すべてが危機にatしています。 一般的にすべて
ほとんどすべてに違反する法律を書くことは祖国の発明であるという意見があります。 しかし、ゾウと同様に、すべてがそれほど明確ではありません。私が一般データ保護規則(GDPR)を研究したとき、私はこれで私たちが絶望的にヨーロッパの背後にいることに気付きました。 それは冗談ではありません-一挙に全世界を非難すること! あなたの会社はGDPRの下で曲がる必要はないと思いますか? この危険な妄想を払拭します。
この記事では、すべてのGDPRの波紋については説明しません。まず、「すべてのヨーロッパ人を禁止することは可能ですか?」(そして、これは冗談ではありません) GDPRが彼の仕事に与える影響の問題を調査しました。彼は被災地の外にいると先験的に信じていました。
私はプログラムマネージャーなので、ペーパーデザインではなく、技術的な側面に適用されるGDPRの規定を改めて説明します。 そして、私はヨーロッパの法律を専門とする弁護士ではありませんが、GDPRの研究にブレークスルーを費やし、私が書いていることにかなり精通しています。
- 法律自体を読んでください。
- それに関するセミナーに参加しました。
- 彼への公式説明を読んでください。
- 個人的な意見を読む;
- 司法慣行を読み、そこからこの法律のいくつかの新しい規定が成長した。
- このすべてについて、スイスの弁護士と話し合いました。
- など
一般的に、このトピックに飛び込むには2か月以上かかりました。
そして、このような状況での技術専門家のこのような「非中核」使用は避けられません。製品やインフラストラクチャに多くの危険な場所を見つける弁護士はいません。技術ソリューションに精通し、GDPRを理解している技術者だけです。
では、GDPRがほぼ全員をカバーすると主張するのはなぜですか?
3つの側面:
- アクションの拡張地理。
- 個人データの概念の拡張解釈。
- 「コントローラー」と「プロセッサー」の両方が攻撃を受けています。 (これは誰ですか?!)
さらに詳しく考えてみましょう。
拡張アクション地理
GDPRは、EUで活動する組織による個人データの処理に適用されます。ヨーロッパに住んでいる人々は、長い間知っていました。 ただし、GDPRの定式化により、効果はさらに大きく広がります。
これは、EU / EU市民の個人に商品またはサービスを提供するEU以外の組織にも適用されます(支払いが必要かどうかに関係なく)。無料サービスには英語版とユーザー登録(少なくとも電子メールのみ)がありますか? おめでとうございます-あなたは立ち往生しています。 欧州市場で製品やサービスを積極的に販売している人は、GDPRをすでに知っていますが、無料のプロジェクトの場合、これは驚くかもしれません。 また、欧州市場で積極的に行動しているわけではないが、実際には多くの場合、EU市民(どこにいても市民)にサービスを提供している人々を待っています。 また、正式な理由でヨーロッパ人に焦点を当てていると非難される可能性がある人-サイトを欧州連合の言語(英語など)の1つに翻訳し、ユーロでの支払いを受け入れます(たとえば、複数通貨の支払いシステムを介して)。
これは、EU内で発生する動作を監視するEU以外の組織にも適用されます。そして、これはケーキのチェリーです-彼女の意地悪を少し後で明らかにします。
個人データの拡張解釈
しかし、ユーザー登録がない場合でも、GDPRが現在個人データとして定義しているものを知っていますか?
個人は、インターネットプロトコルアドレス、Cookie識別子などのデバイス、アプリケーション、ツール、およびプロトコルによって提供されるオンライン識別子、または無線周波数識別タグなどの他の識別子に関連付けられる場合があります。 これにより、特にサーバーが受信した一意の識別子やその他の情報と組み合わせて、個人のプロファイルとそのIDを作成するために使用できるトレースを残すことができます。間抜け! GDPRのインターネットプロトコルアドレスが、私たちが使用しているIPアドレスであることに気付くと、特に興味深いものになります。 この神聖な原稿の多くの通訳者は、苦労せずに、個人データのリストにIPアドレスを追加するだけで、技術者からひどい発砲を引き起こします。
そのため、GDPRでは、個人データは、個人を直接識別するか、識別することを可能にする情報だけでなく、他の利用可能なまたはアクセス可能な情報とともに、個人を識別するために合理的に使用できる情報も宣言されています。 あなたがこの場所で故障しても驚かないでしょう-あなたはすでに法律が「確率」を使用することはできず、「合理的」だと私と主張しようとしました...実際、GDPRは次のように言っています:他のソースから利用可能なデータと組み合わせて、リソースを合理的に消費する個人を特定できます。これは個人データです。 Googleには、ほとんどすべての人を識別するのに十分なデータがあります。つまり、個人データを扱うことができます。
「コントローラー」と「プロセッサー」の両方が攻撃を受けている
最も難しい組み合わせに目を向けます。登録はなく、サイトはロシア語のみです。 欧州連合市民へのサービスの提供は意図されていません。 無料ですか? そしていや!
GDPRは「コントローラー」と「プロセッサー」の両方に適用されます。コントローラーは個人データの処理方法と理由を示し、プロセッサーはコントローラーの代わりに動作します。何も理解していない、または理解しているように見えたが、待ち伏せがどこにあるのか見つけられなかった?
私が説明する:
何らかの種類の機能の「スイッチ」を手に持っている場合(明示的な設定の形で、または単に電力を追加するかどうか)、あなたは「コントローラー」です。 そして、「プロセッサ」は、あなたを通して、またはあなたを通り過ぎて、しかしあなたの決定に従って個人データを受け取る人です。
上記の「個人データの集約」とGoogleについて読んだ後、覚えている-サイト上のGoogle Analytics(またはYandex.Metrica、またはそのようなもの)を覚えていますか? さて、Googleは「プロセッサ」であり、あなたは「コントローラ」であり、あなたは打撃を受けます。 最近、Googleはこれを明確に文書化しました :
Googleとの契約にこのポリシーが含まれている場合、またはこのポリシーを含むGoogle製品を使用している場合、特定の情報を提供し、EUのエンドユーザーの同意を得る必要があります。次に、次のステップに進みます。「EUの境界内で発生する動作を監視している」ことを思い出して、さらに深く考えてください。「EUの領土からロシア語圏の観光客が私の非常に狭い場所をさまよいていますか?」
dr死を救う-dr死の仕事
そして、すでに自分自身でそれを考えており、他の患者の輪で発明されたものを再議論したい人のために、私たちは会議を開催します。 GDPRのトピックに関する製品やサービスは販売していません。同じ影響を受けているため、非常に正直な会話が行われます。 mitapの発表は、 Pleskイベントのmeetup.com 、 Facebookの NSK ITイベントのチャットで 「ブロックされた」 電報にまもなく表示されます 。 非居住者向け放送が予定されています。
PS:「Xを購入してください-そして、GDPRに準拠するようになります!」と約束する人や、「GDPRに一致する5つの簡単な手順」の形式のチートシートを提供する人を信じないでください。 GDPRコンプライアンスの達成は複雑なタスクであり、各ケースの決定は個別です。 そしてそれについて議論します。
