Новый европейский регламент защиты персональных данных вступил в силу

В Евросоюзе в пятницу 25 мая вступили в силу новые правила защиты данных (The General Data Protection Regulation, GDPR), обсуждение которых длилось четыре года.

GDPR заменит устаревшие общеевропейские законы о приватности, принятые в 1995 году, и национальные регуляторные нормы, и станет обязательным для всех стран Евросоюза.

«Новые правила гарантируют, что граждане могут доверять тому, как используются их данные, и что ЕС может максимально использовать все возможности экономики данных, – считает еврокомиссар по Единому цифровому рынку Андрус Ансип (Andrus Ansip). – Две трети европейцев обеспокоены тем, как обрабатываются их данные, и чувствуют, что они не контролируют информацию, которую предоставляют в Интернете. Компании при этом нуждаются в более ясных правилах, чтобы иметь возможность безопасно расширять деятельность по всему ЕС».

По мнению еврокомиссара, недавние скандалы с утечкой данных подтвердили необходимость новых мер.

Еврокомиссар по вопросам юстиции Вера Журова (Věra Jourová) считает, что новые правила вернут европейцам контроль над своими данными. «Теперь у граждан есть выбор, и каждый может узнать, что происходит с его данными, и у кого какие данные имеются в распоряжении. Вы можете спросить, и компании должны вам ответить. Вы также можете восстановить свои данные, если покинете или смените сервис», – прокомментировала Журова в релизе Еврокомиссии, посвященном вступлению правил в силу.

По её словам, правила основаны на рисковом подходе. Компании, которые зарабатывают деньги на данных, имеют больше обязанностей, и «они должны вернуть что-то потребителям, по крайней мере, безопасность их данных». Компании, для которых обработка данных не является основным бизнесом, имеют меньше обязательств и в основном должны быть уверены, что обработка данных безопасна и осуществляется на законных основаниях.

«Общим стандартом защиты данных Европа утверждает свой цифровой суверенитет и готовится к эпохе цифровых технологий», – заявила Журова.

В помощь разным сторонам – участникам нового регламента Еврокомиссия выпустила информационные материалы «7 шагов для бизнеса», «Инфографика: что должна делать ваша компания», «Вопросы и ответы» и пр.

Через год после вступления регламента в силу (2019) Еврокомиссия организует мероприятие, посвященное опыту реализации.

Как готовятся IT-компании

Правила GDPR были приняты два года назад, и у компаний было время, чтобы подготовиться к изменениям.

Так, глава Facebook пообещал обеспечить выполнение к 25 мая регламента Евросоюза о защите персональных данных.

Ранее стало известно, что Facebook переносит данные большинства пользователей из Европы, в связи со вступлением в силу регламента. Нарушение GDPR предполагает штрафы в размере до 4% от глобального годового дохода компании-нарушителя, что в случае Facebook составит миллиарды долларов – по этой причине и предпринят перенос данных. Вероятность попасть под штраф высока – недавний скандал вокруг Facebook в связи с масштабной утечкой, продемонстрировал проблемы социальной сети во взаимоотношениях с регуляторами. В своё время Facebook, как и многие другие технологические компании США, учредила ирландскую дочернюю компанию, чтобы воспользовался низкими ставками корпоративного налога в стране, и оформляла в Ирландии доход, полученный от онлайн-рекламы за пределами Северной Америки.

Проблемы с соблюдением нового закона могут возникнуть у службы WHOIS, принадлежащий ICANN, которая предоставляет всем желающим информацию о доменном имени и его владельце. В январе стало известно о письме рабочей группе ЕС от президента ICANN, где он изложил план организации по приведению WHOIS в соответствие с требованиями, и просил ввести мораторий на исполнение GDPR, пока планы не приведены в действие.

По данным The Guardian, накануне вступления закона в силу десятки сайтов полностью прекратили свою деятельность, другие вынуждали пользователей соглашаться на новые условия обслуживания. Так, медиакомпания Oath, сформированная путем слияния Yahoo! и AOL, разослала запрос в четверг, попросив пользователей дать согласие «использовать ваши … данные, чтобы понять ваши интересы, персонализировать и измерить рекламу». Пользователи могут нажать «ОК» для перехода или следовать цепочке дальнейших ссылок, где могли обнаружить, что предоставленное согласие включало обмен данными с более чем ста рекламными сетями.

Основные изменения

Новые правила – это самая масштабная реорганизация законодательства о защите информации в Европе. Они заметно повлияют на методы ведения бизнеса в интернациональном масштабе.

Среди основных пунктов реформы:

  • упрощение доступа с к собственным ПД: физические лица получат больше информации о том, как обрабатываются их данные; эта информация будет легко доступна;
  • право на перенос данных: упрощается перенос ПД между сервис-провайдерами;
  • уточненное «право на забвение»: когда вы более не желаете, чтобы ваши данные обрабатывались, и законных оснований для отказа в этом нет, ваши ПД будут удалены;
  • право знать о взломе ваших данных: компании и организации обязаны немедленно уведомлять соответствующие официальные органы о серьезных утечках данных, чтобы пользователи могли предпринять необходимые для своей защиты меры.

Как писал D-Russia.ru, за нарушение предполагаются серьёзные штрафные санкции – до 4% от общей, т.е. полученной не только в странах ЕС выручки (или до 20 миллионов евро, если 4% меньше этой суммы).

Новые правила требуют раскрытия информации об утечках персональных данных в течение 72 часов после их обнаружения.

При этом GDPR устанавливает несколько уровней необходимой защиты информации для крупных международных компаний и предприятий малого и среднего бизнеса.

Концептуальные основы изменений, по мнению эксперта в области информационной безопасности Михаила Емельянникова, следующие: согласие с политикой конфиденциальности как свободный выбор, не обусловленный отказом пользоваться услугой; чёткое понимание того, на что дается согласие; обеспечение пользователей удобными инструментами для контроля за своими ПД; «право на забвение»; оповещение в случае угрозы личным данным (как госоргана, так и субъекта ПД); возможность переноса личных данных от одного поставщика к другому (данные должны храниться в машиночитаемом виде); запрет на «общее» согласие на обработку. Особое внимание GDPR уделяет персональным данным детей, которые могут быть переданы гражданами третьим лицам без понимания последствий — граждане должны иметь возможность запретить их использование.

Кого затронет GDPR

Как сообщал Роскомнадзор, требования регламента Европейского союза по защите персональных данных не будут распространяться на российских операторов, осуществляющих деятельности на территории России, поскольку Российская Федерация не является участницей международных договоров с ЕС. На них распространяется действие только российских законов в этой сфере в соответствии с общепринятыми международными принципами обработки персональных данных.

По мнению Емельянникова, закон может коснуться следующих категорий компаний:

дочерних российских компаний, работающих в ЕС (представители банков, компаний топливно-энергетического сектора);
компаний, которым контролёры (операторы) ЕС передали ПД для обработки (хостинг, биллинг, резервное копирование, статистическая обработка);
компаний, предлагающим гражданам ЕС товары и услуги (дополнительные признаки – сайт на языке страны ЕС (включая английский), расчёт в валюте ЕС, прямое упоминание граждан ЕС);
компаний, осуществляющих мониторинг действий граждан ЕС на территории ЕС.

Как на деле будет применяться GDPR, покажет только правоприменительная практика.