25 травня Європейський союз офіційно перейшов на нові правила обробки персональних даних GDPR (Загальний регламент щодо захисту даних ЄС 2016/679 від 27 квітня 2016 року). Важливою особливістю GDPR є екстериторіальний принцип дії, так що він зачіпає американські і російські компанії, що обслуговують споживачів в ЄС. Штрафи можуть сягати 20 млн або 4% доходу компанії на світовому ринку за рік. Для звичайних користувачів зовні мало що зміниться: як правило, доведеться знову прийняти різні угоди про обробку своїх персональних даних, зате захист останніх передбачена на набагато більш серйозному рівні.
Під персональними даними в GDPR мається на увазі будь-яка інформація, що відноситься до фізичної особи, за якою можна прямо або побічно її ідентифікувати. Тобто мова може йти про ім'я, дані про місце розташування, онлайн-ідентифікатор та інші фактори на кшталт IP-адреси, що допомагають встановити особу. Є й особливі конфіденційні персональні дані: расове або етнічне походження, політичні погляди, релігійні або філософські переконання, генетична і біометрична інформація, відомості про стан здоров'я, сексуальне життя.
В якості основних принципів обробки персональних даних за GDPR виступають:
- персональні дані повинні оброблятися законно, справедливо і прозоро, причому будь-яку інформацію про цілі, методи і обсяги обробки персональних даних компанії зобов'язані викладати максимально доступно і просто;
- дані повинні збиратися і використовуватися виключно в тих цілях, які заявлені компанією або службою;
- не можна збирати особисті дані в більшому обсязі, ніж необхідно для цілей обробки;
- неточні особисті дані повинні бути видалені або виправлені на вимогу користувача;
- особисті дані повинні зберігатися тільки в тій формі і на той термін, який дозволяє ідентифікувати людину в заявлених цілях обробки;
- при обробці персональних даних компанії зобов'язані забезпечити їх захист від несанкціонованого або незаконного доступу, знищення і пошкодження.
GDPR вимагає, щоб користувач погодився на обробку його персональних даних у формі затвердження або у формі чітких активних дій. Крім того, згода може вважатися недійсною, якщо у користувача не було можливості відкликати її без шкоди для себе. Згода на обробку даних дитини (залежно від держав ЄС - до 13-16 років) має бути авторизована батьками або законними представниками.
Про будь-які порушення, пов'язані з персональними даними, компанії повинні повідомляти протягом 72 годин після виявлення проблеми регулюючим органам. У разі додаткових затримок або спроб приховати факт витоків штрафу компаніям не уникнути.
Громадяни та резиденти ЄС в рамках GDPR отримують розширені права, що стосуються їх персональних даних. Вони мають можливість запитувати підтвердження факту обробки їх даних, період, місце і мету обробки, категорії інформації, назву третіх сторін, яким розкриваються персональні дані, уточнювати джерело отримання організацією даних і вимагати внесення поправок. Також користувач має право вимагати припинення обробки своїх даних.
Цікаве нововведення GDPR - право на перенесення особистих даних (right to data portability), яке зобов'язує компанії за запитом користувача передавати безкоштовно особисті дані останнього іншій компанії. Тобто користувач може попросити, наприклад, передати всю історію своїх запитів від однієї пошукової системи іншій або переваги покупок з одного магазину в інший.
Багато користувачів готувалися до 25 травня всерйоз, так що як тільки правила GDPR вступили в силу, на ряд найбільших компаній на кшталт Facebook, Google і Instagram посипалися судові позови на мільйони євро. Позивачі серед іншого звинуватили компанії в примусовій згоді: тобто їм було запропоновано підтвердити згоду з GDPR без ясного пояснення суті всіх нововведень або ж нову угоду користувача компанія назвала зміною внутрішнього регламенту нібито з метою заплутати людей.
Правила GDPR обговорювалися чотири роки, регулюючі органи дали компаніям два роки на приведення своєї політики та інфраструктури у відповідність з GDPR. Багато хто зробив це заздалегідь, але більшість виявилася не готовою до нововведень.
На думку адвоката і головного співробітника з конфіденційності в United Lex Джейсона Стрейта (Jason Straight), небагато компаній, особливо американських, повністю відповідають вимогам GDPR. В опитуванні понад 1000 підприємств, проведеному Інститутом Понемона в квітні, половина компаній заявила, що вони не зможуть відповідати до терміну. Якщо говорити про технологічний сектор, таких виявилося 60%.
"Протягом багатьох років компанії працювали за принципом: "Скільки персональних даних ми можемо отримати від користувачів? А вже як використовувати цей масив інформації, ми з'ясуємо пізніше! " Це не буде прийнятним способом роботи при GDRP, - сказав пан Стрейт. - Є деякі компанії, з якими ми розмовляли, які обурюються: "Ви жартуєте? Якби ми розповіли людям, як використовуємо їхні дані, вони ніколи б не дали їх нам! ". А я кажу у відповідь щось таке: "Так, частково, в цьому і мета нових правил" ".
Для компаній, які діяли за принципом вилучення максимуму інформації про користувачів для подальшого можливого аналізу, реорганізація в рамках GDPR багато в чому може виявитися тортурою: адже потрібно видалити зайву інформацію, залишивши лише найнеобхіднішу для поточних завдань.
Але, можливо, найсерйознішою вимогою GDPR, яка приводить в жах компанії, є право на запити доступу до персональних даних. Користувачі з ЄС можуть запитувати видалення інформації, виправляти її, якщо вона невірна, і навіть отримувати її в зручному для перенесення вигляді. Але ці дані можуть бути на п'яти різних серверах в масі різних форматів. Іншими словами, перехід на стандарти GDPR вимагає створення внутрішньої інфраструктури, що дозволяє ефективно обробляти запити користувачів.
Крім того, персональні дані - розмита категорія. Імена, адреса електронної пошти, номери телефонів, дані про місце розташування - це очевидно. Але є більш двозначні дані на зразок непрямих відсилань: «Високий лисий хлопець, який живе на правому боці вулиці Леніна». За словами Джейсона Стрейта, якщо хтось написав подібне в листі, формально в рамках GDPR компанія повинна надати цю інформацію за запитом.
Перехід на GDPR - болюча процедура. Наприклад, рік тому 61% світових компаній навіть не починали роботу з адаптації нових правил. Зрозуміло, що європейські підприємства, особливо в країнах на кшталт Німеччини і Великобританії, де і раніше існували досить жорсткі закони про недоторканність приватного життя, краще підготовлені. Проте опитування в січні 2018 року показало, що чверть лондонських компаній навіть не знає, що таке GDPR.
Професор антропології та інформатики Університету Колорадо в місті Боулдере Елісон Кул (Alison Cool) написала в The New York Times, що закон приголомшливо складний і незрозумілий для людей, які намагаються його дотримуватися. Вчені та менеджери даних, з якими вона говорила, сумніваються в тому, що повна відповідність правилам взагалі можлива. Це тривожний дзвінок, враховуючи той факт, що штрафи можуть досягати 4% світових доходів (тобто можуть легко позбавити всього прибутку).
Прийняття правил GDPR змусило американського бізнесмена Пітера Тіля (Peter Thiel), співзасновника PayPal і президента хедж-фонду Clarium Capital, під час бесіди на Економічному клубі Нью-Йорка в березні звинуватити ЄС у лиходійському протекціонізмі: «У Європі немає успішних технологічних компаній, і вони ревно ставляться до США, тому вони і карають нас».
Оскільки багато в чому правила GDPR неоднозначні, їх реалізація на практиці залежатиме від дій регулюючих органів. Зрештою з'являться норми: кого буде переслідувати влада, які штрафи стягувати з порушників і за яку поведінку. Передбачається, що спочатку регулятори не лютуватимуть - дадуть компаніям час звикнути до нової реальності. Але точно передбачити майбутнє складно, адже частково реалізація GDPR залежить від активності користувачів.
Якщо резидент ЄС подає запит на отримання своїх персональних даних, у компанії є 30 днів для відповіді. Наприклад, компанія отримує один із цих запитів, але все ще не повністю готова до GDPR і буквально нездатна реагувати. Якщо вона не відповідає, суб'єкт даних може подати скаргу місцевим органам. GDPR вимагає від регулятора дій для втілення закону в життя. Штраф може і не досягати 4%, але чиновники не можуть просто відправити скарги в кошик. А якщо запитів будуть тисячі, почнуться проблеми. 17 з 24 регуляторів ЄС, опитаних Reuters в цьому місяці, сказали, що не готові до нового закону, тому що не мають фінансування або законних повноважень виконувати свої обов'язки.
змушуєкомпаніїІнша ситуація пов'язана з інформуванням про витоки: компанії зобов'язані повідомляти органи про проблеми протягом 72 годин, але яка повинна бути реакція останніх - не цілком ясно. Регулятори можуть бути не готові до аудиту безпеки компанії або інших заходів щодо захисту приватного життя резидентів ЄС. Правила GDPR повинні застосовуватися тільки до жителів Євросоюзу, але ж більшість інтернет-компаній займаються бізнесом в ЄС, так що їм потрібно бути готовим реагувати на вимоги GDPR. Поступово прийняття такого законодавства може стати нормою і в інших країнах. Тим часом з'являються новини про те, що новий регламент ЄС щодо захисту персональних даних відмовлятися від європейського трафіку.