Новий звід європейських правил щодо збору та обробки даних вступив в силу в п’ятницю 25 травня. Регламент знаходився в розробці протягом останніх кількох років, його остаточне затвердження змусить багато компаній змінити політику конфіденційності, а в деяких випадках застосовувати більш жорсткі стандарти.
Нові правила вступили в силу практично відразу після скандалу, пов’язаного з політикою конфіденційності Facebook, і можна припустити, що одне випливає з іншого, але насправді це просто збіг.
Для кінцевого користувача зміниться не так багато, принаймні, найближчим часом. Компанії продовжуватимуть збирати і аналізувати персональні дані, отримані зі смартфонів, додатків і сайтів. Зміниться лише те, що тепер їм доведеться пояснювати клієнтам, для чого вони збирають та використовують інформацію. Застосовувати дані для інших цілей, крім зазначених, їм заборонено. У регуляторів Євросоюзу з’явилися нові повноваження, щоб карати компанії, які не повідомляють своїм клієнтам про операції з особистими даними.
Кого торкнулися зміни після 25 травня?
З 25 травня 2018 замість різних законів в кожній окремій країні Європи існує єдиний регламент для всього ЄС. Нові правила застосовуються до всіх громадян 28 країн Євросоюзу і компаніям незалежно від їх місця розташування, які збирають, аналізують і використовують дані європейських користувачів. Регламент вплине і на гігантів на зразок Facebook і Google, і на малі підприємства США, чия діяльність передбачає контакти з європейськими клієнтами.
Що йдеться в нових правилах?
Перш за все, компанії повинні зрозуміло пояснити своїм користувачем, як саме відбувається збір та обробка персональних даних. При цьому діяльність компанії може не змінитися, але політика конфіденційності повинна бути переглянута для відповідності новим вимогам.
Регламент наводить кілька варіантів того, як компанії можуть пояснити обробку та використання персональних даних. Деякі з них очевидні: наприклад, коли позичальник сплачує борг, його дані можуть знадобитися для примусу до виконання контрактних зобов’язань. Для інших цілей, наприклад, таргетинг, компанії зобов’язані отримувати згоду користувачів.
Існує також кілька невизначена категорія під назвою «законні інтереси». Як пояснив Девід Мартін, старший юрисконсульт європейської групи споживачів, вона допускає обробку персональних даних без згоди клієнтів, але тільки в тому випадку, якщо користь від цього переважує потенційні загрози конфіденційності.
Компанії також зобов’язані надавати користувачам Євросоюзу доступ до особистих даних і інструменти для їх видалення, а також забороняти їх обробку. Крім цього, компанії повинні уточнити, який термін зберігання призначених для користувача даних.
Також регламент зобов’язує компанії ліквідувати виявлені проблеми безпеки протягом 72 годин. Наскільки це здійсненно на практиці, складно сказати: раніше Yahoo знадобилося більше 2 років, щоб виявити й усунути порушення в системі безпеки, в результаті якого постраждали 3 мільярди користувачів.
Що змінилося для компаній, що базуються поза Євросоюзу?
Google, Twitter, Facebook і деякі інші великі компанії розташовані в Кремнієвій Долині (США), проте в Європі у них є мільйони користувачів, і тому дотримуватися нові вимоги їм доведеться теж. За порушення регламенту покладається штраф у розмірі до 2 мільйонів євро (24 мільйони доларів США) або 4% від річного доходу компанії. Передбачається, що величезні штрафи стануть стимулом для юридичних осіб серйозно ставитися до нововведень.
Що змінилося для користувачів, які проживають за межами Євросоюзу?
Компанії, які розміщені на території Євросоюзу, повинні піклуватися про конфіденційність всіх своїх користувачів, а не тільки громадян ЄС. Проте у правилах просто говориться, що регламент застосовується до «суб’єктам даних, що входять в ЄС». Формулювання звучить розпливчасто, вона не пояснює, як правила вплинуть на гостей Євросоюзу. Эйлид Калландер з лондонської групи Privacy International каже, що багато питань будуть уточнюватися у процесі судових розглядів.
Ясно одне: якщо раніше в відсутність чіткого регулювання компанії брали мовчання користувача за згоду на збір даних, така поведінка в нових умовах буде вважатися неприйнятним.
Глобальні подвійні стандарти?
Серед провідних технологічних компаній Microsoft – одна з небагатьох, хто робить все можливе, щоб поважати права користувачів у всьому світі. Однак, згідно з новими правилами, компанії, що знаходяться за межами ЄС, не будуть піддаватися покаранню за недотримання прав користувачів, також проживають поза ЄС. Простими словами, якщо США і інші країни не будуть дотримуватися на своїх територіях новий регламент про конфіденційність, їм нічого за це не буде. Цілком імовірно, що багато фірм (особливо дрібні) будуть дотримуватися подвійних стандартів конфіденційності – один для користувачів з ЄС, інший для своїх місцевих.
Генеральний директор Facebook Марк Цукерберг згадав про введення «глобальних налаштувань і контролю» в соціальній мережі, проте досить розпливчасто відповів на питання про те, чи зможуть американські користувачі також категорично забороняти використання особистих даних, як європейці: «Я не впевнений, що ми зможемо найближчим часом реалізувати потрібні зміни».
Джерело: http://chvv.com.ua/
