В мае 2018 года Европейский Союз (ЕС) постановил, что все компании в Союзе, а также те, которые используют данные граждан ЕС, должны следовать Общим положениям по защите данных (General Data Protection Regulation, сокращенно GDРR). Это законодательство было введено в действие в интересах защиты пользовательских данных и ограничения использования их компаниями без ведома и согласия пользователей. Закон направлен на то, чтобы передать все личные данные обратно в руки граждан, тогда как раньше они находились под неизменным контролем компаний, которые их собрали.
N.B. Этот закон затрагивает страны ЕС и Европейской экономической зоны (ЕЭЗ). В Европейскую экономическую зону входят страны ЕС, а также Норвегия, Лихтенштейн и Исландия.
General Data Protection Regulation (GDPR), Общие положения о защите данных – это новый набор правил ЕС по защите персональных данных и конфиденциальности.
GPDR заменяет Директиву ЕС о защите данных от 1995 года (Data Protection Directive 95/46/EC) и рассматривает личные идентификационные данные потребителей. С момента создания первой Директивы о защите данных сложность нашей технологической среды значительно развилась. Например, в Директиве 1995 года не рассматриваются данные, используемые современными смартфонами и социальными сетями.
GDPR устанавливает ответственность и подотчетность корпораций, определяя, что компании могут или не могут делать с персональными данными; требования сообщать о нарушениях в течение 72 часов; устанавливает стандарты шифрования, требуя четкого согласия пользователей; определяет, как долго могут храниться данные, и требования защиты данных по дизайну и по умолчанию. В соответствии с GDPR, некоторые организации должны выбрать ответственного сотрудника по защите данных (Data Protection Officer). Этот сотрудник отвечает за управление данными в данной организации и служит основным контактным лицом с регулирующими органами. Новые требования обращают большое внимание на то, как компании общаются с потребителями, а также как они управляют данными, которые хранят.
GDPR обеспечивает контроль над личными данными пользователей ЕС. Данные, рассматриваемые в соответствии с новым набором правил, включают в себя имена, IP-адреса (местоположение), изображения, адреса электронной почты, домашние адреса, деятельность в социальных сетях, банковскую информацию и медицинскую информацию. Данные положения предоставляют пользователям право запрашивать копию своих данных, право на отказ в любое время предоставлять свои данные и право требовать, чтобы их личные данные были удалены, хотя последнее не является универсальным правом.
Соблюдение GDPR гарантируется Европейским Союзом и его Директивой по защите данных. Директива предоставляет правовую инфраструктуру для поддержки реформы, обеспечения прав пользователей на их данные и наказаний за нарушения.
Данное положение применимо для любой организации, управляющей персональными данными граждан ЕС. Сюда входят компании в Соединенных Штатах и в других странах за пределами Европейской экономической зоны, имеющие доступ к данным европейских потребителей.
В 2018 году GDPR становится более всеобъемлющим сводом правил, который гармонизирует нормы в Европейском союзе и Европейском экономическом пространстве. Это упрощает нормативный ландшафт для компаний, снижая общие затраты на его соблюдение. По мнению некоторых экспертов, это может сделать ЕС более конкурентным рынком (другие аналитики предсказывают, что этот закон может слишком сильно ограничивать рынок и оставить ЕС позади других регионов в глобальной экономике).
Официальный текст Общих положений по защите данных можно посмотреть здесь.
Крайний срок для вступления в силу постановления был 25 мая 2018 года, однако многие компании не смогли уложиться в этот срок из-за объема необходимых изменений. Влияние новых правил вносит существенные корректировки в модели работы некоторых компаний. Такие технические гиганты как Google, Facebook и Amazon столкнулись со значительными проблемами в связи с этой реформой.
Великобритания решила покинуть Европейский Союз на референдуме Brexit, но парламент этой страны принял эквивалентное законодательство, называемое Законом о защите данных 2018 года (Data Protection Act 2018).
С момента внедрения новых положений американские компании увидели, что GDPR сильно влияет на их деятельность. Поскольку многие из этих организаций управляют данными ЕС, они обязаны соблюдать эти положения.
Компании, которые не готовы соответствовать политике, изложенной в GDPR, как, например, фирма Instapaper, принадлежащая Pinterest, временно заблокировали доступ для пользователей ЕС, чтобы избежать штрафов. Другие компании подготовились к новому закону, установив на своих сайтах новую опцию – кнопку при входе на сайт, кликая на которую пользователь соглашается на использование своих персональных данных.
Новое постановление налагает штрафы за несоблюдение, – после того, как было вынесено предупреждение о первом нарушении. В зависимости от характера правонарушения налагаемый штраф составляет 10 миллионов долларов США или 4% от глобального дохода, в зависимости от того, что больше.
Facebook является одной из компаний, не соответствующих GDPR, и может столкнуться с существенным штрафом. Facebook и другие платформы социальных сетей, такие как Instagram, используют предварительно установленное согласие пользователей. GDPR же требует, чтобы у потребителя были четкие права и возможности для отказа от предоставления доступа к персональным данным.
Компания Facebook заявляет, что, в соответствии с новым законом, ведет абсолютно прозрачную политику с пользователями в плане того, как используются их данные, и дает им полный контроль над ними. Facebook также заявляет, что ее представители встречаются с регулирующими и директивными органами, экспертами по вопросам конфиденциальности данных для обеспечения соответствия требованиям GDPR и аналогичных законов о конфиденциальности.
Компания Google имеет значительное влияние в Европейском Союзе и оказалась вовлеченной в расследование за нарушения GDPR. Подобно Facebook, Google использует опцию предварительного согласия. Если компания будет признана виновной, потенциальный штраф может достигнуть 4 млрд. евро (5,2 млрд. долларов США).
Однако, Google утверждает, что работает над тем, чтобы полностью соответствовать закону, ссылаясь на свой аудит и процесс сертификации сторонних сайтов, извлекающих данные пользователей в качестве примера. Компания также практикует «прозрачность данных» и информирует пользователей о том, как их данные используются для рекламы.
Изображение: © Pixabay.