Я колись обіцяв шо не буду писати нічо про GDPR, але треба, бо деяких діячів вже трохи заносить. Тому мушу, для кращого загального розуміння теми тими з нас, для кого вона важлива, але хто не займається приватністю напряму.
1. GDPR про приватність, а не про кібербезпеку. Приватність це секретність даних про людей. Конфіденційність це секретність даних про бізнес. Кібербезпека це скоріше друге. Тому раджу не змішувати одне з одним та пам’ятати, що в GDPR основні суб’єкти це не ваш бізнес та євробюрократи, а ваш бізнес та резиденти ЄС, які найняли бюрократів, які написали закон. Тому коли вам парять DPI, DLP та Next-Gen фаєрволи для “кращого комплаянсу” з GDPR – попросіть пояснити, чому вам пропонують застосовувати це до всієї вашої інфраструктури. Коли в дійсності треба просто токенізувати або пошифрувати вміст ваших БД та написати пару форм та політик. Я утрірую, але настрій ви вловили.
2. GDPR не регулює дані про померлих. GDPR-compliant cemetery це не вдалий жарт, а маячня та невігластво, хоча і то і то може бути кумедне.
3. Фізичні особи які збирають дані для особистого використання, науковці які збирають знеособлені дані для досліджень, работодавці які збирають дані про працівників є виключеннями з GDPR. Причому стосунки роботодавців та працівників є предметом інших нормативів, але коли вам кажуть шо ви subject to GDPR тому шо у вас працює іноземець – женіть продавця в шию.
4. Збір даних спецслужбами, судами, правоохоронними органами, пенітенціарними установами, військовими, прокуратурами тощо – є виключеннями з GDPR. Думаю, це очевидно, але доводиться чути різне.