GDPR

Хочу вставить свои пять копеек про авторские права и борьбу за них и около них, а потому расскажу о своей работе (когда-то давно, и разумеется, никакой коммерческой тайны, сроки прошли, да и вообще, ситуация выдуманная).

История 1.
Ваш бренд используют.

Я работал в небольшом интернет-магазине, который продавал электронику в столице нашей необъятной. Таких магазинов гора, но этот динамично-развивался, а потому заказывал массу рекламы в этих ваших интернетах. Разумеется, через CPA-сеть.

Среди таких "нехалявщиков", а партнёров были и ребята, которые очень хорошо разбирались в социальных сетях, а значит подумали, что они могут полностью скопировать нашу группу в социальных сетях, использовать лого, название и так далее. А ещё накрутить пользователей-фейков (тогда ВК ещё не очень умел с этим бороться), а потому группы успешно выходили в топ поиска, догоняя и перегоняя оригинал.

Разумеется, они и трафик гнали к нам на сайт, а мы за него платили. За дубликаты нашей группы. Конечно это не понравилось руководству, они надавили на CPA-маркетолога, тот связался с площадками, а те отключили таких партнёров от выплат по каналу. В рамках существовавших правил, и всё ок. Но "нехалявщикам", потерявшим простой заработок это не очень понравилось, кто-то просто группы закрыл, а кто-то продал. И тогда уже другие (а может и те) личности стали подписчиков разводить на бабло: принимали оплату в личку и переводом, а товар якобы забирать в магазине.

Пошли заявления в милицию-полицию, суды, время, деньги. Тогда начальство достало из пыльного сейфа документы о регистрации авторских прав на логотипы, бренды и названия. Я получил доверенность на представление конторы и пошёл в администрации социальных сетей, со ссылками на все возможные правила и с требованием закрыть группы нарушителей и недопущать.

Разумеется, группы были закрыты, пусть и не сразу.

История 2.
С вами недоговорились.

Повторюсь, я работал в небольшом интернет-магазине электроники, который торговал официально ввезённым в Россию товаром, у которого были сертификаты соответствия, значки РСТ и официальная гарантия производителя. Но то ли хорошо работала закупка, то ли были контакты из импортёров, то ли магазин решил, что какой-то процентик и хорошо, а потому он УЖАСНО ДЕМПИНГОВАЛ. Продать ноутбук за 50К (ниже рынка естественно) с профитом в 200 рублей руководство считало нормальным.

И пошли к "закупастам" ходоки от импортёров и прочих "владельцев прав на бренд в России", которых начали дрюкать то ли западные партнёры, то ли другие "закупасты" (а чо это они - т.е. мы - продаём так дешево, небось поставки дешевые, а давайте и нам такие же, мы же больше и круче), то ли просто жадность. Запрос был прост:

Либо ставьте цену как у всех. Вот вам РРЦ (рекомендованная розничная цена), и ни копейкой ниже. Хотите выше - ваше право. Но ниже - вам жопа. Потому что мы... МЫ договоримся со ВСЕМИ-ВСЕМИ-ВСЕМИ поставщиками и вам отгружать не будут!!!

Вот только поставщикам запретить импортёр может только отказом в новых сделках, а все понимают, что фирм много, есть много однодневок-прокладок, есть обычные товарно-денежные отношения и тогда полностью обескровить магазин товаром просто нельзя.

В общем, недоговорились.

И тогда идёт владелец авторских прав в России в компанию специальную, а та строчит кучу жалоб в Google, что так и так, злой магазин НАРУШАЕТ авторские права. Как нарушает? А у него на странице с товаром фото товара есть, а на фото том логотип. И вообще у них контрафакт, потому что оригинал столько стоить не может. АЙ АЙ АЙ! GDPR!!!! - это закон евпропейский, по которому штрафы конские, а потому Google вначале такие претензии удовлетворяет автоматом, а потом разбирается.

И да, Google похрен, что по российскому законодательству можно фото товара, который продаешь вешать. И лого, если его производитель нанес на товар, может быть на фото. Авторские права исчерпаны. Но Google на это почти насрать, потому что штрафы по GDPR большие, а по российскому законодательству ещё докажи, принеси кучу документов и занимайся. Презумция виновности и всё такое.

Магазин может быть исключен из выдачи google при этом не на один товар, а даже полностью по домену.

Потеря google - это дорого. Это как потеря всех пользователей android и google chrome, которые поисковик не додумались сменить. А компания-прокладка за такие штуки и зарабатывает. Либо повышаете цену для конечных потребителей (ну или исполняете любое другое требование импортёра), либо теряете трафик.

Мнение частное, может с вашим не совпадать, обсуждения привествуются.

Прошло 6 месяцев с тех пор как вступил в юридическую силу нашумевший GDPR. Наверное, помните, как всем стали приходить письма на электронку о том, что меняется политика конфиденциальности. И на сайтах стали появляться уведомления о куки. Это потому что все стали бояться гигантских штрафов.

Давайте, посмотрим 5 самых ярких моментов как, когда, кем GDPR был применен за эти полгода.

1. Предупреждения - Teemo и Fidzup

Национальная комиссия по информационным технологиям и свободам Франции (CNIL) провела аудит Teemo и Fidzup, выявила существенные нарушения, но ограничилась вынесением предупреждения и дала время на их устранение. Оба этих проекта предоставляют SDK для таргетированной рекламы.

Fidzup подвергся критике за то, что в Privacy Policy (Политике конфиденциальности) было недостаточно ясно изложено какие данные собирает и зачем.

Teemo же начинал собирать данные как только пользователи загрузили приложение (то есть до изучения правовых документов), а также хранило данные о геолокации в течение 13 месяцев, что, по словам CNIL, слишком велико, для обозначенных целей - целевой рекламы, ведь GDPR требует от компаний хранить данные исключительно до тех пор, пока они «необходимы».

Считается, что CNIL выявила эти нарушения и для того, чтобы "научить" рынок работе с персональными данными и показать на что смотреть, как действовать бизнесу и какие шаги предпринимать, поэтому обошлись и без штрафов.

2. Штраф € 400 000 - Centro Hospitalar Barreiro Montijo

Португальский орган по защите данных (CNPD) при аудите обнаружил, что больница Баррейро предоставила своим работникам неограниченный доступ ко всем клиническим данных своих пациентов. Такой доступ могли получить привлеченные на договорной основе врачи (т.е. не из штата больницы) через свой профиль в системе больницы.

Больница пробовала обжаловать этот штраф с основанием, что всю информационную систему им предоставило министерство здравоохранения, результата рассмотрения дела пока нет.

В результате был назначен штраф в размере 300 000 евро за несоблюдение конфиденциальности пациентов и отсутствие ограничения нецелевого доступа к данным пациентов. Второй штраф в размере 100 000 евро был наложен за неспособность больницы обеспечить целостность безопасности данных в их системе.

3. Требование - AggregateIQ

В октябре Наблюдательный орган Великобритании (ICO) подал требования в AggregateIQ Data Services («AIQ») о стирании всех персональных данных, хранящихся в AIQ, связанных с гражданами Великобритании в течение 30 дней с даты получения. В уведомлении было указано, что если AIQ не исполнит требования, то ICO будет налагать максимальные санкции в отношении ВНП в размере 20 000 000 евро или 4% от общего годового мирового оборота AIQ, в зависимости от того, что больше. Обращу внимание, что это первое подобное требование.

По заявлению Cambridge Analytica - AIQ на основе данных Cambidge Analytica незаконно создало приложения для республиканских избирателей в США в 2016 году, а потом также за £2 700 000 собирало данные граждан во время референдума по "Брексит" в Великобритании, которые использовались в программых "Vote Leave" и "BeLeave" и участвовало в политических действиях в Северной Ирландии.

Срок исполнения требований приостановлен в связи с подачей апелляции AIQ на такие требования.

4. Штраф € 4 800 - за камеру у заведения

Австрийский надзорный орган («DSB») наложил штраф на предпринимателя, который разместил камеру рядом со своим заведением, а она звахватила часть дороги и тратуара. Это было рассмотрено DSB как "крупномасштабный мониторинг общественных пространств", что недопустимо в соответствии с GDPR. Кроме того, не было отметки о том, что ведётся запись, а значит, что обязательства по прозрачности не были выполнены.

5. Начало расследования - Facebook

Ирландская комиссия по защите данных (DPC) начала расследование в соответствии со статьей 110 Data Protection Act 2018, действующего на территории Ирландии о нарушении защиты персональных данных Facebook. В ходе расследования будет рассмотрено соблюдение Facebook обязательств в соответствии с GDPR в рамках осуществления технических и организационных мер для обеспечения безопасности и защиты персональных данных, которые Facebook обрабатывает.

Расследование было начато по заявлению Макса Шремса (активист за неприкосновенность частной жизни), который основал свою жалобу тем, что Facebook предоставляет «бесплатные» онлайн-сервисы в обмен на персональные данные пользователей, а также принуждает пользователей к принятию политики сбора данных, т.к. иначе возможность работы с Facebook невозможна.

Подобная жалоба была направлена на Google.

Пожалуй побуду первым Пикабушником, который выкладывает практику по получению всех данных от интернет ресурса.
К сожалению сейчас протоколы GDPR доступны только резидентом европейских стран, коим я и являюсь.

Как вы уже поняли, речь пойдет о том,что я захотел получить всю информацию об моем аккаунте на VK.com.

Все началось вот с такого простого вопроса техподдержке Вконтакте.
Все вопросы я взял из головы,  и из интернета, за что ему спасибо.

Естественно, я готов подтвердить свое положение на Туманном Альбионе.

далее спустя некоторое время, 3 дня мне пришел ответ..

ну и немного потянули время, но это ничего, 10 дней на сбор данных, это же нормально?

И вот наконец! сегодня утром меня обрадовали, что наконец все залили в один файл.

Итог, подведем его.
Вконтакте на данный момент скинул мне txt файл, молодцы конечно, но хотелось бы получить еще так-же удаленные диалоги, удаленные фото, я уверен,что они есть, посмотрим,это второй вопрос.
Всем спасибо,надеюсь вам был интересен этот опыт.

В немецкой мясной лавке очень оригинально и с юмором подошли к соблюдению вступившего в силу великого и ужасного GDPR, также известного как DSGVO - Datenschutz-Grundverordnung

Надпись на фото:

Внимание!

В нашей мясной лавке мы иногда спрашиваем Ваше имя и замечаем, какое мясо Вы любите больше.

Если Вы с этим не согласны, громко кричите при входе "Я НЕ СОГЛАСЕН!!"

Тогда мы будем прикидываться, что Вас не знаем.

(Перевёл как смог / посчитал нужным лингвисты/филологи - не ругайтесь)

Не моё, источник: https://www.facebook.com/photo.php?fbid=1994763757200946&amp...

Недавно в интернете поднялась шумиха и паника по вопросу, мол, из KSP (TakeTwo) делают шпионское ПО, что же делать?! Полагаю, такое может произойти или уже произошло в коммьюнити и других игр. К сожалению, паника - штука быстрорастущая как вирус.

Какой самый живучий паразит? Бактерия, вирус? Кишечный глист? Идея.

Идея паники редко идет на пользу.

Приведу свои мысли на тему GDPR (General Data Protection Regulation), который нехило коснулся и геймеров (вступил в силу в Европе 25-го мая 2018).

TL;DR: расслабьтесь, это лишь законодательное закрепление всего того, что и так всегда делалось.
В конце поста - бонус для игроков KSP от Скотта Мэнли (его мысли со стрима).

Сперва процитирую Хабрахабр:

Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), по которой прямо или косвенно можно его определить. К такой информации относится в том числе имя, данные о местоположении, онлайн идентификатор или один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п. 1 ст. 4). Определение широкое и достаточно четко дает понять, что даже IP адреса также могут быть персональными данными.

(Источник: https://habr.com/company/digitalrightscenter/blog/344064/ - разумеется, не реклама, не имею отношения ни к Хабру, ни к автору(ам) поста.)

Вдумайтесь.
ДАЖЕ IP-АДРЕС МОЖЕТ БЫТЬ ПЕРСОНАЛЬНЫМИ ДАННЫМИ, не говоря уж о том, что и хар-ки железа, и прочие программные идентификаторы вроде мак-адреса сетевой карты, моделей компонентов компа и т.п.

Формально - да, через многие технические данные можно выяснить, что я являюсь atomontage, да и вообще украсть всю мою жизнь. И для этого пишутся такие законы, чтобы не дай бог это не было использовано против меня.

Но давайте подумаем: нужны ли мы как персоны крупным корпорациям? Нужно ли им знать, балдеем ли мы от Шарлиз Терон или от Скарлетт Йохансон? Вряд ли. Тогда что им нужно? Деньги! Им нужно продавать свои продукты, а не обкрадывать нас, или шантажировать, или что там еще можно сделать с персональными данными. Данные им нужны для анализа целевой аудитории, для привлечения новых клиентов, улучшения своих продуктов, маркетинга и прочих целей, которые всегда преследовались компаниями. Цель любой компании: продать больше своих продуктов и заработать больше денег.

Сбор таких данных проводится очень давно и очень многими компаниями - почитайте Terms of service банков (договора на карты), Google, Apple и прочих гигантов. Все всегда собирают кучу данных. Теперь это лишь закреплено на законодательном уровне (и, к слову, крупные компании теперь вздернут на виселице, если посмеют распорядиться ими криво).

Как это касается Геймеров? А очень просто. Игры также собирают персональные данные: ваши ip-адреса, конфиги ваших компов, частоту кадров в секунду, технические данные при вылете игры, инфу о работающих в фоне процессах (на эту тему тоже шумиха как-то была). А в некоторых играх крупных издателей\разработчиков (Blizzard, TakeTwo) есть и античит-ПО, которое вынуждено "следить" за геймером. И теперь это все прописано в законе и пользовательских соглашениях.
Пример с потолка: скажем, компания видит, что ее продукт активно используется в России. И она приходит к выводу, что хорошо бы перевести игру на русский.

Здесь мы плавно переходим к ситуации с Kerbal Space Program.
Процитирую Скотта Мэнли:

Ох.. нет, новая EULA не делает из KSP шпионское ПО больше, чем она таковым стала бы, если ее просто обозвать шпионским ПО. TakeTwo использует единое EULA для всех своих продуктов. В частности и для KSP, и для GTA Online, которая за вами вынужденно "следит" античит-системой.

Источник: запись стрима - https://youtu.be/wjzQm6e-BVE?t=20m13s
Если что, тайминг на 20м 13с (а то некоторые мобильные девайсы не жрут такие ссылки))
Больше фрагов вам, спокойствия, успехов и достижений, геймеры!

Ссылки:
Текст регламента: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A3...
Вики (рус): https://ru.wikipedia.org/wiki/%D0%9E%D0%B1%D1%89%D0%B8%D0%B9...
Вики (en): https://en.wikipedia.org/wiki/General_Data_Protection_Regula...
Образовательный сайт с инфой по этой теме: https://www.eugdpr.org/