GDPR: как Европа готовится защищать персональные данные своих граждан

Журналист The New York Times Брайан Чен (Brian X. Chen) в апреле этого года скачал информацию, которую соцсеть Facebook хранит о нем. Соцсеть никогда не скрывала существования такого архива и возможности его пересмотреть. Однако особый интерес к такому архиву пользователи стали проявлять после скандала с утечкой данных, связанным с компанией Cambridge Analytica.

Брайан Чен не был очень активным пользователем Facebook, он не переходил по рекламным ссылкам и не размещал много собственного контента. Однако содержимое загруженного архива его поразило: более 500 рекламодателей отслеживали его профайл, несколько приложений имели доступ к его списку контактов, а нескольких людей из этого списка контактов сам журналист уже не помнил. Его архив стал более чем наглядной демонстрацией того, какие огромные массивы данных о нас хранятся онлайн, а еще того, что мы практически не контролируем распространение этих данных.

Читайте также: Обвиняется Facebook. Как Марк Цукерберг сообщил Конгрессу об алгоритмах соцсети

Прямым следствием скандала с Cambridge Analytica стали слушания по этой проблеме в Конгрессе. А сама история стала известна за несколько месяцев до огромных изменений в процессе обработки персональных данных онлайн-компаниями. Пока эти изменения касаются только стран Евросоюза. Речь идет о General Data Protection Regulation (GDPR) – правила, которые вступают в силу 25 мая 2018 года.

В первую очередь эти правила касаются компаний, которые работают с данными жителей ЕС. Но они затрагивают и обычных украинцев, которые пользуются европейскими онлайн-сервисами или посещают сайты, оказавшись в одной из стран ЕС.

Сейчас украинские онлайн-компании (например, онлайн-медиа или такие сервисы, как электронная почта на портале ukr.net) не должны придерживаться требований новых правил работы с персональными данными, однако если Украина планирует вступить в ЕС, законодательство нашей страны должно быть приведено в соответствие с GDPR.

Основные положения GDPR: для кого, какими словами, информирование и запрет

GDPR – это новый регламент работы с персональными данными граждан Евросоюза. Он содержит требования к тем, кто собирает, использует и обрабатывает эти данные в своей работе. Это означает, что, в первую очередь, GDPR касается онлайн-компаний, которые работают с данными европейцев – независимо от их места расположения. Например, если украинский интернет-магазин продал товар жителю Польши или Германии, этот интернет-магазин должен соблюдать правила GDPR. Кроме того, этих правил должны придерживаться все европейские онлайн-сервисы для всех своих пользователей, не только граждан ЕС. Поэтому если вы делаете заказ в интернет-магазине Marks & Spencer или IKEA, ваши данные будут обрабатываться в соответствии с правилами GDPR.

Новые правила распространяются также на пользователей, которые на момент обработки их данных оказались в Европе. Но если и пользователь, и компания находятся за пределами ЕС, правила на них не распространяются.

Одно из требований GDPR – понятное и четкое объяснение того, какие данные хранятся и что с ними происходит, и, что не менее важно, какие права есть у человека, который предоставляет свои данные сервису. Очевидно, это требование стало ответом на долгие непонятные лицензионные соглашения с пользователями, которые никто не читал, а большинство пыталось сразу согласиться со всеми пунктами и как можно быстрее закрыть тот страшный документ. Согласие на обработку персональных данных теперь должно быть четким, однозначным и осознанным.

Теперь не будет никаких включенных по умолчанию пунктов "Я согласен с условиями лицензионного соглашения".

Более того – пользователь сервиса может сам поинтересоваться информацией о том, какие данные хранит сервис, что с теми данными происходит, зачем компания их обрабатывает и кому она их передает, сколько времени эти данные хранятся и что с ними будет дальше. Компания должна в течение месяца (или трех - в отдельных случаях) предоставить все эти сведения в ответ на запрос. Пользователь может поинтересоваться, используются ли его данные с маркетинговой целью – для создания его профиля, необходимого для демонстрации ему рекламы. Пользователи также получили право требовать исправления данных.

Одним из наиболее впечатляющих положений GDPR есть право пользователя в любой момент отозвать свое согласие на обработку данных. Правила требуют, что сделать это должно быть так же просто, как и дать свое согласие на обработку информации.

Это право получило название право на забвение (right to erasure, right to be forgotten). Это правило действовало и раньше, но касалось только поисковых систем, откуда жители ЕС могли требовать удаления отдельных пунктов поисковой выдачи. Скоро требовать удаления своей информации можно с любого сайта.

Еще одно интересное положение GDPR – пользователи получили право на перенос данных (right to data portability).

Это означает, что компании обязаны бесплатно предоставить электронную копию данных другой компании по требованиям пользователя. Например, если вы использовали один музыкальный сервис, он собирал ваши данные, поднадоел вам и вы хотите перейти к другому, первый обязан передать ему ваши данные.

Отдельные положения в GDPR касаются детей и их использование онлайн-сервисов. Согласие на обработку их персональных данных дают родители (в возрасте от 13 до 16 лет), а самостоятельно дети могут регистрироваться на сайтах с 16 лет. Например, популярный мессенджер WhatsApp за это ввел новые правила в отношении минимального возраста пользователей из Европы.

В документе есть еще много других интересных положений. Например, нельзя собирать больше данных, чем это нужно для заявленной цели, данные должны храниться только определенный срок, компании должны обеспечить надежность их хранения и своевременно сообщать в случае утечки. Нельзя собирать информацию о состоянии здоровья, сексуальной ориентации, политических взглядах, религиозных верованиях. Запрещено собирать биометрические данные, которые могут идентифицировать человека.

А если компания нарушит GDPR, то она подвергается достаточно большому штрафу в 2%-4% от ее годового оборота.

Апрельский спам: уведомления о новых Privacy Policy

В апреле и мае в электронных ящиках пользователей из разных стран мира едва ли не каждую неделю появлялись письма с уведомлениями о новой политике приватности и обновленных соглашениях с пользователем, измененых в соответствии с GDPR.

По большому счету, крупные компании и так давали возможность просмотреть данные, которые они хранят о нас с вами, просто сейчас эта информация должна стать более структурированной, наглядной и понятной.

Например, посмотреть политику конфиденциальности Google можно по этим ссылкам, а об изменениях в ней я лично получила электронное письмо в середине апреля. Google подчеркивает, что новая политика вступит в силу с 25 мая этого года, посмотреть ее можно здесь.

Актуальный документ содержит 17 разделов, новый – "только" 14. Сейчас то, что видят украинские пользователи, является таким самым длинным документом, правда, довольно подробным.

Facebook: недо-GDPR

Соцсеть Facebook подготовила подробный документ о том, как она готовится внедрить принципы GDPR. А документ о политике использования данных пользователей такой же большой и сложный.

В то же время в апреле этого года стало известно, что соцсеть совершила определенные действия, чтобы избежать прямого выполнения требований GDPR, а именно - Facebook перенесла данные всех 1,5 млрд европейских пользователей из своей штаб-квартиры в Ирландии в свои офисы в Калифорнии. Эта попытка избежать требований нового регламента работы с персональными данными и как-то перенести их под юрисдикцию США, на самом деле является удивительной, ведь в GDPR четко указано, что даже физическое размещение данных вне территории Евросоюза не освобождает Facebook от необходимости следовать требованиям GDPR.

Объясняя свои действия, в Facebook прокомментировали, что компания использует одинаковые принципы защиты конфиденциальности, независимо от расположения ее серверов и офиса. А перенос данных был осуществлен из-за того, что "законодательство ЕС требует определенного языка" в уведомлениях о конфиденциальности.

Тем не менее действия компании пока не совсем понятны. Можно предположить, что юристы Facebook нашли лазейку в GDPR и имеют аргументы по поводу своего решения.

My Data Request: как загрузить собственные данные

Накануне внедрения GDPR стали появляться сервисы, которые помогают пользователям разобраться в том, что такое – этот новый регламент работы с персональными данными, а также в том, какие данные о них собирают различные сайты.

Одним из таких сервисов является My Data Request. Здесь на одной странице собрана возможность понять, что происходит с вашими данными, где они хранятся и в каком объеме. С помощью этого сайта можно перейти на страницу одного из популярных онлайн-сервисов – сервис работает с примерно 100 сервисами, от Facebook и Google до Starbucks, Uber, Paypal. Booking.

Достаточно щелкнуть по ссылке на соответствующую кнопку, и в результате вы будете либо перенаправлены на страницу сайта, откуда сможете скачать свой архив, или увидите электронный адрес или форму с объяснением о том, как получить эту информацию. Интересный факт – некоторые компании уже разделяют сохранение данных для пользователей из ЕС и из других стран, готовясь к внедрению правил GDPR.

В защиту обычного пользователя

Традиционно уважение к личной жизни в "Старой Европе" является более серьезным, чем в других странах мира. В связи с этим американские онлайн-сервисы, начав работать в странах ЕС, часто встречались с проблемами.

К примеру, появление сервиса просмотра улиц Google Street View в Европе вызвало скандал и запрет во многих странах именно из-за нарушения права на частную жизнь рядовых граждан. Из-за этого полноценный запуск Google Street View, например, в Германии был отложен, а впоследствии он получил новые правила – владельцы домов и жители целых улиц получили право запрещать публикацию своих домов. Сейчас сервис Google Street View в Германии работает, однако на этой карте есть много "белых пятен".

Страны Европы в судебном порядке добились от компании Google права на забвение – права требовать удаления информации о себе из выдачи поисковой системы. Эта норма так и не распространилась на целый мир.

Поэтому появление норм, которые бы защищали персональные данные европейцев, было лишь вопросом времени.

Однако сейчас очевидно, что GDPR в существующей редакции – это лишь первые попытки хоть как-то управлять огромными массивами данных, которые циркулируют в интернете, часто являются объектом торговли, шантажа и используются против человека. Попытки, которые стали ночным кошмаром для владельцев IТ-компаний в их стараниях понять, как использовать старые проверенные методы заработка (которые во многом строились именно на продаже персональных данных) и не попасть в штраф.

Много спекуляций и неочевидных моментов вокруг GDPR породили много шуток вокруг GDPR.

Вот один из них:

• Вы знаете хорошего GDPR-конультанта?
• Да
• Можете дать мне его е-мейл?
• Нет (потому что он мне не дал осознанное и четкое разрешение на распространение его информации).