Как вы можете заблокировать пользователей GDPR с сайтов в США?
(Первоначально я задавал этот вопрос о сбое сервера с тегом GDPR, но из-за минимального ответа было рекомендовано попробовать задать здесь)
Насколько я понимаю, GDPR - это европейское законодательство, продвигаемое как защита конфиденциальности граждан ЕС и предоставление гражданам ЕС прав контролировать, как веб-сайты используют данные / могут ли веб-сайты хранить указанные данные.
Мое первое впечатление о GDPR состоит в том, что если гражданин ЕС хочет иметь права GDPR, он должен использовать только серверы, находящиеся в ЕС, которые будут подпадать под действие законодательства GDPR.
Однако, по-видимому, есть некоторое представление о том, что законодательство ЕС может как-то повлиять на серверы за пределами ЕС? Я не юрист, но ожидаю, что каждая страна определяет и применяет свои собственные законы, которые могут совпадать или не соответствовать законодательству другой страны. Как GDPR может применяться к серверам, находящимся в США (или любой другой стране, не входящей в ЕС)?
Основываясь на нескольких статьях, которые я прочитал в Интернете, кажется, что США каким-то образом разрешают соблюдение законодательства ЕС о GDPR на территории США.
Поскольку я не хочу иметь дело с головной болью GDPR, у меня, похоже, нет другого выбора, кроме как заблокировать ВСЕХ граждан ЕС (и всех, кто имеет доступ к моим сайтам / услугам изнутри ЕС) от использования моих веб-сайтов и услуг. Я могу использовать брандмауэр для всего пространства IP-адресов ЕС, чтобы поймать большую часть пользователей из ЕС, но есть граждане ЕС, которые могут использовать VPN или иным образом получить доступ к моему сайту от интернет-провайдера, не входящего в ЕС.
Есть ли правовой подход, который можно использовать для блокировки граждан ЕС? Например, «Доступ к этому сайту или услуге в качестве резидента ЕС является незаконным», так что если кто-то нарушит правовую директиву, ожидание GDPR будет недействительным? Меня не волнует, пользуются ли они моими веб-сайтами и услугами, если они понимают, что я не участвую в игре GDPR, и все, что они отправляют на мои серверы, не подлежит ей.
Ответы
Это может быть связано с неправильным пониманием GDPR. GDPR применяется при трех обстоятельствах:
- Статья 3 (1): вы (контролер данных) находитесь / проживаете в ЕС.
- Статья 3 (2) (а): вы предлагаете товары или услуги людям в ЕС.
- Статья 3 (2) (b): вы отслеживаете поведение людей, которые физически находятся в ЕС.
Что не является фактором:
- какое гражданство имеют посетители вашего сайта (см. Счет 14).
- доступен ли ваш сайт из ЕС (см. Счет 23).
Важнейшая часть - это то, что означает «предложение товаров или услуг». EDPB выпустил официальные инструкции по интерпретации этого критерия таргетинга ( руководство 03/2018 о территориальной сфере действия GDPR ). Некоторые важные примечания:
- Предложение товаров или услуг не требует компенсации. Бесплатный доступ к веб-сайту также может быть услугой.
- GDPR применяется при нацеливании на людей, которые в настоящее время находятся в ЕС. Туристы из США в ЕС защищены, туристы из ЕС в США - нет.
- Момент предоставления услуги имеет значение. Например, лицо из США, использующее службу США, не может требовать защиты GDPR от службы США во время поездки в ЕС.
- Вместо того, чтобы смотреть на пользователей сервиса, мы должны смотреть на целевой рынок сервиса: если сервис не обслуживает людей в ЕС, GDPR не применяется.
- Существенный вопрос заключается в том, «предполагает ли поставщик услуги» предлагать услуги людям в ЕС. Намерен ли поставщик услуг, чтобы субъекты данных из ЕС использовали эту услугу?
- Руководящие принципы составляют неполный список указаний из прецедентного права, в частности дела Паммера и Альпенхоф . Отрывок из указаний на то, что GDPR может применяться:
- ЕС или страны-члены упомянуты в предложении услуг
- веб-сайт ориентирован на аудиторию в ЕС
- рассматриваемая деятельность носит международный характер, например, туризм
- упоминание специальных контактных данных для рынка ЕС
- использование доменного имени верхнего уровня, связанного с ЕС или странами-членами
- инструкции по поездке при посещении из ЕС
- упоминания международной клиентуры, включая людей / компании из ЕС
- использование языка или валюты, отличной от вашего
- предлагая доставку товаров в ЕС
Таким образом, будет ли применяться GDPR, будет зависеть от тематики вашего веб-сайта и от того, собираетесь ли вы участвовать в рынке ЕС (даже если только онлайн, даже если ваши услуги бесплатны).
Если бы был применим GDPR, то блокирование людей из ЕС было бы сомнительным. Это также может быть незаконным, но не на основании GDPR.
Если GDPR не применяется, то в блокировке людей из ЕС уже нет необходимости.
Однако геоблокировка будет очень убедительным признаком того, что вы не собираетесь предлагать свои услуги людям в ЕС. Нет хорошего прецедентного права о том, необходима или достаточна геоблокировка. Я предполагаю, что геоблокировки достаточно (даже если ее легко обойти, например, с помощью VPN), но в первую очередь это не обязательно.
Вы также можете еще раз подчеркнуть, что вы не нацеливаетесь на рынок ЕС, учитывая вышеуказанные признаки. Например, в интернет-магазине может быть указано, что они отправляются только в Северную Америку, но не в другие страны.
Еще раз: ваш таргетинг на ваш сайт является решающим фактором, а не происхождение ваших посетителей. Таким образом, даже если есть случайный посетитель из ЕС, это не означает, что вы должны соблюдать GDPR.
Ты не можешь
Во-первых, в Калифорнии действует закон, очень похожий на GDPR, который применяется к ее резидентам независимо от их местонахождения. Это отличается от GDPR, который применяется ко всем людям в ЕС, независимо от того, где они проживают. Таким образом, на жителя Калифорнии в Европе распространяются оба закона, а на немца в Небраске - ни один из них.
Во-вторых, некоторые законы позволяют сторонам соглашаться соблюдать разные правила, например, законы об арбитраже позволяют сторонам отказываться от своего права на использование судов. Другие нет, например, вы не можете договориться в контракте, что можно проехать на красный свет. GDPR (и закон Калифорнии) прямо указывают, что вы не можете заключить договор, любая попытка сделать это просто недействительна (без последствий) и сама по себе является правонарушением.
В-третьих, даже если бы вы могли надежно заблокировать всех, к кому применяются законы, что вы будете делать, когда обстоятельства пользователя, которого вы разрешили, изменится? Я австралиец в Австралии, поэтому на меня не распространяется ни один закон (хотя ко мне применяются австралийские законы о конфиденциальности), если вы собираете мои личные данные и через 5 лет я переезжаю в Австрию, GDPR теперь применяется данные.
Как вы говорите, «технологии значительно улучшились» - так что имейте юридическую защиту конфиденциальности.