ЕС ввел в действие Общий регламент защиты данных (Global data protection regulation, GDPR) неделю назад, 25 мая. Большинство пользователей узнало об этом нововведении из-за лавины спама, которая образовалась в их почтовых ящиках, от самых разных интернет-ресурсов, просивших обновить согласие на изменение политики обработки личных данных. Однако, несмотря на прогнозы критиков этой системы, к валу судебных исков она пока не привела.
Что это такое, как оно работает и влияет на жизнь провайдеров интернет-услуг, их пользователей и всего цифрового пространства в целом, ТАСС рассказал эксперт в сфере электронных коммуникаций, консультант компании Orange Андре Смет.
"GDPR - это бюрократическая революция в цифровом пространстве. Попытка создать сложную административную систему для контроля сбора и распространения личных данных в интернете. Но здесь есть две небольшие проблемы: во-первых, сложность GDPR грозит свести на нет его результаты, во-вторых, скорость развития цифровых технологий и информационной среды на порядок превосходит скорость работы законодателей и регуляторов, которые их должны контролировать", - отметил эксперт.
На весь мир
Эксперт подчеркнул, что GDPR распространяется на весь мир, на все без исключения сайты и сервисы, которые могут иметь отношение к обработке и хранению личных данных граждан Евросоюза. Экстерриториальность GDPR прописана в самом тексте документа.
По сути, под GDPR подпадают все ресурсы, на которые хотя бы теоретически могут попасть личные данные гражданина ЕС. Под такими данными этот регламент подразумевает не только имя, фамилию, адрес или номера личных документов, а вообще любую информацию о предпочтениях пользователя, "лайках", выборках товаров и услуг или критериях поиска информации, музыки и видеоклипов в соцсетях.
То есть речь идет практически о любых данных о человеке, которые в настоящее время в автоматическом режиме собираются в том числе при помощи cookies - текстовых микрофайлов, создаваемых практически любым интернет-ресурсом. Эти файлы позволяют интернет-сервису при каждом обращении к нему пользователя получить информацию о его предпочтениях для повышения качества услуг.
Согласно материалам Еврокомиссии, главная цель GDPR - дать возможность полного контроля за сбором личных данных самому пользователю, то есть любому физическому или юридическому лицу в ЕС, а на практике - и за пределами ЕС, поскольку интернет-алгоритмы паспорт для сверки гражданства не запрашивают и обращаются с любыми запросами одинаково.
Драконовские штрафы
Штрафами за нарушения этого регламента Еврокомиссия грозит поистине драконовскими: в зависимости от тяжести нарушения они могут составить до 4% от мирового оборота компании-нарушителя за последний полный финансовый год или до €20 млн, причем берется большая цифра. Для смягчения наказания могут, впрочем, учитываться много факторов, в частности то, насколько активно ресурс будет сотрудничать с регулятором для устранения проблемы после получения уведомления о нарушении требований GDPR, пояснил Смет.
По умолчанию и по дизайну
Итак, два базовых понятия GDPR - неприкосновенность личных данных по умолчанию (privacy by default) и по дизайну (by design).
По умолчанию означает, что абсолютно все провайдеры интернет-услуг любого типа обязаны исходить из того, что их клиент не желает сбора какой бы то ни было информации о нем, а также получения различных рассылок и прочих "бонусов" без его предварительного уведомления и согласия. То есть автоматически принимаемое сайтом решение о готовности потребителя получать его информационную рассылку уже является прямым и грубым нарушением GDPR.
По дизайну: речь идет об организации баз личных данных таким образом, чтобы они хранились только в анонимном виде, то есть чтобы при получении доступа к базе нельзя было идентифицировать реальных лиц, чья информация сохранена. Ключ или дополнительные сведения, допускающие такую расшифровку, должны храниться отдельно от базы данных.
Что нам это даст?
GDPR обещает каждому пользователю многочисленные бонусов. Во-первых, право на забвение, то есть пользователь может потребовать от провайдера полного удаления всей информации о нем, будь то файл в соцсети или история покупок в интернет-магазине. Причем сохранение любых копий этой информации станет нарушением GDPR, караемым штрафом по самой высокой ставке.
Во-вторых, право на ограничение применения персональных данных, то есть пользователь должен иметь четкое право в любой момент отменить данное им разрешение на сбор, обработку или передачу третьим лицам его данных.
В-третьих, право переноса личных данных. Это самое неочевидное для реализации правило, которое должно позволить пользователю потребовать при смене провайдера услуг автоматически передать свои данные новому провайдеру без необходимости их повторного предоставления. Это проще понять на следующем примере: при смене провайдера мобильной связи старый провайдер должен по первому требованию пользователя и без задержки передать досье новому. Впрочем, как это будет работать с другими сервисами, где формат сохранения данных не стандартизирован, большой вопрос, отметил эксперт.
Он также напомнил, что негражданам ЕС не следует рассчитывать, что они смогут жаловаться в Еврокомиссию на нарушения GDPR их национальными провайдерами. "Эта система защищает личные данные граждан Евросоюза, поэтому если податель жалобы не является гражданином страны Евросоюза и в его обращении не вскрыты факты нарушения правил обработки данных граждан ЕС, то ее вряд ли кто-то станет рассматривать", - пояснил Андре Смет.
Чего нам это будет стоить?
"Цели GDPR заявлены, сформулированы и законодательно оформлены вполне четко. Сам регламент крайне длинный и практически недоступный для понимания неспециалиста, но вполне уясним для профессионала информационного бизнеса или грамотного консультанта. Но 90% преступлений в информационной среде осуществляются не чисто техническими методами, а на грани технологии и человеческого фактора. Эта же проблема в GDPR", - отметил консультант компании Orange.
"Это примерно так: человек хочет посмотреть кино или купить пиво онлайн, и вдруг перед ним всплывает окно с объяснением всех его прав по защите информации, правил доступа к ней третьих лиц, возможностей проверки, какие данные сохранены и как их удалить. Все, как требует Еврокомиссия. Что он сделает? Начнет изучать эти пункты и полезет в Google выяснять непонятные позиции или уберет текст и закроет окно?" - задался риторическим вопросом эксперт.
По его словам, благое намерение дать пользователю право контроля за его данными "уже сформировало колоссальные потоки спама в электронной почте". "Все сервисы, на которые вы когда-либо подписывались, вдруг бросились просить вашего согласия на изменения в их политике конфиденциальности, спешно приведенной в соответствие с требованиями GDPR", - пояснил Смет.
Он также отметил, что приведение всех сайтов в соответствие с этими регламентами потребует "значительных финансовых затрат их пользователей", в первую очередь на консультационные и юридические услуги, поскольку GDPR, безусловно, будет обновляться, а незнание закона от ответственности не освобождает.
Спецслужбам не помеха
Кроме того, эксперт заметил, что этот регламент не позволит призывать к ответу "государственных игроков", например спецслужбы, за сбор личных данных пользователей. "Для этого у Еврокомиссии просто нет инструментов", - добавил он. Впрочем, GDPR в случае его повсеместного применения теоретически должен значительно осложнить нелегальный сбор данных и государственным игрокам, которые зачастую получают их от операторов коммерческих сервисов.
Как быть оператору?
Что же следует делать оператору интернет-ресурса, чтобы соответствовать требованиям GDPR? "Ни в коем случае не черпать информацию об этом ресурсе в СМИ", - отметил Смет. Он подчеркнул, что, помимо пошаговых инструкций обеспечения соответствия сайта требованиям GDPR, которые есть на сайте Еврокомиссии, уже существует целый ряд программных продуктов, в том числе от ведущих мировых разработчиков, которые помогают проверить соответствие сайта требованиям нового регламента.
"Во всяком случае, нужно сделать четыре обязательных шага: пересмотреть техническую часть системы сбора и хранения личных данных (шифрование данных, обучение персонала, пересмотр возможных схем обмена данными), внести изменения в политику конфиденциальности, создать механизмы для уведомления и контроля со стороны пользователей, обеспечить разделение и соблюдение функций контролера личных данных (data controller) и их обработчика (data processor) и, наконец, на постоянной основе следить за обновлениями регламента и своевременно интегрировать их в свой сервис", - заключил эксперт.
Денис Дубровин