В последний раз я создавал серьезный сайт в начале 90-х. Веб-строительство тогда было простым — создать сайт и опубликовать для доступа всего мира.
Сегодняшние веб-технологии значительно улучшились, но, похоже, были введены различные искусственные препятствия. Сегодняшний вопрос касается GDPR.
Насколько я понимаю, GDPR — это европейское законодательство, рекламируемое как защищающее конфиденциальность граждан ЕС и предоставляющее гражданам ЕС право контролировать, как веб-сайты используют данные/могут ли веб-сайты хранить такие данные.
Мое первое впечатление о GDPR таково: если гражданин ЕС хочет получить права, предусмотренные GDPR, он должен использовать только серверы, расположенные в ЕС и подпадающие под действие законодательства GDPR.
Однако, по-видимому, есть некое представление о том, что законодательство ЕС может как-то повлиять на серверы за пределами ЕС? Я не юрист, но я бы ожидал, что каждая страна определяет и применяет свои собственные законы, которые могут соответствовать или не соответствовать законодательству другой страны. Как GDPR вообще применим к серверам, находящимся в США (или любой другой стране, не входящей в ЕС?)
На основе нескольких статей, которые я прочитал в сети, похоже, что каким-то образом США позволяют европейскому законодательству GDPR применяться на территории США. Это похоже на ошибку № 1, но я отвлекся.
Поскольку я не хочу иметь дело с головной болью GDPR, у меня, по-видимому, нет выбора, кроме как заблокировать всех пользователей из ЕС от использования моих веб-сайтов и сервисов. Как лучше всего их заблокировать? Попросить их подтвердить при попытке входа на веб-сайт, что они не являются гражданами ЕС (или им разрешено согласиться с тем, чтобы веб-сайт не соответствовал схеме GDPR, и в этом случае они все равно могли бы им пользоваться?)
Для ясности: мои веб-сайты и сервисы не планируют использовать какую-либо информацию, собранную от посетителей, для рассылки спама или каких-либо других неблаговидных целей — я просто не хочу иметь дело ни с какими требованиями GDPR и готов взамен заблокировать/запретить всем пользователям из ЕС использовать мои сайты и сервисы.
В идеале я бы предпочел старые времена, когда каждый человек в мире мог бы получить доступ к ресурсам, которые я предоставляю, но если это невозможно, законный способ запретить доступ гражданам ЕС (например, если они нарушат правовую директиву, то ожидания GDPR будут недействительными) был бы вполне приемлемым.
Заранее спасибо за любые идеи/подходы, которые вы могли бы использовать для своих веб-сайтов и услуг.
решение1
Сначала позвольте мне сказать, что нет необходимости хранить данные на европейском сервере. Это действительно зависит от того, какую PII (лично идентифицируемую информацию) вы собираете и как вы ее используете и делитесь.
В большинстве случаев все, что вам нужно, это попросить согласия или иметь законную причину иметь эту информацию. Например, если вы управляете интернет-магазином, вы можете записать имя и адрес клиента, чтобы вы могли отправить заказ.
Обратите внимание, что это касается не только ЕС. Калифорния недавно приняла CCPA (California Consumer Privacy Act), который не такой строгий, но имеет схожие последствия.