последствия лягут на ваши плечи. Например, представьте, что вас остановила полиция за движение со скоростью 100 миль в час в зоне ограничения 30 миль в час. Как вы думаете, какова будет их реакция, если вы скажете: «Случайный человек X сказал мне, что мне можно ехать так быстро по этой дороге»? Ваша обязанность — убедиться, что любой полученный вами совет верен. Даже если у вас есть договор со случайным человеком X, по которому он должен предоставлять вам юридические консультации по GDPR, это не станет защитой. Вам все равно пришлось бы хотя бы проверить, имеет ли этот человек квалификацию для предоставления таких консультаций.

До выхода на пенсию я работал менеджером по кибербезопасности. Я провел слишком много долгих часов с нашим внутренним юрисконсультом и координатором по GDPR, обсуждая тонкости закона. Это научило меня тому, что его нельзя свести к нескольким словам, и его также невозможно должным образом оценить человеку со стороны, который не знает вашу систему, точный состав данных в ней, а также то, кто имеет доступ к этим данным и по каким причинам.

Это хорошая метафора с законами о дорожном движении, я согласен, что вы правы: в том виде, как вы это объяснили, это не будет являться оправданием.

Законы могут быть действительно скучными и запутанными. Я встречался и разговаривал с несколькими юристами, но никогда не платил за юридические консультации. Консультации — вещь довольно ограниченная, даже если это официальный документ с печатью. Гораздо важнее завершение юридических процедур в суде; иногда для этого необходимы юристы.

Более драматичный пример с автомобилями был бы таким: если пункт проката машин предоставляет клиентам неточную информацию, например, советует ехать по неправильной стороне дороги, это было бы совсем другое дело.

Спасибо за ссылку на их официальный сайт, я раньше не мог найти это через поиск. Это удивительно, что там указано, что сайт управляется Proton AG в Швейцарии, стране, не входящей в ЕС.

Советы, публикуемые на Meta, должны скорее звучать так:

«Будьте осторожны: на большинстве дорог существуют ограничения скорости, и полиция активно следит за их соблюдением»
«В целом, вы должны держаться правой стороны»
«В большинстве стран ЕС вождение велосипеда в нетрезвом виде также запрещено»

Извините, что ещё больше отошёл от темы, но на этой неделе я обсуждал с другом генеалогию. Он рассказал, что его одного из дядей дважды судили за управление ослом в нетрезвом виде. Возвращаясь к теме, надеюсь, его судимость защищена GDPR

Кажется, это хорошая тема для небольшого эксперимента по включению резюме, сгенерированного ИИ, в сообщение внутри темы (хотя в данном случае сделано вручную ):

Обсуждение началось с сообщения 1 от Wombat, который спросил, применяется ли GDPR только к пользователям в ЕС. В сообщении 2 Jagster уточнил, что GDPR регулирует услуги/сайты, имеющие пользователей в ЕС, независимо от их местоположения.

Затем Wombat задал несколько уточняющих вопросов в сообщении 3, отметив своё понимание, что GDPR требует возможности удаления учётных записей пользователей. В ответ Jagster в сообщении 4 указал, что согласно GDPR достаточно анонимизации, а не полного удаления.

В сообщениях 10–25 обсуждались детали территориальной сферы действия GDPR. RGJ и Jagster уточнили, что применимость определяется физическим присутствием в ЕС, а не гражданством.

Wombat спросил в сообщении 16, влияет ли выход Великобритании из ЕС на применение GDPR в этой стране. В сообщении 26 Stephen объяснил, что Великобритания действительно внедрила законы на основе GDPR в рамках пересмотра Закона о защите данных 2018 года.

В сообщении 27 Jagster отметил, что компании должны применять одни и те же правила ко всем пользователям одинаково. Обсуждение завершилось предупреждениями от RGJ и packman в сообщениях 32–36 о том, что полагаться на неофициальные советы по GDPR рискованно.

Сгенерировано с помощью ИИ 16 сентября

Думаю, номера сообщений немного не совпадают из-за их объединения, и в резюме не упомянут donkey, но вот оно.

Также, вероятно, стоит повторить ранее высказанное замечание о необходимости получения юридической консультации:

Может ли кто-нибудь заметить ошибку, допущенную ИИ в этом резюме? Я вижу как минимум одну ошибку.

Я работаю над черновиками условий, думаю, это сработает:

Вся информация, не опубликованная на форуме публично, будет храниться в тайне администрацией компании, если только по судебному приказу не потребуется сотрудничество с законным судебным процессом. Аккаунты могут быть удалены или анонимизированы по запросу. Согласно закону GDPR, никакая личная информация не может храниться после запроса на удаление аккаунта, однако администрация имеет право анонимизировать аккаунты вместо их полного удаления, что позволит сохранить публичные комментарии в качестве постоянного архива.

Если вашей компании необходимо соблюдать требования GDPR для вашей системы Discourse, вам действительно следует обратиться за консультацией к квалифицированным юристам. Наличие в Уставе сайта (ToS) положения о стирании данных — это лишь очень малая часть соблюдения требований.

Вам также потребуется идентифицировать субъектов данных, определить, какие персональные данные о них у вас хранятся, откуда эти данные поступают и куда передаются, как вы обрабатываете и используете хранящиеся у вас персональные данные, а также разработать формальные процедуры, описывающие, как вы соблюдаете все применимые аспекты регламента.

Вероятно, есть и другие требования, но мой мозг стер многие из болезненных деталей за более чем четыре года с момента моего последнего участия в этом.

Найду юристов, которые помогут с этим, спасибо.

Когда я впервые настраивал новый форум с хостингом Discourse, он поставлялся с общими документами условий использования, которые казались хорошей отправной точкой, поэтому я начал читать и редактировать некоторые из них.

Сейчас у меня нет бюджета на найм юристов, но было бы здорово, если бы официальные юридические документы были проверены людьми с юридическим образованием. Возможно, я создам пост в категории Marketplace, когда у меня появятся средства на это и на разработку веб-сайта. Эту тему можно закрыть, так как на исходный вопрос ответили уже давно.

Я считаю, что в сводке ИИ допущена ошибка. Моё толкование слов Jagster таково: GDPR действительно требует полного удаления учётных записей пользователей, если это запросил владелец аккаунта, однако в этом вопросе не всё так однозначно.

Это может быть вопросом интерпретации: анонимизация учётной записи на форуме может рассматриваться как форма удаления аккаунта.

Существуют некоторые законы, требующие хранения определённых записей об учётных записях, поскольку полное самостоятельное удаление аккаунтов может создать риски, если эти аккаунты используются в злонамеренных целях.

В любом случае, спасибо всем за интересную беседу.

Это, возможно, лучше обсудить в отдельной теме, но вопрос отчасти связан с GDPR:

Рассмотрим ситуацию, когда участник нарушает правила форума, получает бан, но хочет создать новую учётную запись. Для него несложно завести новый адрес электронной почты и получить новый IP-адрес — например, воспользовавшись компьютером в библиотеке, новым провайдером интернета или замаскировав адрес через VPN/Tor-сеть.

В системе Discourse не будет возможности узнать, что новая учётная запись создана ранее забаненным лицом, если только это не очевидно по стилю общения.

Если форум имеет платный доступ, при оплате картой или иными способами собирается некоторая персональная информация — обычно полное имя (фамилия и имя) пользователя. Это может требоваться даже без платного доступа, просто согласно политике форума.

Таким образом, если администратор располагает доказательствами того, что это тот же самый человек, пытающийся создать новую фиктивную учётную запись после уведомления о постоянном бане на домене, против него могут быть предъявлены судебные иски — например, за harassment (преследование) или с намерением саботировать системы коммуникации.

GDPR может быть релевантен в вопросе того, какие данные об учётных записях можно хранить. Упоминалось, что даже запрос на предоставление удостоверения личности, выданного государством, может быть незаконным, не говоря уже о хранении записей об этом — не только для проверки личности.

Платёжный процессор Stripe запросил у меня не только ID, но и селфи, на котором я держу своё удостоверение личности и рукописную записку с текущей датой. Это было затруднительно. Всё это произошло лишь потому, что у меня не было доступа к электронной почте, привязанной к учётной записи — единственный способ изменить email для входа без пароля согласно их политике безопасности.

В любом случае, вопрос к юристам, который я могу задать, касается того, как правильно составлять официальные юридические уведомления — это важно.

Я думаю, что если вы потребуете предоставления государственного удостоверения личности для создания аккаунта, то у вас будет исчезающе малое количество пользователей. Я знаю, что это полностью отпугнуло бы меня от попытки присоединиться к форуму — я не буду предоставлять своё удостоверение личности незнакомому человеку или группе людей. Более важным вопросом может быть: «Как вы докажете мне, кто вы, чтобы я мог быть уверен, что вы безопасно обработаете моё удостоверение личности, если я даже подумаю о том, чтобы передать его вам?»

Если бы вы убедили меня предоставить удостоверение личности, то я почти уверен, что вы попали бы в сферу действия GDPR.

Деструктивные пользователи, к сожалению, являются фактом жизни. Мне повезло: за более чем 20 лет работы форума мне пришлось забанить лишь горстку пользователей, но не существует «стандарта» для деструктивного пользователя. Вот три случая, которые я помню…

1. Один получил бан и принял его, держась в стороне. Через годы он спросил, разрешат ли ему вернуться, если он пообещает вести себя прилично. Ему разрешили снова присоединиться, но в итоге он вступил в спор с кем-то, который начал становиться деструктивным. Он удалил свой собственный аккаунт, не будучи забаненным или даже не получив просьбы уйти.

2. Другой тоже получил бан, но пробрался обратно с другими данными. Мы обнаружили это спустя годы после его возвращения, и к тому времени он был образцовым участником форума.

3. Третий, о котором я могу вспомнить, был недоволен своим баном (большинство других пользователей были довольны!), и он многократно воссоединялся с другими данными. Проблема с возвращением для деструктивных действий заключается в том, что вы вскоре высовываете голову из-за парапета, что делает вас лёгкой мишенью для нового бана. Он заскучал после 5 или 6 попыток вернуться и с тех пор больше не появлялся. Дело в том, что для такого типа пользователей не имеет значения, тот ли это человек… если кто-то нарушает ваши правила так, что требуется бан, то вы его баните, независимо от того, тот ли это человек или нет.

Правильно, у меня нет планов это делать, особенно поскольку это по какой-то причине незаконно. Извините, мой последний пост был запутанным, я говорил о двух разных вещах.

Это отличная история о великом дяде вашего друга с ослом! Раздражает, что мне приходится показывать удостоверение личности, чтобы купить стаут Guinness.

Скорее всего, пока не стоит слишком беспокоиться о GDPR. Хотя мой форум открыт для стран ЕС, у меня нет причин запрашивать полные имена или что-то ещё, если только кто-то не потерял доступ к аккаунту и не просит меня изменить адрес электронной почты аккаунта со стороны администратора.

Правительства здесь, на западном побережье, сильно отличаются: новые ещё даже не существовали 200 лет!

Коренные народы имеют независимые правительства и судебные системы. Я надеюсь сотрудничать с ними в проектах по обеспечению жильём, так как есть много беженцев, которым нужно укрытие.

Правила для компаний совершенно отличаются от правил для людей: я больше не могу быть полностью анонимным.

Stripe Terminal всё ещё находится в бета-версии во многих странах ЕС:

terminal754×470 34.8 KB