21 июня Wrike Tech Club организует встречу про GDRP. Если вы, как и мы, стремитесь к комплаенсу — приходите в офис Wrike поговорить на эту тему.
Читать полностью »
21 июня Wrike Tech Club организует встречу про GDRP. Если вы, как и мы, стремитесь к комплаенсу — приходите в офис Wrike поговорить на эту тему.
Читать полностью »
На самом деле главная цель GDPR – дать возможность пользователям контролировать кто и как использует их персональные данные и иметь возможность легко и в любой момент запрещать использование или изменять условия использования персональных данных в маркетинговых целях.
Персональные данные собираются компаниями, чтобы улучшить маркетинг и сделать его персонифицированным – нацеленным на каждого конкретного пользователя с учетом его предпочтений и интересов, которые собираются на основе поведения пользователя в интернете: посещение сайтов, оставленные лайки, передвижение мышки по странице. В интернете можно собрать такие данные об активном среднестатистическом пользователеЧитать полностью »
Общая политика защиты данных, также известная как GDPR, была принята Европейским союзом ещё в далёком 2016 году. Всем было дано 2 года на переход и адаптацию. Но судя по ажиотажу, возникшему в начале 2018, кто же станет делать всё вовремя? Обновления политик конфиденциальности многих весьма и не весьма крупных проектов посыпались в мае, за 2-3 недели до окончательного вступления закона в силу. И кажется мне, проекты поменьше будут ещё какое-то время догонять поезд после 25 мая. Если Вы ещё не внесли необходимые изменения в свои политики или не совсем поняли, какими они должны быть, эта статья для Вас.
В последние дни на почту регулярно падают письма от разных компаний, приложений, сервисов и сайтов, которыми вы когда-либо пользовались или где заводили аккаунты. Письма примерно одинаковые — они сообщают об изменении политики конфиденциальности и разъясняют, как компания обрабатывает персональные данные.
Мы уже писали о том, что именно меняется в политиках обработки данных крупных IT-компаний: WhatsApp, Facebook, Instagram и Twitter. Теперь разбираемся, почему десятки писем от многих сервисов начали приходить только сейчас, после формального дедлайна по GDPR, почему не все компании смогли своевременно подготовиться к переходу и с какими проблемами они столкнулись.
Всего за несколько дней до вступления в силу GDPR неприятность постигла Университет Гринвича. Information Commissioner's Office (офис комиссара по информации — независимая организация по надзору за соблюдением законодательства в информационной среде Великобритании) оштрафовал университет на £120 тыс. (на момент написания статьи это порядка 136 тыс. евро, 160 тыс. долларов США, 10 млн. российских рублей, 4,2 млн. украинских гривен) за серьёзную уязвимость в безопасности, приведшую к утечке данных почти 20 тыс. студентов и сотрудников. Как такому серьёзному университету удалось попасть под раздачу ICO и стать первым университетом, оштрафованным за нарушение DPA, и чему это нас учит, читайте под катом.
Привет сообщество. Это моя первая запись, пусть она и не совсем длинная — но важный посыл в заголовке.
Есть такой сервис для авторизации через соцсети — uLogin. Разработчики выпустили много бесплатных плагинов под различные CMS и вот он — сыр в мышеловке.
Видно дела пошли не очень и пользователи начали замечать, что сервис подгружает странные скрипты при работе модуля. Я проводя аудит своего сайта — заметил что грузится counter.yadro.ru несколько раз. В общей сложности, при загрузке страницы, они загружали 18 ресурсов (js, css, прочие запросы) — это много для моего проекта у которого всего 47 запросов. А их сервис добавляет еще 18, включая запросы к сторонним сайтам.
Читать полностью »
25 мая 2018 года вступил в силу Общий регламент по защите персональных данных Европейского союза (англ. General Data Protection Regulation, GDPR; далее – GDPR, Регламент). Многие считают, что GDPR распространяется только на европейские организации или компании, обрабатывающие персональные данные (ПДн) на территории Европейского союза. Но на самом деле Регламент является экстерриториальным и распространяется на организации, не находящиеся на территории Евросоюза.
В Регламенте, как и в Федеральном законе Российской Федерации №152-ФЗ «О персональных данных», используются понятия и подходы, сформулированные в Конвенции о защите физических лиц при автоматизированной обработке персональных данных.
Основной упор в Регламенте идет на защиту прав и свобод физических лиц при обработке их персональных данных.
Российские организации, попадающие под действие GDPR, оказываются «меж двух огней»: им требуется соответствовать как российскому законодательству, так и новому европейскому Регламенту. В этой статье мы постараемся раскрыть, кому в России нужно выполнять требования GDPR, зачем, и какие могут быть последствия их невыполнения.
Читать полностью »
Представьте себе на минуту идеальный мир, в котором все ваши данные хранятся в облачной системе, в зашифрованном виде, и доступ к этому хранилищу имеете только вы. «Учетная запись» используется для синхронизации данных на домашнем ПК, смартфоне и планшете. Для доступа к файлам, сообщениям мессенджера и почтовой переписке требуется дополнительное согласие владельца. Еще более строго ограничивается доступ к вашим данным со стороны третьих лиц и компаний. Одной большой красной кнопкой можно отключить доступ сразу всем сторонним сервисам. Социальные сети теперь обязаны каждый раз запрашивать ваше разрешение на использование данных для таргетирования рекламных объявлений. Законодательно закреплен и поддержан технологиями режим инкогнито, когда компаниям прямо запрещено отслеживать вашу активность — для любых целей. Стоимость персональных данных растет и становится публичной: желающим свободно делиться своими данными предлагают солидные компенсации. За персональное хранилище данных тоже приходится платить, но гораздо меньше.
Ничего из вышеперечисленного НЕ произошло 25 мая, когда официально вступили в силу нормы европейского регламента о защите данных (General Data Protection Regulation). «День GDPR» по идее должен был пройти незаметно для большинства: это же законодательство, юридические тонкости и прочее. Но сказалась как сложность новых принципов защиты персональных данных, так и традиционное человеческое раздолбайство. Результат могли наблюдать все пользователи Интернета в своих почтовых ящиках. Обычно происходило это с комментарием: «Никогда бы не подумал, сколько компаний владеют информацией обо мне». Массово рассылая обереги от гнева европейских бюрократов, становятся ли компании ответственнее при обработке персональных данных? Пока скорее нет, чем да, но есть и позитивные примеры.
Читать полностью »
Я долгое время читал интерпретации регламента GDPR. Почему-то я был уверен, что из-за сильно сложного юридического языка читать оригинальный регламент я не смогу. Что люди, умнее меня, давно все прочитали и сделали выжимки. Но, начитавшись этих «выжимок», я набросал в свою голову столько хлама, что стало тошно. Продолжая читать такие тексты, я, вместо того, чтобы хоть что-то понять, переставал понимать вообще, о чем идет речь. Особенно много разногласий в вопросе, что считать персональными данными в рамках GDPR. Тут кто на что горазд. У кого-то X (подставить IP, IDFA, Google Advertising ID, email, etc.) — персональные данные, у кого-то нет.
Каково же было мое удивление, когда я понял, что регламент этот написан вполне себе человеческим языком, и что в нем противоречий и возможных разночтений на порядок меньше, чем о нем принято говорить.
Читать полностью »
Корпорация ICANN продолжает попытки сделать так, чтобы работа системы WHOIS, предоставляющей открытый доступ к данным о владельцах доменных имен, удовлетворяла требованиям GDPR. GDPR уже вступил в силу, а пока ни одна из предложенных ICANN инициатив не была одобрена Европейским союзом. Об этом мы писали в нашем блоге на Хабре.
В середине мая ICANN опубликовала очередной, временный, набор политик для WHOIS. Сегодня мы решили рассказать о новой инициативе и сложностях, которые она принесла.