Закон о защите данных в ЕС: чего ждать от новых правил

Опубликовано: Вторник, 12 июня 2018 12:30
Элина Сулима Автор статьи:

25 мая 2018 года в Евросоюзе вступил в силу закон "О защите физических лиц в отношении обработки персональных данных" (GDPR). Документ обеспечивает более высокий уровень контроля за личными данными пользователей и защищает данные компаний, предоставляющих свои услуги в ЕС. #Буквы расскажут о новых правилах, а также о том, как они отобразятся на международных компаниях.

 Что такое GDPR?

Всего в законе насчитывается 261 страница, написан он довольно сложно и запутанно, поэтому неспециалисту разобраться в нем будет непросто. Вкратце основные его моменты сводятся к следующему:

  • Закон запрещает выводить и хранить персональные данные европейских граждан за пределами ЕС;
  • Все персональные данные пользователей должны собираться и обрабатываться прозрачно и законно. Все полученные данные должны соответствовать действительности и регулярно и без задержек обновляться;
  • Компании, занимающиеся обработкой персональных данных в Интернете, смогут это делать лишь с согласия пользователя;
  • Пользователи онлайн-сервисов теперь могут потребовать от администрации удалить их личные данные или отозвать свое согласие на их обработку - и им не имеют права в этом отказать;
  • Новый закон вводит возрастные ограничения на обработку персональных данных несовершеннолетних пользователей. Если пользователю не исполнилось 16 лет, то он не может давать свое согласие на обработку персональных данных. В этом случае за него это могут сделать его родители или опекуны;
  • Отныне при регистрации аккаунта пользователю предоставляется право соглашаться или не соглашаться с обработкой его персональных данных. Проще говоря, пункт в конце договора, который был раньше неактивен и рядом с которым уже была проставлена галочка (которую нельзя было снять), теперь станет активным;
  • Теперь личной информацией считаются не только имя и адрес человека, но и данные о его генетической, психологической, экономической, культурной и социальной идентичности, а также данные о местоположении и онлайн-идентификаторы (такие как IP-адрес);
  • Если раньше компании не были обязаны сообщать об утере личных данных пользователей, то теперь они должны будут уведомить уполномоченные органы по защите данных в течение 72 часов после того, как им станет об этом известно;
  • Если компании или организации нарушат обязательства о непередаче личной информации граждан ЕС или утеряют ее, то им грозит денежное наказание: за утерю или небрежное хранение данных будет взиматься штраф, который может достигать 20 000 000 евро или 4 % от годового оборота компании за предыдущий финансовый год;
  • Организации, которые оперируют большими объемами данных конфиденциального характера, обязаны ввести в свой штат новую должность - DPO (data protection officers) - или сотрудника по защите данных. Они будут контролировать доступность персональных данных и любые изменения в их обработке;
  • Новый закон будет распространяться не только на социальные сети, но и на покупку товаров по Интернету и заполнение налоговой декларации.

По ком звонит колокол?

В первую очередь GDPR направлен против американских монополистов (Google, Facebook, eBay, Amazon, Twitter), предоставляющих информационные или IT-услуги. Особенно это стало актуально после разгоревшегося скандала с Facebook, когда лондонская компания Cambridge Analytica собрала личные данные 87 миллионов пользователей соцсети для политической рекламы.

Согласно данным Еврокомиссии, ежедневно более 250 млн европейцев общаются по Интернету с близкими или делают покупки в электронных магазинах. При этом они раскрывают свои персональные данные, включая имя, номер идентификационной карты, информацию о состоянии здоровья и т. д. Здесь кроется немало потенциальных опасностей, таких как несанкционированная передача данных, присвоение личности, развращение малолетних и т. п.

Однако не все так просто, как кажется на первый взгляд. Во-первых, Google, Amazon и и другие подобные им компании могут легко нивелировать все негативные для себя последствия от принятия GDPR. Для этого им достаточно будет добавить в текст соглашения с пользователем пункты о разрешении передавать личные данные третьим лицам для использования этой информации в рекламе.

Во-вторых, для пользователей ничего не изменится: они вынуждены будут либо соглашаться с правилами, либо отказаться и искать альтернативу.

В-третьих, крупные американские IT-компании продолжат собирать данные о своих пользователях и передавать их рекламным партнерам, так как от этого зависит их доходность. Но самое неприятное во всей этой истории то, что у европейцев нет социальных сетей и онлайн-сервисов, хотя бы сколько-нибудь напоминающих американские. В ЕС до сих пор не удосужились создать ни одной компании по предоставлению информационных услуг, которая бы на равных могла конкурировать с заокеанскими гигантами.

В свое время угрозу от использования американскими компаниями информации о личных данных пользователей осознали в Китае. Для защиты своих граждан от манипуляций китайцы создали собственные и вполне конкурентоспособные сервисы: Baidu стал аналогом Google Search, Taobao — eBay, Aliexpress вытеснил Amazon, WeChat занял место WhatsApp, QZone заменил Facebook, Weibo — Twitter, а iQiyi — YouТube.

Как делать селфи и фото в ЕС?

Кроме больших компаний, могут пострадать и обычные люди (туристы, фотографы, журналисты), решившие сделать фото или селфи в ЕС. Фото или видеоматериалы нельзя будет опубликовать в открытых источниках (на своей странице в соцсети, онлайн фото- и видеосервисах, форумах и т. п.) без письменного согласия случайных прохожих.

Чтобы публично разместить отснятые фотографии или видео, необходимо будет получить письменное разрешение от каждого человека, случайно попавшего в кадр. Если такого согласия нет, а пользователь все же разместил фото или видео на своей странице в соцсети, компания (онлайн-сервис или социальная сеть), хранящая персональные данные, потребует удалить эти материалы. Если пользователь откажется это сделать, компания имеет право заблокировать или удалить его аккаунт.

selfie gdpr 1024x680

Также на персонифицированный аккаунт (где указаны реальное имя и фамилия) может прийти вызов в суд, если гражданин ЕС посчитает, что публикация нанесла ему материальный или моральный ущерб. Если пользователь проигнорирует его, то он может стать "невъездным" на территорию Евросоюза. В случае анонимного аккаунта администрация соцсети может его полностью удалить и, если потребуется, начать расследование.

Отснятые фото и видео можно будет использовать лишь для частных альбомов или хранить на собственных информационных носителях, при этом запрещается их "заливать" на облачные сервисы хранения. Несоблюдение нового законодательства будет грозить компаниям большим штрафом (до 20 миллионов евро или до 4 % валового годового оборота).

Какие фото и видео можно открыто публиковать?

Если человек не может устоять перед соблазном похвастаться фото и видео свой поездки, к примеру, в Мадрид или Вену, то лица случайных прохожих необходимо будет заретушировать или "размыть". Скорее всего, функция скрытия лиц посторонних (как это реализовано в Google Maps) будет работать в автоматическом режиме во всех соцсетях и онлайн-сервисах.

Активное использование водителями видеорегистраторов в некоторых странах Евросоюза (Люксембурге, Швеции, Австрии и Португалии) было запрещено еще до введения GDPR. Так, за съемку других автомобилей - что приравнивалось к вмешательству в частную жизнь людей - могли оштрафовать. Теперь же по новому закону, видео, отснятое в ЕС, можно будет использовать лишь для частного просмотра, при этом его категорически запрещается публиковать в открытых источниках. Чтобы обнародовать видеоматериал, необходимо, как и в случае с фотографией, заручиться письменным соглашением запечатленных на нем людей или "запикселить" их лица (а иногда и номерные знаки авто) до неузнаваемости.

ЧИТАЙТЕ ТАКЖЕ
Лучшие выступления об искусственном интеллекте на Kyiv Data Spring

Поскольку из тысяч загружаемых в течение дня на различные онлайн-сервисы публикаций очень тяжело вычислить необходимую, для ее отслеживания может применяться искусственный интеллект (как это делается в Китае). Машина будет искать фотографию того или иного человека и при распознании либо заретуширует его лицо, либо удалит фото.

Вопрос с фото для новостных публикаций (корреспонденты) и художественных работ (street-фотографы или фотохудожники) еще предстоит решить на законодательном уровне. На данный момент лишь в Германии по конституции разрешается делать "уличную" фотографию в целях искусства.

Первые пострадавшие

Новый закон незамедлительно сказался не только на американских IT-монополистах, но и на информационных изданиях. 25 мая сервисы онлайн-холдинга Tronc (владельца Los Angeles Times и Chicago Tribune) стали недоступными для европейских читателей. Более того, оказалось, что приложения для смартфонов этих двух изданий также исчезли из онлайн-магазинов. Та же ситуация произошла и с другим крупным холдингом - Lee Enterprises, 46 сайтов которого (региональные издания) также стали недоступны. В связи с принятием GDPR некоторые онлайн-издания еще одного холдинга - Gate House Media - ввели блокировку пользователей с европейскими IP-адресами.

180525103305 gdpr alerts 2 780x439

Правила GDPR вынудили некоторые веб-сайты приостановить или ограничить их деятельность в Европе. Скриншот: money.cnn.com

Все вышеперечисленные компании предприняли самые экстремальные меры - они просто ушли с европейского рынка, закрыв свои сайты для читателей. Более изобретательно поступило издание USA Today, перенаправив своих читателей из Европы на новый сайт (eu.usatoday.com), который предлагает ограниченное количество новостей и рекламы.

180523104948 usa today gdpr 780x439

Справа - новая «европейская» главная страница USA Today. Скриншот: money.cnn.com

Что же касается монополистов, то WhatsApp, который с 2014 года принадлежит Facebook, после вступления в силу нового закона увеличил минимальный возраст пользователей до 16 лет. Владельцы Snapchat (мобильного приложения для обмена сообщениями с прикреплёнными фото и видео) не отказываются от пользователей до 16 лет, а лишь адаптируют некоторые функции под GDPR для дальнейшей работы с младшей возрастной категорией.

Пока такие крупные игроки, как WhatsApp и Snap, вносят изменения в пользовательскую политику, пытаясь соответствовать новым правилам, некоторые компании планируют либо частично, либо полностью закрыть свой бизнес из-за финансовых рисков. Так, мобильная маркетинговая платформа Verve, которая использует данные о местоположении своих клиентов, заявила о прекращении своей работы в ЕС.

"Мы решили, что нормативная среда ЕС неблагоприятна для нашей бизнес-модели. Поэтому мы сосредоточиваем свои усилия на американском рынке", - заявила маркетинговый директор Verve Джули Бернард.

Разработчик игр Uber Entertainment планирует закрыть свою бесплатную многопользовательскую онлайн-игру Super Monday Night Combat, поскольку соблюдение новых правил повлечет за собой большие финансовые издержки.

Соответствие новым правилам потребует либо переписывания большей части программного кода, либо переноса Super Monday Night Combat на платформу Microsoft PlayFab. Поскольку игра, которая существует уже 6 лет, не имеет настолько массовой аудитории пользователей, эти два варианта неприемлемы для компании из-за значительных денежных затрат.

Verve и Uber Entertainment могут стать первыми, но отнюдь не последними компаниями, которые закроют свой бизнес в ЕС из-за GDPR. Согласно опросу, опубликованному на прошлой неделе технологической ассоциацией CompTIA, 400 американских компаний "все еще изучают применимость новых правил к их бизнесу". Те же из них, кто уже оценил все финансовые риски, склоняются к мысли о закрытии своего бизнеса в Евросоюзе, как это сделали Verve и Uber Entertainment.