Как ЕС собирается защищать персональные данные интернет-пользователей
Новый закон обяжет Facebook, Google и другие компании быть более честными в вопросах хранения информации
25 мая в Европейском союзе (ЕС) вступает в силу закон о защите персональных данных (General Data Protection Regulation, GDPR). ТАСС объясняет, чем хороша эта мера, кого она коснется и отразится ли на России.
Что такое GDPR?
Это постановление, которое усиливает и унифицирует защиту персональных данных в ЕС. Оно было принято 27 апреля 2016 года и вступает в силу 25 мая 2018 года после двухлетнего переходного периода. GDPR не требует от стран — участниц ЕС никаких изменений в локальных законодательствах и, таким образом, является непосредственно обязательным к исполнению во всех 28 государствах союза. Более того, постановление носит экстерриториальный характер, то есть ему должны подчиняться зарубежные компании, занимающиеся сбором данных в Европе.
Какие требования предъявляет этот закон?
В законе изложены шесть принципов, в соответствии с которыми будет осуществляться сбор персональных данных:
• Законность, справедливость и прозрачность обработки информации.
• Данные можно собирать и использовать только в тех целях, которые заявлены компанией, и ни в каких других.
• Нельзя собирать данные в большем объеме, чем необходимо для целей обработки.
• Данные должны быть точными и актуальными и по необходимости должны исправляться или удаляться.
• Данные нельзя хранить дольше, чем это необходимо для целей обработки.
• Неприкосновенность и конфиденциальность персональных данных. Компании обязаны обеспечить защиту информации от несанкционированной или незаконной обработки, уничтожения и повреждения.
Что такое "персональные данные"?
Это любая информация, по которой можно прямо или косвенно идентифицировать человека: имя, адрес проживания, биометрические данные, сведения о состоянии здоровья и т.д. GDPR дает максимально широкую трактовку для понятия "персональные данные" и включает в том числе IP-адреса, e-mail, информацию о психическом здоровье, культурном и экономическом бэкграунде.
Что это значит на деле?
Это значит, что любой банк, социальная сеть, университет или другое заведение, которое собирает личную информацию о гражданах ЕС, будет обязано соблюдать требования GDPR. Правила получения согласия на обработку личной информации станут строже, пользователь получит возможность в любой момент отозвать такое согласие. Фирмы обяжут обозначать цели использования персональной информации в ясной и доступной форме, а также раскрывать сведения о третьих лицах, которым они передают данные.
Более того, в законе прописано несколько специфических пунктов, которые ранее не были зафиксированы юридически:
• Право на забвение. Пользователь может потребовать удалить сведения о себе безвозвратно, если он больше не хочет, чтобы они хранились и обрабатывались.
• Право на перенос данных. По требованию пользователя фирма — собиратель информации обязана бесплатно предоставлять электронную копию персональных данных для другой компании.
• В случае кражи персональных данных компании должны будут в течение 72 часов предупредить регулятора и всех пострадавших.
• Роль офицера безопасности. Компании должны назначать ответственного за защиту данных и соблюдение требование GDPR.
• Особая защита детских персональных данных — согласие на обработку информации о малолетних детях должно быть авторизовано родителями. Пользователи Facebook в возрасте 13–15 лет должны будут указать родителей или опекунов, которые могут дать согласие на обработку персональных данных. Пользоваться мессенджером WhatsApp можно будет только с 16 лет.
Кого коснется этот закон?
GDPR защищает 512 млн человек, проживающих в ЕС, и требует соблюдения от всех компаний, собирающих информацию о европейцах. Это в равной степени касается IT-гигантов, таких как Facebook, Google и Amazon, и более мелких компаний, у которых даже может не быть представительства в ЕС.
Что будет с теми, кто не подчинится закону?
Им грозят штрафы в размере 4% от их годового дохода или €10 млн — в зависимости от того, что больше.
Это как-нибудь отразится на России?
Да, под действие закона попадет каждая третья крупная российская компания, считают аналитики KPMG. GDPR затронет многие финансовые и банковские группы, сферу телекома и поставщиков услуг связи, компании ТЭК, фирмы, занимающиеся пассажирскими перевозками (прежде всего авиаперевозчиков), онлайн-ретейл и поставщиков услуг, работающих с иностранными покупателями. К этой категории относятся такие компании, как "Яндекс", отслеживающие действия пользователей на различных сайтах.
Российским фирмам придется пересмотреть свое отношение к сбору и хранению персональных данных, считают эксперты KPMG. Компаниям будет необходимо проанализировать каждый отдельный процесс обработки персональных данных на соответствие требованиям GDPR, обеспечить их защиту и разработать процедуры по уведомлению пользователей и регуляторов об утечках личных сведений. На этот процесс могут уйти миллионы рублей.