EZ
Сереж, расскажи лучше тут. Всем интересно
Добро пожаловать в чат "Жили-были adtech, martech и программатик", @sorklpopor!
Расскажите немного о себе с хештегом #me. Или в течение ~суток будете удалены из чата.
Size: a a a
2018 February 27
2018 February 28
W
Добро пожаловать в чат "Жили-были adtech, martech и программатик", @nikolay_simon!
Расскажите немного о себе с хештегом #me. Или в течение ~суток будете удалены из чата.
Расскажите немного о себе с хештегом #me. Или в течение ~суток будете удалены из чата.
NS
#me Николай Симон, CTO в лаборатории ADV
AZ
Привет, Коля ;)
ЕР
Ребят, подскажите, пожалуйста.
У меня с 1 айпи (по метрике) в 1 кампании приходит куча визитов с разных приложений. Это боты чтоль? Как так получается
У меня с 1 айпи (по метрике) в 1 кампании приходит куча визитов с разных приложений. Это боты чтоль? Как так получается
SB
Сереж, расскажи лучше тут. Всем интересно
Жень, коллеги, по пунктам на для соответствия GDPR должно быть сделано несколько пунктов в компании:
1. Если сбор данных о пользователе необходим для выполнения целей создания организации на постоянной основе - должен быть назначен DPO - data protection officer
2. Согласие на сбор и обработку данных должно быть собрано явно. Решается плашкой (как почти везде) или прямо указывается на лендинге (как на главной FB)
3. В дата политике должно быть явно прописаны - цель сбора, срок хранения и стороны использующие собираемые данные. Так же должна быть явно реализована возможность - отозвать согласие, передать данные, изменить данные и настроена система оповещения об угрозе безопасности данных.
4. В компании должны быть разработаны регламенты и приняты процедуры Защиты прав пользователей, вестись журнал активностей по работе с данными и система оценки необходимости в собираемых данных.
5. Поправлены договора с партнерами об обеспечении соответствия правилам сбора данных.
Это все.
1. Если сбор данных о пользователе необходим для выполнения целей создания организации на постоянной основе - должен быть назначен DPO - data protection officer
2. Согласие на сбор и обработку данных должно быть собрано явно. Решается плашкой (как почти везде) или прямо указывается на лендинге (как на главной FB)
3. В дата политике должно быть явно прописаны - цель сбора, срок хранения и стороны использующие собираемые данные. Так же должна быть явно реализована возможность - отозвать согласие, передать данные, изменить данные и настроена система оповещения об угрозе безопасности данных.
4. В компании должны быть разработаны регламенты и приняты процедуры Защиты прав пользователей, вестись журнал активностей по работе с данными и система оценки необходимости в собираемых данных.
5. Поправлены договора с партнерами об обеспечении соответствия правилам сбора данных.
Это все.
VK
Чуть добавлю - кука теперь считается приватными данными. Данные бывают 3 типов - индентифицирующие, псевдонимизированные и анонимизированные. Кука - псевдоним - и является приватным потому что существует процесс востановления айдентити. Как и любые id. То есть если у вас в CRM есть client-id, и никаких personal-id - это псевдоним позволяющий востановление - и следовательно приватные данные.
Так же есть разные роли в обработке данных data controller и data processor. Процессор обрабатывает данные по заданию контроллера. Процессор не обязательно должен иметь разрешение от пользователя, но должен быть GDPR compliant.
Если controller передает данные не GDPR compliant стороне - то это privacy breach - он несет полную ответственность за это и может быть наказан.
В зависимости от масштабов деятельности (определено разными критериями - начиная от анализа рисков и зкаканчивая количество работников) - процессор и контроллер должны иметь внутренние протоколы и процедуры защиты и аудируемого логгинга обработки данных. То есть контролер может требовать аудита процессора.
Ну и конечно же право быть забытым. То есть согласие должно быть отменяемым. И никаких "выставленных галочек по умолчанию".
Так же есть разные роли в обработке данных data controller и data processor. Процессор обрабатывает данные по заданию контроллера. Процессор не обязательно должен иметь разрешение от пользователя, но должен быть GDPR compliant.
Если controller передает данные не GDPR compliant стороне - то это privacy breach - он несет полную ответственность за это и может быть наказан.
В зависимости от масштабов деятельности (определено разными критериями - начиная от анализа рисков и зкаканчивая количество работников) - процессор и контроллер должны иметь внутренние протоколы и процедуры защиты и аудируемого логгинга обработки данных. То есть контролер может требовать аудита процессора.
Ну и конечно же право быть забытым. То есть согласие должно быть отменяемым. И никаких "выставленных галочек по умолчанию".
VK
Еще - дополню пункт 3 - имеется ввиду informed concent. То есть обобщенные тексты на тему "так надо чтобы вам было хорошо" - не катят. Это не считается согласием, и если даже пользователь говорит ok, то не GDPR complient и за то могут наказать.
I
Что печально, IP похоже тоже “personal data”
VK
любой идентификатор относительно которого может существовать процесс восстановления айдентити - персональныё данные
I
кстати, если кто-то будет обсуждать имплементацию “право быть забытым” в контексте хранилищ данных и выгрузки накопленных данных, а так же роль “Data Protection Officer”, то я бы с удовольствием присоединился к такому чатику.
SY
+ consent должны получить все, кто собирает или аккумулирует данные о юзерах, т.е. не только владелец сайта, но и все ремаркетеры, DMP и т.д.
SB
кстати, если кто-то будет обсуждать имплементацию “право быть забытым” в контексте хранилищ данных и выгрузки накопленных данных, а так же роль “Data Protection Officer”, то я бы с удовольствием присоединился к такому чатику.
AS
Игорь, ну тут как раз ничего особо сложного нет
AS
Я это реализовывал как отдельный сторадж идентификаторов для "забытых" - чтобы "не хранить никакой информации о них, кроме данного идентификатора" ))
I
У меня больше вопросы про печальное - а вот есть у вас колдсторадж логов на несколько лет. Человек требует быть забытым. Теперь что, надо все эти логи пройти и убрать его PIID везде.
I
хранить или не хранить в будущем сложного нет
AS
аа, в этом плане... )) причем немедленно - в момент получения его решения быть забытым ) по 1-2 человека в неделю таких - и веселье обеспечено! :)
это тема для стартапа )))
это тема для стартапа )))