Никому ни слова: как ЕС скроет персональные данные

Зачем Европе нужен новый регламент по защите персональных данных (GDPR)

Роман Миров
Depositphotos
В конце мая 2018 года на территории Европейского союза вступает в силу регламент по защите персональных данных пользователей, который носит экстерриториальный характер. Новые правила распространяются не только на европейские компании, но на любые организации, имеющие доступ к личным данным гражданина ЕС. «Газета.Ru» разобралась, что это за документ и как он отразится на рядовых пользователях и российских компаниях.

Что такое GDPR и что он меняет?

GDPR (General Data Protection Regulation) — это новый регламент хранения, использования и сбора пользовательской информации, который вступает в силу на территории всего Европейского Союза с 25 мая 2018 года и носит обязательный характер.

Данные правила распространяются не только на социальные сети, мессенджеры, сайты знакомств и прочие сервисы, которые непосредственно связаны с личной информацией пользователя, но вообще на любые организации и службы, которые получают сведения в электронном виде. Туристические агентства, интернет-магазины — любые сайты с регистрацией и вводом личных данных подпадают под новый порядок.

Регламент несет в себе много изменений существенного характера. Во-первых, организация, которая осуществляет сбор личной информации, обязана должным образом уведомить пользователя о том, что его данные будут храниться на серверах компании. Это должно быть сделано явно, «понятным текстом» и требовать от пользователя согласия не в виде простой галочки или кнопки «согласен», а в виде «четкого утвердительного акта в письменной или устной форме».

Бездействие субъекта не должно восприниматься сервисом как молчаливое согласие. Законодатель предусмотрел возможность отказа от передачи личной информации.

Сам процесс должен быть максимально прозрачным для обеих сторон, а субъект информации должен иметь право в любой момент полностью удалить сведения о себе.

Во-вторых, вся собранная информация должна обеспечиваться должным уровнем защиты. В комплекс мер обязательно должны входить обезличивание данных, то есть информация связывается не с фамилией и именем клиента, а с его псевдонимом или специальным индивидуальным кодом. Сервис обязан своевременно сообщать обо всех утечках информации, произошедших как по вине компании, так и по причине хакерской атаки и взлома.

В-третьих, компаниям запрещается передавать какие-либо сведения третьим лицам, что связано с последними скандалом, касающимся Facebook и сбора персональной информации для сторонних организаций.

За несоблюдение нового законодательства предусмотрены штрафы, верхняя планка которых установлена на уровне €20 млн, что будет ощутимым ударом даже для таких гигантов рынка, как Microsoft и Google.

Пока остается неясным, каким образом и в каком размере будут штрафовать компании, юридически не зарегистрированные на территории ЕС. Стоит отметить, что размер возможного штрафа будет определяться отдельно по каждому случаю, а рассматривать дела будет Европейский суд по правам человека.

Подготовка идет полным ходом

Крупные социальные сети и мессенджеры уже вовсю готовятся к новому регламенту. WhatsApp объявил об обновлении пользовательского соглашения в связи с вступлением в силу GDPR.

Самое существенное изменение — это минимальный возраст для использования приложения, который теперь составляет не 13, а 16 лет.

Стоит отметить, что для всех других регионов минимальный возраст остался на прежнем уровне.

Популярная социальная сеть Instagram также изменила некоторые условия использования. Среди них можно отметить функцию, которая позволяет выгрузить всю пользовательскую информацию, включая все фотографии и видео из постов, в виде отдельного файла или архива, который будет отправлен на электронную почту. Представители социальный сети заявили, что таким образом пользователям будет проще удалить свой аккаунт и иметь возможность не потерять весь тот контент, который изначально был доступен только в этой социальной сети.

Отдельного внимания заслуживает крупнейшая социальная сеть Facebook, которая является владельцем WhatsApp и Instagram. В отличие от руководства дочерних предприятий, Facebook не предпринимает никаких значительных шагов для подготовки к новым правилам. Ряд европейских правозащитников и экспертов в сфере интернет-безопасности выражают опасение, что это все может плохо закончиться для Facebook в Европе.

Как минимум, у социальный сети есть высокий риск получения штрафа за неисполнение норм GDPR. Опасения подкрепляются недавним скандалом с Cambridge Analytica.

Юристы Facebook утверждают, что они взвесили все риски относительно нового законодательства и не видят существенных проблем для функционирования социальной сети на европейском пространстве.

Младший аналитик ИК «Фридом Финанс» Ален Сабитов рассказал «Газете.Ru» о том, что введение правил GDPR может отрицательно сказаться на росте аудитории социальных сетей в ЕС, так как это приведет к удлинению всех процедур получения согласия на обработку данных.

«Изменения вряд ли сильно повлияют на рост рекламной выручки, но могут замедлить темпы роста. В целом, мы считаем, что компаниям придется адаптироваться под новые правила, изменив разные алгоритмы в своих процессах, что может в краткосрочной перспективе затормозить рост и увеличить затраты на персонал и инфраструктуру. Может снизиться эффективность расходов на рекламу, так как первое время будет сложнее таргетировать рекламу, понадобится время, чтобы оценить эффект новых правил», — прокомментировал эксперт.

В более отдаленной перспективе это не должно отразиться на привычках потребителей и бизнес-модели компаний, которые работают с данными. В случае успешной имплементации новых правил подобное регулирование может быть введено и в США, считает собеседник «Газеты.Ru».

Дело не только в Европе

Нормы GDPR действуют для всех юрлиц, работающих с персональными данными и осуществляющих деятельность на территории Европейского Союза, вне зависимости от того, где они зарегистрированы. Поэтому крупным российским компаниям также придется подстраиваться под новые правила.

Старший аналитик ИК «Фридом Финанс» Богдан Зварич полагает, что GDPR коснется российских компаний, которые предлагают свои продукцию и услуги на локализованных в Европе сайтах в местной валюте, то есть имеют необходимость собирать персональные данные граждан ЕС. Соответственно, компаниям придется перерабатывать формы получения согласия на обработку персональных данных, а сам объем получаемых данных может быть сокращен в связи с новыми правилами.

Руководитель юридического отдела «ВКонтакте» Мария Клименко пояснила «Газете.Ru», что российское законодательство разделяет большую часть фундаментальных принципов и гарантий, лежащих в основе GDPR.

«Что касается «ВКонтакте», мы всегда в полной мере соблюдаем законодательство, и GDPR не является исключением. Для европейских пользователей появится новая политика конфиденциальности, в которой простым и понятным языком мы расскажем о том, какие данные обрабатываются при использовании нашего продукта, как именно они обрабатываются и почему их обработка необходима. Наша подготовка включает в себя также адаптирование существующих процессов и деятельности компании, в том числе работы службы поддержки, с целью полного соответствия нюансам нового европейского регулирования», — рассказала собеседница «Газеты.Ru».